Перейти к содержанию
Ingener

Подскажите какие порты можно закрыть без ограничения функциональности системы.

Recommended Posts

bse

p2u, просто само понятие "порт" виртуально. А тут получается как бы виртуально^2. ;)

Любые входящие туда надо блокировать.

Да. А можно и весь svchost в полностью заблокированные фаерволом приложения добавить для всех направлений, адресов и протоколов, если не надо, например, разрешать, как в Вашей VPN, исходящие UDP-запросы по DHCP. Тут как раз такой случай, если в первом (21-м) посте полный отчет выложен.

Протокол интернета версии 6 (TCP/IPv6) у меня отключен в настройках сетевого подключения...

Не знаю почему открыт этот порт...

"Как бы порт" будет виден "как бы открытым". Забыл сразу сказать, там еще служба "Вспомогательная служба IP" что делает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Да. А можно и весь svchost в полностью заблокированные фаерволом приложения добавить для всех направлений, адресов и протоколов

Это нехорошая идея. Надо систему так настроить, чтобы он на уровне приложений сделал как можно меньше запросов, но блокировать полностью НЕЛЬЗЯ. Сети может не быть. Блокировать можно его только для входящих (то есть: незапрошенных). :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
Это нехорошая идея. Надо систему так настроить, чтобы он на уровне приложений сделал как можно меньше запросов, но блокировать полностью НЕЛЬЗЯ. Сети может не быть.

Это как бы не мой случай. Мой случай в буквах:

svchost.exe:828 TCP ololo:epmap ololo:0 LISTENING

TCompres.exe:2136 TCP ololo:49482 ns2.km33316.keymachine.de:47902 ESTABLISHED

Тоже самое в цифрах:

svchost.exe:828 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCompres.exe:2136 TCP 10.209.40.21:49482 87.118.125.219:47902 ESTABLISHED

Где мне посмотреть свойства вспомогательной службы IP?

В "Администрирование" -> "Службы" - в каком она состоянии? У меня тип запуска - "Отключена".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
У меня она тоже отключена.

А у меня из системных служб работают сейчас эти:

Имя Состояние Тип запуска Вход от имени

Plug-and-Play Работает Авто Локальная система

Superfetch Работает Авто Local Service

Windows Driver Foundation - User-mode Driver Framework Работает Авто Локальная система

Вторичный вход в систему Работает Авто Локальная система

Диспетчер учетных записей безопасности Работает Авто Локальная система

Журнал событий Windows Работает Авто Local Service

Инструментарий управления Windows Работает Авто Локальная система

Клиент групповой политики Работает Авто Локальная система

Клиент отслеживания изменившихся связей Работает Авто Локальная система

Лицензирование программного обеспечения Работает Авто Network Service

Модуль запуска процессов DCOM-сервера Работает Авто Локальная система

Планировщик заданий Работает Авто Локальная система

Планировщик классов мультимедиа Работает Авто Локальная система

Служба интерфейса сохранения сети Работает Авто Local Service

Служба политики диагностики Работает Авто Local Service

Служба профилей пользователей Работает Авто Локальная система

Служба списка сетей Работает Авто Local Service

Служба уведомления о системных событиях Работает Авто Локальная система

Службы криптографии Работает Авто Network Service

Средство построения конечных точек Windows Audio Работает Авто Локальная система

Удаленный вызов процедур (RPC) Работает Авто Network Service

Диспетчер подключений удаленного доступа Работает Вручную Локальная система

Сведения о приложении Работает Вручную Локальная система

Сетевые подключения Работает Вручную Локальная система

Система событий COM+ Работает Вручную Local Service

Служба сведений о подключенных сетях Работает Вручную Network Service

Телефония Работает Вручную Network Service

Узел системы диагностики Работает Вручную Локальная система

Может, мне еще чего-нибудь отключить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
У вас всё хорошо - больше ничего отключать или изменять тип запуска не требуется.

Просто руки чешутся сделать еще лучше.

svchost.exe:908 TCPV6 terminator:135 terminator:0 LISTENING

А у Вас по-другому? Откуда же тогда это лезет?

p2u, скажите пожалуйста, кроме DHCP, что еще исходящее нужно для svchost явно разрешить и в каких случаях? Или лучше правил сразу не создавать, тогда при неоходимости, он сам запросит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
p2u, скажите пожалуйста, кроме DHCP, что еще исходящее нужно для svchost явно разрешить и в каких случаях? Или лучше правил сразу не создавать, тогда при неоходимости, он сам запросит?

Именно так - спросит, а вы разрешите ему это, но не больше. Что он именно просит нельзя отсюда сказать; это всё зависит от тип сети, от ОС, от конфигурации, и т.д. DHCP используется только если у вас динамический IP-адрес (то есть: каждый раз меняется). Если у вас постоянный IP-адрес, то тогда надо отключить службу DHCP Client. Если у вас работает служба DNS-клиент, например, то тогда svchost может спросить делать все запросы DNS для всех программ, что я вам лично не советую, и т.д. Лучше отключить эту службу. Ну и так далее. Проблема, конечно, в том, что svchost - доверенный везде... В таком случае лучше заранее знать, что он требует и создать блокирующее правило для всего остального. Качественные журналы очень помогают в этом (если вы их читаете, конечно). Жаль, что люди часто думают, что они только для просмотра 'атак'.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
Именно так - спросит, а вы разрешите ему это, но не больше. Что он именно просит нельзя отсюда сказать; это всё зависит от тип сети, от ОС, от конфигурации, и т.д.

Ага, ясно. С моим практически постоянным GPRS-соединением я svchost просто весь блокирую полностью. Иногда при соединении через VPN разрешаю запуститься DHCP-клиенту, и тогда же разрешаю для svchost исходящие UDP:255.255.255.255:67 на 68. И всё. :)

Ingener, Вы бы кликнули сортировку по состоянию или по типу запуска перед созданием лога - было бы удобнее сравнить, а то много и вразброс. Но попробую-почитаю. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
У меня вот как

То, что у меня запущено, а у Вас - нет, очевидно, роли не играет. А у Вас в работе дополнительно к моему получились:

Secure Socket Tunneling Protocol Service SstpSvc Running Manual

Диспетчер печати Spooler Running Auto

Диспетчер сеансов диспетчера окон рабочего стола UxSms Running Auto

Определение оборудования оболочки ShellHWDetection Running Auto

Поиск Windows WSearch Running Auto

Служба базовой фильтрации BFE Running Auto

Служба перечислителя переносных устройств WPDBusEnum Running Auto

Служба помощника по совместимости программ PcaSvc Running Auto

Темы Themes Running Auto

Хост поставщика функции обнаружения fdPHost Running Manual

Я не знаю точно ответа, отчего у Вас этот TCPV6. Может быть, кто-то может сказать сразу. А можно попробовать методом перебора - останавливать-запускать и смотреть.

P.S. О, Вы переделали уже свой список, не видел. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aike

А почему не использовать для этого Windows Firewall? В Висте с помощью него можно заблокировать все что не разрешенно, а потом руками добавить исключения, кстати, в исключения так же придется добавлять и сервисы типа Windows Update.

Ну и второй вопрос, а зачем вообще так жестить, если достаточно отключить "Client for Microsoft Networks" и "File and Printer Sharing for Microsoft Networks", для того что бы обломать все известые хаки не через ie и сторонний софт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
а зачем вообще так жестить, если достаточно отключить "Client for Microsoft Networks" и "File and Printer Sharing for Microsoft Networks", для того что бы обломать все известые хаки не через ie и сторонний софт?

Известные, именно. До того, как червь Kido появился тоже считали, что служба Сервер нельзя было хакнуть. :)

P.S.: То, что не обязательно требуется - отключается. Это очень хороший про-активный принцип защиты потому что при эксплойтах ни от кого защиты ждать не стоит, тем более, что система у всех - доверенная (то есть: может практически ВСЁ).

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Известные, именно. До того, как червь Kido появился тоже считали, что служба Сервер нельзя было хакнуть.

Согласен, такое наблюдалось все время - как раньше (достаточно вспомнить про ping of death), так и сейчас - уязвимости ищутся и находятся. Поэтому нужно отключить все, в чем нет необходимости :)

Философия примерно такова :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
по книжке эта служба обязательно должна автоматически запускаться

Книжка не догма, а руководство... 3, 4, 7, 8, 9 - мне не нужно.

В свойствах подключения отображается

Только протокол TCP/IPv4. Ну может быть от защитного софта чего-то еще. Остальное если не удалено, то отключено.

А почему не использовать для этого Windows Firewall?

Да фаерволов хватает всяких. Только разговор про порты. Зачем их блочить, если можно от них избавиться? p2u может целую лекцию прочесть по этой теме (о, тоже - не заметил. Уже вступление есть. И соратники :)).

Ну и второй вопрос, а зачем вообще так жестить

Кроме безопасности есть и другие причины. Если помните или знаете, некоторые работники Микрософта удивлялись и задавали сами себе вопрос: "Почему у меня не тормозит виндовз виста?". А потом сами на него отвечали. И советы юзерам висты давали, как тормозов в ней избежать. У меня она тоже не тормозит. Потому что всякой излишествующей функциональностью сама себя не занимает и ресурсы моей системы на эти излишества тоже - не занимает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse

Ingener, кстати, может быть как раз дело в sp1. Я его откатил обратно, т.е. у меня он не установлен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aike
Кроме безопасности есть и другие причины. Если помните или знаете, некоторые работники Микрософта удивлялись и задавали сами себе вопрос: "Почему у меня не тормозит виндовз виста?". А потом сами на него отвечали. И советы юзерам висты давали, как тормозов в ней избежать. У меня она тоже не тормозит. Потому что всякой излишествующей функциональностью сама себя не занимает и ресурсы моей системы на эти излишества тоже - не занимает.

Про МС не слышал, но, примерно с 2001 года занимался тем же что и сейчас происходит тут, отключал, оптимизировал, твикал и т.д. И понял одно, причину надо искать в себе ;) Сейчас у меня включены и службы сервера и воркстейшен и все остальное, и UAC мне не мешает и виста не тормозит. Ну а Kido... Это исключение, как и MSBlast. Да случается. Быть может кидо был последней серьезной багой в RPC? Да и вообще, если так посмотреть, может это как раз из-за "продвинутых пользователей" эпидемия была? Наотключали служб, да так, что заплатка не скачалась за месяц до начала эпидемии? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Быть может кидо был последней серьезной багой в RPC? Да и вообще, если так посмотреть, может это как раз из-за "продвинутых пользователей" эпидемия была? Наотключали служб, да так, что заплатка не скачалась за месяц до начала эпидемии? ;)

Всё может быть, но хочу упоминать о том, что на форуме ЛК, например, приходили люди с полностью пропаченными системами лечиться, так что - такой вывод нельзя автоматом делать (способ заражения начался раньше, чем Майкрософт выпустила патч). В некоторых локальных сетях провайдеров просто нехорошо, и многие пользователи помещают такие локалки в Доверенную Зону (или скорее: так делают многие программы защиты). Вот в чём именно проблема.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
если так посмотреть, может это как раз из-за "продвинутых пользователей" эпидемия была? Наотключали служб, да так, что заплатка не скачалась за месяц до начала эпидемии?

Нет. Никто не говорит непродвинутым, что нужно отключать бездумно. Тем более - продвинутым. Они - продвинутые, они способны оценить советы самостоятельно. А я непродвинутый, по-этому, я еще больше сомневаюсь, слушаю и думаю. А только потом - делаю... Вы не глядели по моему списку, чего бы мне еще вырубить? Или наоборот - включить для повышения своей безопасности? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

×