OP. Правило(а) для svchost.exe

[SIMC]

Интересует правило(а) для svhost в Outpost'е.

Во-первых: закрываем 135, 1025 и 5000-ый.

То бишь для всех троих создаем одно правило:

где протокол - TCP

где направление - входящее ??

где удаленный адрес - что тут указать?? или пропустить?

Далее,

эти порты указывать как локальные или удаленные??

где интервал времени - пропускаем?

блокировать эти данные.

---------------------------------------

Во-вторых: остались пункты c правилами по умолчанию:

DHCP Service

DNC Service

HTTP Connection

HTTPS Connection

TIME Synchronizer Connection

SSDP discovery Service & UPnP divice host services (3 раза)

Microsoft Remote desktop TCP connection

Generic host Process LDAP connection

Что делать с правилами для этих пунктов? В них по умолчанию прописаны пункты правил. Тргать их, не трогать?

[Dear Friend]

Во-первых: закрываем 135, 1025 и 5000-ый.

То бишь для всех троих создаем одно правило:

Не совсем понятно, для чего? Совсем запретить ему выход в Сеть не желаешь?

где протокол - TCP

где направление - входящее ??

где удаленный адрес - что тут указать?? или пропустить?

Входящее - запросы в сеть, закрытую файрволом, исходящие - из сети.

Адрес если не указать - будут учитываться любые.

Порты локальные - блокировать/разрешить порты твоего хоста, удаленные - блокировать/разрешить запросы к/с портам на других хостах.

Во-вторых: остались пункты c правилами по умолчанию:

Это где у тебя такие правила???

И еще по svchost.exe

Для Win2000:

http://support.microsoft.com/default.aspx?...;EN-US;Q250320&

Для WinXP:

http://support.microsoft.com/default.aspx?...b;en-us;Q314056

[Dear Friend]

Не совсем понятно, для чего? Совсем запретить ему выход в Сеть не желаешь?

Млин! Прошу прощения, не врубился сразу. Ты ж, по всей видимости, от бласта закрыться хочешь? Тогда че ж так тему-то называть? :D

Конкретнее по вопросу:

закрываем 135, 1025 и 5000-ый.

То бишь для всех троих создаем одно правило

Протокол - TCP

Направление - входящее

Локальный порт - порты, которые закрываешь

Блокировать

[SIMC]

Ты ж, по всей видимости, от бласта закрыться хочешь? Тогда че ж так тему-то называть?

Я хочу граммотно прописать правило для svchost не только для защиты от бласта, но и для того чтобы прикрыть все другие возможные дыры и уязвимости относящиеся к этому процессу.

Затронутые 135, 1025 и 5000-ый - это только часть правила, как я понимаю?

Во-вторых: остались пункты c правилами по умолчанию...

Это где у тебя такие правила??

По умолчанию они установились при инсталляции файрвола. Че с ними делать?

[SIMC]

Dear Friend

Попалась ссылка по портам... Перечисленны все порты и то что через них ходит или может ходить: http://www.security-gui.de/portlist.php :D

[Dear Friend]

Я хочу граммотно прописать правило для svchost не только для защиты от бласта, но и для того чтобы прикрыть все другие возможные дыры и уязвимости относящиеся к этому процессу.

Тогда убери вообще все правила для него В режиме "обучения" Аутпост будет тебя спрашивать, когда потребуется соединение, тогда и поставишь необходимое правило.

У меня, честно говоря, с тех пор, как поставил Аутпоста и заплатку от бласта, svchost ни разу в Сеть не ломился. Правда надо учесть, что сервисы типа синхронизации времени, удаленного управления и проч. я всегда отключаю.

[fisherMAN]

У меня последнее время svhost часто запрашивает входящее соединение (особенно сразу после поключения к инету) при чем если его блокировать то страницы не открываются и качалка не пашет как будто связи нет

Приходится разрешать

Причем правила писать не помогает тк каждый раз идет обрашение к другому порту

[Dear Friend]

fisherMAN

B) Не ты первый, не ты последний B)

[Georg222]

fisherMAN

воткни в желтый сектор он будет спрашивать прежде чем разрешить и покажет порт

[SIMC]

Dear Friend

1025, 5000 и 135 запрещены, но 1025 и 5000 у svhosta отоброжены как открытые. Не пойму ни фига почему?

[fisherMAN]

воткни в желтый сектор он будет спрашивать прежде чем разрешить и покажет порт

А зачем мне это (кстати порты всегда в пределах 3000)

Не ты первый, не ты последний

Звучит пугающе, что всё так пллохо

Слышал что проблемы с svchost связаны с msblast'ом ---дайте ссылку на заплатачку от него.

Хотя на самом деле пока на компе ничего не происходит (в смысле вирусной активности) а фигня с svchost уже около месяца, да и антивирь молчит <_<

[Voron]

fisherMAN

дайте ссылку на заплатачку от него.

Смотри тут здесь и там.

[Dear Friend]

1025, 5000 и 135 запрещены, но 1025 и 5000 у svhosta отоброжены как открытые. Не пойму ни фига почему?

А кто сказал, что Аутпост их открыть не разрешит? Он доступ к ним заблокировать может. А открываются порты и для локального использования.

[SIMC]

Помимо запрета 135, 1025, 5000 на оф форуме советовали запретить всё кроме:

DNS Service

HTTP Connection

HTTPS Connection

Это под ХР, dail-up.

Как относиться к этому совету?

[SIMC]

Dear Friend

Тут: http://www.viruslist.com/index.html?tnews=1001&id=2734532 еще советуют для защиты от Бласта помимо 135, закрыть 69 и 4444. Эти два добавить в то же правило, где запрет 135, 1025 и 5000??

В итоге такое правило:

Протокол - TCP

Направление - входящее

Локальный порт - 69, 135, 1025, 4444, 5000

Блокировать

Все правильно?

[Dear Friend]

Протокол - TCP

Направление - входящее

Локальный порт - 69, 135, 1025, 4444, 5000

Блокировать

Все правильно?

Ну да, правильно.

Повторюсь еще раз - после установки Аутпоста и заплатки от Microsoft'а я про Бласт уже не вспоминал. При этом никаких специальных правил для svchost'а я не создавал.

[Посторонним В.]

SIMC, Dear Friend

Повторюсь еще раз - после установки Аутпоста и заплатки от Microsoft'а я про Бласт уже не вспоминал. При этом никаких специальных правил для svchost'а я не создавал.

После установки заплатки можно было даже не устанавливать Outpost-а, если, конечно, вы пытаетесь защититься только от msblast. К вам на комп он проникнуть не сможет, и неважно, какие порты у вас открыты.

[aTeos]

У меня если запретить svchost.ехе выходить в инет, то ничего после этого не работает. Возможно, служба синхронизации времени... короче, антивирь молчит, я его постоянно обновляю и никакой активности за svchost.exe я не замечаю. Значит, все хорошо

[SIMC]

Повторюсь еще раз - после установки Аутпоста и заплатки от Microsoft'а я про Бласт уже не вспоминал. При этом никаких специальных правил для svchost'а я не создавал.

После установки заплатки можно было даже не устанавливать Outpost-а, если, конечно, вы пытаетесь защититься только от msblast. К вам на комп он проникнуть не сможет, и неважно, какие порты у вас открыты.

Dear Friend, Посторонним В.

Да, я не столько из-за бласта этим правилом интересуюсь.

Просто понапихано в этот процесс много пока еще не совсем понятной для меня хрени. Поэтому хочу снизить до 0 уязвимость компа через этот сервис и запретить всё не нужное ( + для успокоения :D ).

[SIMC]

Я до сих пор парю себе мозги с этим хвостом...

Перечетав тему, хочу добавить ко всему выше сказанному еще две копейки:

1.

Входящее - запросы в сеть, закрытую файрволом, исходящие - из сети.

Адрес если не указать - будут учитываться любые.

Нет, тут наоборот:

Исходящее соединение" - это в том случае, если соединение инициализировал ваш компьютер (любая программа или сервис).

"Входящее соединение" - попытка установить с вашим комп-ром соединение.

Например, если Вы разрешаете исходящий трафик для ICQ, вы разрешаете ICQ установить соединение с указанным портом и начать двусторонний обмен данными.

2. Диал-упшикам, смело можно выписать запрет на все кроме DNS Service по UDP через 53 порт. Некоторые юзеры говорят о необходимости обязательного разрешения HTTP и HTTPS Connection, но у меня пока все робит и без этого.

Хотел бы узнать мнения форумчан. Особенно по второму пункту!