OFRadio 0x0c (beta)

Под успокаивающию Callas Went Away, два потрепанных молодых человека, сидя в позах лотоса, мерно предавались медитации в кромешной темноте... т.е. без доступа в интернет.

> Димон, может махнем в аквапарк?
Nikodim> Aгa, на метро!
Ты нихера не понимаешь, там везде засады.
Но я им ща всем покажу, как дрыном по головам махать надо, все готов, пошел...
> Димооон, погодь меня, я с тобой, ща... воооо готов, пошли=).

Бежим голопом по квартире.

> О, свет дали! Тьфу, инет починили, но похоже это ненадолго. ДимОоон, погодь.
Хау, наш многоликий, но пока не столько обширный all=)) У нас были тут некоторые проблемы, но мы опять с вами.
И так зима кончилась, уже, почти, тепло, девченки раздеваются.;))
Но начнем с начала, в начале были динозавры и нихера не было, skip, skip, skip... (и так в течении трех часов - Nikodim)... и вот первого января сего года была удачно произведена крупномаштабная диверсия... как мы тогда нахера..., кхм... проводили разведку боем в общем=) Но все хорошее заканчивается, хотя вот у Димона, например, до сих пор Дед Мороз с елкой живут=))

Но все хорошее заканчивается и вот уже март наступил, но вернемся к нашим баранам, вернее...

В метре рванул взрыв пакет, нас осыпало землей. С запада на нас двигалась лавина огромных жутких тварей...

N> Сволочи, ну я им ща покажу!!

Крикнул Nikodim на бегу, размахивая ломом над головой. С жутким треском он вломился в толпу мостров, среди них были как вполне безобидные широковещательные пинги, так и злобные, нефрагментированные пакеты хацкеров.

> Пока, Димон с перемнным успехом бъется на бесконечной войне, я все-таки расскажу, как настроить свой винтукей=)), да и в принципе для ХРени это все тоже годится;)

И так, базой всего успеха будет регулярная установка последних Services Pack и HotFix, как это не странно=)) Далее как это не тривиально переименовываем учетную запись Администратор, на что-нибудь другое, например, Гость8)), а Гость соответственно в Администратор;))

Лезем в Настройки\Администрирование\Локальные параметры безопасности\Локальные политики, там выбираем Политика аудита. Настраиваем следующие параметры: Аудит входа в систему (Успех, Отказ) и Аудит изменения политики (Успех, Отказ). Настройка аудита позволит вычислить попытки входа в систему по учетной записи Администратор (она же Гость). Что ни говори, а логи для админа это, как плева для девствинницы=)), а чем мы не админы?;)

Теперь политика блокировки учетной записи(тут можете поставить на свое усмотрение=), я написал, как настроено у меня): Блокировка учетной записи на (30 минут), Пороговое значение блокировки (2)) и Сброс счетчика блокировки через" (30 минут), очень помогает от несознательных личностей братьев-сестер, которые приходят ко мне в гости... и начинают сами включать мой комп. %8{=} Тыкаем Назначение прав пользователя:
Восстановление файлов и каталогов и Архивирование файлов и каталогов (там должна присутствовать, только группа Администраторы.), Доступ к компьютеру из сети (удаляй всех на фиг, у тебя же машина не сервер какой-нибудь =)), Отказ в доступе к компьютеру из сети (смело добавляй группу Администраторы и Гостей, это позволит избежать потом многих проблем=), да же если у вас все-таки хакнут учтенную запись с правами Администратора, никто не сможет получить доступ к твоему компьютеру удалено, то есть этому уроду нужно будет иметь физически доступ к Клаве и мыши твоего компа. =))

После того как мы разобрались с правами юзеров, займемся самой безопасностью. Лезь там же в раздел Параметры безопасности и настраивай следующие параметры: Автоматически отключать сеансы пользователей по истечении разрешенного времени (ставь Включить), Длительность простоя перед отключением сеанса (скажем так я у себя на компе ставлю 10 минут), Дополнительные ограничения для анонимных подключений (устанавливаем в значение "Нет доступа, без явного разрешения анонимного доступа"), Использовать цифровую подпись со стороны клиента (Всегда) (Включить), Использовать цифровую подпись со стороны клиента (по возможности) (Включить), Использовать цифровую подпись со стороны сервера (Всегда) (Включить), Использовать цифровую подпись со стороны сервера (по возможности) (Включить), Не отображать последнего имени пользователя в диалоге входа (Включить), Отключить CTRL+ALT+DEL запрос на вход в систему (Отключено), Разрешить доступ к дисководам компакт-дисков только локальным пользователям" (включить), "Разрешить доступ к НГМД только локальным пользователям (Включить), Уровень проверки подлинности LAN Manager (Посылать ответ только NTLMv2, отказывать LM и NTLM).

После того как мы покончили с политиками системы безопасности перейдем к нашим сервисам =) Включай утилиту Администрирование\Службы. И вырубай на фиг следующие службы: Диспетчер сетевого DDE, Планировщик заданий, Служба индексирования, Служба поддержки NETBIOS поверх TCP/IP (данная служба отвечает за работу NETBIOS, а как ты сам знаешь что в Windows слабые порты 135 и 139 ;)). Вот как раз на этих портах то и пашет NETBIOS. В принципе тут есть один минус ты не сможешь не кого видеть в сетевом окружении и тебя не кто не сможет видеть тоже. Так что решай сам =) Я вот к примеру ее отрубаю по тому что она мне на фиг не нужна) и наконец последняя служба это Служба сетевого DDE.

Разберемся и с компонентами системы: если у тебя стоит IIS, то немедленно удаляй его (т.к. это гимор на твою голову 8)), объяснять не буду почему, ты и сам должен понимать читая про IIS только одни баги =). Удали ты и службу индексирования (я больше чем уверен, что ты ее вообще не используешь и не будешь, как и я =)). Пол дела у нас уже сделано, теперь лезем в меню Пуск->Выполнить и набираем там cmd. Дальше даешь там команду "net config server /hidden:yes" - это так, мера предосторожности. =)

Про NTFS я вроде уже как недавно упоминал;) Но что не говори, а некоторорые фици предоставляемые ею все же очень полезны, как, например, квотирование и назначение прав пользователям=))
Пуск\Выполнить\cmd в CMD вбиваешь:
convert твой_диск_где_установлена_система: /FS:NTFS /V
Да, если это основной диск (тот, на котором папка /winnt), то конверт будет после перезагрузки=)

Каталог или файл

Разрешения

\WINNT

Администраторы: Полный доступ

Создатель-Владелец: Полный доступ

Система: Полный доступ

Все: Чтение

\WINNT\Repair

Администратор: Полный доступ (остальные группы удали)

\WINNT\SYSTEM32\CONFIG

Администраторы: Полный доступ

Создатель-Владелец: Полный доступ

Система: Полный доступ

Все: просмотр

WINNT\SYSTEM32\SPOOL

Администраторы: Полный доступ

Создатель-Владелец: Полный доступ

Система: Полный доступ 

WINNT\COOKIES, WINNT\FORMS, WINNT\History,

WINNT\occache,

WINNT\SendTo,

WINNT\Temporary Internet files

Администраторы: Полный доступ

Создатель-Владелец: Полный доступ

Система: Полный доступ

Все: Специальный доступ к каталогам (Чтение, запись, выполнение)

Все: Специальный доступ к каталогам (никаких разрешений)

C:\Document and Settings\%Username%

Администраторы: Полный доступ

Создатель-Владелец: Полный доступ

Система: Полный доступ

%Username%: Полный доступ

Boot.ini

Ntdetect.com

ntldr

Администраторы: Полный доступ

Система: Полный доступ

Autoexec.bat

Config.sys

Администраторы: Полный доступ

Все: Чтение

Каталог /temp

Администраторы: Полный доступ

Создатель-владелец: Полный доступ

Система: Полный доступ

Все: Специальный доступ к каталогам (Чтение, Запись, Выполнение)

Regedit.exe

Regedt32.exe

Администратор: Полный доступ

Система: Полный доступ (остальные группы удали)

Все, с каталогами разобрались. Приступим к реестру =)) Грузи редактор regedt32.exe и лезь сюда HKLM\System\CurrentControlSet\Control\SecurePipeServers\Winreg и устанавливай на этот раздел следующие разрешения: Администратор: Полный доступ, Система: Полный доступ (да, кстати, не мешало бы так же разрешения наложить на ключи реестра run и runonce). Сейчас мы только что ограничили удаленный доступ к реестру, гыгыгы. Далее лезем сюда и делаем следующие:

HKLM\System\CurrentControlSet\ Services\TCPip\Parametrs
Создаем изменяем (или создаем, если нет) параметр:
SynAttackProtect (Reg_dword) =1
HKLM\System\CurrentControlSet\ Services\EventLog\Application
RestrictGuestAccess (Reg_dword) =1
HKLM\System\CurrentControlSet\ Services\EventLog\System
RestrictGuestAccess (Reg_dword) =1
HKLM\System\CurrentControlSet\ Services\EventLog\Security
RestrictGuestAccess (Reg_dword) =1

Данными действиями мы запретили просмотр пользователям с правами Гостя журналов системы. Будем удалять административные шары, нам же не надо чтобы кто-нить рылся у нас в системе удаленно. Лезем сюда и делаем это:

HKLM\System\CurrentControlSet\ Services\LanManServer\Parameters
AutoShareWks (reg_dword)=0
Ну и по мелочи=)): надо отключить автозапуск у cd-rom и прописать полный доступ к оболочке. Почему?:) Это долго в принципе объяснять, trust me;). Для этого делаем следующие:

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon

Находим параметр Shell и прописываешь туда полный путь до файла explorer.exe к примеру, у меня он выглядит так:

Shell=C:\WINNT\explorer.exe

Ну и теперь займемся автозапуском:

HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Cdrom

установи параметр autorun равным 0. Следующее относится к тем людям, которые сидят в локальных сетках и лазают через них в инет;). Лезем в папку Сеть и удаленный доступ к сети\соединение через которое подключены к сети и инету. Бум настраивать фильтрацию протокола TCP/IP =). Первым делом надо задействовать фильтрацию следующих портов: 138 UDP (тут работает служба netbois-dgm), 137 UDP (netbois-sn), 139 TCP (netbois-ssn) и 135 TCP (RPC). После этого как настроили фильтрацию там же во вкладке WINS отрубай NETBOIS поверх TCP/IP. И потом сними галки на всякий случай с Клиент для сетей Microsoft и Служба доступа к файлам и принтерам сетей Microsoft. И удали все не нужные протоколы (например IPX/SPX), оставь только протокол TCP/IP. Конечно, ичат юзать уже не сможем, но нафига нам такая глючная лабудень?;)
IRC - rulezz!! Но об этом как-нибудь потом=)

> Как видите. нужно толкьо иметь прямые руки:), что в наше время встречается так же часто, как розовые слоны=)) Эх, ну что мои культяпки поехали дальше?;)

Мне осталось рассказать вам еще об одной важной вещи, такой как фаервол, это то же самое, чем сейчас занимается Nikodim.

Nikodim со все дури заехал в череп стремному UDP-пакету ломящимуся в порт NETBIOS_NS. Смачно чавкнуло...

N> Аааа, гады, всю жизнь у меня на лекарства работать будете, в стандартные двери входить разучитесь...

> Димон, как всегда неудержим, но есть способ лучше=) Поставить себе Outpost Firewall Pro (последняя версия 2.1.292), че это за зверь?? А хз, в этом Димон разбирается, вот он вам и расскажет, когда успокоится 8)).

Как вы уже наверно знаете софт бывает разный, и в нем иногда бывают ошибки=)) Так, что не ругает девелоперов по пустякам, винт там форматнулся, но вот за серьезные огрехи, например, за отсутсвие поддержики скинов, их нужно поносить, при чем раз в пять минут=))
А вот и Димон=) Чего это ты притащил :?())

N> Ща шаманить будем, вернее ты будешь...


!!WARNING!!
Our memory is to modified.
Type Reboot to accept, or any key to abort.