Malware Zabezpieczenia: Robaczywe ataki / Posłaniec

[picasso]

Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione. Artykuł archiwalny, stworzony przeze mnie w latach 2004-2006.

 

Robaki sieciowe / ataki DoS / Spam Posłańca

Windows 2000/XP/2003

 

Opisy / instrukcje / narzędzia tu przedstawione nie aplikują się dla platform Windows Vista, Windows 7 i nowszych!

 

 

 

Porty - Opis i zagrożenia

Windows Worms Doors Cleaner

Seconfig XP

Prawidłowe instalowanie Windows 2000/XP/2003

[picasso]

Porty - opis i zagrożenia

Objawy: Bardzo spowolniona sieć, trudności w ładowaniu stron www, a nawet całkowity zanik internetu. Możliwe okoliczności towarzyszące to: charakterystyczny błąd 60 sekund odliczania i wynikowo samoczynny reset komputera lub też błąd "Generic Host Process for Win32 Services", zaobserwowaliśmy też jako jeden ze znaków przebarwianie paska zadań na jakby "klasyczny". Błędy 60 sekund zostały rozpoczęte przez bardzo już archaiczne robaki Blaster - Sasser i obecnie mogą być generowane przez różne inne robaki i NIE TYLKO (też rootkity a nawet spyware) więc proszę się nie sugerować typem błędu. I uwaga: błąd 60 sec / Generic wcale nie znaczy iż komputer jest już zainfekowany, to może świadczyć tylko o ataku na komputer bez tworzenia plików robaków na dysku.

Firewall a całkowite zamykanie specyficznych portów

135, 137-139, 445, 1900, 5000

Osobna zapora softwarowa (typu: ZoneAlarm / Kerio / Outpost etc.) nie jest rozwiązaniem wystarczającym w tej materii, gdyż to czym się zajmuje firewall to nie całkowite zamykanie omawianych tu portów lecz jedynie blokowanie do nich dostępu poprzez filtrowanie ruchu sieciowego. To oznacza iż komponenty, które korzystają z tych portów, są nadal uruchomione. W takiej sytuacji firewall musi być cały czas aktywny by ochrona miała miejsce i jesteśmy od tego faktu uzależnieni (chwilowe wyłączenie zapory lub jej wyłożenie się na błędzie jest ekspozycją na zagrożenie). Ponadto zarówno komponenty Windows pracujące na tych portach jak i firewall startują wspólnie podczas uruchamiania komputera, a które z nich zainicjuje się pierwsze (czyli będzie mieć szansę na forsowanie własnych zadań) jest zagadką wynikającą z masy czynników konfiguracyjnych.

Poniżej przedstawiam skrócony opis kluczowych portów wraz z ręczną metodą ich zamykania, która polega na przekonfigurowaniu komponentów Windows. Jest to zagadnienie dla Waszej orientacji co się dzieje w systemie. Tych edycji nie trzeba wykonywać ręcznie - programy Windows Worms Doors Cleaner i Seconfig XP przeprowadzają to automatycznie. To wprowadzenie by zrozumieć dlaczego te porty są kluczowe i co te programy prowadzą w celu rozwiązania problemu. Zamknięcie tych portów nie wpływa na szybkość pobierania w programach P2P (eMule, torrent etc.) i proszę tego nie łączyć.


NetBIOS over TCP/IP - NetBIOS przez TCP/IP

137-139

Port 137 UDP - Usługa NetBIOS Name / nazw NetBIOS. Odpowiada za łączenie adresów IP z nazwami komputerów. Kojarzenie nazewnicze typowo odbywa się wg dwóch metod: serwer WINS (Windows Internet Name Service) lub plik LMHOSTS (nie mylić z plikiem HOSTS!). Duża część pakietów UDP blokowanych na firewallach nie ma związku z próbami ataku. Zagrożenie:
* Pobór przez atakującego informacji o układzie sieci
* Robaki sieciowe szukające otwartych zasobów Windows (cel = port 139TCP)

Port 138 UDP - Usługa NetBIOS Datagram. Komunikacja bezpołączeniowa w formie datagramów bez potwierdzenia ich dotarcia na miejsce, najczęściej wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył informacji o sieci Windows. Z tych właściwości korzysta usługa Computer Browser / Przeglądarka komputera, która buduje listę komputerów wyświetlaną w Otoczeniu sieciowym. Również usługa Messenger / Posłaniec. Zagrożenie:
* Atakujący/haker poprzez zafałszowanie pakietów może dodać swój komputer do sieci lokalnej co implikuje iż zostanie zniwelowa różnica zabezpieczeń występująca między komputerami internetowymi a lokalnymi.
* Spam usługi Messenger / Posłaniec.

Port 139 TCP - Usługa NetBIOS Session / sesji NetBIOS (SMB przez NetBIOS). Komunikacja połączeniowa w formie sesji. Odpowiada za właściwą wymianę danych i współdzielenie zasobów plików / drukarek w sieci lokalnej oraz za tworzenie tzw. null-session (mówiąc w skrócie logowanie użytkownika bez nazwy i bez żadnego hasła). Zagrożenie:
* Port będący celem ataków hackerskich, często skanowany w poszukiwaniu zasobów. Popularna metoda hackowania udostępnianie plików i drukarek to atak typu "brute force" / siłowy, polegający na łamaniu haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji.
* Jest to również port, z którego korzysta usługa Messenger / Posłaniec produkując bezpośredni spam w pop-upach.
* Jedna z dróg transportu robaków sieciowych

Skutki uboczne wyłączenia portów NetBIOS (włącznie z 445 = patrz dalej): Przestanie działać Otoczenie sieciowe i funkcja Udostępniania plików i drukarek w sieci oraz inne aspekty sieci Microsoft Networks (nie mylić sobie tego z www, e-mail i tego typu komunikacjami szaraków). W LAN prawdopodobnie NetBIOS jest niezbędny ale zależy to też od tego w jaki sposób LAN rozwiązano. Test bardzo prosty: jeśli po całkowitym zamknięciu portów 137-139 (włącznie z 445) i resecie komputera padnie całkowicie dostęp do internetu, NetBIOS jest wymagany.

Te trzy komunikacje NetBIOS stosunkowo łatwo wyłączyć (usługa Posłaniec = patrz dalej):

Panel sterowania >>> Połączenia sieciowe >>> prawy klik na dane połączenie >>> Właściwości >>> podświetlić Protokół TCP / IP >>> Właściwości >>> Zaawansowane >>> zakładka WINS >>> Wyłącz system NetBIOS przez TCP/IP:

SMB over TCP/IP - SMB przez TCP/IP

445

Port 445 służy do poszerzonej komunikacji protokołu SMB bezpośrednio przez TCP/IP, z pominięciem okrężnej drogi "NetBIOS przez TCP/IP". Jest to dodatkowa droga współdzielenia plików i drukarek sieciowych (patrz porty 137-139), w związku z tym port 445 jest często skanowany w poszukiwaniu otwartych zasobów sieciowych Windows. Zagrożenia:
* Port silnie atakowany przez hakerów, robaki i rozproszone botnety.
* Spam wysyłany przez usługę Messenger / Posłaniec.

Skutki uboczne zamknięcia portu 445: Uniemożliwione współdzielenie plików i drukarek w sieci o ile nastąpi równocześnie zamknięcie portów NetBIOS 137-139. Wynika to z faktu iż próba komunikacji odbywa się "równolegle" w celu zachowania kompatybilności portów (445 jest portem współdzielenia tylko na nowych Windows 2000 w górę). Jeśli jest włączone NetBIOS over TCP/IP, zawsze jest równoczesna próba nawiązania połączenia na porcie 139 oraz 445, a w zależności od szybszej odpowiedzi (lub jej braku) sesja właściwa odbywa się przez port 139 lub 445. Jeśli NetBIOS over TCP/IP jest wyłączone, nawiązywanie sesji jest forsowane tylko przez 445. Wniosek: zamknięcie portu 445 przy pozostawieniu otwartych 137-139 nie wpłynie na funkcjonowanie LAN.

Wyłączanie SMB przez TCP/IP (usługa Posłaniec = patrz dalej):

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

W okienku po prawej stronie klikasz prawym >>> Nowy >>> Wartość DWORD >>> jako nazwę wprowadź SmbDeviceEnabled. Kliknij podwójnie na nowo utworzoną wartość SmbDeviceEnabled i wpisz liczbę 0.

RPC over TCP/IP

135

Jest to port usługi DCOM / RPC Endpoint Mapper. W sposób współdzielony korzystają z niego takie usługi jak Distributed Transaction Coordinator (MSDTC), Task Scheduler (Harmonogram zadań) a także Messenger (Posłaniec). Zamknięcie portu zalecane dla standardowych komputerów domowych. W środowisku Microsoft Networks problematyczne gdyż RPC jest tam szeroko wykorzystywane, głównie w celach administracyjnych. Zagrożenie:
* Spam wysyłany przez usługę Messenger / Posłaniec. Jak wspomniane wcześniej Posłaniec korzysta z portów NetBIOS (137-139) ale mimo ich zamknięcia nie ma 100% ochrony przed spamem gdyż polecenie net send w przypadku "zatkania" tych portów obiera drogę alternatywną właśnie przez port 135.
* Port silnie wykorzystywany przez robaki sieciowe i ataki hackerskie.

Skutki uboczne zamknięcia portu 135: Zamykanie portu 135 odbywa się stopniowo poprzez wyłączanie kolejnych składników korzystających z tegoż portu. Wyłączenie samego DCOM nie niesie negatywnych efektów na standardowym komputerze. Ale inaczej sprawa się ma z Harmonogramem zadań. Po całkowitym zamknięciu portu 135 usługa Harmonogramu nie startuje (dotyczy Windows XP i 2003, Windows 2000 nie ma takich problemów). Harmonogram jest potrzebny na XP do działania wbudowanej funkcji Prefetch (szczegóły: KLIK) oraz innych planowanych zadań.

Wyłączanie DCOM / RPC Mapper (usługa Posłaniec = patrz dalej):

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

W okienku po prawej stronie kliknij dwukrotnie w EnableDCOM i wpisz literkę N.




HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

W okienku po prawej stronie kliknij dwukrotnie w DCOM Protocols i z okienka usuń ncacn_ip_tcp.




Odpowiednikiem tych dwóch edycji rejestru jest następująca operacja via:

Start >>> Uruchom >>> dcomcnfg.exe >>> Usługi składowe >>> Komputery >>> z prawokliku na Mój komputer wybierz Właściwości >>> w zakładce Właściwości domyślne usuń ptaszek z opcji Włącz model obiektów rozproszonych COM na tym komputerze a w zakładce Domyślne protokoły podświetl tam widniejący i Usuń.


 

Usługa Messenger / Posłaniec

135, 137-139, 445

Messenger (w polskim Windows: Posłaniec) to sieciowa usługa przesyłająca pomiędzy klientami a serwerami komunikaty net send, służące typowo administratorom sieci do informowania użytkowników o różnych zdarzeniach (np. o resecie serwera etc.). Komunikacja Messengera korzysta z wszystkich wyżej wymienionych portów: 135,137,138 UDP oraz 135,139,445 TCP. Od razu uściślenie: w angielskiej wersji językowej usługa ta nosi nazwę Messenger i to jest co innego niż komunikator Messenger wbudowany w system! Omawiana tu usługa pracuje na pliku C:\WINDOWS\system32\services.exe a komunikator jest zainstalowany w C:\Program Files\Messenger\msmsgs.exe i ma inną ikonkę. Proszę tych dwóch rzeczy nie mylić! Na Windows XP SP2 i 2003 usługa ta jest domyślnie wyłączona i nie stanowi problemu ... o ile nie nastąpiło szkodliwe przekonfigurowanie domyślnych ustawień. Zagrożenie:
* Droga roznoszenia wirusów / robaków sieciowych
* Produkcja spamu w postaci bezpośrednio wyskakujących pop-upów:

Start >>> Uruchom >>> services.msc

Na liście dwuklik na usługę Messenger / Posłaniec, wybrać opcję Zatrzymaj a Typ startowy ustawić Wyłączona. Finałowo macie otrzymać:

Usługa Universal Plug and Play (UPnP)

1900, 5000

Universal Plug and play w istocie grupuje dwie składowe usługi: Usługa Odnajdywania SSDP (operuje na porcie 1900 UDP) + Host Uniwersalnego urządzenia Plug and Play (operuje na portach: 2869, 5000 TCP). Zagrożenie:
* Poważna luka zabezpieczeń umożliwiająca przejęcie kontroli nad komputerem

Start >>> Uruchom >>> services.msc

Na liście po kolei dwuklik na SSDP Discovery Service / Usługa odnajdywania SSDP oraz Universal Plug and Play Device Host / Host Uniwersalnego urządzenia plug and play, wybrać opcję Zatrzymaj a Typ startowy ustawić Wyłączona. Finałowo macie otrzymać:

[picasso]

Automatyczne zamykanie portów

 

 

 

Windows Worms Doors Cleaner

 

Platforma: Windows 2000/XP/2003

Licencja: freeware

 

Strona domowa firewallleaktester.com od dawna martwa, toteż zastępczy link:

 

Pobieranie z Softpedia

 

 

WWDC to aplikacja do zamykania kluczowych wyżej opisanych portów. Przeprowadza wszystkie akcje blokerskie bez użycia dodatkowych procesów - tylko i wyłącznie edycje rejestru (opisane we wstępie). Prócz faktu sprawdzania czy rzeczywiście dana usługa jest w rejestrze wyłączona, przeprowadza dynamiczną detekcję czy usługa nadal pracuje w tle (z wyjątkiem DCOM). O co chodzi: w rejestrze może zostać wyłączona ale jeśli komputer nie był resetowany proces usługi może być nadal aktywny. Konfiguracja programu i zamykanie portów są bardzo proste:

 

 

PODSTAWOWA OBSŁUGA PROGRAMU:

 

 

 

 

Port otwarty

 

Port zamknięty

 

Port zostanie zamknięty po resecie

 

Każdy czerwony znaczek należy zamienić na zielony przez buttonik "Disable ..." i dla wprowadzenia zmian zresetować komputer. Od góry do dołu zielono równa się wzorowe zabezpieczenie. Poniżej opis kilku szczegółów towarzyszących zamykaniu określonych portów i wytłumaczenie zawiłej historii żółtych, które nie zawsze oznaczają dosłownie "zamykanie po kolejnym resecie komputera".

 

 

DCOM RPC

 

 

Tutaj należy spojrzeć na wstęp tematu i opis portu 135. Było tam wzmiankowane iż z tego portu korzysta usługa Harmonogramu zadań. WWDC uzwględnia ten aspekt i podczas próby zamknięcia portu zadaje pytanie czy deaktywować tylko DCOM czy całkowicie zamknąć port:

 

 

Wybranie odpowiedzi Yes całkowicie zamknie port, wybranie No zaadresuje tylko wyłączenie samego DCOM. Po wybraniu stosownej opcji otrzymacie zawiadomienie o ustawieniu blokady z prośbą o zresetowanie komputera w celu wdrożenia zmian. Po resecie komputera jeszcze jedna szansa. WWDC poinformuje iż DCOM jest zdeaktywowane ale port 135 ciągle otwarty i zaproponuje kolejne wybieranie opcji:

 

 

Wybranie Yes "domknie" port zaś wybranie No pozostawi sytuację bez zmian (tylko DCOM wyłączone). Na koniec zawiadomienie o pomyślnym ustawieniu i ponowna prośba o reset.

 

 

 

NetBIOS

 

 

Ponownie rzut okiem na wstęp tematu i opis portów 137-139. WWDC przewiduje dwa scenariusze. Podczas blokowania portu zada pytanie czy wprowadzić domyślne ustawienie "NetBIOS na życzenie" czy też całkowicie go wyłączyć:

 

 

Wybranie odpowiedzi No oznacza całkowite wyłączenie NetBIOS = ta odpowiedź skutkuje NetBIOSem zaznaczonym na zielono. Wybranie odpowiedzi Yes spowoduje przestawienie typu startowego usługi NetBIOS na Ręczny czyli NetBIOS nie startuje automatycznie ale uruchomi się w razie potrzeby = ta odpowiedź skutkuje NetBIOSem zaznaczonym na żółto:

 

 

Żółty jest traktowany jako poprawny i wg "terminologii" akcji WWDC oznajmia iż port jest "zamknięty" (a przynajmniej zabezpieczony). Nie jest to do końca prawda gdyż takie ustawienie zostawia tylną furtkę = NetBIOS może się w każdej chwili uruchomić (co zresztą zwykle czyni zaraz pod podłączeniu sieci). Jest to ustawienie asekuracyjne na wypadek gdyby połączenie sieciowe potrzebowało NetBIOS do swojego funkcjonowania. Odpowiedź Yes należy wybrać wtedy jeśli wybranie odpowiedzi No skutkuje brakiem dostępu do internetu.

 

 

UPnP / Messenger

 

 

Wszystko wytłumaczone wielokrotnie i nie ma co gdybać tylko porty Universal Plug and Play i Posłańca zamykać. Nie powinno być z tym trudności ale w ramach wyjątku może się okazać że stoją przy nich żółte znaczniki i nie chcą się zamienić na zielone mimo resetu komputera. Wtedy należy skorzystaj z ręcznej metody zamykania opisanej wcześniej. Specjalnym przypadkiem może być błąd:

 

 

"Value in registry can't be opened"

 

 

Program przy uruchamianiu może poczęstować takim błędem a w zależności z czym ma trudność treść błędu będzie odmienna:

 

Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\upnphost\)

Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\Messenger\)

Value in registry can't be opened (SOFTWARE\Microsoft\Ole\)

Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\NetBT\)

 

Ten błąd może mieć następujące wytłumaczenia: WWDC nie ma dostępu / uprawnień do klucza rejestru lub klucz rejestru nie istnieje. W pierwszym przypadku należy skorzystać z instrukcji wstępu tego tematu i ręcznie dokonać blokad. W drugim przypadku przeważnie będzie chodzić o ten fakt:

 

UWAGA: Błąd "Value in registry can't be opened ..." występuje na specjalnych modyfikowanych wersjach Windows (tworzonych ręcznie przez nLite z opcją usuwania komponentów lub gotowychspreparowanych przez kogoś) i jest to w tym przypadku naturalne. Te Windows mają z natury wycięte usługi UPnP i Posłaniec stąd WWDC nie może otworzyć ich kluczy (heh skoro ich nie ma) i wprowadza w błąd żółtym znaczkiem. A nic nie trzeba korygować.

 

 

Komunikat WWDC:

 

 

Komunikat tego "błędu" to zawiadomienie iż jest wielce prawdopodobna infekcja gdyż zarezerwowana pamięć dla SVCHOST przekroczyła dopuszczalne limity i wygląda iż w pamięci czai się szkodnik. Zalecany skan. Tej ewentualności nie można wykluczyć. Z drugiej strony detekcja tylko po rozmiarze pamięci jest ułomna i nie może być wyznacznikiem obcego szkodliwego ciała w memory, bo może tam siedzieć .... sterownik a nie wir (ostatnio napuchnięty svchost.exe jest modnym objawem działania Automatycznych aktualizacji). Poza tym sam WWDC miał kiedyś detekcję svchost RAM usage check, którą .... usunięto (zgadnij dlaczego ) a limit dla svchost virtual memory usage check zwiększono (znów zgadnij dlaczego ). Wniosek: to tylko przypuszczenia programu a nie pewność czy fakt! WWDC można uruchomić bez tego sprawdzania pamięci = patrz poniżej na parametr -nowormscheck.

 

 

 

ZAAWANSOWANA OBSŁUGA PROGRAMU:

 

Windows Worms Doors Cleaner może być również obsługiwany z linii komend pozwalając dokonać tych samych akcji co wyżej (sprawdzić stan usług oraz je wyłączać / włączać) plus akcję extra (wyłączenie tego denerwującego sprawdzania pamięci sygnalizującego infekcję na podstawie zbyt dużego rozmiaru svchost). Przydatne dla:

- Dla zwykłego domowego użytkownika, który chciałby regularnie sprawdzać status usług, czy nie uległy ponownemu włączeniu po jakiejś aktualizacji.

- Administratorów sieciowych wykorzystujących skrypty trybu batch uruchamiane jako zaplanowane zadanie w celu hurtowego wyłączenia wybranych usług w całej sieci.

 

Dostępne parametry

 

Wyłączanie / włączanie usług:

 

-dcom:enable/disable

-locator:enable/disable

-netbios:enable/disable/manual

-upnp:disable/enable

-messenger:disable/enable

 

Opcje startowe WWDC:

 

-startup:dcom,locator,netbios,messenger,upnp

-nowormscheck

 

Zatwierdzanie resetu:

 

-reboot:yes/no

 

 

\Przykłady tworzenia skrótów:

 

Tworzymy skrót do programu WWDC w dowolnym miejscu np. na Pulpicie lub w menu Autostart (zależy co chcemy uzyskać). Następnie z prawokliku na skrót wybieramy jego Properties / Właściwości i w Target / Element docelowy umieszczamy po ścieżce dostępu -parametr (tak, z minusem przed). Poglądowe przykłady:

 

1. Wyłączenie sprawdzania pamięci svchost na starcie przez parametr:

 

 

Parametr -nowormscheck ma być wpisany po zamknięciu cudzysłowiem a nie przed a spacja ma być w tym miejscu:

 

"...........\wwdc.exe"[spacja]-nowormscheck

 

2. Sprawdzanie na starcie statusu usług Posłaniec i Universal Plug and Play przez parametr:

 

 

"...........\wwdc.exe"[spacja]-startup:messenger,upnp

 

 

.

[picasso]

Automatyczne zamykanie portów

Seconfig XP

Platforma: Windows 2000/XP/2003
Licencja: freeware

Strona domowa

Kolejne darmowe znalezisko. Adresuje o wiele więcej luk zabezpieczeń niż Windows Woorms Doors Cleaner! Ochronę wprowadza via edycja rejestru po prostu konfigurując komponenty Windows w ich własnych ustawieniach (brak obciążenia komputera dodatkowym procesem / sterownikiem etc.). Program:

* Zamyka specyficzne porty (podobnie jak WWDC): 135, 137-139, 445, 1025 (Udostępnianie plików i drukarek w sieci, domeny Windows i inne aspekty dostępu do sieci Microsoft Networks), 1900, 5000 (UPnP) a także wybrany zakres portów.
* Wyłącza specyficzne usługi.
* Nakłada ochronę przed atakami ARP spoofing
* Konfiguruje wiele ukrytych ustawień TCP/IP mających znaczenie pod kątem zabezpieczeń





Ma wbudowane trzy predefiniowane układy opcji: dla domowego komputera (For Home), dla członków Microsoft Networks (For MN), dla komputera z klientem VPN łączącym się z Microsoft Networks / lub jakimkolwiek innym w typie bezpiecznego połączenia (For VPN).

Restrict Microsoft Networks

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: wszystko odznaczone



Disable NetBIOS over TCP/IP (all adapters)

137-139

Zamknięcie portów 137-139 dla wszystkich aktualnie zamontowanych interfejsów sieciowych. Bardzo podobne do użycia opcji "Wyłącz system NetBIOS przez TCP/IP" w zakładce WINS dla wszystkich adapterów sieciowych. Ale w przeciwieństwie do ręcznej korekty dotyka również i ukrytych adapterów. Odpowiednik opcji w Windows Worms Doors Cleaner. Szczegóły portów 137-139 opisane we wstępie tematu.


Disable SMB over TCP/IP

445

Zamknięcie portu 445. Odpowiednik opcji w Windows Worms Doors Cleaner. Szczegóły portu 445 opisane we wstępie tematu.


Disable RPC over TCP/IP

135

Zamknięcie portu 135. Odpowiednik opcji w Windows Worms Doors Cleaner. Szczegóły portu 135 opisane we wstępie tematu.


NetBIOS Scope ID

Jest to alternatywna metoda ochrony komunikacji "NetBIOS over TCP/IP" polegająca nie na całkowitym blokowaniu NetBIOS ale wymogu posiadania przez dwa łączące się komputery tej samej wartości Scope ID (identyfikator zakresu). Dla komputera domowego i VPN program generuje losowy identyfikator. Uwaga: Ustawienie Scope ID nie ma bezpośredniego wpływu na ochronę komunikacji SMB over TCP/IP. Scope zwykle jest rozgłaszane w sieci i w prosty sposób czytelne dla dowolnego użytkownika. Edycja wg Microsoftu (ScopeId):

Materiał referencyjny:

KB314053: Parametry konfiguracji TCP/IP i NBT dla systemu Windows XP
KB244438: HOW TO: Enable NetBIOS Scope IDs in Windows 2000
Technet: NetBIOS Scope ID

Services Settings

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: zaznaczony tylko Posłaniec



Disable Remote Registry service

Wyłącza usługę Rejestr zdalny.

Disable Messenger service

Wyłącza usługę Messenger / Posłaniec.

Disable SSDP Discovery Service service

Wyłącza Usługę odnajdywania SSDP (składnik główny zespołu Universal Plug and play).

Do not start IPSEC Services service automatically

Zmienia typ startowy Usług IPSEC na Ręczny.


Opis Posłańca i UPnP jest umieszczony we wstępie tego tematu. Ogólnie o tych wszystkich usługach jest odrębne opracowanie:

Tutorial powiązany:

Optymalizacja usług w Windows XP

TCP / IP Settings

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: wszystko zaznaczone

Sugerowane ustawienie: wszystko zaznaczone



Drop all incoming IP source routed packets

Opcja umożliwia wyłączenie routingu źródła IP. Routing źródła IP* jest często wykorzystywany do fałszowania / spoofingu adresu IP i prowadzenia ataku. W większości przypadków niekonieczny do podstawowego działania sieci i wyłączenie jest dobrym krokiem zabezpieczającym. Edycja wg Microsoftu (DisableIPSourceRouting):

Materiał referencyjny:

Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP
MS06-032: Luka w zabezpieczeniach protokołu TCP/IP umożliwia zdalne wykonywanie kodu

Disable automatic detection of "dead" gateways

Opcja zapobiegająca przełączeniu na zapasową bramę w przypadku połączeń doświadczających trudności. Taka możliwość przełączania bram może być wykorzystana w celu przekierowania ruchu sieciowego przez maszynę atakującego. Uwaga: Na systemach z układem wielu domyślnych bram opcja ta może uniemożliwić skorzystanie z zapasowej. Edycja wg Microsoftu (EnableDeadGWDetect):

Materiał referencyjny:

Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP
KB314053: Parametry konfiguracji TCP/IP i NBT dla systemu Windows XP
KB324270: How to harden the TCP/IP stack against denial of service attacks in Windows Server 2003

Disable IRDP (all interfaces)

Opcja umożliwiająca wyłączenie IRDP (Internet Router Discovery Protocol) we wszystkich interfejsach. IRDP jest wykorzystywane do detekcji i konfiguracji adresu domyślnej bramy (to nie jest DHCP!). Jako skutek uboczny IRDP może pozwolić na przekierowanie ruchu sieciowego przez maszynę atakującego. W większości przypadków wyłączenie IRDP jest dobrym krokiem zabezpieczającym. Edycja wg Microsoftu (PerformRouterDiscovery):

Materiał referencyjny:

Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP
KB269734: Router Discovery Protocol Is Disabled by Default

Disable ICMP redirect

Opcja umożliwiająca ignorowanie wiadomości "ICMP Redirect". Przy pomocy pakietów "ICMP Redirect" agresor może zmienić trasę routowania w taki sposób, żeby pakiety przechodziły przez maszynę atakującą. Niebezpieczeństwo podsłuchu, zwłaszcza ze względu na nieszyfrowany przesył danych. W większości przypadków wyłączenie IRDP jest dobrym krokiem zabezpieczającym. Uwaga: Ta opcja może powodować problemy z usługą Routing and Remote Access / Routing i dostęp zdalny skonfigurowaną jako ASBR. Edycja wg Microsoftu (EnableICMPRedirect):

Materiał referencyjny:

Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP

Enable strict ARP table update

Co to jest ARP i zatruwanie tablicy ARP opisane w Wiki. Omawiana tu opcja instruuje Windows by aktualizowanie wejść tablicy ARP odbywało się tylko w przypadku przekroczenia przez nich czasu (i w ten sposób ignorowanie większości niezamawianych pakietów ARP). Dobry krok zabezpieczający. Uwaga: Ustawienie tej opcji wpływa na problemy komunikacyjne jeśli urządzenia posługują się dynamicznym adresem MAC. Edycja dostępna tylko na nowych Windows: 2000 SP4 + Update Rollup 1, XP SP2, 2003 SP1. Edycja wg Microsoftu (StrictARPUpdate):

Materiał referencyjny:

Technet: Appendix A: TCP/IP Configuration Parameters

Accept responses only from queried DNS servers

Opcja powodująca ignorowanie odpowiedzi DNS z nie zapytanych serwerów. Domyślnie są akceptowane takie odpowiedzi co tworzy niebezpieczeństwo dla zatruwanie bufora cache DNS: Wiki. Edycja wg Microsoftu (QueryIPMatching):

Materiał referencyjny:

Technet: Configuring IP Addressing and Name Resolution
Adjust Windows XP DNS Cache Settings
Cert: Microsoft Windows domain name resolver service accepts responses from non-queried DNS servers by default

Disable ports 1025 to N

Porty zwane efemerycznymi to porty dynamicznie przypisywane do aplikacji bez wyszczególniania konkretnego portu. Domyślnie ten zakres portów rozpoczyna się od portu 1025 (a kończy na porcie 5000). Omawiana tu opcja umożliwia zmianę portu startowego dla zakresu portów efemerycznych poprzez wyłączenie (zarezerwowanie) przedziału od 1025 do N (nie ustawiać na za wysoką liczbę), co spowoduje ustawienie portu startowego na N+1. Mówiąc prosto: porty te będą "zgadywane" losowo powyżej liczby N. W większości przypadków jest to dobre zabezpieczenie. Uwaga: Opcja generująca problem na Windows 2000 z usługą Routing and Remote Access / Routing i dostęp zdalny skonfigurowaną jako bramka NAT (szczegóły hotfixa poniżej). Edycja wg Microsoftu (ReservedPorts):

Materiał referencyjny:

KB812873: How to reserve a range of ephemeral ports on a computer that is running Windows Server 2003 or Windows 2000 Server
KB815295: Only two clients can create a TCP connection after you install SQL Server 2000 SP2 or SP3

Z punktu widzenia przeciętnego użytkownika: po to są właśnie domyślne układy zaznaczania opcji by zabezpieczyć komputer bez szczególnej znajomości zagadnienia. Pierwsza część czyli "Restrict Microsoft Networks" a także "Services settings" to prawie jak Windows Worms Doors Cleaner i to już jest przybliżone szczegółowo. Zaś parametry TCP/IP z musu są opisane w jak największym skrócie by nie mieszać w głowach zbyt wybornym esejem, który miałby conajmniej 10 stron. To już ustawienia zaawansowane.



Po ręcznym zaznaczeniu wybranych opcji (lub po kliku w któryś z układów proponowanych), należy zatwierdzić wykonanie akcji przez buttonik Apply:



Otrzymacie zgłoszenie wymaganego resetu komputera co należy potwierdzić (w przeciwnym wypadku żadne zmiany nie są dokonywane). Do pierwotnych ustawień przed użyciem seconfig zawsze można wrócić przez buttonik Restore:



Bieżący stan zabezpieczeń komputera podglądamy przez buttonik Status:



W oknie będzie podsumowanie stanu portów NetBIOS / SMB / RPC a także lista aktualnie otwartych portów TCP i UDP:



Closed (Secure) = porty zamknięte
Open (Insecure) = porty otwarte


.

[picasso]

Prawidłowe instalowanie Windows 2000/XP/2003


Bardzo ważną rzeczą jest świadomość w jaki sposób należy formatować / instalować / przeinstalowywać ten typ Windows, by nie ulec robaczywej infekcji już w trakcie montowania systemu (!). Niestety Windows w chwili gdy jest instalowany, a istnieje aktywne połączenie sieciowe, nie jest zupełnie zabezpieczony i bez przeszkód atakują go robaki sieciowe. W efekcie dostajemy: świeżo zainstalowany system plus robaki .... co wielu użytkownikom wydaje się teoretycznie niemożliwe ("przecież robiłem format" ). Tym specjalnym krokiem zabezpieczającym jest wykonywanie instalacji Windows przy całkowicie odciętym połączeniu sieciowym (= to znaczy wyciągnięte KABLE), którego nie można zaktywować dopóki zainstalowany Windows nie zostanie zabezpieczony. Operacja rozkłada się na następujące kroki:


1. Odłączyć sieć (modem / kabelki ...).

2. Format + instalacja lub reinstalacja XP .... metoda nie ma tu żadnego znaczenia.

3. Zamknięcie portów za pomocą opisanego wyżej Windows Worms Doors Cleaner lub Seconfig XP.

4. Uaktywnienie firewalla: albo tego wbudowanego do XP albo montaż dodatkowego.

5. I dopiero teraz można podłączyć sieć.

6. Kompletne zabezpieczające Windows Update.

Najistotniejszą sprawą jest zamknięcie portów przez Windows Worms Doors Cleaner i instalacja zapory przed podłączeniem sieci. Punkt numer 6 (czyli aktualizowanie Windows) można wykonać znacznie wcześniej bez dostępu do internetu przygotowując sobie zestaw zabezpieczeń komputera: Service Pack (o ile Wasza CD nie ma zintegrowanego) oraz opcjonalnie wszystkie łatki. Pełne wersje Service Packów (nie te ekspresowe z Windows Update) do pobrania stąd (przestawić na stosowny język):

Windows XP (SP3)
Sieciowy pakiet instalacyjny dodatku Service Pack 3

Windows 2003 (SP2)
Dodatek Service Pack 2 dla systemu Windows Server 2003

Windows 2000 (SP4)
Instalacja sieciowa dodatku Windows 2000 Service Pack 4



Jeśli CD Windows nie ma zintegrowanego Service Packa, to by sobie skrócić liczbę dodatkowych instalacji, można skorzystać z instrukcji integrowania SP na płytce CD.



.