Все говорят: работай из-под юзера на домашней тачке, а админу поставь 15-символьный пароль и ставь через него проги. А оно надо? Если дома я один работаю. WinXP.
Может ли кто-нибудь из глобальной сети подключиться ко мне на комп (создать у себя такую же рабочую группу) и проникнуть на комп, т.к. админ без пароля?
Re:17.07.04 17:46 Автор: Den <Денис Т.> Статус: The Elderman
Большое кол-во уязвимостей, которые могут быть использованы атакующим, выполняют код эксплойта под привилегиями текущего пользователя. Поэтому MS советует админам работать с привилегиями пользователей, а при необходимости запустить программу с правами администратора, использовать Run as...
Если NetBIOS включен, то может. Кроме того, в троянах может содержаться пассворд кракер.15.07.04 21:13 Автор: Ktirf <Æ Rusakov> Статус: Elderman
> Если машина в сети, обязательно длинный пароль. И > переименовать учётную запись администратора. > И файервол, конечно.
Думаю, что пароль не имеет большого значения. И файроволы с антивирусами тоже. Все идет к тому, что если имеется уязвимость или баг в скриптах или кодах программ, к которым есть доступ из интернета, то проникновение в систему - лишь дело времени.
На сегодняшний день - каждая третья как минимум программа имеет уязвимости.
имеет и очень большое17.07.04 18:43 Автор: Killer{R} <Dmitry> Статус: Elderman Отредактировано 17.07.04 18:45 Количество правок: 1
Дело в том что все винды семейства NT (в отличии от 9х) очень хорошо администрируються по сети. И если есть логин/пароль админа то расшарить чтонить на той машине, добавить юзера, поставить новый сервис, вырубить в конце концов комп ничем не сложнее чем на локальной. При этом никакими дырами пользоваться не надо.
при правильном механизме идентификации, где количество идентификаций ограничено - сложность паролей - таки не сильно вызывает тревогу17.07.04 19:24 Автор: ne_budu_pozority_tut_nik Статус: Незарегистрированный пользователь Отредактировано 17.07.04 19:28 Количество правок: 2
> Дело в том что все винды семейства NT (в отличии от 9х) > очень хорошо администрируються по сети. И если есть > логин/пароль админа то расшарить чтонить на той машине, > добавить юзера, поставить новый сервис, вырубить в конце > концов комп ничем не сложнее чем на локальной. При этом > никакими дырами пользоваться не надо.
Для локальных сетей, где скорость подбора высокая - даже очень большое значение. Как обьязательное условие - думаю нужно устанавливать в обьязательном порядке механизмы ограничения попыток идентификации.
Ксатати, при правильном механизме идентификации, где количество идентификаций ограничено - сложность паролей - таки не сильно вызывает тревогу. Именно уязвимости программ и сервера может быть причиной взлома.
Я просто больше в нете специализируюсь. Да и то, понимаю, что все скрипты - это как красные шапочки в лесу. И написанные мною скрипты так-же имеют уязвимости. Только вот в ограниченное количество времени не получается качественно их писать. Волк прийдет - все равно сьест.
1) В GPO W2k легко устанавливается число попыток...31.07.04 01:58 Автор: void <Grebnev Valery> Статус: Elderman
> Для локальных сетей, где скорость подбора высокая - даже > очень большое значение. Как обьязательное условие - думаю > нужно устанавливать в обьязательном порядке механизмы > ограничения попыток идентификации. > > Ксатати, при правильном механизме идентификации, где > количество идентификаций ограничено - сложность паролей - > таки не сильно вызывает тревогу. Именно уязвимости программ > и сервера может быть причиной взлома.
1) В GPO W2k легко устанавливается число попыток аутинтификации. После этого экаунт блокируется. Время блокировки тоже настраивается.
2) Есть логи, которые админ смотрит каждый день на серверах. Там всё написано.
Волков не так много (внутри много отвлеченных мыслей на тему).17.07.04 19:53 Автор: Ktirf <Æ Rusakov> Статус: Elderman Отредактировано 17.07.04 19:55 Количество правок: 1
В основном, извините за грубость, щенята за штанину ухватить норовят.
Не знаю, два года наблюдения за миром безопасности привели меня к мысли, что если соблюдать минимально необходимые меры безопасности: файрволл, браузер, почта, пароли (особенно использующиеся в Сети), то дальше навлечь на себя неприятности можно лишь нажив себе владеющего предметом врага в Сети.
Понятно, что на любой замок найдется отмычка, но должен быть смысл ее применять - работа-то подчас получается штучная, за это деньги немалые берут. А если с тебя нечего взять - на кой хрен тебя взламывать? Машину для рассылки спама заиметь - овчинка выделки не стоит, такие машины сотнями считаются, а риск, что тебя схватят за руку (раз конфигурация необычная, значит человек думает о безопасности) остается.
Но - в локалке (если это какая-нибудь домовая сеть особенно) удаленные логины надо, естественно, ограничивать. Это относится к минимальным мерам безопасности.
Вы правы. Но.... Мои опыт показывает, что только очень...31.07.04 02:02 Автор: void <Grebnev Valery> Статус: Elderman
> Не знаю, два года наблюдения за миром безопасности привели > меня к мысли, что если соблюдать минимально необходимые > меры безопасности: файрволл, браузер, почта, пароли > (особенно использующиеся в Сети), то дальше навлечь на себя > неприятности можно лишь нажив себе владеющего предметом > врага в Сети. Вы правы. Но.... Мои опыт показывает, что только очень небольшое число сеток есть, где всё это есть.
Исходя из своего опыта, позволю себе дать несколько советов. [updated]20.07.04 13:02 Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 20.07.04 13:30 Количество правок: 1
1. Отключение NetBIOS никакой практической пользы не принесет, так как всегда можно использовать ip адрес, например \\192.168.1.10\c$. Отключить NetBIOS можно для того, чтобы станция не светилась в сетевом окружении. После того, как Вы отключили NetBIOS over TCP/IP в свойствах протокола TCP/IP, можно отключить службу "TCP/IP NetBIOS Helper Service", чтобы память не занимала.
2. Если комп не используется для разделения файлов в сети, то можно отвязать "File and Printer Sharing for Microsoft Networks" от адаптера(ов) (Network and Dial-up Connections -> Advanced -> Advanced Settings...) и после этого можно даже отключить службу "Server" в сервисах.
Если комп все-таки используется для разделения файлов и др. ресурсов, то необходимо и обязательно использовать "Account Lockout Policy" и алфавитно-цифровые пароли длиной 8 и более символов. Данная мера сильно затруднит, а скорее сведет на нет подбор пароля по сети.
3. Firewall ставить обязательно (или использовать встроенный) и закрывать все порты как на вход, так и на выход, оставив только самые необходимые. Данная мера спасает непропатченную систему от вторжения злоумышленников или вирусов через дыры в защите сетевых служб, например таких как RPC.
4. Если вы используете RAdmin или pcAnywhere или любую другую программу для удаленного управления станцией, то старайтесь использовать именно аутентификацию операционной системы. Например в RAdmin'е для этого нужно поставить галочку на "Enable NT Securing" и в "Permissions" добавить соответствующих пользователей или группы. Так как Вы будете использовать политику блокировки учетных записей (п.2), то перебор пароля в RAdmin'е также будет невозможен.
5. Не забудьте отключить службу "Remote Registry Service"
6. Не допускайте работу людей, которым вы не доверяете, на станции с правами администратора, тем более, если станция - контроллер домена. Все дело в том, что под правами администратора, локально можно снять незашифрованные паролем хеш функции паролей пользователей рабочей станции или домена (в резервной копии восстановления хеш функции паролей дополнительно защищены паролем) и далее осуществлять подбор паролей, например на домашнем компе.
З.Ы. Даже после всех этих мер предосторожности систему патчить необходимо.
Ну, положим это лечится.. Установи в ноль31.07.04 02:20 Автор: void <Grebnev Valery> Статус: Elderman
> 1. Отключение NetBIOS никакой практической пользы не > принесет, так как всегда можно использовать ip адрес, > например \\192.168.1.10\c$. Отключить NetBIOS можно для > того, чтобы станция не светилась в сетевом окружении. После > того, как Вы отключили NetBIOS over TCP/IP в свойствах > протокола TCP/IP, можно отключить службу "TCP/IP NetBIOS > Helper Service", чтобы память не занимала.
Ну, положим это лечится.. Установи в ноль
Сервер -
HKLM\System\CurentControlSet\
Services\LanmanServer\
Parameters\AutoShareServer (REG_DWORD)
Рабочая станция -
HKLM\System\CurentControlSet\
Services\LanmanServer\
Parameters\AutoShareWks (REG_DWORD)
> 2. Если комп не используется для разделения файлов в сети, > то можно отвязать "File and Printer Sharing for Microsoft > Networks" от адаптера(ов) (Network and Dial-up Connections > -> Advanced -> Advanced Settings...) и после этого > можно даже отключить службу "Server" в сервисах.
Только для рабочек. Сервер-то должен жить в общем случае и отдавать расшаренные ресурсы. Если таковые необходимы, конечно.
> Если комп все-таки используется для разделения файлов и др. > ресурсов, то необходимо и обязательно использовать "Account > Lockout Policy" и алфавитно-цифровые пароли длиной 8 и > более символов. Данная мера сильно затруднит, а скорее > сведет на нет подбор пароля по сети.
Ну, да особенно, если админу в ЭвентВьювер заглядывать ;))
> > 3. Firewall ставить обязательно (или > использовать встроенный) и закрывать все порты как на вход, > так и на выход, оставив только самые необходимые. Данная > мера спасает непропатченную систему от вторжения > злоумышленников или вирусов через дыры в защите сетевых > служб, например таких как RPC. >
Стопудово. Добавлю только, что это надо белать не только для инет, но и в защищенных сегментах ЛАН.
> 4. Если вы используете RAdmin или pcAnywhere или любую > другую программу для удаленного управления станцией, то > старайтесь использовать именно аутентификацию операционной > системы. Например в RAdmin'е для этого нужно поставить > галочку на "Enable NT Securing" и в "Permissions" добавить > соответствующих пользователей или группы. Так как Вы будете > использовать политику блокировки учетных записей (п.2), то > перебор пароля в RAdmin'е также будет невозможен. >
Вряд ли это нужно, ибо средств Terminal Services обычно достаточно. Там и рулить надо. Зачем прикручивать Радмин. Лишняя дырка.
> 5. Не забудьте отключить службу "Remote Registry Service"
Не забудьте включить, когда сами будете под админом администрировать что либо.
Забавная связь - невозможностьлокальноадминить, например, RRAS, если на маршрутиризаторе W2k отключить ремоут регистри. M$ как всегда... в своем репертуаре.
> 6. Не допускайте работу людей, которым вы не доверяете, на > станции с правами администратора, тем более, если станция - > контроллер домена. Все дело в том, что под правами > администратора, локально можно снять незашифрованные > паролем хеш функции паролей пользователей рабочей станции > или домена (в резервной копии восстановления хеш функции > паролей дополнительно защищены паролем) и далее > осуществлять подбор паролей, например на домашнем компе.
Забавно, если кто-то "допускает" ;)))
В домашних сетях адекватной мерой является полное блокирование нетбиоса19.07.04 11:12 Автор: amirul <Serge> Статус: The Elderman
Тем более, что 135 и 445 уже проштрафились (не думаю, что в RPC не осталось дырок). Для обмена файлами можно пользоваться FTP, для удаленного администрирования - vnc/radmin и то поднимаемые по необходимости.
Там, вверху, Den прав. В этих случаях еще на рабочих...31.07.04 02:23 Автор: void <Grebnev Valery> Статус: Elderman
> Тем более, что 135 и 445 уже проштрафились (не думаю, что в > RPC не осталось дырок). Для обмена файлами можно > пользоваться FTP, для удаленного администрирования - > vnc/radmin и то поднимаемые по необходимости.
Там, вверху, Den прав. В этих случаях еще на рабочих станциях W2k/XP хорошей идеей будет задисейблить service - Server.
Но есть.. И кусают - не просто кусают. Было дело, у меня на...17.07.04 20:00 Автор: ne_budu_pozority_tut_nik Статус: Незарегистрированный пользователь Отредактировано 17.07.04 20:01 Количество правок: 1
Но есть.. И кусают - не просто кусают. Было дело, у меня на обновленную винду и файрволл , сервер удаленного доступа инсталлировали. 3 дня на машине работать не мог, пока не просканил экспандером свой комп на уязвимости и не нашел 10 уязвимостей по устаревшим прогам, установленных на компе.
После обновления всего софта - все заработало без проблем.
Ну дык блин, обновляться тоже надо, а как же.17.07.04 20:25 Автор: Ktirf <Æ Rusakov> Статус: Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
