WannaCry virusas, dar žinomas kaip WannaCrypt arba Wanna Decryptor, virtualų pasaulį pasiekė 2017 metų gegužę. Kenkėjiška programa prasiskverbė į vietinius tinklus, užkrėsdama vieną kompiuterį po kito, šifruodama failus diskuose ir reikalaudama, kad vartotojas pervestų 300–600 USD į išpirkos reikalaujančią programinę įrangą, kad jas atrakintų. Panašiai veikė ir 2017-ųjų vasarą kone politinę šlovę sulaukęs Petya virusas.

Abu tinklo kenkėjai į nukentėjusiojo kompiuterio operacinę sistemą įsiskverbė per tas pačias duris – tinklo prievadus 445 arba 139. Po dviejų didelių virusų imta išnaudoti mažesnių tipų kompiuterių užkratas Kokie tai prievadai, kuriuos nuskaito visi ir įvairių?

Už ką atsakingi 445 ir 139 prievadai sistemoje Windows?

Šie prievadai sistemoje „Windows“ naudojami failams ir spausdintuvams bendrinti. Pirmasis prievadas yra atsakingas už serverio pranešimų blokų (SMB) protokolą, o antrasis prievadas paleidžia tinklo pagrindinės įvesties-išvesties sistemos (NetBIOS) protokolą. Abu protokolai leidžia kompiuteriams, kuriuose veikia „Windows“, prisijungti per tinklą prie „bendrai naudojamų“ aplankų ir spausdintuvų naudojant pagrindinius TCP ir UDP protokolus.

Pradedant nuo „Windows 2000“, failų ir spausdintuvų bendrinimas tinkle pirmiausia vykdomas per 445 prievadą, naudojant SMB programos protokolą. NetBIOS protokolas buvo naudojamas ankstesnėse sistemos versijose, veikiančiose per 137, 138 ir 139 prievadus, ir ši funkcija buvo išsaugota vėlesnėse sistemos versijose kaip atavizmas.

Kodėl atviri prievadai pavojingi?

445 ir 139 yra subtilus, bet reikšmingas Windows pažeidžiamumas. Palikdami šiuos prievadus neapsaugotus, atversite duris į standųjį diską nekviestiems svečiams, tokiems kaip virusai, Trojos arkliai, kirminai ir įsilaužėlių atakos. Ir jei jūsų kompiuteris yra prijungtas prie vietinio tinklo, visi jo vartotojai rizikuoja užsikrėsti kenkėjiška programine įranga.

Tiesą sakant, jūs bendrinate savo standųjį diską su visais, kurie gali pasiekti šiuos prievadus. Jei nori ir įgudę, užpuolikai gali peržiūrėti standžiojo disko turinį ar net ištrinti duomenis, formatuoti patį diską arba užšifruoti failus. Būtent tai padarė WannaCry ir Petya virusai, kurių epidemija šią vasarą apėmė visą pasaulį.

Taigi, jei jums rūpi duomenų saugumas, būtų naudinga išmokti uždaryti 139 ir 445 prievadus sistemoje Windows.

Išsiaiškinkite, ar prievadai yra atviri

Daugeliu atvejų 445 prievadas yra atidarytas sistemoje „Windows“, nes spausdintuvo ir failų bendrinimas automatiškai įjungiamas įdiegus „Windows“. Tai galite lengvai patikrinti savo kompiuteryje. Paspauskite spartųjį klavišą Win + R kad atidarytumėte greitojo paleidimo langą. Į jį įveskite “ cmd" kad paleistumėte komandų eilutę. Komandinėje eilutėje įveskite „ netstat -na“ ir paspauskite Įeikite. Ši komanda leidžia nuskaityti visus aktyvius tinklo prievadus ir rodyti duomenis apie jų būseną ir esamus gaunamus ryšius.

Po kelių sekundžių pasirodys prievado statistikos lentelė. Pačiame lentelės viršuje bus nurodytas 445 prievado IP adresas, jei paskutiniame lentelės stulpelyje yra būsena "KLAUSIMAS", tai reiškia, kad prievadas atidarytas. Panašiai lentelėje galite rasti 139 prievadą ir sužinoti jo būseną.

Kaip uždaryti prievadus „Windows 10/8/7“.

Yra trys pagrindiniai būdai, kaip uždaryti 445 prievadą Windows 10, 7 arba 8. Jie labai nesiskiria priklausomai nuo sistemos versijos ir yra gana paprasti. Galite išbandyti bet kurį iš jų ir pasirinkti. Taip pat galite uždaryti 139 prievadą naudodami tuos pačius metodus.

Prievadų uždarymas per ugniasienę

Pirmasis metodas, leidžiantis uždaryti 445 prievadą sistemoje „Windows“, yra paprasčiausias ir prieinamas beveik bet kuriam vartotojui.

1. Eiti į Pradėti > Valdymo skydas > Windows ugniasienė ir spustelėkite nuorodą Papildomos parinktys.
2. Spustelėkite Įeinančių išimčių taisyklės > Nauja taisyklė. Pasirodžiusiame lange pasirinkite Prievadas > Kitas > TCP protokolas > Konkretūs vietiniai prievadai, šalia esančiame laukelyje įveskite 445 ir spustelėkite Toliau.
3. Toliau pasirinkite Blokuoti ryšį ir dar kartą paspauskite Toliau. Dar kartą pažymėkite tris langelius Toliau. Įveskite naujos taisyklės pavadinimą ir, jei norite, aprašą ir spustelėkite Paruošta.

Dabar galimybė prisijungti prie 445 prievado bus uždaryta. Jei reikia, panašią taisyklę galima sukurti 139 prievadui.

Prievadų uždarymas per komandinę eilutę

Antrasis metodas apima komandinės eilutės operacijas ir labiau tinka pažengusiems „Windows“ vartotojams.

1. Spustelėkite Pradėti ir paieškos juostoje meniu apačioje įveskite „ cmd". Pasirodžiusiame sąraše dešiniuoju pelės mygtuku spustelėkite cmd ir pasirinkite Vykdyti kaip administratorius.
2. Nukopijuokite komandą į komandų eilutės langą netsh advfirewall įjungė viso profilio būseną. Spustelėkite Įeikite.
3. Tada nukopijuokite šią komandą: netsh advfirewall ugniasienė pridėti taisyklę dir=in action=block protocol=TCP localport=445 name="Block_TCP-445". Spustelėkite Įeikite vėl.

Dėl šios procedūros taip pat bus sukurta Windows ugniasienės taisyklė, uždaranti 445 prievadą. Tačiau kai kurie vartotojai praneša, kad šis metodas neveikia jų įrenginiuose: tikrinant prievadas lieka būsenoje „KLAUSIMAS“. Tokiu atveju turėtumėte išbandyti trečiąjį metodą, kuris taip pat yra gana paprastas.

Prievadų uždarymas per „Windows“ registrą

Taip pat galite blokuoti ryšius su 445 prievadu, atlikdami pakeitimus sistemos registre. Šį metodą reikia naudoti atsargiai: „Windows“ registras yra pagrindinė visos sistemos duomenų bazė, o atsitiktinė klaida gali sukelti nenuspėjamų pasekmių. Prieš pradedant dirbti su registru, rekomenduojama pasidaryti atsarginę kopiją, pavyzdžiui, naudojant CCleaner.

1. Spustelėkite Pradėti ir paieškos juostoje įveskite "regedit". Spustelėkite Įeikite.
2. Registro medyje eikite į šį katalogą: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters.
3. Dešinėje lango pusėje pasirodys parinkčių sąrašas. Dešiniuoju pelės mygtuku spustelėkite tuščią sąrašo sritį ir pasirinkite Sukurti. Išskleidžiamajame meniu pasirinkite DWORD reikšmė (32 bitų) arba DWORD reikšmė (64 bitų) priklausomai nuo jūsų sistemos tipo (32 bitų arba 64 bitų).
4. Pervardykite naują parametrą į SMBDeviceEnabled, tada dukart spustelėkite jį. Pasirodžiusiame lange Parametrų keitimas lauke Reikšmė pakeiskite 1 į 0 ir paspauskite Gerai patvirtinimui.

Šis metodas yra efektyviausias, jei tiksliai laikotės aukščiau pateiktų nurodymų. Reikėtų pažymėti, kad jis taikomas tik 445 prievadui.

Kad apsauga būtų veiksmingesnė, atlikę registro pakeitimus taip pat galite išjungti „Windows Server“ paslaugą. Norėdami tai padaryti, atlikite šiuos veiksmus:

1. Spustelėkite Pradėti ir įveskite paieškos juostoje "paslaugos.msc". Atsidarys Windows sistemos paslaugų sąrašas.
2. Raskite serverio paslaugą ir dukart spustelėkite ją. Paprastai jis yra kažkur sąrašo viduryje.
3. Pasirodžiusiame lange išskleidžiamajame sąraše Paleidimo tipas pasirinkti Išjungta ir paspauskite Gerai.

Minėti metodai (išskyrus trečiąjį) leidžia uždaryti ne tik 445 prievadą, bet ir 135, 137, 138, 139 prievadus. Norėdami tai padaryti, atlikdami procedūrą, tiesiog pakeiskite prievado numerį norimu.

Jei vėliau reikės atidaryti prievadus, tiesiog ištrinkite sukurtą taisyklę „Windows“ užkardoje arba pakeiskite registre sukurto parametro reikšmę nuo 0 iki 1, tada vėl įjunkite „Windows Server“ paslaugą pasirinkdami iš sąrašo. Paleidimo tipas prasmė Automatiškai vietoj Išjungta.

Svarbu! Svarbu atsiminti, kad „Windows“ prievadas 445 yra atsakingas už failų, aplankų ir spausdintuvų bendrinimą. Taigi, jei uždarysite šį prievadą, nebegalėsite „bendrinti“ bendrinamo aplanko su kitais vartotojais arba spausdinti dokumentą tinkle.

Jei jūsų kompiuteris prijungtas prie vietinio tinklo ir jums reikia šių funkcijų darbui, turėtumėte naudoti trečiųjų šalių apsaugos įrankius. Pavyzdžiui, suaktyvinkite antivirusinę užkardą, kuri perims visų prievadų valdymą ir stebės, ar juose nėra prieigos prie leidimo.

Vadovaudamiesi aukščiau pateiktomis rekomendacijomis, galite apsisaugoti nuo nematomų, bet rimtų „Windows“ spragų ir apsaugoti savo duomenis nuo daugelio tipų kenkėjiškos programinės įrangos, kuri gali prasiskverbti į sistemą per 139 ir 445 prievadus.

Vakar nežinomi žmonės surengė dar vieną didžiulę ataką naudodami šifravimo virusą. Ekspertai teigė, kad nukentėjo dešimtys didelių įmonių Ukrainoje ir Rusijoje. Išpirkos reikalaujantis virusas vadinamas Petya.A (tikriausiai virusas pavadintas Petro Porošenkos vardu). Jie rašo, kad jei sukursite perfc failą (be plėtinio) ir įdėsite jį į C:\Windows\, virusas jus aplenks. Jei jūsų kompiuteris paleidžiamas iš naujo ir pradedamas „disko tikrinimas“, turite nedelsdami jį išjungti. Paleidus iš LiveCD arba USB disko, galėsite pasiekti failus. Kitas apsaugos būdas: uždarykite prievadus 1024–1035, 135 ir 445. Dabar pažiūrėsime, kaip tai padaryti naudojant Windows 10 pavyzdį.

1 žingsnis
Eime Windows ugniasienė(geriau pasirinkti padidintos saugos režimą), pasirinkite „ Papildomos parinktys».
Pasirinkite skirtuką " Įeinančių jungčių taisyklės", tada veiksmas" Sukurkite taisyklę“ (dešiniajame stulpelyje).

2 žingsnis
Pasirinkite taisyklės tipą - " už Port“ Kitame lange pasirinkite „ TCP protokolas“, nurodykite prievadus, kuriuos norite uždaryti. Mūsų atveju tai yra " 135, 445, 1024-1035 “ (be kabučių).

3 veiksmas
Pasirinkite elementą " Blokuoti ryšį“, kitame lange pažymime visus profilius: Domenas, privatus, viešas.

4 veiksmas
Belieka sugalvoti taisyklei pavadinimą (kad ją būtų lengva rasti ateityje). Galite nurodyti taisyklės aprašymą.

Jei kai kurios programos nustoja veikti arba veikia netinkamai, gali būti, kad užblokavote jų naudojamą prievadą. Užkardoje jiems reikės pridėti išimtį.

135 TCP prievadas naudojamas nuotolinių paslaugų (DHCP, DNS, WINS ir kt.) ir Microsoft kliento-serverio programose (pavyzdžiui, Exchange).

445 TCP prievadas naudojamas Microsoft Windows 2000 ir naujesnėje versijoje tiesioginei TCP/IP prieigai nenaudojant NetBIOS (pavyzdžiui, Active Directory).

Publikacija

Tinklo prievadai gali suteikti svarbios informacijos apie programas, kurios pasiekia kompiuterius tinkle. Žinodami programas, kurios naudoja tinklą ir atitinkamus tinklo prievadus, galite sukurti tikslias ugniasienės taisykles ir sukonfigūruoti pagrindinius kompiuterius taip, kad būtų leidžiamas tik naudingas srautas. Sukūrę tinklo profilį ir įdiegę įrankius tinklo srautui atpažinti, galite efektyviau aptikti įsibrovėlius – kartais tiesiog analizuodami jų generuojamą tinklo srautą. Šią temą pradėjome svarstyti pirmoje straipsnio dalyje, publikuoto ankstesniame žurnalo numeryje. Jame buvo pateikta pagrindinė informacija apie TCP/IP prievadus kaip tinklo saugumo pagrindą. 2 dalyje bus aprašyti kai kurie tinklo ir pagrindinio kompiuterio metodai, kurie gali būti naudojami nustatant tinkle klausančias programas. Vėliau straipsnyje kalbėsime apie tai, kaip įvertinti srautą, einantį per tinklą.

Tinklo programų blokavimas

Tinklo atakos paviršius yra įprastas terminas, apibūdinantis tinklo pažeidžiamumą. Daugelis tinklo atakų vyksta per pažeidžiamas programas, o atakos paviršius gali būti žymiai sumažintas sumažinus aktyvių programų skaičių tinkle. Kitaip tariant, turėtumėte išjungti nenaudojamas paslaugas, įdiegti užkardą tam skirtoje sistemoje, kad patikrintumėte srauto teisėtumą, ir sukurti išsamų prieigos kontrolės sąrašą (ACL) užkardai tinklo perimetro.

Kiekvienas atviras tinklo prievadas reiškia tinkle klausančią programą. Kiekvieno prie tinklo prijungto serverio atakos paviršius gali būti sumažintas išjungus visas neesmines tinklo paslaugas ir programas. „Windows Server 2003“ yra pranašesnė už ankstesnes operacinės sistemos versijas, nes pagal numatytuosius nustatymus įgalina mažiau tinklo paslaugų. Tačiau auditas vis tiek būtinas, norint aptikti naujai įdiegtas programas ir konfigūracijos pakeitimus, kurie atidaro nereikalingus tinklo prievadus.

Kiekvienas atidarytas prievadas yra potencialus užpakalinis užkardas užpuolikams išnaudoti pagrindinio kompiuterio programos erdves arba slapta pasiekti programą naudojant kito vartotojo vardą ir slaptažodį (arba naudoti kitą teisėtą autentifikavimo metodą). Bet kuriuo atveju svarbus pirmasis žingsnis siekiant apsaugoti tinklą yra tiesiog išjungti nenaudojamas tinklo programas.

Prievadų nuskaitymas

Prievadų nuskaitymas – tai klausymosi programų aptikimo procesas, aktyviai apklausiant kompiuterio ar kito tinklo įrenginio tinklo prievadus. Galimybė skaityti nuskaitymo rezultatus ir palyginti tinklo ataskaitas su pagrindinio prievado apklausos rezultatais leidžia susidaryti aiškų srauto, tekančio tinkle, vaizdą. Tinklo topologijos išmanymas yra svarbus rengiant strateginį planą konkrečių sričių skenavimui. Pavyzdžiui, nuskaitydami įvairius išorinius IP adresus, galite surinkti vertingų duomenų apie interneto užpuoliką. Todėl turėtumėte dažniau nuskaityti tinklą ir uždaryti visus nereikalingus tinklo prievadus.

Išorinio ugniasienės prievado nuskaitymas gali aptikti visas atsakončias paslaugas (pvz., žiniatinklį ar el. paštą), esančias vidiniuose serveriuose. Šie serveriai taip pat turėtų būti apsaugoti. Sukonfigūruokite pažįstamą prievadų skaitytuvą (pavyzdžiui, Network Mapper – Nmap), kad nuskaitytumėte norimą UDP arba TCP prievadų grupę. Paprastai TCP prievadų nuskaitymas yra patikimesnis nei UDP nuskaitymas dėl gilesnio TCP ryšio protokolų grįžtamojo ryšio. Yra „Nmap“ versijų, skirtų „Windows“ ir „Unix“. Pradėti pagrindinį nuskaitymą lengva, nors programa siūlo daug pažangesnių funkcijų. Norėdami rasti atvirus prievadus bandomajame kompiuteryje, paleidau komandą

N žemėlapis 192.168.0.161

1 ekrane rodomi nuskaitymo seanso rezultatai – šiuo atveju standartinės konfigūracijos Windows 2003 kompiuteris. Iš prievadų nuskaitymo surinkti duomenys rodo, kad yra šeši atviri TCP prievadai.

1 ekranas: pagrindinė Nmap nuskaitymo sesija

• 135 prievadą naudoja RPC galutinio taško susiejimo funkcija, randama daugelyje „Windows“ technologijų, tokių kaip COM/DCOM programos, DFS, įvykių registravimas, failų replikacija, pranešimų eilė ir „Microsoft Outlook“. Šį prievadą turėtų užblokuoti tinklo perimetro užkarda, tačiau sunku jį užblokuoti ir vis tiek išlaikyti „Windows“ funkcijas.
• 139 prievadą naudoja „NetBIOS“ seanso paslauga, kuri įgalina „Rasti kitus kompiuterius“ naršyklę, failų bendrinimo paslaugas, tinklo prisijungimą ir serverio paslaugą. Sunku uždaryti, kaip ir 135 prievadą.
• 445 prievadą „Windows“ naudoja failams bendrinti. Norėdami uždaryti šį prievadą, turite užblokuoti „Microsoft Networks“ failų ir spausdintuvų bendrinimą. Šio prievado uždarymas netrukdo kompiuteriui prisijungti prie kitų nuotolinių išteklių; tačiau kiti kompiuteriai negalės prisijungti prie šios sistemos.
• 1025 ir 1026 prievadai atidaromi dinamiškai ir naudojami kituose Windows sistemos procesuose, ypač įvairiose tarnybose.
• Prievadą 3389 naudoja nuotolinis darbalaukis, kuris nėra įjungtas pagal numatytuosius nustatymus, bet yra aktyvus mano bandomajame kompiuteryje. Norėdami uždaryti prievadą, eikite į skirtuką Nuotolinis dialogo lange Sistemos ypatybės ir išvalykite žymės langelį Leisti vartotojams nuotoliniu būdu prisijungti prie šio kompiuterio.

Būtinai ieškokite atvirų UDP prievadų ir uždarykite nereikalingus. Nuskaitymo programa rodo atvirus kompiuterio prievadus, kurie matomi iš tinklo. Panašius rezultatus galima gauti naudojant įrankius, esančius pagrindinėje sistemoje.

Pagrindinio kompiuterio nuskaitymas

Be tinklo prievadų skaitytuvo naudojimo, atidarytus prievadus pagrindinėje sistemoje galima aptikti naudojant šią komandą (paleisti pagrindinėje sistemoje):

Netstat -an

Ši komanda veikia tiek Windows, tiek UNIX. Netstat pateikia aktyvių kompiuterio prievadų sąrašą. „Windows 2003“ sistemoje „Windows XP“ turite pridėti parinktį -o, kad gautumėte atitinkamą programos identifikatorių (PID). 2 paveiksle parodyta to paties kompiuterio „Netstat“ išvestis, kuri buvo nuskaityta anksčiau. Atminkite, kad keli anksčiau aktyvūs prievadai yra uždaryti.

Ugniasienės žurnalo auditas

Kitas naudingas būdas aptikti tinklo programas, kurios siunčia arba gauna duomenis tinkle, yra rinkti ir analizuoti daugiau duomenų ugniasienės žurnale. Atmesti įrašus, teikiančius informaciją iš užkardos priekinės dalies, vargu ar bus naudinga dėl „triukšmo srauto“ (pvz., dėl kirminų, skaitytuvų, ping testavimo), kuris užkemša internetą. Bet jei registruojate leidžiamus paketus iš vidinės sąsajos, galite matyti visą gaunamą ir išeinantį tinklo srautą.

Norėdami matyti neapdorotus srauto duomenis tinkle, galite įdiegti tinklo analizatorių, kuris prisijungia prie tinklo ir įrašo visus aptiktus tinklo paketus. Plačiausiai naudojamas nemokamas tinklo analizatorius yra Tcpdump for UNIX (Windows versija vadinama Windump), kurią paprasta įdiegti kompiuteryje. Įdiegę programą, turėtumėte sukonfigūruoti ją taip, kad ji veiktų visų tinklo paketų priėmimo režimu, kad būtų galima užregistruoti visą srautą, tada prijungti ją prie tinklo jungiklio prievado monitoriaus ir stebėti visą srautą, einantį per tinklą. Prievado monitoriaus nustatymas bus aptartas toliau. Tcpdump yra ypač lanksti programa, kurią galima naudoti norint peržiūrėti tinklo srautą naudojant specializuotus filtrus ir rodyti tik informaciją apie IP adresus ir prievadus arba visus paketus. Sunku peržiūrėti tinklo sąvartynus dideliuose tinkluose be atitinkamų filtrų pagalbos, tačiau reikia pasirūpinti, kad neprarastumėte svarbių duomenų.

Komponentų derinimas

Iki šiol nagrinėjome įvairius metodus ir įrankius, kurie gali būti naudojami aptikti programas naudojant tinklą. Atėjo laikas juos sujungti ir parodyti, kaip nustatyti atvirus tinklo prievadus. Nuostabu, kokie plepi kompiuteriai yra tinkle! Pirmiausia rekomenduojama perskaityti Microsoft dokumentą „Paslaugų apžvalga ir tinklo prievado reikalavimai Windows Server sistemai“ ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), kuriame išvardyti protokolai (TCP ir UDP) ir prievadų numeriai, kuriuos naudoja programos ir dauguma pagrindinių „Windows Server“ paslaugų. Šiame dokumente aprašomos šios paslaugos ir susiję tinklo prievadai, kuriuos jos naudoja. Rekomenduojame atsisiųsti ir atsispausdinti šį naudingą informacinį vadovą, skirtą „Windows“ tinklo administratoriams.

Tinklo analizatoriaus nustatymas

Anksčiau buvo pažymėta, kad vienas iš būdų nustatyti programų naudojamus prievadus yra stebėti srautą tarp kompiuterių naudojant tinklo analizatorių. Norėdami pamatyti visą srautą, turite prijungti tinklo analizatorių prie jungiklio šakotuvo arba prievado monitoriaus. Kiekvienas šakotuvo prievadas mato visą srautą iš kiekvieno prie to koncentratoriaus prijungto kompiuterio, tačiau šakotuvai yra pasenusios technologijos ir dauguma įmonių juos pakeičia jungikliais, kurie užtikrina gerą našumą, tačiau juos sudėtinga analizuoti: kiekvienas komutatoriaus prievadas priima tik srautą, skirtą prie šio prievado prijungtas vienas kompiuteris. Norėdami analizuoti visą tinklą, turite stebėti srautą, siunčiamą į kiekvieną komutatoriaus prievadą.

Tam reikia jungiklyje nustatyti prievado monitorių (skirtingi pardavėjai jį vadina span prievadu arba veidrodiniu prievadu). Įdiegti prievado monitorių Cisco Catalyst jungiklyje iš Cisco Systems paprasta. Turite užsiregistruoti jungiklyje ir suaktyvinti įjungimo režimą, tada eikite į terminalo režimo konfigūravimą ir įveskite jungiklio prievado, į kurį turėtų būti siunčiamas visas stebimas srautas, sąsajos numerį. Galiausiai turite nurodyti visus stebimus prievadus. Pavyzdžiui, šios komandos stebi tris „Fast Ethernet“ prievadus ir persiunčia srauto kopiją į 24 prievadą.

Sąsaja FastEthernet0/24 prievado monitorius FastEthernet0/1 prievado monitorius FastEthernet0/2 prievado monitorius FastEthernet0/3 galas

Šiame pavyzdyje tinklo analizatorius, prijungtas prie 24 prievado, peržiūrės visą išeinantį ir įeinantį srautą iš kompiuterių, prijungtų prie pirmųjų trijų jungiklio prievadų. Norėdami peržiūrėti sukurtą konfigūraciją, įveskite komandą

Rašyti atmintį

Pradinė analizė

Pažvelkime į duomenų, perduodamų per tinklą, analizės pavyzdį. Jei tinklo analizei naudojate „Linux“ kompiuterį, galite visapusiškai suprasti tinklo paketų tipą ir dažnį naudodami tokią programą kaip IPTraf statistiniu režimu. Eismo informaciją galima rasti naudojant Tcpdump programą.

Kiekvieną dieną kompiuterių savininkai susiduria su daugybe pavojingų programų ir virusų, kurie kažkokiu būdu patenka į standųjį diską ir sukelia svarbių duomenų nutekėjimą, kompiuterio gedimą, svarbios informacijos vagystes ir kitas nemalonias situacijas.

Dažniausiai užkrėsti kompiuteriai, kuriuose veikia bet kurios versijos Windows OS, nesvarbu, ar tai 7, 8, 10 ar bet kuri kita. Pagrindinė šios statistikos priežastis yra įeinantys ryšiai su kompiuteriu arba „prievadai“, kurie yra bet kurios sistemos silpnoji vieta dėl jų prieinamumo pagal numatytuosius nustatymus.

Žodis „prievadas“ yra terminas, nurodantis įeinančių jungčių, nukreiptų į jūsų kompiuterį iš išorinės programinės įrangos, serijos numerį. Dažnai atsitinka taip, kad šiuos prievadus naudoja virusai, kurie gali lengvai įsiskverbti į jūsų kompiuterį naudodami IP tinklą.

Virusinė programinė įranga, tokiais įeinančiais ryšiais patekusi į kompiuterį, greitai užkrečia visus svarbius failus, ne tik vartotojo, bet ir sisteminius. Norėdami to išvengti, rekomenduojame uždaryti visus standartinius prievadus, kurie gali tapti jūsų pažeidžiamumu, kai juos užpuola įsilaužėliai.

Kokie yra labiausiai pažeidžiami „Windows 7-10“ prievadai?

Daugybė tyrimų ir ekspertų apklausų rodo, kad iki 80 % kenkėjiškų atakų ir įsilaužimų įvyko naudojant keturis pagrindinius prievadus, naudojamus greitam failų mainams tarp skirtingų Windows versijų:

• TCP prievadas 139, reikalingas nuotoliniam kompiuterio prijungimui ir valdymui;
• TCP prievadas 135, skirtas komandoms vykdyti;
• TCP prievadas 445, leidžiantis greitai perkelti failus;
• UDP prievadas 137, naudojamas greitai paieškai kompiuteryje.

135–139 ir 445 prievadų uždarymas sistemoje „Windows“.

Kviečiame susipažinti su paprasčiausiais Windows prievadų uždarymo būdais, kuriems nereikia papildomų žinių ar profesinių įgūdžių.

Naudojant komandinę eilutę

„Windows“ komandų eilutė yra programinės įrangos apvalkalas, naudojamas tam tikroms funkcijoms ir parametrams nurodyti programinei įrangai, kuri neturi savo grafinio apvalkalo.

Norėdami paleisti komandinę eilutę, turite:

1. Vienu metu paspauskite klavišų kombinaciją Win + R
2. Pasirodžiusioje komandų eilutėje įveskite CMD
3. Spustelėkite mygtuką „Gerai“.

Atsiras darbinis langas juodu fonu, kuriame po vieną turėsite įvesti šias komandas. Po kiekvienos įvestos eilutės paspauskite klavišą Enter, kad patvirtintumėte veiksmą.
netsh advfirewall ugniasienė pridėti taisyklę dir=in action=blokavimo protokolas=tcp localport=135 name=»Block1_TCP-135″(komanda uždaryti 135 prievadą)
netsh advfirewall ugniasienė pridėti taisyklę dir=in action=blokavimo protokolas=tcp localport=137 name=»Block1_TCP-137″(komanda uždaryti 137 prievadą)
netsh advfirewall ugniasienė pridėti taisyklę dir=in action=blokavimo protokolas=tcp localport=138 name=»Block1_TCP-138″(komanda uždaryti 138 prievadą)
netsh advfirewall ugniasienė pridėti taisyklę dir=in action=blokavimo protokolas=tcp localport=139 name=»Block_TCP-139″(komanda uždaryti 139 prievadą)
netsh advfirewall ugniasienė pridėti taisyklę dir=in action=blokavimo protokolas=tcp localport=445 name=»Block_TCP-445″(komanda uždaryti 445 prievadą)
netsh advfirewall ugniasienė pridėti taisyklę dir=in action=blokavimo protokolas=tcp localport=5000 name=»Block_TCP-5000″

Šešios mūsų pateiktos komandos yra būtinos: uždaryti 4 pažeidžiamus Windows TCP prievadus (atidaryti pagal numatytuosius nustatymus), uždaryti UDP prievadą 138 ir taip pat uždaryti prievadą 5000, kuris yra atsakingas už galimų paslaugų sąrašo rodymą.

Prievadų uždarymas naudojant trečiųjų šalių programas

Jei nenorite gaišti laiko dirbdami su komandine eilute, siūlome peržiūrėti trečiųjų šalių programas. Tokios programinės įrangos esmė yra automatiškai redaguoti registrą naudojant grafinę sąsają, nereikia rankiniu būdu įvesti komandų.

Pasak mūsų vartotojų, populiariausia šiems tikslams skirta programa yra „Windows Doors Cleaner“. Tai padės lengvai uždaryti prievadus kompiuteryje, kuriame veikia Windows 7/8/8.1/10. Deja, senesnės operacinių sistemų versijos nepalaikomos.

Kaip dirbti su programa, kuri uždaro prievadus

Norėdami naudoti „Windows Doors Cleaner“, turite:

1. Atsisiųskite programinę įrangą ir įdiekite ją
2. Paleiskite programą dešiniuoju pelės klavišu spustelėdami nuorodą ir pasirinkę „paleisti kaip administratorių“
3. Pasirodžiusiame darbiniame lange bus prievadų sąrašas ir mygtukai „Uždaryti“ arba „Išjungti“, kurie uždaro pažeidžiamus „Windows“ prievadus ir kitus norimus prievadus.
4. Atlikę reikiamus pakeitimus, turite iš naujo paleisti sistemą

Kitas programos privalumas yra tai, kad jos pagalba galite ne tik uždaryti, bet ir atidaryti.

Išvadų darymas

Pažeidžiamų tinklo prievadų uždarymas sistemoje „Windows“ nėra panacėja nuo visų ligų. Svarbu atsiminti, kad tinklo saugumą galima pasiekti tik visapusiškais veiksmais, kuriais siekiama pašalinti visas jūsų kompiuterio pažeidžiamumas.

Siekdamas „Windows“ saugumo, vartotojas turi įdiegti svarbius „Microsoft“ naujinimus, turėti licencijuotą antivirusinę programinę įrangą ir užkardą, naudoti išskirtinai saugią programinę įrangą ir reguliariai skaityti mūsų straipsnius, kuriuose kalbame apie visus esamus būdus, kaip pasiekti jūsų anonimiškumą ir saugumą. duomenis.

Ar žinote geresnių būdų uždaryti tinklo prievadus? Pasidalykite žiniomis komentaruose ir nepamirškite iš naujo paskelbti straipsnio savo puslapyje. Pasidalykite naudinga informacija su draugais ir nesuteikite programišiams progos pakenkti jūsų artimiesiems!

Kraujas, tai, kad jūsų užkarda rodo, kad svchost.exe klausosi tam tikro prievado, nereiškia, kad ji yra atvira prisijungti iš išorės.

Atrodo, kad jūsų taisyklės yra užrašytos ir turėtų veikti.

Ar bandėte tikrinti su prievadų skaitytuvais? – TsOB (saugos centras) (2.7 punktas)

Ir nepamirškite, kad taip pat turėsite patikrinti IPv6, nes... jis įjungtas jūsų sistemoje, bet skaitytuvai dažniausiai tikrina tik IPv4 (kalbu apie centralizuotas paslaugas).

Jei jums šio protokolo visai nereikia, galite jį išjungti:

Norėdami išjungti 6 versijos IP komponentus sistemoje Windows Vista, atlikite šiuos veiksmus:

1. Spustelėkite Pradėti, lauke Pradėti paiešką įveskite regedit, tada sąraše Programos pasirinkite regedit.exe.

2. Dialogo lange Vartotojo abonemento valdymas spustelėkite Tęsti.

3. Raskite ir pasirinkite šį dalinį registro raktą:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\

4. Dukart spustelėkite DisabledComponents, kad pakeistumėte DisabledComponents nustatymą.

Pastaba. Jei parametras DisabledComponents nepasiekiamas, jį reikia sukurti. Norėdami tai padaryti, atlikite toliau nurodytus veiksmus.

1. Meniu Redaguoti pasirinkite Naujas, tada DWORD reikšmė (32 bitų).

2. Įveskite DisabledComponents ir paspauskite ENTER.

3. Dukart spustelėkite DisabledComponents.

5. Įveskite bet kurią iš šių reikšmių, kad sukonfigūruotumėte IP versiją 6, tada spustelėkite Gerai.

1. Įveskite 0, kad įjungtumėte visus 6 versijos IP komponentus.

Pastaba. Reikšmė "0" yra numatytoji.

2. Įveskite 0xffffffff, kad išjungtumėte visus 6 versijos IP komponentus, išskyrus atgalinio ryšio sąsają. Pasirinkus šį nustatymą, „Windows Vista“ taip pat naudos 4 IP versiją, o ne IPv6 priešdėlių strategijose.

3. Įveskite 0x20, jei norite naudoti 4 IP versijos priešdėlio politiką, o ne 6 IP versiją.

4. Įveskite 0x10, kad išjungtumėte vietines IPv6 sąsajas.

5. Įveskite 0x01, kad išjungtumėte visas 6 versijos IP tunelio sąsajas.

6. Įveskite 0x11, kad išjungtumėte visas 6 versijos IP sąsajas, išskyrus grįžtamąją sąsają.

Pastabos

* Naudojant kitas reikšmes nei 0x0 arba 0x20, maršruto parinkimo ir nuotolinės prieigos paslauga gali sugesti.

*Kad pakeitimai įsigaliotų, turite iš naujo paleisti kompiuterį.

Šiame straipsnyje pateikta informacija taikoma šiems produktams.

* Windows Vista Enterprise

*Windows Vista Enterprise 64 bitų leidimas

* Windows Vista Home Basic 64 bitų leidimas

*Windows Vista Home Premium 64 bitų leidimas

*Windows Vista Ultimate 64 bitų leidimas

* Windows Vista Business

* Windows Vista Business 64 bitų leidimas

*Windows Vista Home Basic

*Windows Vista Home Premium

* Windows Vista Starter

*Windows Vista Ultimate

* Windows 7 Enterprise

* Windows 7 Home Basic

* Windows 7 Home Premium

* Windows 7 Professional

* Windows 7 Ultimate

* Windows Server 2008 R2 duomenų centras

*Windows Server 2008 R2 Enterprise

*Windows Server 2008 R2 Standard

* Windows Server 2008 duomenų centras

*Windows Server 2008 Enterprise

* Windows Server 2008 Standard

Šaltinis – http://support.microsoft.com/kb/929852

Atjungę ir paleidę iš naujo, jūs turite iš sąrašo, kurį gavo komanda ipconfig / all Išnyks krūva papildomų eilučių ir liks tik gerai žinomos sąsajos.

Pakartotinis įgalinimas atliekamas tiesiog ištrinant sukurtą raktą iš registro arba pakeičiant reikšmę „0“ ir paleidžiant iš naujo.