Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
Думаю, что пароль не имеет большого значения. И файроволы с... 17.07.04 18:38 Число просмотров: 1684
Автор: ne_budu_pozority_tut_nik Статус: Незарегистрированный пользователь
|
> Если машина в сети, обязательно длинный пароль. И
> переименовать учётную запись администратора.
> И файервол, конечно.
Думаю, что пароль не имеет большого значения. И файроволы с антивирусами тоже. Все идет к тому, что если имеется уязвимость или баг в скриптах или кодах программ, к которым есть доступ из интернета, то проникновение в систему - лишь дело времени.
На сегодняшний день - каждая третья как минимум программа имеет уязвимости.
|
|
<sysadmin>
|
а нужен ли 15-символьный пароль на домашней тачке? 15.07.04 20:58 [Den]
Автор: DmitriAl Статус: Незарегистрированный пользователь
|
Все говорят: работай из-под юзера на домашней тачке, а админу поставь 15-символьный пароль и ставь через него проги. А оно надо? Если дома я один работаю. WinXP.
Может ли кто-нибудь из глобальной сети подключиться ко мне на комп (создать у себя такую же рабочую группу) и проникнуть на комп, т.к. админ без пароля?
|
|
Re: 17.07.04 17:46
Автор: Den <Денис Т.> Статус: The Elderman
|
|
Большое кол-во уязвимостей, которые могут быть использованы атакующим, выполняют код эксплойта под привилегиями текущего пользователя. Поэтому MS советует админам работать с привилегиями пользователей, а при необходимости запустить программу с правами администратора, использовать Run as...
|
|
Если NetBIOS включен, то может. Кроме того, в троянах может содержаться пассворд кракер. 15.07.04 21:13
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
|
|
| |
Не обязательно NetBIOS. Можно и через SMB. Или вообще "Управление компьютером". 15.07.04 21:35
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Если машина в сети, обязательно длинный пароль. И переименовать учётную запись администратора.
И файервол, конечно.
|
| | |
Думаю, что пароль не имеет большого значения. И файроволы с... 17.07.04 18:38
Автор: ne_budu_pozority_tut_nik Статус: Незарегистрированный пользователь
|
> Если машина в сети, обязательно длинный пароль. И
> переименовать учётную запись администратора.
> И файервол, конечно.
Думаю, что пароль не имеет большого значения. И файроволы с антивирусами тоже. Все идет к тому, что если имеется уязвимость или баг в скриптах или кодах программ, к которым есть доступ из интернета, то проникновение в систему - лишь дело времени.
На сегодняшний день - каждая третья как минимум программа имеет уязвимости.
|
| | | |
имеет и очень большое 17.07.04 18:43
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 17.07.04 18:45 Количество правок: 1
|
|
Дело в том что все винды семейства NT (в отличии от 9х) очень хорошо администрируються по сети. И если есть логин/пароль админа то расшарить чтонить на той машине, добавить юзера, поставить новый сервис, вырубить в конце концов комп ничем не сложнее чем на локальной. При этом никакими дырами пользоваться не надо.
|
| | | | |
при правильном механизме идентификации, где количество идентификаций ограничено - сложность паролей - таки не сильно вызывает тревогу 17.07.04 19:24
Автор: ne_budu_pozority_tut_nik Статус: Незарегистрированный пользователь
Отредактировано 17.07.04 19:28 Количество правок: 2
|
> Дело в том что все винды семейства NT (в отличии от 9х)
> очень хорошо администрируються по сети. И если есть
> логин/пароль админа то расшарить чтонить на той машине,
> добавить юзера, поставить новый сервис, вырубить в конце
> концов комп ничем не сложнее чем на локальной. При этом
> никакими дырами пользоваться не надо.
Для локальных сетей, где скорость подбора высокая - даже очень большое значение. Как обьязательное условие - думаю нужно устанавливать в обьязательном порядке механизмы ограничения попыток идентификации.
Ксатати, при правильном механизме идентификации, где количество идентификаций ограничено - сложность паролей - таки не сильно вызывает тревогу. Именно уязвимости программ и сервера может быть причиной взлома.
Я просто больше в нете специализируюсь. Да и то, понимаю, что все скрипты - это как красные шапочки в лесу. И написанные мною скрипты так-же имеют уязвимости. Только вот в ограниченное количество времени не получается качественно их писать. Волк прийдет - все равно сьест.
|
| | | | | |
1) В GPO W2k легко устанавливается число попыток... 31.07.04 01:58
Автор: void <Grebnev Valery> Статус: Elderman
|
> Для локальных сетей, где скорость подбора высокая - даже
> очень большое значение. Как обьязательное условие - думаю
> нужно устанавливать в обьязательном порядке механизмы
> ограничения попыток идентификации.
>
> Ксатати, при правильном механизме идентификации, где
> количество идентификаций ограничено - сложность паролей -
> таки не сильно вызывает тревогу. Именно уязвимости программ
> и сервера может быть причиной взлома.
1) В GPO W2k легко устанавливается число попыток аутинтификации. После этого экаунт блокируется. Время блокировки тоже настраивается.
2) Есть логи, которые админ смотрит каждый день на серверах. Там всё написано.
|
| | | | | |
Волков не так много (внутри много отвлеченных мыслей на тему). 17.07.04 19:53
Автор: Ktirf <Æ Rusakov> Статус: Elderman
Отредактировано 17.07.04 19:55 Количество правок: 1
|
В основном, извините за грубость, щенята за штанину ухватить норовят.
Не знаю, два года наблюдения за миром безопасности привели меня к мысли, что если соблюдать минимально необходимые меры безопасности: файрволл, браузер, почта, пароли (особенно использующиеся в Сети), то дальше навлечь на себя неприятности можно лишь нажив себе владеющего предметом врага в Сети.
Понятно, что на любой замок найдется отмычка, но должен быть смысл ее применять - работа-то подчас получается штучная, за это деньги немалые берут. А если с тебя нечего взять - на кой хрен тебя взламывать? Машину для рассылки спама заиметь - овчинка выделки не стоит, такие машины сотнями считаются, а риск, что тебя схватят за руку (раз конфигурация необычная, значит человек думает о безопасности) остается.
Но - в локалке (если это какая-нибудь домовая сеть особенно) удаленные логины надо, естественно, ограничивать. Это относится к минимальным мерам безопасности.
|
| | | | | | |
Вы правы. Но.... Мои опыт показывает, что только очень... 31.07.04 02:02
Автор: void <Grebnev Valery> Статус: Elderman
|
> Не знаю, два года наблюдения за миром безопасности привели
> меня к мысли, что если соблюдать минимально необходимые
> меры безопасности: файрволл, браузер, почта, пароли
> (особенно использующиеся в Сети), то дальше навлечь на себя
> неприятности можно лишь нажив себе владеющего предметом
> врага в Сети.
Вы правы. Но.... Мои опыт показывает, что только очень небольшое число сеток есть, где всё это есть.
|
| | | | | | |
Исходя из своего опыта, позволю себе дать несколько советов. [updated] 20.07.04 13:02
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 20.07.04 13:30 Количество правок: 1
|
1. Отключение NetBIOS никакой практической пользы не принесет, так как всегда можно использовать ip адрес, например \\192.168.1.10\c$. Отключить NetBIOS можно для того, чтобы станция не светилась в сетевом окружении. После того, как Вы отключили NetBIOS over TCP/IP в свойствах протокола TCP/IP, можно отключить службу "TCP/IP NetBIOS Helper Service", чтобы память не занимала.
2. Если комп не используется для разделения файлов в сети, то можно отвязать "File and Printer Sharing for Microsoft Networks" от адаптера(ов) (Network and Dial-up Connections -> Advanced -> Advanced Settings...) и после этого можно даже отключить службу "Server" в сервисах.
Если комп все-таки используется для разделения файлов и др. ресурсов, то необходимо и обязательно использовать "Account Lockout Policy" и алфавитно-цифровые пароли длиной 8 и более символов. Данная мера сильно затруднит, а скорее сведет на нет подбор пароля по сети.
3. Firewall ставить обязательно (или использовать встроенный) и закрывать все порты как на вход, так и на выход, оставив только самые необходимые. Данная мера спасает непропатченную систему от вторжения злоумышленников или вирусов через дыры в защите сетевых служб, например таких как RPC.
4. Если вы используете RAdmin или pcAnywhere или любую другую программу для удаленного управления станцией, то старайтесь использовать именно аутентификацию операционной системы. Например в RAdmin'е для этого нужно поставить галочку на "Enable NT Securing" и в "Permissions" добавить соответствующих пользователей или группы. Так как Вы будете использовать политику блокировки учетных записей (п.2), то перебор пароля в RAdmin'е также будет невозможен.
5. Не забудьте отключить службу "Remote Registry Service"
6. Не допускайте работу людей, которым вы не доверяете, на станции с правами администратора, тем более, если станция - контроллер домена. Все дело в том, что под правами администратора, локально можно снять незашифрованные паролем хеш функции паролей пользователей рабочей станции или домена (в резервной копии восстановления хеш функции паролей дополнительно защищены паролем) и далее осуществлять подбор паролей, например на домашнем компе.
З.Ы. Даже после всех этих мер предосторожности систему патчить необходимо.
|
| | | | | | | |
Ну, положим это лечится.. Установи в ноль 31.07.04 02:20
Автор: void <Grebnev Valery> Статус: Elderman
|
> 1. Отключение NetBIOS никакой практической пользы не
> принесет, так как всегда можно использовать ip адрес,
> например \\192.168.1.10\c$. Отключить NetBIOS можно для
> того, чтобы станция не светилась в сетевом окружении. После
> того, как Вы отключили NetBIOS over TCP/IP в свойствах
> протокола TCP/IP, можно отключить службу "TCP/IP NetBIOS
> Helper Service", чтобы память не занимала.
Ну, положим это лечится.. Установи в ноль
Сервер -
HKLM\System\CurentControlSet\
Services\LanmanServer\
Parameters\AutoShareServer (REG_DWORD)
Рабочая станция -
HKLM\System\CurentControlSet\
Services\LanmanServer\
Parameters\AutoShareWks (REG_DWORD)
> 2. Если комп не используется для разделения файлов в сети,
> то можно отвязать "File and Printer Sharing for Microsoft
> Networks" от адаптера(ов) (Network and Dial-up Connections
> -> Advanced -> Advanced Settings...) и после этого
> можно даже отключить службу "Server" в сервисах.
Только для рабочек. Сервер-то должен жить в общем случае и отдавать расшаренные ресурсы. Если таковые необходимы, конечно.
> Если комп все-таки используется для разделения файлов и др.
> ресурсов, то необходимо и обязательно использовать "Account
> Lockout Policy" и алфавитно-цифровые пароли длиной 8 и
> более символов. Данная мера сильно затруднит, а скорее
> сведет на нет подбор пароля по сети.
Ну, да особенно, если админу в ЭвентВьювер заглядывать ;))
>
> 3. Firewall ставить обязательно (или
> использовать встроенный) и закрывать все порты как на вход,
> так и на выход, оставив только самые необходимые. Данная
> мера спасает непропатченную систему от вторжения
> злоумышленников или вирусов через дыры в защите сетевых
> служб, например таких как RPC.
>
Стопудово. Добавлю только, что это надо белать не только для инет, но и в защищенных сегментах ЛАН.
> 4. Если вы используете RAdmin или pcAnywhere или любую
> другую программу для удаленного управления станцией, то
> старайтесь использовать именно аутентификацию операционной
> системы. Например в RAdmin'е для этого нужно поставить
> галочку на "Enable NT Securing" и в "Permissions" добавить
> соответствующих пользователей или группы. Так как Вы будете
> использовать политику блокировки учетных записей (п.2), то
> перебор пароля в RAdmin'е также будет невозможен.
>
Вряд ли это нужно, ибо средств Terminal Services обычно достаточно. Там и рулить надо. Зачем прикручивать Радмин. Лишняя дырка.
> 5. Не забудьте отключить службу "Remote Registry Service"
Не забудьте включить, когда сами будете под админом администрировать что либо.
Забавная связь - невозможностьлокальноадминить, например, RRAS, если на маршрутиризаторе W2k отключить ремоут регистри. M$ как всегда... в своем репертуаре.
> 6. Не допускайте работу людей, которым вы не доверяете, на
> станции с правами администратора, тем более, если станция -
> контроллер домена. Все дело в том, что под правами
> администратора, локально можно снять незашифрованные
> паролем хеш функции паролей пользователей рабочей станции
> или домена (в резервной копии восстановления хеш функции
> паролей дополнительно защищены паролем) и далее
> осуществлять подбор паролей, например на домашнем компе.
Забавно, если кто-то "допускает" ;)))
|
| | | | | | |
В домашних сетях адекватной мерой является полное блокирование нетбиоса 19.07.04 11:12
Автор: amirul <Serge> Статус: The Elderman
|
|
Тем более, что 135 и 445 уже проштрафились (не думаю, что в RPC не осталось дырок). Для обмена файлами можно пользоваться FTP, для удаленного администрирования - vnc/radmin и то поднимаемые по необходимости.
|
| | | | | | | |
Там, вверху, Den прав. В этих случаях еще на рабочих... 31.07.04 02:23
Автор: void <Grebnev Valery> Статус: Elderman
|
> Тем более, что 135 и 445 уже проштрафились (не думаю, что в
> RPC не осталось дырок). Для обмена файлами можно
> пользоваться FTP, для удаленного администрирования -
> vnc/radmin и то поднимаемые по необходимости.
Там, вверху, Den прав. В этих случаях еще на рабочих станциях W2k/XP хорошей идеей будет задисейблить service - Server.
|
| | | | | | |
Но есть.. И кусают - не просто кусают. Было дело, у меня на... 17.07.04 20:00
Автор: ne_budu_pozority_tut_nik Статус: Незарегистрированный пользователь
Отредактировано 17.07.04 20:01 Количество правок: 1
|
Но есть.. И кусают - не просто кусают. Было дело, у меня на обновленную винду и файрволл , сервер удаленного доступа инсталлировали. 3 дня на машине работать не мог, пока не просканил экспандером свой комп на уязвимости и не нашел 10 уязвимостей по устаревшим прогам, установленных на компе.
После обновления всего софта - все заработало без проблем.
|
| | | | | | | |
Ну дык блин, обновляться тоже надо, а как же. 17.07.04 20:25
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
