Roman Merkushin 131 Опубликовано 15 июня, 2009 Share Опубликовано 15 июня, 2009 1) Отключение скрытых "шар" (ADMIN$, C$ и т.д.): HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters DWORD AutoShareWks 0 + поместить в автозагрузку bat или cmd файл со строкой net share ipc$ /delete 2) Запрет вывода списка "шар" и юзеров на вашей машине анонимным пользователям: HKLM\System\CurrentControlSet\Control\Lsa DWORD RestrictAnonymous 1 3) Полное отрубание netbios и SMB в форточках (самый радикальный способ избавиться от "ахиллесовой пяты" форточек): по пунктам: а) services.msc - службы "рабочая станция", "сервер", "модуль поддержки NetBIOS через TCP/IP", "обозреватель компьютеров" переводим в "отключено" б) сетевые подключения" - любое - общие - удалить "службу общего доступа к файлам и папкам..." и "клиента для сетей ms", от перезагрузки пока отказаться в) "сетевые подключения" - нужное - tcp/ip - свойства - дополнительно - WINS - убрать крыжик с "включить просмотр lmhosts" и поставить - "отключить netbios через tcp/ip" г) devmgmt.msc - вид - показать скрытые устройства; далее - драйверы устройств не plug and play - netbios через tcp/ip - свойства - драйвер - выбрать "отключено". д) перезагрузка е) после перезагрузки можно удалить из системы нетбиосовский драйвер ж) наслаждаемся результатом Цитата Ссылка на сообщение Поделиться на другие сайты
JIABP 222 Опубликовано 15 июня, 2009 Share Опубликовано 15 июня, 2009 выдал что атакующий компьютер не был заблокирован KIS пишет что НЕ БЫЛ заблокирован? Точно? Цитата Ссылка на сообщение Поделиться на другие сайты
slavbod 0 Опубликовано 16 июня, 2009 Share Опубликовано 16 июня, 2009 (изменено) еще пара вопросов: --- имеем 2 компа и принтер(ы), один подключен к интернету (А), второй не подключен (Б). У этого который подключен к интернету (А) - 2 сетевых карты? --- откуда расшарены папки - на А или на Б? --- где установлен KIS - на обоих, только на А или только на Б? 1.имеем 2 компа и принтер. компА подключен к тернету, компБ не подключен.у компА 2 сетевых карты. 2. папки с общим доступом: на компА диск D, на компБ диски С и D( они же подключены между собой как сетевые диски. может это лишне?) 3.KIS установлен на компА (ещё про это я писал сдесь) зараза (не постояноо ,но пару раз в неделю точно) лезет на компА. причем вирус один и тот же (только с разными именами папок) а с какого перепуга KIS должен закрывать доступ к папкам из сети провайдера, если человек так захотел сделать? я не хотел, так получилось а можно сделать, шоб они были доступны только из офисной? Изменено 16 июня, 2009 пользователем slavbod Цитата Ссылка на сообщение Поделиться на другие сайты
Roman Merkushin 131 Опубликовано 16 июня, 2009 Share Опубликовано 16 июня, 2009 на компБ диски С и D( они же подключены между собой как сетевые диски. может это лишне?) Честно говоря, не понял. Имеется 2 расшаренных ресурса на компьютере Б: C и D, верно? Что значит "подключены между собой"? Еще выполни вот эти рекоммендации: 1) Отключение скрытых "шар" (ADMIN$, C$ и т.д.): HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters DWORD AutoShareWks 0 + поместить в автозагрузку bat или cmd файл со строкой [b]net share ipc$ /delete[/b] 2) Запрет вывода списка "шар" и юзеров на вашей машине анонимным пользователям: HKLM\System\CurrentControlSet\Control\Lsa DWORD RestrictAnonymous 1 Это нисколько не нарушит работу SMB на твоих компьютерах, а "твики" полезные. а можно сделать, шоб они были доступны только из офисной? конечно, можно в настройках KISа можешь с легкостью это сделать Цитата Ссылка на сообщение Поделиться на другие сайты
slavbod 0 Опубликовано 16 июня, 2009 Share Опубликовано 16 июня, 2009 (изменено) Честно говоря, не понял. Имеется 2 расшаренных ресурса на компьютере Б: C и D, верно? Что значит "подключены между собой"? конечно, можно в настройках KISа можешь с легкостью это сделать кроме того что на них стоит общий доступ, я сделал на компА " подключить сетевые диски" и подключил с компБ оба диска(зачем не спрашивайте сам не знаю) а про настройки KISa можно ссылочку, где прочесть как сделать? + поместить в автозагрузку bat или cmd файл со строкой и это мне как ток пожалуста не надо меня посылать на компутерные курсы за глупые вопросы :) Изменено 16 июня, 2009 пользователем slavbod Цитата Ссылка на сообщение Поделиться на другие сайты
wielder 24 Опубликовано 16 июня, 2009 Share Опубликовано 16 июня, 2009 slavbod Вам нужно добавить офисную сеть в Доверенные сети, а к правилам Публичной сети (Интернет) добавить ещё одно, запрещающее входящие соединения на порт 445. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman Merkushin 131 Опубликовано 16 июня, 2009 Share Опубликовано 16 июня, 2009 (изменено) и это мне как скачай архив из вложения распакуй его файлы с расширением *reg (auto-share-wks.reg и restrrict-anonymous.reg) просто запусти на выполнение. Ответь согласием на запрос форточек о внесении изменений в реестр. файл с расширением *cmd помести в автозагрузку (обычно C:/Documents and Settings/твое-имя-пользователя/главное меню/программы/автозагрузка). перезагрузись ток пожалуста не надо меня посылать на компутерные курсы за глупые вопросы уговорил )) nohiddenshares.rar Изменено 16 июня, 2009 пользователем Roman Merkushin Цитата Ссылка на сообщение Поделиться на другие сайты
slavbod 0 Опубликовано 17 июня, 2009 Share Опубликовано 17 июня, 2009 спасибо. всЁ сделал. подождём результат... Цитата Ссылка на сообщение Поделиться на другие сайты
slavbod 0 Опубликовано 18 июня, 2009 Share Опубликовано 18 июня, 2009 не стал создавать новую тему, но думаю никто не обидется.. проблемы нет, но есть вопрос. при атаке KIS блокирует атакующий комп на ххх количество часов. этот период я установил на 9999мин(максимум). путём сложнейших математических вычислений я выяснил, что это более шести суток. но атаки повторяются с гораздо меньшей периодичностью(1-2 дня). отсюда вопрос :этот счетчик обнуляется при выключении машины?или я чего-то не понимаю Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июня, 2009 Share Опубликовано 19 июня, 2009 с подобными атаками лучше бороться не через следствия, а через их причины. как правило, атака проходит, когда ось имеет уязвимости из-за неустановленных заплаток. вот три из них, без которых комп с виндой (минимум SP3!, 2 и 1 эспаки даже не обсуждаются ) лучше не подключать к сети: 1. Заплатка - обновление MS08-067 для Microsoft Windows (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx) Защищает от различных модификаций вредоносной программы Kido (Net-Worm.Win32.Kido.ip, Net-Worm.Win32.Kido.iq и др.), которая способна противодействовать работе антивирусных программ, запущенных на зараженном компьютере. Kido использует критическую уязвимость операционной системы для распространения через локальные сети и съёмные носители информации. 2. Заплатка - обновление MS08-068 для Microsoft Windows (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx) This security update resolves a publicly disclosed vulnerability in Microsoft Server Message Block (SMB) Protocol. The vulnerability could allow remote code execution on affected systems. An attacker who successfully exploited this vulnerability could install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights. 3. Заплатка - обновление MS09-001 для Microsoft Windows (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx) This security update resolves two privately reported vulnerabilities and one publicly disclosed vulnerability in Microsoft Server Message Block (SMB) Protocol. The vulnerabilities could allow remote code execution on affected systems. An attacker who successfully exploited these vulnerabilities could install programs; view, change, or delete data; or create new accounts with full user rights. Firewall best practices and standard default firewall configurations can help protect networks from attacks that originate outside the enterprise perimeter. Best practices recommend that systems that are connected to the Internet have a minimal number of ports exposed. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.