Здавалка
Главная | Обратная связь

Засоби аналізу захищеності

Лабораторна робота № 6

 

Виконав:

студент 422 групи

Аксентій Г.О.

Перевірив:

Гуржуй Р.Д.

 

Чернівці, 2013

Мета роботи:

Ознайомлення з інструментальними засобами аналізу захищеності.

Хід роботи:

1.Ознайомився з роботою MBSA.

2.Просканував комп’ютер з, використовуючи MBSA з налаштуваннями по замовчуванню.

3.Звіти про результати сканування комп’ютерів

 


Security assessment:
Potential Risk (One or more non-critical checks failed.)

 

Computer name: LAB9\PC10
IP address: 10.30.9.11
Security report name: LAB9 - PC10 (18.03.2013 16-43)
Scan date: 18.03.2013 16:43
Catalog synchronization date: Security updates scan not performed
   

 

Windows Scan Results

 

Administrative Vulnerabilities

 

Score Issue Result
Automatic Updates
The Automatic Updates feature is disabled on this computer.

 
Windows Firewall
Windows Firewall is enabled and has exceptions configured. Windows Firewall is enabled on all network connections.
Connection Name Firewall Exceptions
All Connections On Programs
Подключение по локальной сети On Programs*

 

    

 
Incomplete Updates
No incomplete software update installations were found.

 
Local Account Password Test
No user accounts have simple passwords.
User Weak Password Locked Out Disabled
HelpAssistant - - Disabled
SUPPORT_388945a0 - - Disabled
Гость - - Disabled
Администратор - - -

 

    

 
File System
All hard drives (2) are using the NTFS file system.
Drive Letter File System
C: NTFS
D: NTFS

 

    

 
Guest Account
The Guest account is disabled on this computer.

 
Restrict Anonymous
Computer is properly restricting anonymous access.

 
Administrators
No more than 2 Administrators were found on this computer.
User
Администратор

 

    

 
Password Expiration
This check was skipped because the computer is not joined to a domain.

 
Autologon
This check was skipped because the computer is not joined to a domain.

 

 

Additional System Information

 

Score Issue Result
Windows Version
Computer is running Microsoft Windows XP.

 
Auditing
This check was skipped because the computer is not joined to a domain.

 
Shares
3 share(s) are present on your computer.
Share Directory Share ACL Directory ACL
ADMIN$ C:\WINDOWS Admin Share BUILTIN\Пользователи - RX, BUILTIN\Опытные пользователи - RWXD, BUILTIN\Администраторы - F, NT AUTHORITY\SYSTEM - F
C$ C:\ Admin Share BUILTIN\Администраторы - F, NT AUTHORITY\SYSTEM - F, BUILTIN\Пользователи - RX, Все - RX
D$ D:\ Admin Share BUILTIN\Администраторы - F, NT AUTHORITY\SYSTEM - F, BUILTIN\Пользователи - RX, Все - RX

 

    

 
Services
Some potentially unnecessary services are installed.
Service State
Telnet Stopped

 

    

 

 

Internet Information Services (IIS) Scan Results

Score Issue Result
IIS Status
IIS is not running on this computer.

 

 

SQL Server Scan Results

Score Issue Result
SQL Server/MSDE Status
SQL Server and/or MSDE is not installed on this computer.

 

 

Desktop Application Scan Results

 

Administrative Vulnerabilities

 

Score Issue Result
IE Zones
Internet Explorer zones have secure settings for all users.

 
Macro Security
4 Microsoft Office product(s) are installed. No issues were found.
Issue User Advice
Microsoft Office Excel 2003 All Users No security issues were found.
Microsoft Office Outlook 2003 All Users No security issues were found.
Microsoft Office PowerPoint 2003 All Users No security issues were found.
Microsoft Office Word 2003 All Users No security issues were found.

 

    

 

4.Ознайомився з ПЗ XSpider.

 

5.Проаналізував налаштування програми XSpider


~~~~~~~~~ Save As ~~~~~~~~~

08.04.2013 - 17:17:44

~~~~~~~~~~~~~~~~~~~~~~~~~~~

Загруженные модули расширения сканера

сканируемые сервисы : 2940

расширение сканера безопасности : 373

скрипты для всех веб серверов 1 : 107

скрипты для всех веб серверов 2 : 57

скрипты для серверов MsIIS : 81

скрипты для серверов не MsIIS : 72

скрипты для серверов Lotus : 23

скрипты для серверов Netscape : 1

список директорий для WEB : 355

список директорий для FTP : 326

список вариантов CWD (ftp) : 47

словарь логинов для MySQL : 103

словарь паролей для MsSQL : 136

список комьюнити для SNMP : 2

список полей для Http-DoS : 24

список запросов для Http-DoS : 27

список полей для Ftp-DoS : 15

список команд для Ftp-DoS : 3

отпечатков http-серверов : 186

внешние модули уязвимостей : 844

 

 

Сбор данных по компьютеру "10.30.9.2"...

Дата и время сканирования: 08.04.2013 - 16:48:33

 

Данные на доступных DNS серверах по этому компьютеру отсутствуют

Компьютер не отвечает или с ним нет связи

 

 

Затраченное время = 00:00:43

 

Операция прервана пользователем

--------------------------------------------------------------------------------------------

 

 

Сбор данных по компьютеру "10.30.9.11"...

Дата и время сканирования: 08.04.2013 - 16:49:27

 

Имя компьютера "10.30.9.11" : PC10

Компьютер находится в сети (TTL = 128) >>>

Cеть класса A (максимальное число компьютеров 16.777.214)

 

TCP порты

- открытые : 3

- закрытые : 2937

- недоступные : 0

 

- NetBIOS

MAC-адрес: 00-13-8F-E1-47-07 >>>

 

Имя : PC10 >>>

Домен : LAB9 >>>

 

список ресурсов: >>>

IPC$ - pipe по умолчанию (Удаленный IPC)

D$ - диск по умолчанию (Стандартный общий ресурс) >>>>

ADMIN$ - диск по умолчанию (Удаленный Admin) >>>>

C$ - диск по умолчанию (Стандартный общий ресурс) >>>>

 

список пользователей: >>>

Admin

привилегии : Администратор >>>>

входов : 44

 

HelpAssistant

пользователь заблокирован

привилегии : Гость

полное имя : Учетная запись помощника для удаленного рабочего стола

комментарий : Учетная запись для предоставления удаленной помощи

входов : 0

 

SUPPORT_388945a0

пользователь заблокирован

привилегии : Гость

полное имя : CN=Microsoft Corporation,L=Redmond,S=Washington,C=US

комментарий : Это учетная запись поставщика для службы справки и поддержки

входов : 0

 

Администратор

привилегии : Администратор >>>>

комментарий : Встроенная учетная запись администратора компьютера/домена

входов : 0

 

Гость

пользователь заблокирован

привилегии : Гость

комментарий : Встроенная учетная запись для доступа гостей к компьютеру/домену

входов : 0

 

 

список сервисов: >>>

ALG - Служба шлюза уровня приложения

AudioSrv - Windows Audio

BITS - Фоновая интеллектуальная служба передачи (BITS)

Crypkey License - Crypkey License

CryptSvc - Службы криптографии

DcomLaunch - Запуск серверных процессов DCOM

DFServ - DFServ

Dhcp - DHCP-клиент

dmserver - Диспетчер логических дисков

Dnscache - DNS-клиент

ERSvc - Служба регистрации ошибок

Eventlog - Журнал событий

EventSystem - Система событий COM+

FastUserSwitchingCompatibility - Совместимость быстрого переключения пользователей

JavaQuickStarterService - Java Quick Starter

LanmanServer - Сервер

lanmanworkstation - Рабочая станция

LmHosts - Модуль поддержки NetBIOS через TCP/IP

MDM - Machine Debug Manager

Netman - Сетевые подключения

Nla - Служба сетевого расположения (NLA)

PlugPlay - Plug and Play

PolicyAgent - Службы IPSEC

ProtectedStorage - Защищенное хранилище

RasMan - Диспетчер подключений удаленного доступа

RemoteRegistry - Удаленный реестр

RpcSs - Удаленный вызов процедур (RPC)

SamSs - Диспетчер учетных записей безопасности

Schedule - Планировщик заданий

seclogon - Вторичный вход в систему

SENS - Уведомление о системных событиях

SharedAccess - Брандмауэр Windows/Общий доступ к Интернету (ICS)

ShellHWDetection - Определение оборудования оболочки

SPOOLER - Диспетчер очереди печати

srservice - Служба восстановления системы

SSDPSRV - Служба обнаружения SSDP

TapiSrv - Телефония

TermService - Службы терминалов

Themes - Темы

TrkWks - Клиент отслеживания изменившихся связей

W32Time - Служба времени Windows

WebClient - Веб-клиент

winmgmt - Инструментарий управления Windows

wscsvc - Центр обеспечения безопасности

wuauserv - Автоматическое обновление

WZCSVC - Беспроводная настройка

 

 

- сервис удаленного управления реестром >>>>

возможен удаленный доступ к реестру компьютера

 

описание уязвимости:

Remote registry access possible.

 

Solution:

This is not vulnerability, but if you don't use

it disable it in "services" panel.

By using this service intruder can plant

some programs in "Autorun" section ONLY if he already

have administrative privilegies in your system.

 

возможен полный доступ к ключу реестра >>>>>

HKEY_CLASSES_ROOT

 

возможен полный доступ к ключу реестра >>>>>

HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run

 

список значений: >>>

igfxtray - C:\WINDOWS\system32\igfxtray.exe

igfxhkcmd - C:\WINDOWS\system32\hkcmd.exe

igfxpers - C:\WINDOWS\system32\igfxpers.exe

RTHDCPL - RTHDCPL.EXE

SkyTel - SkyTel.EXE

Alcmtr - ALCMTR.EXE

SunJavaUpdateSched - "C:\Program Files\Java\jre6\bin\jusched.exe"

 

информация: >>>

владелец : Comp10

организация : CHNU

имя OC : Microsoft Windows XP

ID OC : 76456-028-3491936-22237

версия OC : 5.1

билд ОС : 2600

сервис-пак : Service Pack 3

системная директория : C:\WINDOWS

путь к инсталяции : E:\I386

 

информация: >>>

программная директория : C:\Program Files

директория CommonFiles : C:\Program Files\Common Files

директория Media : C:\WINDOWS\Media

 

- дополнительная информация

найдена уязвимость

не установлен Service Pack 1 для Windows XP >>>>

текущий : Service Pack 3

необходимо обновление - http://www.microsoft.com/windowsxp/

 

- дополнительная информация

некоректное использование файла виртуальной памяти >>>>

 

описание уязвимости:

The page file is used for virtual memory. It can contain sensitive

information such as usernames and passwords.

 

To have the page file automatically cleared on a reboot or shutdown

set the following Registry key settings:

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

Key: ClearPageFileAtShutdown

Value: 1

 

 

- дополнительная информация

слабое шифрование паролей >>>>

 

описание уязвимости:

It is a security risk to send your passwords out over the network

using LM (LanMan) authentication. It is recommended that you only

use NTLM.

 

Note: Disabling the LM Hash will break functionality with legacy

systems. I.E. Windows95/98 machines. To disable the LM hash set

the following Registry key settings:

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Control\Lsa

Key: LMCompatibilityLevel

Value: 2

 

 

- дополнительная информация

запущена служба Scheduler Service >>>

 

описание уязвимости:

If you do not use the Task scheduler you should disable the service.

The task scheduler is often used in malicious hacking attacks to run

trojan code. It has also been used in the past to elevate local privileges.

 

Disable Task Scheduler Service by setting the following registry key.

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Services\Schedule

Key: Start

Value: 4

 

 

- дополнительная информация

возможен автозапуск программ с CDROM-а >>>

 

описание уязвимости:

When Auto Run is enabled, CDROMs that are inserted into the CDROM drive

are automatically run. When a computer is in the reach of being physically

accessed, having a CDROM automatically run can lead to virus's and even

trojan horses being loaded onto your system.

 

Disable CD Auto Run. Set the following Registry key settings:

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Services\CDRom

Key: Autorun

Value: 0

 

 

- порт 135/tcp

сервис стандарта Win RPC >>>

 

- порт 445/tcp

 

- порт 123/udp

сервис NTP (Network Time Protocol) >>>

 

подозрение на существование уязвимости

возможно переполнение буфера в версиях под Linux и FreeBSD ::::

 

описание уязвимости:

Network Time Protocol Daemon (ntpd) shipped with many systems is vulnerable

to remote buffer overflow attack. It occurs when building response for

a query with large readvar argument. In almost all cases, ntpd is running

with superuser privileges, allowing to gain REMOTE ROOT ACCESS to timeserver.

 

Solution: Upgrade.

 

Url:

http://online.securityfocus.com/archive/1/174011

 

Найдено:

- замечаний : 14 >>>

- возможных предупреждений : 1 ::::

- предупреждений : 9 >>>>

- опасностей : 2 >>>>>

 

Затраченное время = 00:04:25

--------------------------------------------------------------------------------------------

 

 

Отчёт был помещен в файл "C:\Program Files\Positive Technologies\XSpider 6.50 Christmas Edition\Reports\XS7040.htm"

--------------------------------------------------------------------------------------------

 

 

Сбор данных по компьютеру "10.30.9.11"...

Дата и время сканирования: 08.04.2013 - 17:03:36

 

Имя компьютера "10.30.9.11" : PC10

Компьютер находится в сети (TTL = 128) >>>

Cеть класса A (максимальное число компьютеров 16.777.214)

 

TCP порты

- открытые : 3

- закрытые : 2937

- недоступные : 0

 

- NetBIOS

MAC-адрес: 00-13-8F-E1-47-07 >>>

 

Имя : PC10 >>>

Домен : LAB9 >>>

 

список ресурсов: >>>

IPC$ - pipe по умолчанию (Удаленный IPC)

D$ - диск по умолчанию (Стандартный общий ресурс) >>>>

ADMIN$ - диск по умолчанию (Удаленный Admin) >>>>

C$ - диск по умолчанию (Стандартный общий ресурс) >>>>

 

список пользователей: >>>

Admin

привилегии : Администратор >>>>

входов : 44

 

HelpAssistant

пользователь заблокирован

привилегии : Гость

полное имя : Учетная запись помощника для удаленного рабочего стола

комментарий : Учетная запись для предоставления удаленной помощи

входов : 0

 

SUPPORT_388945a0

пользователь заблокирован

привилегии : Гость

полное имя : CN=Microsoft Corporation,L=Redmond,S=Washington,C=US

комментарий : Это учетная запись поставщика для службы справки и поддержки

входов : 0

 

Администратор

привилегии : Администратор >>>>

комментарий : Встроенная учетная запись администратора компьютера/домена

входов : 0

 

Гость

пользователь заблокирован

привилегии : Гость

комментарий : Встроенная учетная запись для доступа гостей к компьютеру/домену

входов : 0

 

 

список сервисов: >>>

ALG - Служба шлюза уровня приложения

AudioSrv - Windows Audio

BITS - Фоновая интеллектуальная служба передачи (BITS)

Crypkey License - Crypkey License

CryptSvc - Службы криптографии

DcomLaunch - Запуск серверных процессов DCOM

DFServ - DFServ

Dhcp - DHCP-клиент

dmserver - Диспетчер логических дисков

Dnscache - DNS-клиент

ERSvc - Служба регистрации ошибок

Eventlog - Журнал событий

EventSystem - Система событий COM+

FastUserSwitchingCompatibility - Совместимость быстрого переключения пользователей

JavaQuickStarterService - Java Quick Starter

LanmanServer - Сервер

lanmanworkstation - Рабочая станция

LmHosts - Модуль поддержки NetBIOS через TCP/IP

MDM - Machine Debug Manager

Netman - Сетевые подключения

Nla - Служба сетевого расположения (NLA)

PlugPlay - Plug and Play

PolicyAgent - Службы IPSEC

ProtectedStorage - Защищенное хранилище

RasMan - Диспетчер подключений удаленного доступа

RemoteRegistry - Удаленный реестр

RpcSs - Удаленный вызов процедур (RPC)

SamSs - Диспетчер учетных записей безопасности

Schedule - Планировщик заданий

seclogon - Вторичный вход в систему

SENS - Уведомление о системных событиях

SharedAccess - Брандмауэр Windows/Общий доступ к Интернету (ICS)

ShellHWDetection - Определение оборудования оболочки

SPOOLER - Диспетчер очереди печати

srservice - Служба восстановления системы

SSDPSRV - Служба обнаружения SSDP

TapiSrv - Телефония

TermService - Службы терминалов

Themes - Темы

TrkWks - Клиент отслеживания изменившихся связей

W32Time - Служба времени Windows

WebClient - Веб-клиент

winmgmt - Инструментарий управления Windows

wscsvc - Центр обеспечения безопасности

wuauserv - Автоматическое обновление

WZCSVC - Беспроводная настройка

 

 

- сервис удаленного управления реестром >>>>

возможен удаленный доступ к реестру компьютера

 

описание уязвимости:

Remote registry access possible.

 

Solution:

This is not vulnerability, but if you don't use

it disable it in "services" panel.

By using this service intruder can plant

some programs in "Autorun" section ONLY if he already

have administrative privilegies in your system.

 

возможен полный доступ к ключу реестра >>>>>

HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run

 

список значений: >>>

igfxtray - C:\WINDOWS\system32\igfxtray.exe

igfxhkcmd - C:\WINDOWS\system32\hkcmd.exe

igfxpers - C:\WINDOWS\system32\igfxpers.exe

RTHDCPL - RTHDCPL.EXE

SkyTel - SkyTel.EXE

Alcmtr - ALCMTR.EXE

SunJavaUpdateSched - "C:\Program Files\Java\jre6\bin\jusched.exe"

 

информация: >>>

владелец : Comp10

организация : CHNU

имя OC : Microsoft Windows XP

ID OC : 76456-028-3491936-22237

версия OC : 5.1

билд ОС : 2600

сервис-пак : Service Pack 3

системная директория : C:\WINDOWS

путь к инсталяции : E:\I386

 

информация: >>>

программная директория : C:\Program Files

директория CommonFiles : C:\Program Files\Common Files

директория Media : C:\WINDOWS\Media

 

- дополнительная информация

найдена уязвимость

не установлен Service Pack 1 для Windows XP >>>>

текущий : Service Pack 3

необходимо обновление - http://www.microsoft.com/windowsxp/

 

- дополнительная информация

некоректное использование файла виртуальной памяти >>>>

 

описание уязвимости:

The page file is used for virtual memory. It can contain sensitive

information such as usernames and passwords.

 

To have the page file automatically cleared on a reboot or shutdown

set the following Registry key settings:

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

Key: ClearPageFileAtShutdown

Value: 1

 

 

- дополнительная информация

слабое шифрование паролей >>>>

 

описание уязвимости:

It is a security risk to send your passwords out over the network

using LM (LanMan) authentication. It is recommended that you only

use NTLM.

 

Note: Disabling the LM Hash will break functionality with legacy

systems. I.E. Windows95/98 machines. To disable the LM hash set

the following Registry key settings:

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Control\Lsa

Key: LMCompatibilityLevel

Value: 2

 

 

- дополнительная информация

запущена служба Scheduler Service >>>

 

описание уязвимости:

If you do not use the Task scheduler you should disable the service.

The task scheduler is often used in malicious hacking attacks to run

trojan code. It has also been used in the past to elevate local privileges.

 

Disable Task Scheduler Service by setting the following registry key.

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Services\Schedule

Key: Start

Value: 4

 

 

- дополнительная информация

возможен автозапуск программ с CDROM-а >>>

 

описание уязвимости:

When Auto Run is enabled, CDROMs that are inserted into the CDROM drive

are automatically run. When a computer is in the reach of being physically

accessed, having a CDROM automatically run can lead to virus's and even

trojan horses being loaded onto your system.

 

Disable CD Auto Run. Set the following Registry key settings:

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Services\CDRom

Key: Autorun

Value: 0

 

 

- порт 135/tcp

сервис стандарта Win RPC >>>

 

- порт 445/tcp

 

- порт 123/udp

сервис NTP (Network Time Protocol) >>>

 

подозрение на существование уязвимости

возможно переполнение буфера в версиях под Linux и FreeBSD ::::

 

описание уязвимости:

Network Time Protocol Daemon (ntpd) shipped with many systems is vulnerable

to remote buffer overflow attack. It occurs when building response for

a query with large readvar argument. In almost all cases, ntpd is running

with superuser privileges, allowing to gain REMOTE ROOT ACCESS to timeserver.

 

Solution: Upgrade.

 

Url:

http://online.securityfocus.com/archive/1/174011

 

Найдено:

- замечаний : 14 >>>

- возможных предупреждений : 1 ::::

- предупреждений : 9 >>>>

- опасностей : 1 >>>>>

 

Затраченное время = 00:04:44

--------------------------------------------------------------------------------------------

 

 

Отчёт был помещен в файл "C:\Program Files\Positive Technologies\XSpider 6.50 Christmas Edition\Reports\XS1499.htm"

--------------------------------------------------------------------------------------------

 

 

Сбор данных по компьютеру "10.30.9.11"...

Дата и время сканирования: 08.04.2013 - 17:11:58

 

Имя компьютера "10.30.9.11" : PC10

Компьютер находится в сети (TTL = 128) >>>

Cеть класса A (максимальное число компьютеров 16.777.214)

 

TCP порты

- открытые : 3

- закрытые : 2937

- недоступные : 0

 

- NetBIOS

MAC-адрес: 00-13-8F-E1-47-07 >>>

 

Имя : PC10 >>>

Домен : LAB9 >>>

 

список ресурсов: >>>

IPC$ - pipe по умолчанию (Удаленный IPC)

D$ - диск по умолчанию (Стандартный общий ресурс) >>>>

ADMIN$ - диск по умолчанию (Удаленный Admin) >>>>

C$ - диск по умолчанию (Стандартный общий ресурс) >>>>

 

список пользователей: >>>

Admin

привилегии : Администратор >>>>

входов : 44

 

HelpAssistant

пользователь заблокирован

привилегии : Гость

полное имя : Учетная запись помощника для удаленного рабочего стола

комментарий : Учетная запись для предоставления удаленной помощи

входов : 0

 

SUPPORT_388945a0

пользователь заблокирован

привилегии : Гость

полное имя : CN=Microsoft Corporation,L=Redmond,S=Washington,C=US

комментарий : Это учетная запись поставщика для службы справки и поддержки

входов : 0

 

Администратор

привилегии : Администратор >>>>

комментарий : Встроенная учетная запись администратора компьютера/домена

входов : 0

 

Гость

пользователь заблокирован

привилегии : Гость

комментарий : Встроенная учетная запись для доступа гостей к компьютеру/домену

входов : 0

 

 

список сервисов: >>>

ALG - Служба шлюза уровня приложения

AudioSrv - Windows Audio

BITS - Фоновая интеллектуальная служба передачи (BITS)

Crypkey License - Crypkey License

CryptSvc - Службы криптографии

DcomLaunch - Запуск серверных процессов DCOM

DFServ - DFServ

Dhcp - DHCP-клиент

dmserver - Диспетчер логических дисков

Dnscache - DNS-клиент

ERSvc - Служба регистрации ошибок

Eventlog - Журнал событий

EventSystem - Система событий COM+

FastUserSwitchingCompatibility - Совместимость быстрого переключения пользователей

JavaQuickStarterService - Java Quick Starter

LanmanServer - Сервер

lanmanworkstation - Рабочая станция

LmHosts - Модуль поддержки NetBIOS через TCP/IP

MDM - Machine Debug Manager

Netman - Сетевые подключения

Nla - Служба сетевого расположения (NLA)

PlugPlay - Plug and Play

PolicyAgent - Службы IPSEC

ProtectedStorage - Защищенное хранилище

RasMan - Диспетчер подключений удаленного доступа

RemoteRegistry - Удаленный реестр

RpcSs - Удаленный вызов процедур (RPC)

SamSs - Диспетчер учетных записей безопасности

Schedule - Планировщик заданий

seclogon - Вторичный вход в систему

SENS - Уведомление о системных событиях

SharedAccess - Брандмауэр Windows/Общий доступ к Интернету (ICS)

ShellHWDetection - Определение оборудования оболочки

SPOOLER - Диспетчер очереди печати

srservice - Служба восстановления системы

SSDPSRV - Служба обнаружения SSDP

TapiSrv - Телефония

TermService - Службы терминалов

Themes - Темы

TrkWks - Клиент отслеживания изменившихся связей

W32Time - Служба времени Windows

WebClient - Веб-клиент

winmgmt - Инструментарий управления Windows

wscsvc - Центр обеспечения безопасности

wuauserv - Автоматическое обновление

WZCSVC - Беспроводная настройка

 

 

- сервис удаленного управления реестром >>>>

возможен удаленный доступ к реестру компьютера

 

описание уязвимости:

Remote registry access possible.

 

Solution:

This is not vulnerability, but if you don't use

it disable it in "services" panel.

By using this service intruder can plant

some programs in "Autorun" section ONLY if he already

have administrative privilegies in your system.

 

возможен полный доступ к ключу реестра >>>>>

HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run

 

список значений: >>>

igfxtray - C:\WINDOWS\system32\igfxtray.exe

igfxhkcmd - C:\WINDOWS\system32\hkcmd.exe

igfxpers - C:\WINDOWS\system32\igfxpers.exe

RTHDCPL - RTHDCPL.EXE

SkyTel - SkyTel.EXE

Alcmtr - ALCMTR.EXE

SunJavaUpdateSched - "C:\Program Files\Java\jre6\bin\jusched.exe"

 

информация: >>>

владелец : Comp10

организация : CHNU

имя OC : Microsoft Windows XP

ID OC : 76456-028-3491936-22237

версия OC : 5.1

билд ОС : 2600

сервис-пак : Service Pack 3

системная директория : C:\WINDOWS

путь к инсталяции : E:\I386

 

информация: >>>

программная директория : C:\Program Files

директория CommonFiles : C:\Program Files\Common Files

директория Media : C:\WINDOWS\Media

 

- дополнительная информация

найдена уязвимость

не установлен Service Pack 1 для Windows XP >>>>

текущий : Service Pack 3

необходимо обновление - http://www.microsoft.com/windowsxp/

 

- дополнительная информация

некоректное использование файла виртуальной памяти >>>>

 

описание уязвимости:

The page file is used for virtual memory. It can contain sensitive

information such as usernames and passwords.

 

To have the page file automatically cleared on a reboot or shutdown

set the following Registry key settings:

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

Key: ClearPageFileAtShutdown

Value: 1

 

 

- дополнительная информация

слабое шифрование паролей >>>>

 

описание уязвимости:

It is a security risk to send your passwords out over the network

using LM (LanMan) authentication. It is recommended that you only

use NTLM.

 

Note: Disabling the LM Hash will break functionality with legacy

systems. I.E. Windows95/98 machines. To disable the LM hash set

the following Registry key settings:

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Control\Lsa

Key: LMCompatibilityLevel

Value: 2

 

 

- дополнительная информация

запущена служба Scheduler Service >>>

 

описание уязвимости:

If you do not use the Task scheduler you should disable the service.

The task scheduler is often used in malicious hacking attacks to run

trojan code. It has also been used in the past to elevate local privileges.

 

Disable Task Scheduler Service by setting the following registry key.

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Services\Schedule

Key: Start

Value: 4

 

 

- дополнительная информация

возможен автозапуск программ с CDROM-а >>>

 

описание уязвимости:

When Auto Run is enabled, CDROMs that are inserted into the CDROM drive

are automatically run. When a computer is in the reach of being physically

accessed, having a CDROM automatically run can lead to virus's and even

trojan horses being loaded onto your system.

 

Disable CD Auto Run. Set the following Registry key settings:

 

Hive: HKEY_LOCAL_MACHINE

Path: SYSTEM\CurrentControlSet\Services\CDRom

Key: Autorun

Value: 0

 

 

- порт 135/tcp

сервис стандарта Win RPC >>>

 

- порт 445/tcp

 

- порт 123/udp

сервис NTP (Network Time Protocol) >>>

 

подозрение на существование уязвимости

возможно переполнение буфера в версиях под Linux и FreeBSD ::::

 

описание уязвимости:

Network Time Protocol Daemon (ntpd) shipped with many systems is vulnerable

to remote buffer overflow attack. It occurs when building response for

a query with large readvar argument. In almost all cases, ntpd is running

with superuser privileges, allowing to gain REMOTE ROOT ACCESS to timeserver.

 

Solution: Upgrade.

 

Url:

http://online.securityfocus.com/archive/1/174011

 

Найдено:

- замечаний : 14 >>>

- возможных предупреждений : 1 ::::

- предупреждений : 9 >>>>

- опасностей : 1 >>>>>

 

Затраченное время = 00:04:47


Контрольні запитання:





©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.