Подскажите какие порты можно закрыть без ограничения функциональности системы.

[p2u 824]

А жаль, честно - жаль... ИМХО запугивание вызывает интерес, но в отличие от нейтральной информации, оживляет воображение. Почему-то сразу хочется правильно оценить степень угрозы.

Значит: 'При моём подходе невозможны никакие иные действия, кроме как предусмотренные' для вас не аргумент?

Paul

[bse 115]

p2u, аргумент. Но "хочется" для меня не значит "можется". Я же не эксперт, как Вы.

И моей заслуги в том, что я не испытываю проблем с безопасностью, нет. Это заслуги экспертов. Ваши в т.ч. Я не использую многие конкретные Ваши рекомендации, да и многие из них мне просто не подойдут. У меня другая ОС, другой любимый браузер (хотя нелюбимый - тот же самый ), несколько другие понятия про удобства и неудобства и т.д. Но сами Ваши принципы считаю правильными, потому им следую (или пытаюсь следовать). Спасибо.

Это еще и заслуга тех, кого Вы называете экспертами в кавычках. У них тоже много интересных идей. Только к их советам ИМХО надо подходить по принципу "от противного". Кроме тех средств защиты, которые я уже упоминал, я пробовал и другие. И было время, когда вообще никаких не использовал, кроме встроенных в ОС. Проблем тоже небыло, но времени на это я потратил меньше, потому обобщать на своем примере мне как бы неудобно. Зато холивары типа NOD vs ... или Avira vs ... уже не интересны. Им тоже спасибо.

А начинать как когда-то пользоваться снова продуктами лидеров индустрии, мировых или национальных, не хочу. Не интересно. Они и так - лидеры. Для меня пока очевидно, что защититься можно при помощи любого защитного софта или защитных функций ОС, что есть в наличии. Если знать, что и от чего требуется защитить хотя бы приблизительно.

[p2u 824]

Если знать, что и от чего требуется защитить хотя бы приблизительно.

Истерику разводить я всё равно не собираюсь. Скажу вам так: Приблизительно всё сводится всегда к следующему: '...позволяет атакующему получить такие же права, что и у локального пользователя компьютера под управлением Windows'. При этом участие самого пользователя часто не требуется. Сценарии сама Майкрософт никогда не озвучивает, но если она сама настаивает на то, чтобы отключить/удалить функционал, то тогда можно не сомневаться в том, что дело - серьёзное. Остальное уже зависит от нашего с вами воображения. Доходить можно до абсурда. 'Васья напился до потерия сознания и выпал из окна прямо на свою попу. К счастью, его спасли его супер-мягкие подгузники марки X...'

Paul

[dr_dizel 385]

svchost.exe:908 TCPV6 terminator:135 terminator:0 LISTENING

Такая строка говорит, что v6 сервис слушает на 135 порту. Без стека TCP/IPv6 это бы было невозможно. Через определённые настройки висты можно только отключить функционал v6.

Disabling IPv6

Unlike Windows XP, IPv6 in Windows Vista cannot be uninstalled. However, you can disable IPv6 in Windows Vista by doing one of the following:

In the Connections and Adapters folder, obtain properties on all of your connections and adapters and clear the check box next to the Internet Protocol version 6 (TCP/IPv6) component in the list under This connection uses the following items. This method disables IPv6 on your LAN interfaces and connections, but does not disable IPv6 on tunnel interfaces or the IPv6 loopback interface.

Add the following registry value (DWORD type) set to 0xFFFFFFFF:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents

This method disables IPv6 on all your LAN interfaces, connections, and tunnel interfaces but does not disable the IPv6 loopback interface. You must restart the computer for this registry value to take effect. DisabledComponents is set to 0 by default.

The DisabledComponents registry value is a bit mask that controls the following series of flags, starting with the low order bit (Bit 0):

Bit 0 Set to 1 to disable all IPv6 tunnel interfaces, including ISATAP, 6to4, and Teredo tunnels. Default value is 0.

Bit 1 Set to 1 to disable all 6to4-based interfaces. Default value is 0.

Bit 2 Set to 1 to disable all ISATAP-based interfaces. Default value is 0.

Bit 3 Set to 1 to disable all Teredo-based interfaces. Default value is 0.

Bit 4 Set to 1 to disable IPv6 over all non-tunnel interfaces, including LAN interfaces and Point-to-Point Protocol (PPP)-based interfaces. Default value is 0.

Bit 5 Set to 1 to modify the default prefix policy table to prefer IPv4 to IPv6 when attempting connections. Default value is 0.

To determine the value of DisabledComponents for a specific set of bits, construct a binary number consisting of the bits and their values in their correct position and convert the resulting number to hexadecimal. For example, if you want to disable 6to4 interfaces, disable Teredo interfaces, and prefer IPv4 to IPv6, you would construct the following binary number: 101010. When converted to hexadecimal, the value of DisabledComponents is 0x2A.

You must restart the computer for the changes to the DisabledComponents registry value to take effect.

Может, они просто сами этого не видят? Чем еще глянуть можно не удаленно?

Я не пользуюсь вистой.

Попробуйте что-нибудь вроде:

ipconfig /all

ping6 ::1

telnet ::1 135

[Motley 30]

А вот по поводу Telnet: я тут пошастал по разным он- лайн сканерам фаерволов, и они мне насканили что у меня открыты SSH и Telnet. Казалось бы, отключи эти службы - и no problem, но дело в том, что службу Telnet я у себя на ХР home вообще не нахожу! Как это объяснить? И как отключить, через реестр чтоли?

[p2u 824]

А вот по поводу Telnet: я тут пошастал по разным он- лайн сканерам фаерволов, и они мне насканили что у меня открыты SSH и Telnet. Казалось бы, отключи эти службы - и no problem, но дело в том, что службу Telnet я у себя на ХР home вообще не нахожу! Как это объяснить? И как отключить, через реестр чтоли?

У вас не XP Home случайно? Там эта служба недоступна, хотя telnet-атаки прекрасно работают.

В реестре она называется TlntSvr и её тип запуска должна стоять на Start = 0x00000004 (4)

P.S.: Вы уверены, что сканируете собственный компьютер?

Paul

[Motley 30]

Нет, не уверен это же он- лайн сканирование, и как я вычитал из ваших же постов, возможно сканируется оборудование прова (если я правильно понял). Но, всё же я последую вашему совету и посмотрю в реестре.

[p2u 824]

Нет, не уверен это же он- лайн сканирование, и как я вычитал из ваших же постов, возможно сканируется оборудование прова (если я правильно понял). Но, всё же я последую вашему совету и посмотрю в реестре.

Она находится здесь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr

Для того, чтобы быстро узнать, какой сейчас у вас IP-адрес, запустите IP2 (не требуется установки) и сравните с тем адресом, который выдаёт сканер. Если у вас Firefox, то тогда можно установить расширение ShowIP. Она обычно показывает IP-адреса для сайтов, которые вы посещаете, но если вести мышку к этому адресу, то тогда она показывает внутренний (с лева) и внешний (с права) IP-адреса. Внешний вас интересует для сравнения.

Paul

[Motley 30]

Сканеры правильно определяют мой WAN- ip, но не LAN- ip, стал быть они ошибаются ?

[p2u 824]

Сканеры правильно определяют мой WAN- адрес, но не LAN- адрес, стал быть они ошибаются ?

А где, любопытно, можно определить свой внутренний (= LAN) IP-адрес? Он должен быть недоступен в И-нете. Ссылку дайте, пожалуйста. Или вы имеете в виду, что тулза ошибается?

Paul

[Motley 30]

Нет, тулза всё определяет правильно (я же знаю свой истинный IP). То есть он- лайн сканеры и должны работать именно с wan- ip?

[p2u 824]

Нет, тулза всё определяет правильно (я же знаю свой истинный IP). То есть он- лайн сканеры и должны работать именно с wan- ip?

Да.

Paul

[Motley 30]

походу я лоханулся... Такой записи у меня в реестре нет.

[p2u 824]

походу я лоханулся... Такой записи у меня в реестре нет.

Но вы так и не сказали, какая версия XP у вас. XP Home? Какой порт показывает сканер? Думаю всё-таки, что вы сканируете не свой комп. Смотрите в TCPView и вы увидите, что этот порт у вас не открыт.

Paul

[Ingener 150]

-

[Motley 30]

Да, именно Home edition, SP2. Порт 23, да, опять же, вы правы - в tcpview его нет. Эх, p2u, чтоб мы без вас делали и спасибо за ссылки. Кстати, а что такое enmap?

Ой, epmap! И microsoft-ds?

[p2u 824]

epmap! И microsoft-ds?

microsoft-ds для обмена файлами напрямую в локалке и epmap = endpoint mapper разрешает удалённый комп узнать инфу о вашей системе. Вы можете это всё закрыть с помощью Windows Worms Doors Cleaner. Тулзу для этого я уже выложил в данной теме:

http://www.anti-malware.ru/forum/index.php...amp;#entry62797

То, что не зелённым надо 'Disable' и перезагрузить комп.

Paul

[Motley 30]

Спасибо, она у меня уже есть И ещё маленький вопросик по ходу: если программа слушает порт (делает его listening), но я точно знаю что это за программа (например, KIS) то такое "прослушивание" безопасно? В том смысле, что никакая другая прога или малвара не сможет воспользоваться этим портом?

[p2u 824]

Безопасно. Никакая другая программа не может пользоваться этим портом. Только если злоумышленник знает, что у вас КИС установлен и он тоже знает о какой-нибудь уязвимости в этой программе, то тогда он может теоретически атаковать этот порт из локальной сети, но это больше фантазии, чем реальность.

Paul

[bse 115]

In the Connections and Adapters folder, obtain properties on all of your connections and adapters and clear the check box next to the Internet Protocol version 6 (TCP/IPv6) component in the list under This connection uses the following items. This method disables IPv6 on your LAN interfaces and connections, but does not disable IPv6 on tunnel interfaces or the IPv6 loopback interface.

Кроме этого другого не делал ничего.

Add the following registry value (DWORD type) set to 0xFFFFFFFF:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents

This method disables IPv6 on all your LAN interfaces, connections, and tunnel interfaces but does not disable the IPv6 loopback interface. You must restart the computer for this registry value to take effect. DisabledComponents is set to 0 by default.

Ключ DisabledComponents отсутствует совсем.

ipconfig /all

ping6 ::1

telnet ::1 135

Выполнение ipconfig /all дает тоже самое, что и просмотр состояния через свойства сетевого подключения. Упоминаний про v6 нет. В результате выполнения ping6 ::1 и telnet ::1 135 получаем в обоих случаях что это "не является внутренней или внешней командой, исполняемой программой или пакетным файлом", а ping ::1 проходит.

В реестре она называется TlntSvr и её тип запуска должна стоять на Start = 0x00000004 (4)

Она находится здесь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr

В Vista ее название TermService. Находится там же. Значение для Start у меня стоит 0x00000004 (4).

Но я же помню, что TCPView умеет показывать порты для v6. И показывал раньше. А сейчас не показывает. Значит - их нет?

P.S. О, тут уже опрос.

[p2u 824]

Но я же помню, что TCPView умеет показывать порты для v6. И показывал раньше. А сейчас не показывает. Значит - их нет?

TCPView - это GUI для netstat. Он должен их показывать.

P.S. О, тут уже опрос.

Да, зря. Те, которые их отключают и так знают почему они это делают. Если великие люди говорят, что надо, кто мы? Самое главное чтобы аккуратно.

Paul

[bse 115]

TCPView - это GUI для netstat. Он должен их показывать.

Так и я про тоже самое. Если выполнить netstat -a -n, у меня получается это:

Активные подключения

Имя Локальный адрес Внешний адрес Состояние

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 127.0.0.1:47900 0.0.0.0:0 LISTENING

TCP [::]:135 [::]:0 LISTENING

Первая и последняя строки - одно и тоже, там же нет TCPv6?

[Ingener 150]

-

[bse 115]

У меня вот как

А между этим и 21-м постом Вы чего-то пытались сделать с v6? Тот лог из 21-го поста чем сделан и как теперь выглядит? Есть в нем строка с TCPv6?

[Ingener 150]

-