понедельник, 15 мая 2017 г.

Windows - закрываем порты

По умолчанию в Windows включены службы не являющиеся необходимыми (если машина не включена в сеть или AD!): #система #настройка #порт #вирус #сеть #атака
  • DCOM - программная архитектура, разработанная компанией Microsoft для распределения приложений между несколькими компьютерами в сети. Программный компонент на одной из машин может использовать DCOM для передачи сообщения (его называют удаленным вызовом процедуры) к компоненту на другой машине. DCOM автоматически устанавливает соединение, передает сообщение и возвращает ответ удаленного компонента;
  • RPC Locator (Локатор удаленного вызова процедур) - управляет базой данных службы имен RPC; 
  • NetBIOS - программный интерфейс для приложений клиент - сервер. Используется для соединений между клиентом и сервером для перемещения данных в обе стороны;
  • UPnP (Universal Plug and Play) - позволяет компьютеру автоматически находить, подключать и настраивать устройства для работы с локальными сетями, в 99 % случаев ненужна;
  • Messenger (Служба сообщений Windows) - посылает и получает сообщения, переданные администраторами или службой оповещений. Имеет "дырку", возможно переполнение буфера.

Более того через открытые порты, которые используются этими службами, ваш компьютер может стать легкой добычей злоумышленника.

Порты такие:
  • 135 - возможна внешняя DoS-атака, у меня например, каждый день из локалки по нему ломились пока не закрыл, 
  • 137 - определение NetBIOS-имени машины. Для доступа снаружи лучше закрыть, если не хотите, чтобы вас видели по имени компьютера.
  • 138, 139, 445 - порты, которые отвечают за общие ресурсы, открывают удалённому пользователю доступ к Вашему жесткому диску,
  • 5000 - порт принадлежит системной службе, называемой "Служба обнаружения SSDP" (UPnP). Если данная служба не применяется, то рекомендуется ее отключить. Служба имеет ряд уязвимостей.

Итак начнем с порта 135.
  • Набираем в окне "Выполнить" команду  regedit. Запустился Редактор реестра.
  • Переходим в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
  • Находим параметр EnableDCOM, клацаем на нем мышью два раза и меняем значение с Y на N.
  • Перегружаемся.

Теперь займемся 445 портом.
  • Открываем: "Панель управления" > "Система" > "Оборудование" > "Диспетчер устройств".
  • Здесь, в меню "Вид", ставим галку напротив "Показывать скрытые устройства".
  • В списке устройств, ищем пункт "Драйверы устройств не Plug and Play" и кликаем на нем.
  • Выбираем пункт "Net Bios через TCP|IP".
  • В открывшемся окне выбираем  "Драйвер" > "Автозагрузка". В выпадающем списке "Тип" ставим "Отключено".

Отключим 5000 порт.
  • Заходим в "Пуск" > "Панель управления" > "Администрирование" > "Службы".
  • Находим службу "Обнаружения SSDP" клацаем на ней два раза. В открывшемся окне ищем "Тип автозапуска" и ставим "Отключено". Жмем кнопку "Стоп" и "Ок".

После отключения службы обнаружения SSDP, 5000 порт не должен прослушиваться - если это не так, возможно на вашем ПК Backdoor! Вообще, рекомендуется закрыть входящие соединения  по 69, 135, 137, 138, 139, 1025, 4444 и 5000 портам.

Для тех кто не хочет ковыряться ручками, есть замечательная софтинка WWDC т.е. Windows Worms Dors Cleaner. Качаем здесь.

Нажав пять кнопок, Вы отключите наиболее уязвимые службы Windows и закроете порты, которые этими службами используются (135, 137, 138, 139, 445, 5000). Кроме этого софтинка показывает открытые локальные порты системы, при запуске проверяет названия запущенных процессов (чтобы обнаружить наиболее известных червей), проверяет "потребление" памяти процессами svchost.


Комментарии

comments powered by HyperComments