Перейти к содержанию
Ingener

Подскажите какие порты можно закрыть без ограничения функциональности системы.

Recommended Posts

p2u
А жаль, честно - жаль... ИМХО запугивание вызывает интерес, но в отличие от нейтральной информации, оживляет воображение. Почему-то сразу хочется правильно оценить степень угрозы. ;)

Значит: 'При моём подходе невозможны никакие иные действия, кроме как предусмотренные' для вас не аргумент? :D

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse

p2u, аргумент. Но "хочется" для меня не значит "можется". Я же не эксперт, как Вы. ;)

И моей заслуги в том, что я не испытываю проблем с безопасностью, нет. Это заслуги экспертов. Ваши в т.ч. Я не использую многие конкретные Ваши рекомендации, да и многие из них мне просто не подойдут. У меня другая ОС, другой любимый браузер (хотя нелюбимый - тот же самый :)), несколько другие понятия про удобства и неудобства и т.д. Но сами Ваши принципы считаю правильными, потому им следую (или пытаюсь следовать). Спасибо. :)

Это еще и заслуга тех, кого Вы называете экспертами в кавычках. У них тоже много интересных идей. Только к их советам ИМХО надо подходить по принципу "от противного". Кроме тех средств защиты, которые я уже упоминал, я пробовал и другие. И было время, когда вообще никаких не использовал, кроме встроенных в ОС. Проблем тоже небыло, но времени на это я потратил меньше, потому обобщать на своем примере мне как бы неудобно. Зато холивары типа NOD vs ... или Avira vs ... уже не интересны. Им тоже спасибо.

А начинать как когда-то пользоваться снова продуктами лидеров индустрии, мировых или национальных, не хочу. Не интересно. Они и так - лидеры. Для меня пока очевидно, что защититься можно при помощи любого защитного софта или защитных функций ОС, что есть в наличии. Если знать, что и от чего требуется защитить хотя бы приблизительно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Если знать, что и от чего требуется защитить хотя бы приблизительно.

Истерику разводить я всё равно не собираюсь. Скажу вам так: Приблизительно всё сводится всегда к следующему: '...позволяет атакующему получить такие же права, что и у локального пользователя компьютера под управлением Windows'. При этом участие самого пользователя часто не требуется. Сценарии сама Майкрософт никогда не озвучивает, но если она сама настаивает на то, чтобы отключить/удалить функционал, то тогда можно не сомневаться в том, что дело - серьёзное. Остальное уже зависит от нашего с вами воображения. Доходить можно до абсурда. 'Васья напился до потерия сознания и выпал из окна прямо на свою попу. К счастью, его спасли его супер-мягкие подгузники марки X...'

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
svchost.exe:908 TCPV6 terminator:135 terminator:0 LISTENING

Такая строка говорит, что v6 сервис слушает на 135 порту. Без стека TCP/IPv6 это бы было невозможно. Через определённые настройки висты можно только отключить функционал v6.

Disabling IPv6

Unlike Windows XP, IPv6 in Windows Vista cannot be uninstalled. However, you can disable IPv6 in Windows Vista by doing one of the following:

In the Connections and Adapters folder, obtain properties on all of your connections and adapters and clear the check box next to the Internet Protocol version 6 (TCP/IPv6) component in the list under This connection uses the following items. This method disables IPv6 on your LAN interfaces and connections, but does not disable IPv6 on tunnel interfaces or the IPv6 loopback interface.

Add the following registry value (DWORD type) set to 0xFFFFFFFF:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents

This method disables IPv6 on all your LAN interfaces, connections, and tunnel interfaces but does not disable the IPv6 loopback interface. You must restart the computer for this registry value to take effect. DisabledComponents is set to 0 by default.

The DisabledComponents registry value is a bit mask that controls the following series of flags, starting with the low order bit (Bit 0):

Bit 0 Set to 1 to disable all IPv6 tunnel interfaces, including ISATAP, 6to4, and Teredo tunnels. Default value is 0.

Bit 1 Set to 1 to disable all 6to4-based interfaces. Default value is 0.

Bit 2 Set to 1 to disable all ISATAP-based interfaces. Default value is 0.

Bit 3 Set to 1 to disable all Teredo-based interfaces. Default value is 0.

Bit 4 Set to 1 to disable IPv6 over all non-tunnel interfaces, including LAN interfaces and Point-to-Point Protocol (PPP)-based interfaces. Default value is 0.

Bit 5 Set to 1 to modify the default prefix policy table to prefer IPv4 to IPv6 when attempting connections. Default value is 0.

To determine the value of DisabledComponents for a specific set of bits, construct a binary number consisting of the bits and their values in their correct position and convert the resulting number to hexadecimal. For example, if you want to disable 6to4 interfaces, disable Teredo interfaces, and prefer IPv4 to IPv6, you would construct the following binary number: 101010. When converted to hexadecimal, the value of DisabledComponents is 0x2A.

You must restart the computer for the changes to the DisabledComponents registry value to take effect.

Может, они просто сами этого не видят? Чем еще глянуть можно не удаленно?

Я не пользуюсь вистой.

Попробуйте что-нибудь вроде:

ipconfig /all

ping6 ::1

telnet ::1 135

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

А вот по поводу Telnet: я тут пошастал по разным он- лайн сканерам фаерволов, и они мне насканили что у меня открыты SSH и Telnet. Казалось бы, отключи эти службы - и no problem, но дело в том, что службу Telnet я у себя на ХР home вообще не нахожу! Как это объяснить? И как отключить, через реестр чтоли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А вот по поводу Telnet: я тут пошастал по разным он- лайн сканерам фаерволов, и они мне насканили что у меня открыты SSH и Telnet. Казалось бы, отключи эти службы - и no problem, но дело в том, что службу Telnet я у себя на ХР home вообще не нахожу! Как это объяснить? И как отключить, через реестр чтоли?

У вас не XP Home случайно? Там эта служба недоступна, хотя telnet-атаки прекрасно работают.

В реестре она называется TlntSvr и её тип запуска должна стоять на Start = 0x00000004 (4)

P.S.: Вы уверены, что сканируете собственный компьютер?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Нет, не уверен :) это же он- лайн сканирование, и как я вычитал из ваших же постов, возможно сканируется оборудование прова (если я правильно понял). Но, всё же я последую вашему совету и посмотрю в реестре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Нет, не уверен :) это же он- лайн сканирование, и как я вычитал из ваших же постов, возможно сканируется оборудование прова (если я правильно понял). Но, всё же я последую вашему совету и посмотрю в реестре.

Она находится здесь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr

Для того, чтобы быстро узнать, какой сейчас у вас IP-адрес, запустите IP2 (не требуется установки) и сравните с тем адресом, который выдаёт сканер. Если у вас Firefox, то тогда можно установить расширение ShowIP. Она обычно показывает IP-адреса для сайтов, которые вы посещаете, но если вести мышку к этому адресу, то тогда она показывает внутренний (с лева) и внешний (с права) IP-адреса. Внешний вас интересует для сравнения.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Сканеры правильно определяют мой WAN- ip, но не LAN- ip, стал быть они ошибаются :) ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Сканеры правильно определяют мой WAN- адрес, но не LAN- адрес, стал быть они ошибаются :) ?

А где, любопытно, можно определить свой внутренний (= LAN) IP-адрес? Он должен быть недоступен в И-нете. Ссылку дайте, пожалуйста. Или вы имеете в виду, что тулза ошибается?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Нет, тулза всё определяет правильно (я же знаю свой истинный IP). То есть он- лайн сканеры и должны работать именно с wan- ip?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Нет, тулза всё определяет правильно (я же знаю свой истинный IP). То есть он- лайн сканеры и должны работать именно с wan- ip?

Да.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

:( походу я лоханулся... Такой записи у меня в реестре нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
:( походу я лоханулся... Такой записи у меня в реестре нет.

Но вы так и не сказали, какая версия XP у вас. XP Home? Какой порт показывает сканер? Думаю всё-таки, что вы сканируете не свой комп. Смотрите в TCPView и вы увидите, что этот порт у вас не открыт.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Да, именно Home edition, SP2. Порт 23, да, опять же, вы правы - в tcpview его нет. Эх, p2u, чтоб мы без вас делали ;) и спасибо за ссылки. Кстати, а что такое enmap?

Ой, epmap! И microsoft-ds?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
epmap! И microsoft-ds?

microsoft-ds для обмена файлами напрямую в локалке и epmap = endpoint mapper разрешает удалённый комп узнать инфу о вашей системе. Вы можете это всё закрыть с помощью Windows Worms Doors Cleaner. Тулзу для этого я уже выложил в данной теме:

http://www.anti-malware.ru/forum/index.php...amp;#entry62797

То, что не зелённым надо 'Disable' и перезагрузить комп.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Спасибо, она у меня уже есть :) И ещё маленький вопросик по ходу: если программа слушает порт (делает его listening), но я точно знаю что это за программа (например, KIS) то такое "прослушивание" безопасно? В том смысле, что никакая другая прога или малвара не сможет воспользоваться этим портом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Безопасно. Никакая другая программа не может пользоваться этим портом. Только если злоумышленник знает, что у вас КИС установлен и он тоже знает о какой-нибудь уязвимости в этой программе, то тогда он может теоретически атаковать этот порт из локальной сети, но это больше фантазии, чем реальность. :)

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
In the Connections and Adapters folder, obtain properties on all of your connections and adapters and clear the check box next to the Internet Protocol version 6 (TCP/IPv6) component in the list under This connection uses the following items. This method disables IPv6 on your LAN interfaces and connections, but does not disable IPv6 on tunnel interfaces or the IPv6 loopback interface.

Кроме этого другого не делал ничего.

Add the following registry value (DWORD type) set to 0xFFFFFFFF:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents

This method disables IPv6 on all your LAN interfaces, connections, and tunnel interfaces but does not disable the IPv6 loopback interface. You must restart the computer for this registry value to take effect. DisabledComponents is set to 0 by default.

Ключ DisabledComponents отсутствует совсем.

ipconfig /all

ping6 ::1

telnet ::1 135

Выполнение ipconfig /all дает тоже самое, что и просмотр состояния через свойства сетевого подключения. Упоминаний про v6 нет. В результате выполнения ping6 ::1 и telnet ::1 135 получаем в обоих случаях что это "не является внутренней или внешней командой, исполняемой программой или пакетным файлом", а ping ::1 проходит.

В реестре она называется TlntSvr и её тип запуска должна стоять на Start = 0x00000004 (4)
Она находится здесь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr

В Vista ее название TermService. Находится там же. Значение для Start у меня стоит 0x00000004 (4).

Но я же помню, что TCPView умеет показывать порты для v6. И показывал раньше. А сейчас не показывает. Значит - их нет?

P.S. О, тут уже опрос. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Но я же помню, что TCPView умеет показывать порты для v6. И показывал раньше. А сейчас не показывает. Значит - их нет?

TCPView - это GUI для netstat. Он должен их показывать.

P.S. О, тут уже опрос. :)

Да, зря. Те, которые их отключают и так знают почему они это делают. Если великие люди говорят, что надо, кто мы? Самое главное чтобы аккуратно. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
TCPView - это GUI для netstat. Он должен их показывать.

Так и я про тоже самое. Если выполнить netstat -a -n, у меня получается это:

Активные подключения

Имя Локальный адрес Внешний адрес Состояние

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 127.0.0.1:47900 0.0.0.0:0 LISTENING

TCP [::]:135 [::]:0 LISTENING

Первая и последняя строки - одно и тоже, там же нет TCPv6?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
У меня вот как

А между этим и 21-м постом Вы чего-то пытались сделать с v6? Тот лог из 21-го поста чем сделан и как теперь выглядит? Есть в нем строка с TCPv6?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×