Закрыть порты

[serg-spb]

Подскажите, плз, как закрыть или блокировать лишние порты в интернет-соединении средствами WinXP SP2 без использования сторонних файерволов и программ, а также какие порты оставить для нормальной работы интернета?

[karantin]

serg-spb

Зачем тебе ПОРТЫ перекрывать, можешь просто в доверенные приложения брандмауэра отправить аську, браузер, антивирус, качалку. Все это ставь в Панель управления>Центр обеспечения безопасности.

Список портов http://www.iana.org/assignments/port-numbers

[Hamster1986]

Или если очень хочеться закрывать конкретные порты. Лезь в свойства соединения. Закладка дополнительно там фаерволл, которым можно закрыть конкретные порты

[veiK]

Здорова

Можно почитать статьи из ХАКЕР -а

Настройка Windows XP стандартными средствами

Любую операционку необходимо грамотно защищать от внешних напастей. Если об этом своевременно не позаботиться, то твоя система будет живой мишенью для вирусов, троянов, червей и т.д.

Разумеется, защищать систему имеет смысл сразу после установки. Только тогда ты можешь быть уверен в том, что, кроме тебя, на машине никто не обитает . Но если ты изначально забил на защиту, никто не мешает исправиться и наверстать упущенное. Тебе не придется прибегать к помощи посторонних программ – вся настройка производится с помощью стандартных средств.

Почувствуй себя администратором

Первое, что необходимо сделать, – это зайти в раздел «Администрирование» в панели управления. Именно с него начинается организация безопасности твоей системы. Кликай на ярлычок «Службы» и внимательно ознакомляйся со списком дефолтовых сервисов. Многие из них должны быть отключены за ненадобностью. К примеру, рекомендуется вырубить службу рассылки системных оповещений. Дело в том, что в последнее время этот сервис юзается злобными спамерами, которые рассылают свои сообщения с помощью автоматизированных червей. Причем фаервол не всегда защищает от назойливых рекламщиков – хакеры научились спуфить IP-адрес и тем самым пробиваться через брандмауэр.

Далее убедись, что у тебя выключен сервис удаленного управления Windows и Telnet. Для рабочей станции эти демоны абсолютно бесполезны. Только представь, что твоей машиной управляет злобный хакер, который случайно (или намеренно) подобрал пароль к администраторскому аккаунту.

И, наконец, отключи удаленное управление реестром. Если взломщик по каким-то причинам узнает пароль администратора (или любого юзера с повышенными правами), то сможет удаленно подключиться к реестру. Хакеру будут доступны три первых ветки. Злоумышленник может так напортачить, что тебе придется сносить всю систему.

Самое время позаботиться о будущей безопасности. Выдели самые важные службы, которые не должны быть внезапно остановлены. Зайди в пункт «Восстановление» и выбери «Перезапуск службы» после первого, второго и третьего сбоев. Если хакер попытается атаковать кривой сервис, он без проблем перезапустится.

Безопасный файловый архив

Некоторые «умные» личности рекомендуют отключить сервис защиты файлов. Этого не стоит делать по одной простой причине - многие троянцы любят маскироваться под якобы системный файл, после чего WinXP медленно, но верно превращается в плацдарм для червяков. При включенном сервисе служба перезапишет важный файл его копией и тем самым ликвидирует червячка. Если закралось подозрение, что вирус каким-то образом проник на машину, запусти программу SFC с параметром /SCANNOW, которая моментально просканирует все системные каталоги.

Заветная мудрость линуксоидов: не сиди под рутом! То же самое рекомендуем и тебе. Когда у тебя невзрачные права (которых вполне хватает для нормальной работы), трояну не под силу отформатировать винт, переслать системные пароли и т.п. Но порой переезд на обычный аккаунт невозможен (если юзер работает с приложениями, требующими дополнительных привилегий). В этом случае приходится прибегать к дополнительным мерам безопасности. Убедись, что WinXP стоит на файловом разделе NTFS. Только в этом случае ты можешь контролировать права на каталоги. Если это так, запусти проводник, войди в «Сервис -> Свойства папки -> Вид» и убери галочку «Использование простого общего доступа к файлам».

Согласись, тебе не всегда требуется полный доступ к системным файлам. А твоим правом на запись в виндовый каталог часто пользуются троянцы, которые хитрым образом проникли на машину. Чтобы никакая зараза не могла записать себя в c:\windows, тебе нужно перезагрузить машину и зайти в безопасном режиме под аккаунтом администратора. Запускай проводник и топай в свойства c:\windows. Кликай по безопасности и удаляй свой идентификатор из списка владельцев. То же самое рекомендуется сделать и с каталогом c:\Program Files. Теперь, когда ты перезагрузишь машину, у тебя будут права только на просмотр и выполнение системных файлов.

Ты можешь озадачиться вопросом: а как теперь ставить новый софт? Ведь сетапу требуется записать данные в Program Files, а иногда и закинуть конфиги в виндовый каталог. Придется запускать инсталлятор от имени администратора. Для этого кликни правой кнопкой по исполняемому файлу и выбери пункт «Запустить от имени». Достаточно ввести пароль для учетной записи админа, и установщик корректно запишет любой файл в любое место. Будь осторожен: запускай лишь проверенные инсталлеры, ведь трояны очень любят маскироваться под безобидные приложения :D.

Доверься фаерволу

Страшно подумать о том, что будет, если вывести WinXP в интернет без запущенного фаервола. На машину тут же нападут черви, базирующиеся на уязвимостях DCOM/ASN.1. Мы посчитали, сколько нечисти запишется в среднем на незащищенную машину - за один день 450 троянцев и несколько десятков FTP-скриптов! Впечатляет, не правда ли? А теперь представь, что эти черви живут и здравствуют на твоей родной тачке. При таком раскладе легче переустановить систему, чем жить среди опасных вирусов.

Несмотря на скудные возможности стандартного фаервола ему вполне можно доверять (особеннов в SP2, который обязательно следует установить! - прим. ред.). Не слушай тех, кто рекомендует поставить навороченный брандмауэр на рабочую станцию. Если ты используешь встроенный сервис, то выигрываешь в скорости и времени. Ведь настроить ICS, как два байта переслать! Чтобы обезопасить себя от всяких червячков, зайди в свойства соединения, выбери вкладку «Дополнительно» и отметь соответствующую опцию. Далее жми на «Параметры» и отмечай все службы, которые необходимо разрешить. Целесообразно добавить в разрешенные Web-, FTP- и SMTP-службы (если таковые имеются). Все остальное автоматически скроется за огненной стеной. Для мониторинга обязательно журналируй все пропущенные пакеты в отдельный лог. По желанию можешь разрешить или запретить ICMP – все в твоих руках.

Единственным недостатком ICS в "доSP2ческой" XP является неспособность разграничения прав по IP-адресам. Но в некоторых случаях это не нужно.

Всю статью выкладывать не буду так как уже неоднокрактно выкладывал ХАКЕР!

[user000]

Первое, что необходимо сделать, – это зайти в раздел «Администрирование» в панели управления. Именно с него начинается организация безопасности твоей системы. Кликай на ярлычок «Службы» и внимательно ознакомляйся со списком дефолтовых сервисов. Многие из них должны быть отключены за ненадобностью. К примеру, рекомендуется вырубить службу рассылки системных оповещений.

Я это службу не могу найти. А по английски как будеть?

[veiK]

Здорова

user000:

рекомендуется вырубить службу рассылки системных оповещений.

:)

Это мне самому недавно посоветовали ! ТРОЛЛЬ и Ко :)

Можешь найти мой ТОР или ПОДОЗРИТЕЛЬНЫЕ ОКНА!

Азвется это по англ МЕССЕНДЖЕР! :)

ЗЫ спасибо можно в ПМ! :) было бы! Но все равно приятно!

[user000]

Спасибо veiK