Перейти к содержанию
TANUKI

Стремный провайдер!

Recommended Posts

dot_sent
Кстати, а что многоуважаемый ОЛЛ скажет по поводу статичного (выделенного внешнего айПи) и динамического (который каждый раз меняется? Мне кажется, что в плане безопасности динамический вроде как получше будет или я не прав? какие у него минусы по сравнению со статичным?

С точки зрения безопасности динамический может быть и лучше. А вот с точки зрения юзабилити - не очень, ИМХО, поскольку при этом нельзя использовать все возможности реального айпи. Например, на компьютер с динамическим айпи нельзя устанавливать веб-сервер или фтп-сервер, видимые из Интернет (а для меня это основной плюс реального статического айпи). С другой стороны, торренты работать будут нормально, фтп в активном режиме - тоже (если не перекрыть файрволом, разумеется) - в общем, преимущества перед сидением за провайдерским НАТом есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexey_Bratt

Да у меня тоже динамический, только вот он не постоянно меняется... а под этим ip сидят некоторое количество людей одновременно, точное количество не известно :) Так вот главный минус как уже говорили, что нельзя делать у себя на ПК сервера. Ну и второй минус в том, что если другой пользователь под этим же ip-адресом нашкодит и его забанят, то естесственно и честный абонент попадает под незаслуженный бан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cander
Цитата(cander @ 15.08.2008, 13:15)

И ещё, если в нруповых политиках поставить запрет доступа по сети Всем никто не приконектится или это обходится?

Если у вас на компьютере не установлен злостный код, то тогда вероятность на обход этих политик - минимальна.

Самое главное:

* Отключить админ шары

Создадим в разделе реестра HKLM\System\CurrentControlSet\Services\lanmanserver\Parameters ключ DWORD с именем AutoShareWks и значением 0.

* Отключить NetBIOS если он не потребуется. Как отключить NetBIOS описано здесь.

Paul

Тогда зачем отключать админ шары, если доступа по сети к компу нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Тогда зачем отключать админ шары, если доступа по сети к компу нет?

Против зловредного ПО - оно при определённых обстоятельствах на таких ограничений политик Windows не смотрит.

Встречный вопрос: зачем оставлять работать ненужный и потенциально опасный функционал? ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cander
Против зловредного ПО - оно при определённых обстоятельствах на таких ограничений политик Windows не смотрит.

Встречный вопрос: зачем оставлять работать ненужный и потенциально опасный функционал? ;)

Paul

Мы об одном и том же говорим? Если заразы на комне нет и в виндовых политиках запретить всем доступ по сети, как тогда на комп попасть можно? А шары могут конечно какие-нибудь эксплойты использовать, хотя если всем учётком по сети запрещён доступ к компу как него можно попасть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Мы об одном и том же говорим? Если заразы на комне нет и в виндовых политиках запретить всем доступ по сети, как тогда на комп попасть можно?

Если заразы сейчас нет, кто говорит, что её не будет через 5 минут, когда вы щёлкаете на ссылку, полученную в ICQ?

хотя если всем учётком по сети запрещён доступ к компу как него можно попасть?

Админ Шары были созданы для того, чтобы сисадмин в домене мог зайти на ваш комп - локальные политики подчиняются политикам домена. Если админ шары включены (и NetBIOS работает), то тогда МОЖНО к вам попасть, какие ограничения вы ни поставили локально - локальные политики не будут применяться если запускают против систему эксплойт. Это чисто теоретически, конечно. Мало, кто умеет, но всё же... Есть такие червьи, кажется, которые пользуются этим...

P.S.: Такой момент тоже не надо забывать - сетевые драйвера и службы запускаются задолго ДО того, как применяются политики Windows. Это имеет особое значение если:

1) подключение в Интернет никогда не отключается,

2) работает авто-логон в учётку с админ правами (большинство пользователей так сидят),

3) пароля нет на встроенный админ и вы не переименовали эту учётку (большинство пользователей так сидят),

4) имеется локальная сеть провайдера, которая считается доверенной.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cander
Цитата(cander @ 21.08.2008, 15:17)

Мы об одном и том же говорим? Если заразы на комне нет и в виндовых политиках запретить всем доступ по сети, как тогда на комп попасть можно?

Если заразы сейчас нет, кто говорит, что её не будет через 5 минут, когда вы щёлкаете на ссылку, полученную в ICQ?

Тогда уже будет по барабану расшарені админ-шарі или нет :)

Админ Шары были созданы для того, чтобы сисадмин в домене мог зайти на ваш комп - локальные политики подчиняются политикам домена. Если админ шары включены (и NetBIOS работает), то тогда МОЖНО к вам попасть, какие ограничения вы ни поставили локально - локальные политики не будут применяться если запускают против систему эксплойт. Это чисто теоретически, конечно. Мало, кто умеет, но всё же... Есть такие червьи, кажется, которые пользуются этим...

Ну мі же не доменній случай смотрим, а локального домашнего ПК. Нетбиос отрубил как Вы говорили.

P.S.: Такой момент тоже не надо забывать - сетевые драйвера и службы запускаются задолго ДО того, как применяются политики Windows. Это имеет особое значение если:

1) подключение в Интернет никогда не отключается,

2) работает авто-логон в учётку с админ правами (большинство пользователей так сидят),

3) пароля нет на встроенный админ и вы не переименовали эту учётку (большинство пользователей так сидят),

4) имеется локальная сеть провайдера, которая считается доверенной.

А вот про про загрузку дров раньше применения политик забыл. Хотя если факр стоит, тогда все входящии блокируются до загрузки винды. Интересно через какое время виндовые политики применяются, вот например, после автологона?

Вот по пункту 3. Какой смыс переименовывать учётку алмина, если на неё нет пароля? Все равно доспупа по сети под ней нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Тогда уже будет по барабану расшарені админ-шарі или нет

Это не совсем аргумент. Дело в том, что наш зловред может привлекать других, которые пользуются. Но так как зловредописатели не могут предусматривать каждую отдельную ситуацию, они обычно пишут для ОС с настройками по умолчанию. Поэтому смысл всегда есть отключить ненужный функционал, который по умолчанию работает.

Вот по пункту 3. Какой смысл переименовывать учётку алмина, если на неё нет пароля? Все равно доступа по сети под ней нет.

Преимуществ есть множество, но я не могу их все перечислять здесь. Ограничиваюсь одним примером:

Если вдруг зловред через эксплойт всё-таки проник, и хочет у вас отключить встроенную учётку 'Administrator', он запускает допустим такую команду:

net user Administrator /active:No

shutdown -r -t 1

У среднего пользователя это сработает, так как такая учётная запись есть у всех на Windows по умолчанию. После перезагрузки компьютера вы не войдёте уже под встроенным админом. У меня, однако, это не сработает, так как Windows не знает, кто такой 'Administrator'. У меня его зовут 'KTOTAM'. :)

P.S.: Переименование некоторых вещей (допустим файла Hosts) может оказаться эффективным способом превентивной защиты. Даже учётка 'Guest' переименована у меня в 'Unwanted'.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cander
У среднего пользователя это сработает, так как такая учётная запись есть у всех на Windows по умолчанию. После перезагрузки компьютера вы не войдёте уже под встроенным админом. У меня, однако, это не сработает, так как Windows не знает, кто такой 'Administrator'. У меня его зовут 'KTOTAM'.

P.S.: Переименование некоторых вещей (допустим файла Hosts) может оказаться эффективным способом превентивной защиты. Даже учётка 'Guest' переименована у меня в 'Unwanted'.

:)

Разве проблема включить админа. Хотя если под рукой нужного софта нет.... Убедили.

Да и вопрос опять. Зачем вирю админа отрубать, он же потом себя показать не сможет :)

Что-то в офтом я ушёл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Да и вопрос опять. Зачем вирю админа отрубать, он же потом себя показать не сможет :)

Я лишь показал одно применение команды, где фигурирует 'Аdminstrator'. Другие можете узнать на сайтах другого профиля. ;)

Конец офф-топа.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×