Подскажите какие порты можно закрыть без ограничения функциональности системы.

[dr_dizel 385]

TCP [::]:135 [::]:0 LISTENING

Первая и последняя строки - одно и тоже, там же нет TCPv6?

У меня сейчас вообще нет доступа к чему-нибудь на v6, но вот это "[::]" должно означать v6.

Ключ DisabledComponents отсутствует совсем.

Создайте dword параметр со значением 0xFFFFFFFF.

[p2u 824]

Такая строка говорит, что v6 сервис слушает на 135 порту. Без стека TCP/IPv6 это бы было невозможно. Через определённые настройки висты можно только отключить функционал v6.

@ bse:

Эта информация также описывается на русском языке на сайте Майкрософта:

Отключение некоторых компонентов IP версии 6 в Windows Vista.

Paul

[p2u 824]

Я не тестирую программы защиты, не ищу специально вирусы, не натравливаю на себя всякие хитрые сканеры безопасности. Я просто использую свой ПК так, как мне нравится. И я не вижу разницы. По-этому, не могу сказать, что чего-то боюсь. Я даже не знаю, чего мне следует бояться.

Чего бояться? Пример из Рассказов о Неожиданном. Вы находитесь в команировке в США. Вам нужно посещать сайт консульства РФ в Вашингтоне для того, чтобы узнать, когда оно открывается. Вы привыкли слушать рассказы экспертов о том, что можно спокойно пользоваться IE, так как хаят его только фанаты а столько-то столько-то пользователей в мире спокойно пользуются им, и ничего. Вы так и делаете на вашем ноутбуке.

Данный сайт, однако, - заражён, и вас атакуют с помощью эксплойта по последней уязвимости в ActiveX. Вы это, естественно, не замечаете, только у вас начинают появляться всё новые зловреды... Ладно, сделаем скидку: вы случайно умным оказались, и сидите в режиме ограниченного пользователя. Но жаль, для кражи и отсылки ваших данных или данных вашей компании не требуются админ права. И самое грустное при этом то, что доверенная у всех Microsoft знала об этом баге уже с 2007 г. и ничего не делала, даже не предупреждала. Вирусы, трояны, шпионы и руткиты *искать* не обязательно, оказывается...

Страшно? Или вам нужно страшнее ещё?

Paul

[bse 115]

Страшно? Или вам нужно страшнее ещё?

Было бы страшно с год назад. Но Вы же сами уже научили меня не бояться. По-этому, не страшно, а лишь вызывает некоторое сожаление.

вот это "[::]" должно означать v6

Должно. Тогда не понятно, почему строка при выполнении netstat не выглядит так:

TCPv6 [::]:135 ...

хотя должна, вроде бы. А в TCPView вообще ее нет. Вот еще раз, что есть сейчас:

svchost.exe:872 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCompres.exe:2016 TCP 127.0.0.1:80 0.0.0.0:0 LISTENING

TCompres.exe:2016 TCP 127.0.0.1:110 0.0.0.0:0 LISTENING

TCompres.exe:2016 TCP 127.0.0.1:47900 0.0.0.0:0 LISTENING

Это показывает TCPView.

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 127.0.0.1:80 0.0.0.0:0 LISTENING

TCP 127.0.0.1:110 0.0.0.0:0 LISTENING

TCP 127.0.0.1:47900 0.0.0.0:0 LISTENING

Тоже самое при выполнении отдельно "netstat -a -n -p TCP".

TCP [::]:135 [::]:0 LISTENING

Это дополнительно при выполнении "netstat -a -n -p TCPv6", а в TCPView этого нет.

Строка с TCPv6 при сканирование TCPView осталась. Одним словом Vista - это сплошные чудеса

Ага - чудеса. Я пока повременю с внесением изменений в системные настройки для v6. Мне интересно разобраться с происходящим у меня.

Может у меня такое быть, что системе с поддержкой v4 просто известно представление адресов, принятое в v6 (это показывает netstat), но отдельных портов для v4 и v6 нет, а есть порт только для v4 (это показывает TCPView)?

А у Ingenerа есть отдельные порты, по-этому и TCPView у него показывает две отдельные строки для v4 и v6? Или просто TCPView у меня не все порты показывает?

[dr_dizel 385]

Это дополнительно при выполнении "netstat -a -n -p TCPv6", а в TCPView этого нет.

Вам уже всё объяснили.

Введите 0xffffffff, чтобы отключить все компоненты IP версии 6, кроме интерфейса замыкания на себя.

В висте вы не сможете полностью отключить v6. Даже после ковыряния реестра останется обратный интерфейс. Скорее всего это сделано для поддержки сервисов требующих v6. Вот и торчат хвосты 0.0.0.0 => [::0] и 127.0.0.1 => [::1].

Ага - чудеса.

RTFM

[bse 115]

RTFM

dr_dizel, большое спасибо. Только вопрос не про Vista, а про TCPView = netstat + GUI. Равенства-то в показаниях-то не получается-то почему-то. Но, еще раз, спасибо за заботу.

[bse 115]

Приношу всем свои извинения. Скачал свежий TcpView v2.54 вместо своего старого v2.53. Логи по поводу IPv4 и IPv6 как у Ingenerа:

svchost.exe:872 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

svchost.exe:872 TCPV6 [0:0:0:0:0:0:0:0]:135 [0:0:0:0:0:0:0:0]:0 LISTENING

TCompres.exe:2016 TCP 127.0.0.1:80 0.0.0.0:0 LISTENING

TCompres.exe:2016 TCP 127.0.0.1:110 0.0.0.0:0 LISTENING

TCompres.exe:2016 TCP 127.0.0.1:47900 0.0.0.0:0 LISTENING

Теперь поковыряюсь в своей Vista. Спасибо.

[Ingener 150]

-

[p2u 824]

Кстати проверьте - у вас после отключения служб - планировщик задач работает..?

Сам планировщик задач открывает порт, по-моему (не помню точно какой). Если вы хотите, чтобы он работал надо проверить зависимости и включить то, от чего он зависит.

Paul

[Ingener 150]

-

[bse 115]

Кстати проверьте - у вас после отключения служб - планировщик заданий работает..?

Нет, не работает. Все три зависимости для запуска Планировщика в Авто и Работают. Служба Планировщика в Авто и Работает. При входе в Планировщик под учетными записями Администратор и Пользователь появляется предупреждение "Служба планировщика задач недоступна. Убедитесь, что служба запущена".

При Просмотре событий в Журнале для Планировщика есть записи об ошибках его запуска из-за ошибки Удаленного вызова процедур. Есть и код ошибки.

Но мне это не интересно. Еще до отключения служб я много чего убирал из задач Планировщика. И у меня нет программ, которым требуется Планировщик. Т.е. это даже, по-моему, хорошо, что он не работает у меня нормально.

Это опасно?

[p2u 824]

Т.е. это даже, по-моему, хорошо, что он не работает у меня нормально.

Это опасно?

То, что он работает - не без риска. Некоторые зловреды пользуются для того, чтобы назначить задачи (некоторые разновидности червя кидо, например). Если зловред завладел им, то тогда антивирус уже не справится и надо вручную бороться. Примеров куча на вирусинфо.

Paul

[Ingener 150]

-

[bse 115]

То, что он работает - не без риска

А заглючивший Планировщик - типа еще одна закрытая уязвимость. Да? Если мне не изменяет память, то, судя по датам появления в Журнале первых ошибок Планировщика из-за УВП (RPC), это началось после применения мною WWDC, хотя совсем точно не помню уже. А откатываться не хочется.

[p2u 824]

Обидно что мелкомягкие описали не все зависимости...

Почему бы не искать альтернативные планировщики, а? Такие есть для XP и бесплатно; должны существовать для Висты тоже.

Paul

[Ingener 150]

-

[bse 115]

Нужно Николаю Головко предъяву написать - пусть разберётся в чём дело - что вызывает этот глюк

У меня сейчас нет книжки "Безопасный интернет...", но я помню, что информацию про Vista в сборник Николая любезно предоставил другой товарищ.

[Ingener 150]

-

[p2u 824]

Думаю на Vista не всё так просто как на хрюше - альтернативному планировщику ещё самому нужно запуститься, а если для его запуска требуется повышение привелегий (что очень вероятно) - запуститься сам автоматически он никак не сможет...

Говорят, что Z-Cron бесплатный и работает нормально на Висте. Если нет, то тогда попробуйте найти Cron for Windows на sourceforge.

Update: Только что посмотрел - Z-Cron только на 14 дней и Cron for Windows на Висте не работает. Всё равно - должны существовать.

Paul

[bse 115]

Очевидно, уважаемый Андрей не был против публикации уважаемым Николаем своих ПД. Может быть, он, будучи участником этого форума, заметит нашу болтовню по поводу Vista и отпишется здесь, и ему не помешает в этом изменение его АВ-предпочтений.

P.S. Еще раз убедился, что к советам Экспертов нужно прислушиваться. То, как я лоханулся со старой версией TcpView, не случилось бы при выполнении мною одной из экспертных рекомендаций "всегда пользоваться актуальными версиями программ".

[Ingener 150]

-

[SBond 253]

Спасибо p2u за програмульку TcpViem из сборника Sysinternals, в принципе с подобными тузлами встречался не раз, сам пользуюсь другой CurrPorts она на русском, и чуть более информативная

Вот например мой отчет TcpViem с включенным интернетом и я прям на этой веб страничке:

[system Process]:0 TCP sbond-pc:1057 axx175.distributed.zenon.net:http TIME_WAIT

firefox.exe:164 TCP sbond-pc:1026 localhost:1027 ESTABLISHED

firefox.exe:164 TCP sbond-pc:1027 localhost:1026 ESTABLISHED

firefox.exe:164 TCP sbond-pc:1029 localhost:1028 ESTABLISHED

firefox.exe:164 TCP sbond-pc:1028 localhost:1029 ESTABLISHED

firefox.exe:164 TCP sbond-pc:1052 axx175.distributed.zenon.net:http ESTABLISHED

firefox.exe:164 TCP sbond-pc:1050 hb-in-f101.google.com:http ESTABLISHED

firefox.exe:164 TCP sbond-pc:1060 axx175.distributed.zenon.net:http ESTABLISHED

svchost.exe:992 UDP sbond-pc:ntp *:*

svchost.exe:992 UDP sbond-pc:ntp *:*

System:4 TCP sbond-pc:netbios-ssn sbond-pc:0 LISTENING

System:4 UDP sbond-pc:netbios-dgm *:*

System:4 UDP sbond-pc:netbios-ns *:*

trafinspag.exe:1888 UDP sbond-pc:1025 *:*

а вот отчет CurrPorts

Но к сожалению обе эти программы не дают полной информации, т.е. тот же журнал моего OSSP гораздо нагляднее...

Может есть что-то по серьезнее ?

Если нужно ссылки на CurrPorts:

32 бит - h##p://www.nirsoft.net/utils/cports.zip

64 бит - h##p://www.nirsoft.net/utils/cports-x64.zip

Русик - h##p://www.nirsoft.net/utils/trans/cports_russian.zip

[p2u 824]

@ SBond

Файл внутри архива требует Internet Explorer, кажется. Нет такого у меня. Currports тоже хороший. Вы должны иметь в виду, что обе программки лишь GUI для netstat, и что netstat не показывает всё. Да и файрволы не показывают всегда состояние всего. Если умеете работать со сниффером (то есть: если вы умеете читать его журналы и задать нужные параметры), то тогда это уже интереснее. Это, конечно, не состояние портов, а трафик, что интереснее (избегать при этом promiscuous mode = беспорядочный режим; состояние, в котором сетевой адаптер обнаруживает в сети все фреймы вне зависимости от их конечного адреса). И наиболее полезно, конечно, сканировать свой компьютер с другого компьютера из той же локальной сети. Я это сделал, и даже без файрвола всё закрыто.

Paul

[Ingener 150]

-

[p2u 824]

@ Ingener

Я достаточно уверен в защищённости моего компа - не за что зацепиться из сети. Конечно можно ARP отравить, перехватить мои соединения, и т.д., так как я не зашифрую трафик. Те, которые хотят сканировать мой комп получают сообщение 'Host Down' (я что-то нахимичил с маской подсети. )

P.S.: Я бываю регулярно на ресурсах таких людей и я рад, что они меня уважают и принимают всерьёз из-за того, что я глупых вопросов не задаю, никого не обижаю и не осуждаю. Я уверен, что они подумали бы, что у меня что-то с головой если я начал бы дразнить их таким образом.

Paul