Bezpieczeństwo w sieci cz.4
Przeglądarki Internetowe
Jak wcześniej czytaliśmy Robaki i innego rodzaju niechciane pliki łapiemy również przez WWW. Z pomocą mogą nam przyjść alternatywne przeglądarki internetowe, które uznawane są za bardziej bezpieczne niż standardowy Internet Explorer, jak również są od niego bardziej funkcjonalne, niejednokrotnie szybsze i do tego darmowe (opera, firefox, mozilla).
Darmowe Programy Antywirusowe
Jak wiadomo nie wszystkich stać na to aby zakupić sobie licencję na komercyjny program antywiurusowy, ale to nie znaczy że jesteśmy bezbronni, istnieje wiele programów antywirusowych których używanie jest kompletnie darmowe:
avast! 4 Home Edition
AntiVir Personal Edition
AVG AntiVirus Free Edition
Skanery antywirusowe online (uwaga nie zastępują programowego antywirusa)
TrojanScan
mks_vir Scanner Online
Panda ActiveScan
Darmowe Firewall’e
Jak wiadomo nie wszystkich stać na to aby zakupić sobie licencję na komercyjny Firewall, ale to nie znaczy że jesteśmy bezbronni, istnieje wiele takich programów których używanie jest kompletnie darmowe:
Jetico Personal Firewall
OmniVPN Free Version
Outpost Firewall FREE
Sygate Personal Firewall
ZoneAlarm
Darmowe Adaware & Spyware
Jak wiadomo nie wszystkich stać na to aby zakupić sobie licencję na komercyjny program usuwający Adaware & Spyware, ale to nie znaczy że jesteśmy bezbronni, istnieje wiele takich programów których używanie jest kompletnie darmowe:
SecureWorld
Ad-Aware 1.04 SE Professional
Bezpieczeństwo systemu Windows (dla zaawansowanych)
Tutaj omówię niektóre sposoby utrzymania aktualności oraz zabezpieczenia systemu Windows, co w rezultacie pomoże uczynić wasze miejsca pracy czy też zabawy bezpieczniejszymi. Chociaż wielu zaawansowanych użytkowników uważa że Windows + bezpieczeństwo to drwina, to jednak wbrew pozorom można całkiem skutecznie się zabezpieczyć i to bez większego wysiłku.
Kontrola zainstalowanych poprawek
Dużym uniedogodnieniem systemu Windows jest brak zaawansowanego (w przeciwieństwie do systemów Unix), wewnętrznego systemu skryptów, jak i możliwości zdalnego dostępu, co powoduje, że w systemie Windows trudno jest automatyzować jakiekolwiek działania.
Przed próbą uaktualnienia systemu, należałoby się dowiedzieć jakie poprawki zostały już zastosowane. Inaczej możemy stracić dużo czasu na uaktualnianiu systemu, który właściwie tego nie wymaga.
Tutaj przychodzi nam z pomocą program HFNetChk, który jest częścią programu Microsoft’s Baseline Security Analyzer a ściślej został włączony do wersji tego instalatora uruchamiany z wiersza poleceń, poleceniem mbsacli.exe
Program ten potrafi zdalnie sprawdzać stan uaktualnień, systemów z rodziny NT oraz może sprawdzać, czy zainstalowane krytyczne poprawki serwerów IIS, SQL, Exchange, programu Media Player oraz Internet Explorer. Pomimo tego że program tylko sprawdza stan poprawek systemu, to i tak jest wartościowym, oszczędzającym czas narzędziem.
HFNetChk po uruchomieniu pobiera z serwera Microsoft’u podpisany i skompresowany plik XML, który zawiera informacje o aktualnie dostępnych uaktualnieniach. Dodatkowo informacje te zawierają sumy kontrolne, jak i numery wersji plików znajdujących się w każdej poprawce oraz klucze rejestru modyfikowane przez uaktualnienie. Dołączona jest również informacja o zależności między poprawkami. Kiedy HFNetChk bada system, wtedy w pierwszej kolejności poszukuje kluczy najbardziej aktualnych poprawek dostępnych w bieżącej konfiguracji. Jeżeli w systemie brakuje jakiegoś klucza rejestru lub wartość tego klucza nie odpowiada informacji zapisanej w pliku XML, program traktuje takie uaktualnienie, jako niezainstalowane. Jeżeli natomiast w rejestrze znajduje się klucz poprawki odpowiadający informacjom z pliku XML, program sprawdza czy pliki wymienione w informacji o poprawce są w systemie obecne i czy ich wersje oraz sumy kontrolne s odpowiednie.
Wszystkie niezainstalowane uaktualnienia są wymieniane w tworzonym raporcie, łącznie z odniesieniem do odpowiedniego artykułu Bazy Wiedzy, zawierającym bardziej szczegółowe informacje o danej poprawce.
Aby zainstalować program HFNetChk, należy pobrać i zainstalować program Microsoft Baseline Security Analyzer ze strony Microsoft’u. Aby uruchomić program, należy otworzyć wiersz polecenia i przejść do katalogu, w którym zainstalowany został Microsoft Baseline Security Analyzer. Domyślnie jest to katalog C:Program FilesMicrosoft Baseline Security Analyzer.
Aby zbadać stan uaktualnień lokalnego systemu, należy wydać następujące polecenie:
C:Program FIlesMicrosoft Baseline Security Analyzer> mbsacli /hf
Microsoft Baseline Security Analyzer
Version 1.2.1 (1.2.4013.0)
(C) Copyright 2002-2004 Microsoft Corporation. All rights reserved.
HFNetChk developed for Microsoft Corporation by Shavlik Technologies, LLC.
(C) Copyright 2002-2004 Shavlik Technologies, LLC. www.shavlik.com
Please use the -v switch to view details for
Patch NOT Found, Warning and Note messages
Scanning SIALABABAMAK
Attempting to get CAB from http://go.microsoft.com/fwlink/?LinkId=18922
XML successfully loaded.
Done scanning SIALABABAMAK
—————————-
SIALABABAMAK (193.24.244.83)
—————————-
* WINDOWS XP PROFESSIONAL SP1
| Note | MS02-008 | 317244 |
| Warning | MS02-055 | 323255 |
| Note | MS03-008 | 814078 |
| Note | MS03-030 | 819696 |
| Patch NOT Found | MS03-041 | 823182 |
| Patch NOT Found | MS03-044 | 825119 |
| Patch NOT Found | MS03-045 | 824141 |
| Patch NOT Found | MS03-049 | 828035 |
| Note | MS03-051 | 813360 |
* INTERNET EXPLORER 6 SP1
| Patch NOT Found | MS03-048 | 824145 |
* WINDOWS MEDIA PLAYER FOR WINDOWS XP SP1
Information
All necessary hotfixes have been applied.
Pierwsza kolumna informuje nas, dlaczego sprawdzenie obecności poprawki nie powiodło się. Druga kolumna natomiast określa którego uaktualnienia to dotyczy. Trzecia zawiera numer artykułu Bazy Wiedzy http://support.microsoft.com który zawiera więcej informacji na temat problemu rozwiązywanego przed daną poprawkę.
Jeżeli sprawdzenie obecności którejś poprawki zakończyło się niepowodzeniem, za pomocą opcji -v można uzyskać więcej informacji o przyczynie tego niepowodzenia. Oto wyniki działania poprzedniego polecenia, użytego tym razem dodatkowo z opcją -v:
C:Program FIlesMicrosoft Baseline Security Analyzer> mbsacli /hf
Microsoft Baseline Security Analyzer
Version 1.2.1 (1.2.4013.0)
(C) Copyright 2002-2004 Microsoft Corporation. All rights reserved.
HFNetChk developed for Microsoft Corporation by Shavlik Technologies, LLC.
(C) Copyright 2002-2004 Shavlik Technologies, LLC. www.shavlik.com
Scanning SIALABABAMAK
Attempting to get CAB from http://go.microsoft.com/fwlink/?LinkId=18922
XML successfully loaded.
Done scanning SIALABABAMAK
—————————-
SIALABABAMAK (193.24.244.83)
—————————-
* WINDOWS XP PROFESSIONAL SP1
| Note | MS02-008 | 317244 |
Please refer to Q306460 for a detailed explanation.
| Warning | MS02-055 | 323255 |
File C:WINDOWSsystem32hhctrl.ocx has a file
Version [5.2.3735.0] greater than was is expected [5.2.3669.0].
| Note | MS03-008 | 814078 |
Please refer to Q306460 for a detailed explanation.
| Note | MS03-030 | 819696 |
Please refer to Q306460 for a detailed explanation.
| Patch NOT Found | MS03-041 | 823182 |
File C:WINDOWSsystem32cryptui.dll has a file
Version [5.131.2600.1106] that is less than what is expected
[5.131.2600.1243].
| Patch NOT Found | MS03-044 | 825119 |
File C:WINDOWSsystem32itircl.dll has a file
Version [5.2.3644.0] that is less than what is expected
[5.2.3790.80].
| Patch NOT Found | MS03-045 | 824141 |
File C:WINDOWSsystem32user32.dll.dll has a file
Version [5.1.2600.1134] that is less than what is expected
[5.1.2600.1255].
| Patch NOT Found | MS03-049 | 828035 |
File C:WINDOWSsystem32msgsvc.dll has a file
Version [5.1.2600.0] that is less than what is expected
[5.1.2600.1309].
* INTERNET EXPLORER 6 SP1
| Patch NOT Found | MS03-048 | 824145 |
The registry key **SOFTWAREMicrosoftInternet ExplorerActiveX
Compatybily{69DEAF94-AF66-11D3-BEC0-00105AA9B6AE}** does not
exist. It is required for this patch to be consider instaled.
* WINDOWS MEDIA PLAYER FOR WINDOWS XP SP1
Information
All necessary hotfixes have ben applied.
Po zastosowaniu brakujących poprawek wynik działania programu powinien wyglądać następująco:
Scanning SIALABABAMAK
Attempting to get CAB from http://go.microsoft.com/fwlink/?LinkId=18922
XML successfully loaded.
Done scanning SIALABABAMAK
—————————-
SIALABABAMAK (193.24.244.83)
—————————-
* WINDOWS XP PROFESSIONAL SP1
Information
All necessary hotfixes have ben applied.
* INTERNET EXPLORER 6 SP1
Information
All necessary hotfixes have ben applied.
* WINDOWS MEDIA PLAYER FOR WINDOWS XP SP1
Information
All necessary hotfixes have ben applied.
Do zbadania stanu poprawek w systemie potrzebne są uprawnienia administratora. Jeżeli zbadany ma być stan uaktualnień komputera zdalnego, potrzebne będą uprawnienia administratora w jego systemie. Istnieje kilka sposobów zbadania stanu poprawek komputerów zdalnych. Aby zbadać pojedynczy komputer, można w opcji -h podać jego nazwę NetBIOS. Aby zamiast tego móc posłużyć się adresem IP, należy użyć opcji -i
Aby na przykład zbadać zdalnie komputer SIALABABAMAK, można posłużyć się jednym z dwóch poleceń:
mbsacli /hf -h SIALABABAMAK
mbsacli /hf -I 193.24.244.83
Można też przebadać kilka komputerów jeden po drugim, podając w wierszu poleceń ich nazwy NetBIOS lub adresy IP, oddzielone od siebie przecinkami.
Należy też pamiętać, iż oprócz posiadania uprawnień administratora, w systemie musi być też włączony udział domyślny, w przeciwnym razie program HFNetChik nie będzie w stanie stwierdzić obecności odpowiednich plików w jego systemie, a w konsekwencji nie będzie mógł sprawdzić, czy poprawka została zastosowana.
Lista otwartych plików oraz procesów, które ich używają
Często zdarza się, że po zauważeniu dziwnego zachowania stacji roboczej, spoglądamy do Menadżera zadań aby przyjrzeć się liście procesów uruchomionych w systemie Windows, i też bardzo często dostrzegamy tam taki proces, co wtedy zrobić?
Firma Sysinternals, stworzyła znakomite narzędzie o nazwie Handle, które jest dostępne za darmo na stronie producenta: http://www.sysinternals.com/ntw2k/freeware/handle.shtml lub też można pobrać szybko program z naszego serwera: Handle
Program Handle, uruchomiony bez dodatkowych parametrów, pokazuje uchwyty wszystkich otwartych w systemie plików. Po podaniu jako parametru nazwy pliku, program pokaże listę procesów korzystających aktualnie z tego pliku:
C:> handle nazwa_pliku
Można też uzyskać listę plików otwartych przez określony proces, w poniższym przykładzie przez przeglądarkę internetową Firefox:
C:>handle -p firefox
Handle v2.2
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals – www.sysinternals.com
——————————————————————————
firefox.exe pid: 2984 SIALABABAMAKHyceK
1c: File C:WINDOWSWinSxSx86_Microsoft.Windows.Common-Controls_659
5b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9
40: File C:WINDOWSWinSxSx86_Microsoft.Windows.Common-Controls_659
5b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9
c4: File C:Documents and SettingsHyceKDane aplikacjiMozillaFire
foxProfiles3v8ht000.defaultparent.lock
13c: Section BaseNamedObjects__R_000000000007_SMem__
1cc: Section BaseNamedObjectsCiceroSharedMemDefaultS-1-5-21-1757981266
-1677128483-854245398-1003
208: File C:Documents and SettingsHyceK
210: File C:PROGRA~1MOZILL~1chromepl-PL.jar
230: File C:PROGRA~1MOZILL~1chrometoolkit.jar
248: File C:PROGRA~1MOZILL~1chromeclassic.jar
24c: File C:PROGRA~1MOZILL~1chromebrowser.jar
250: File C:Documents and SettingsHyceKDane aplikacjiMozillaFire
foxProfiles3v8ht000.defaultextensions{0B0B0DA8-08BA-4bc6-987C-6BC9F4D8A81E}
chrometabextensions.jar
254: File C:Documents and SettingsHyceKDane aplikacjiMozillaFire
foxProfiles3v8ht000.defaultextensions{FFA36170-80B1-4535-B0E3-A4569E497DD0}
chromemozgest.jar
25c: File C:Documents and SettingsHyceKDane aplikacjiMozillaFire
foxProfiles3v8ht000.defaultCache_CACHE_MAP_
260: File C:Documents and SettingsHyceKDane aplikacjiMozillaFire
foxProfiles3v8ht000.defaultCache_CACHE_001_
264: File C:Documents and SettingsHyceKDane aplikacjiMozillaFire
foxProfiles3v8ht000.defaultCache_CACHE_002_
268: File C:Documents and SettingsHyceKDane aplikacjiMozillaFire
foxProfiles3v8ht000.defaultCache_CACHE_003_
2b4: File C:Documents and SettingsHyceKDane aplikacjiMozillaFire
foxProfiles3v8ht000.defaulthistory.dat
2dc: File C:Documents and SettingsHyceKDane aplikacjiMozillaFire
foxProfiles3v8ht000.defaultformhistory.dat
2e4: File C:Documents and SettingsHyceKDane aplikacjiMozillaFire
foxProfiles3v8ht000.defaultcert8.db
2e8: File C:Documents and SettingsHyceKDane aplikacjiMozillaFire
foxProfiles3v8ht000.defaultkey3.db
Chcąc odnaleźć proces Firefox’a korzystający z zasobu, którego nazwa zawiera wyraz history, należy użyć następującego polecenia:
C:>handle -p firefox history
Handle v2.2
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals – www.sysinternals.com
firefox.exe pid: 2984 C:Documents and SettingsHyceKDane aplikacjiMo
zillaFirefoxProfiles3v8ht000.defaulthistory.dat
Natomiast jeżeli chcemy obejrzeć listę wszystkich zasobów, musimy posłużyć się opcją -a
Lista działających usług i otwartych porótw
Do tego przyda nam się program FPort, który nie ma wielu opcji wiersza poleceń, a dostępne opcje decydują głównie o sposobie sortowania prezentowanych informacji. Jeżeli chcemy informacje posortować według nazw programów, należy użyć opcji /a, jeżeli natomiast według identyfikatorów procesu używamy opcji /i.
Kiedy chcemy uzyskać listę otwartych portów w systemie, podajemy polecenie fport, natomiast gdy chcemy aby lista była posortowana według numeru portu, wtedy należy dodatkowo użyć opcji /p
C:>fport /p
FPort v2.0 – TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
| Pid | Process | Port | Proto | Path | |
| 820 | -> | 135 | TCP | ||
| 4 | System | -> | 139 | TCP | |
| 4 | System | -> | 445 | TCP | |
| 4 | System | -> | 1027 | TCP | |
| 2336 | tlen | -> | 1085 | TCP | C:Program FilesTlen.pltlen.exe |
| 2336 | tlen | -> | 1087 | TCP | C:Program FilesTlen.pltlen.exe |
| 2336 | tlen | -> | 1560 | TCP | C:Program FilesTlen.pltlen.exe |
| 2984 | FIREFOX | -> | 2057 | TCP | C:PROGRA~1MOZILL~1FIREFOX.EXE |
| 2984 | FIREFOX | -> | 2058 | TCP | C:PROGRA~1MOZILL~1FIREFOX.EXE |
| 2848 | WebSite | -> | 6711 | TCP | C:Program FilesWebSite PROWebSite.exe |
| 2848 | WebSite | -> | 6712 | TCP | C:Program FilesWebSite PROWebSite.exe |
| 2336 | tlen | -> | 138 | UDP | C:Program FilesTlen.pltlen.exe |
| 4 | System | -> | 500 | UDP | |
| 2336 | tlen | -> | 1032 | UDP | C:Program FilesTlen.pltlen.exe |
| 2984 | FIREFOX | -> | 1048 | UDP | C:PROGRA~1MOZILL~1FIREFOX.EXE |
| 2984 | FIREFOX | -> | 1900 | UDP | C:PROGRA~1MOZILL~1FIREFOX.EXE |
| 2336 | tlen | -> | 1900 | UDP | C:Program FilesTlen.pltlen.exe |
| 4 | System | -> | 2789 | UDP | |
| 4 | System | -> | 2952 | UDP | |
| 2848 | WebSite | -> | 4500 | UDP | C:Program FilesWebSite PROWebSite.exe |
| 2848 | WebSite | -> | 4672 | UDP | C:Program FilesWebSite PROWebSite.exe |