|
WINDOWS
NT 4.0
Bevezető:
Ez sokak számára unalmas, felesleges, undorító téma,
de (néha) keveseknek is állhat a világ...
Tisztelt Rézbőrűek, Törzsfőnök, egyéb
Paranoiás Egyorrú Kétlábú Felhasználók Tollal a Hajukban
!!!
(Marha
rondán néztek ki, úgyhogy sok lesz az apróbötűs rész,
szemüveg, kávé legyen készenlétben, a kézfejtől, billentyűzettől
30-40 cm távolságra, mert ha leverjük akkor nem a klaviatúrára
borul a finom fekete nedü, hanem a szőnyegre (majd az
asszony felmossa), vagy a parkettára (kicsit szétkenjük
a lábunkkal, másnapra megszárad, és az asszony gyün
a sodrófával, hogy a skalpotoknak annyi, úgyhogy csak
óvatosan. ---szerk.)
Ezt
az oldalt "többszöri rugdosás után" próbáltam meg elkészíteni,
tervek szerint a Windows NT bíztonságáról...
Először
is lássuk, mi szükséges ahhoz, hogy az NT kommunikáljon
egy másik géppel
(a
tűzfalhasználóknak a következő "portokat" kell engedélyezni:
UDP (nbname, nbdatagram) TCP (nbsession) A tényleges
portszámok megtekinthetők a \WINNT\SYSTEM32\DRIVERS\ETC\services
helyen):
A
kommunikáció 2 részből áll. Az egyik az ún. SMB SERVER,
ami ahhoz szükséges, hogy a saját gépünkön megosztott
állományokat, gépünket mások is láthassák, a másik a
SMB KLIENS, ami ahhoz kell, hogy mások megosztott állományait,
gépét "lássuk" a hálózaton..Ezeket az összetevőket az
NT telepítéskor "felpakolja", de bármikor eltávolíthatjuk*,
de csak a felhasználói jogok beállítása, valamint az
összes általunk (sem) szükséges alkalmazások telepítése
(Office, Orifice (sicc innen büdös sápattarcú hekker,
előbb fürőggyé meg!!, stb...) után..)
*:Az
eltávolítás módja a következő: START/SETTINGS/CONTROL
PANEL/NETWORK (vagy jobb egérgommbal az asztalon levő
Network ikonon való kattintás/Tulajdonságok)
Services/SERVER (REMOVE) ez a
server komponens, WORKSTATION (REMOVE, ez a Computer
Browser eltávolításával is együtt jár, csak otthoni
gépnél ajánlott, ahol nincs szükség arra, hogy más gépeket,
megosztott állományokat is lássunk. Ez nem vonatkozik
az InterNETen keresztüli kommunikációra, ennek ellátása
a Remote Acces Service feladata)
Szóval csak bátran tessék REMOVEolny...
majd
ha ezzel végeztünk kattanjunk a Bindings (Kötések)re
onnan ráadásként még Disable (tiltás) a Remote Acces
Server-re a (All Servicesben), nyugi a RemoteAccesService
(továbbiakban: RAS) kliens ettől még működik...Még valami
A Remote Acces Servicesben A Dial-OUT ONLy legyen bekattanva,
így csak mi tudunk tárcsáznya...) Ha ezzel végeztünk
egy kellemes üzenet fogad bennünket hogy talán újra
kellene indítnya a Sziliciumszörnyet. De még ne vegyétek
ki a hajatokból a TOLLAT, nézzetek el a Start/Control
Panel/Servicesbe, és a TCP-IP NETBIOS Helper-re kattanva
az Automaticot írjátok át DISABLED (tiltott)ra, mivel
az SMB nélkül úccse működik...:)
Bátor
Vakmerő, Harcos paranoiás Indiánoknak:
A NETWORK SERVICESben az RPC Configuration-t is eltávolíthatják,
de akkor az NT LM Security Support Provider-t nem tudják
többé használni (Ez a Service a Súgó szerint támogatja
azon Távoli Eljáráshívásokat használó prg- kben is az
NT Biztonságot, melyek nem az NT szabványos csatornáit
használja a Kommunikációra, hanem MÁSokat..Hogy mik
ezek a MÁSok azt a Súgó (meg más se) kötötte az orromra,
úgyhogy az most nekiállt vérezni.
Most
már újraindíthatjuk a Masinát.Az Újraindítás után az
alábbi fájlokat helyezzük át a Winnt/System32 Könyvtárból,
hogy véletlenül se legyenek "használatban"
SRV.sys (\Winnt\system32\drivers)
Ő az SMB Server "hajtómotorja", RDR.sys(\winnt\system32\drivers)
, LMREPL.exe, Browser.dll, wkssvc.dll(\Winnt\system32)
ők az SMB Kliens motorok..)
Az SMB Server, Kliens ugyanis szükséges új felhasználó
létrehozásához is...
Ha
már itt tartunk: Jöjjenek a tippek arra vonatkozóan,
hogy miként is garázdálkodjunk a felhasználói jogokkal:
ÁLTALÁNOS
TIPPEK:
- Start/Programs/AdminTools/UserManager: Policies/Account
(Bocs de most angol nyelvű NT előtt ülök)
- Expires in (mikor járjon le a jelszó, célszerű megszabni
max. 1 hónapot (30), paranoiásoknak 2 hét
- Jelszó minimális hossza: 9 karakter (lehetőleg tartalmazzon
{...ő, ű, &...} és egyéb karaktereket, számokat,
használjuk ki az AltGr gomb (jobb oldali alt) adta előnyöket,
és egy kis papírfecnit, amire felírjuk, lehetőség szerint
ne szúrkájjuk skalpokkal tele, ne öncsük le kávéval,
mer' nem fogjuk tudni elolvasni...És ez rendkívül kellemetlen,
ha administrator szintű felhasználóról van szó..hehehehe...
Ha ez mégis előfordul, és tükör elött ülsz, valószínűeg
előadod a Rézbőrű
Indián átalakulása Vérvörös színű Vadállattá című (remélhetőleg)
egyszemélyes tragikomédiát...
- Jelöljük ki azt a rub-likát is, hogy az NT ne emlékezzen
az előző jelszavakra,...mer' minek, ...???
- A Felhasználóneveket át lehet nevezni mindenféle krikszkraksz
indián nevekké, lehetőleg a jelszónál javasolt hosszal,
és karaktereket is tartalmazzon, mint pl. Ł & @ đ ä
< > Đ [ ä stb...Ezt fejből maximum a Gondolatolvasó
Jövőbelátó Telepatikus Sápadtarcúak tudják megfejteni,
és ők is csak kristálygömbbel...
- OTTHONI HASZNÁLATRA 3 felhasználót célszerű létrehozni,
az egyiket soroljuk be az Administrator,
a másikat a Users, a 3.at pedig egyik csoportba se !!!
- Policies User Righst: "Kattancsuk be a Show Advanced
(Speciális) pipát, és szívjuk el, vagyis:
- Rendszer leállítása: Felhasználónként állítsuk be,
csoportot ne adjunk hozzá, mert minek??? Nem a csoport
hajtja a szekeret, hanem a user..:)) Ízlés szerint
- A rendszer teljesítményadatainak figyelése: Csak az
admin jogokkal rendelkező (átnevezett) felhasználót
adjuk hozzá, NE AZ ADMINISTRATOR CSOPORTOT!
{Továbbiakban (ADMIN)}
- Gép elérése hálózatból: Ez olyan üres legyen, hogy
a por, és a légypiszok, és a békepipa, meg a wodka se
látszódjon a tükörben sem (!!!)
- Állandó megosztott objektumok létrehozása: SENKI!
- Az Operációs rendszer részeként való működés: SENKI!
- Beégetett prg-k körny. értékeinek megváltoztatása:
ADMIN!
- Biztonsági Naplózás létrehozása: ADMIN, vagy SENKI!
- Fájlok és egyéb objektumok saját tulajdonba vétele:
Azt a 3. felhasználót adjuk hozzá, akit egyik csoportba
se soroltunk be..
- Fájlok, Könnytárak helyreállítása: ADMIN
- Folyamat token lecserélése: SENKI
- Folyamatok teljesítményadatainak figyelése: ADMIN
- Kvóták Növelése: ADMIN!
- Lapozófájl létrehozása: ADMIN!
- Log on as a batch job, service: SENKI!
- Log on locally: Administrators(ez most a csoport,
nem a user, mer különben nem enged tovább+ a 2 db felhasználó,
kiv az ADMIN-t , hiszen ő tagja a Administrators csoportnak)
- Memórialapok zárolása a memóriában, {munkaállomás
felvétele a tartományba}: SENKI !
- Naplózás felügyelete: ADMIN
- Programok debuggolása: ADMIN
- Rendszeridő megváltoztatása, szolgáltatók betöltése,
eltávolítása, tartalékmásolat készítése...,ütemezési
prioritás növelése: ADMIN
- Token objektum létrehozása, TÁVÍRÁNYÍTOTT RENDSZERLEÁLLÁS:
SENKI
- Szülőkönyvtár jogosultság mellőzése: ez egy érdekes
jog erről bővebben, ide default barátunk szerint mindenki
be van írva...de célszerűbb a SENKI!! Hogy ez mit a
takar???
NOS:
Az NTben nemcsak a fájlokhoz, hanem a könyvtárakhoz
is lehet jogokat rendelni...
Pl: A WINNT könyvtárhoz ha (ADMIN: Full Control, User1
CHANGE, System (Change) jogokat rendelünk,
de pl. van egy NTlog.log nevű fájl, amihez (EVERYONE
Full Control) is lehet, és ez a fájl az EVERYONE FULL
CONTROL lal jár el, valamint ha egy bármilyen fájl-t
belemásolunk,{ vagy a USER, vagy a SYSTEM telepítés
közben} a WINNT könyvtárba legyen dokumentum, akármi
az is felveheti az is a EVERYONE Full control-t anélkül
hogy rákérdezne, ha a "SZÜLŐKÖNYVTÁR JOG MELLŐZÉSÉHEZ"
van joga, ha NINCS:
- , akkor automatikusan felveszi a WINNT Könyvtár jogát
...( EZ gyakorlatilag a fájl számára egy korlát amin
semmilyen módon nem léphet túl, ennél kevesebb lehet
pl.: ADMIN: FULL CONTROL, SYSTEM : RX (olvasás), USER1
(RX), stb, de az EVERYONE (FULL CONTROL pl. már túl
sok, ehelyett már a Könyvtár jog fog működni)
- Amint ezt beállítottuk nekiállhatunk a Könyvtárak
, fájlok jogai etúlságosan "szabad"on szállonganak alapértelmezés
szerint::
- A syskey utasítással Lekódolhatjuk a fiókadatbázist,
ezt a kódot később frissíthetjük is,...
Ez alapértelmezés szerint sajnos feltörhető, bár több
mint a semmi, a Microsoft Honlapján állítólag letölthető
a javítás...
A Rendszerindító kulcsot célszerű minden jelszóváltásnál
frissíteni...
JELZÉSEK: C:\ -tegyük
fel, hogy ez az NT telepítője...
US1= Általunk létrehozott Administrator
US2= Általunk létrehozott Felhasználó, aki egyik csoportba sem tartozik
US3= Általunk létrehozott Felhasználó, aki a USER csoportba tartozik
Először is jelentkezzünk
be US2-ként, és az egész C:\ Meghajtót vegyük (Take Ownership) saját tulajdonba
Akinek az adott fájl
, könnytár, meghajtó (objektum) a tulajdona az bármikor
vissza/át-írhatja a jogokat...Tehát ez egy afféle végső
menedék is lehet az admiin. számára, ha egy rosszindulatú
felhasználó ki akarja tiltani vhonnan, de mivel mi normal
otthoni user-ek vagyunk csak nem vagyunk skizofrének,
saját magunk ellenségei...:)
Ha ezzel végeztünk
jelentkezzünk ki, és lépjünk be US1ként:
I.
Majd jöhet a JOGÁLLÍTÁS?
C:\ Könyvtárban
US1: Full Control
US3: Change(RWXD)
System: Change ("Replace Permissions onSubdirectories"
; "Replace Permissions on Existing Files")
Ez
elszöszmötöl egy darabig, közben ihatunk némi kávét....,
vagy egyebet, elszívhatunk egy békepipát, békapapát,
ízlés szerint..
II: C:\
US1: Full Control , System Change ("Replace Permissions
on Existing Files)
Paranoiások tovább ragozhatják, pl. boot.ini, ntdetect.com,
ntldr, csak RX mind a US1nek, mind a Systemnek
A Pagefile.sys-t mivel használatban van, nem tudjuk
át írni, nem is kell,
III. C:\WINNT Könyvtárban jelöljük ki a .exe ; . dll
; .ocx fájlokat, win.ini, system.ini és ("Replace Permissions
on Existing Files")
US1: Full Control
US3: RX
System: RX
Kivéve: a poledit.exe
(csAK NT4Serverben), regedit.exe- ezekre csak US1: Full Control
System: RX-et adjunk
REM: Nem adhatunk mindenhova RX-t , pl. naplófájlokba minden felh. kell
hogy írjon,
Pl: a nsreg.dat-ba ha nincs egy usernek írási joga nem műkszik a netsapka
Navigator 4.7x sem...
És így tova....az alkönyvtárakban is...baromi lassú munka , fárasztó,
igazi MAZOCHIZMUS....
A \Winnt\system32 könnytárban van néhány fájl, ahol megfontolandó a US3
engedélyezése még RX szinten is..
Ezek:
- at.exe (Ezzel lehet létrehozni időzített feladatokat...Letilthatjuk
pluszban olyan módon is hogy a
StartMenu/Settings/Control Panel/Servicesben a Task Scheduler(Scheduler)-t
Disabled (tiltott)ra veszzük, és
leállítjuk
- format
- convert
- control
- usmgr
- chkdsk
- autoconv
- autochk , stb.. további info az NTsúgóban, kézikönyvben, hadd ne soroljam
fel az egész hóbelevancot...:))
Bár állítólag a "Security
Policy Editor"-ral mindez könnyebben megvalósítható, nekem ez sajnos nem
áll rendelkezésre...egyszer letöltöttem, aztán ügyesen rossz könyvtárba
tettem, amit később ledörgöltem...
Ilyen hibákat egy
jó Indián nem követhet el, ezé' én nem is tartom magam indiánnak, se sápattarcúnak,
se
stb...
EGYÉB:
Csak Windows NT
Server-eseknek :
Használjuk ki a System
Policy Editor nyujtotta előnyöket a User/Systemben Használjuk a Disable
Registry Editing Tools-t
/Local Computerben a WINDOWS NT System/Logon ban a Do not display last
logged user name..
és a kkor a NT nem jegyzi meg az utolsó bejelentkezőnek a nevét...
Ezeket el lehet végezni
a WStationban is a regisztrációs Database szerkeztésével, de attól egy
csöppet el vagyok szokva...
Úgyhogy momentán most férfias rézbőrűséggel beismerve nem'tom hol...
MÁS:
Melyik
Böngészőt használjuk (IE 5.0x vs. Nescape 4.7x
)?
I:
Először is a titkosítás erősségét vegyük mindjárt 128
bitesrre, ellenőrzésképpen ha a \Winnt\system32ben szerepel
a rsaenh.dll, akkor 128 bitesek vagyunk...
II.: Az IE használata közismerten kényelmesebb, bár kevésbé biztonságosabb,
legalábbis az előbbi használata
során 2hetente nem árt az MS honlapján javítócsomagot keresgélni...
A Netsapka pedig sajna kissé koramult, nem minden honlapocska
megjelenítésére alkalmas kellő mértékben...
Igazából ízlés dolga, legalábbis szerintem,...
Melyik
Tűzfalat használjuk???
- AtGuard: Kissé nehezen
kezelhető, Viszont Totálisan testre szabható egyéni, egyedi Böngészőszokásoknak
megfelelően,
igazán kiváló
- Black Ice: Pofonegyszerűen kezelhető, Intelligens Sápadtarcú elhárító....
- ZoneAlarm: Még nem volt hozzája szerencsém
- guardIT: Sajnos őhozzája sem...Bár ígéretesnek hangzik, ha valóban el
tudja rejteni az IPcímet...www.ca.com
- LockDown 2000: Egy korábbi .5.0-s verzió a port scan ellen nem védett
kellően, az ICMP-t nem vizsgálta
viszont van beépített whois keresője...(AZ adott IPtartomány üzemeltetőiről
ad info-t pl:
145.236.1.1- 145.236.255.255)
NIS 2K: Csak abból a verzióbol tudtam Trialt szerezni (1.0) amelyik épp
nem futott Nt alól grrrrr
Én
eddig a AtGuard + Black Ice párpoítást használtam, teljes
sikerrel !!!
Melyik
Víruskeresőt használjuk???
- Hát ez végképp kinek
kinek a gépét válogatja, bár NT 4 Server esetében némileg talán csökken
az ellátottság
De::
A
Norton AntiVirus 2000 for Windows Nt4 használata kerülendő!!!!!!!
Manuális keresés közben
amint elér egy spec. fájlhoz, keresés közben Dr. Watson kiséretével eltávozik
a Rendszerből,
és a Számítógép Újraindításáig nem fog működni, a kisikon a jobbalsó sarokban
megmarad, a szolg-tatások között
is szerepel, csak mintegy lebénulva teljesen feleslegesen....
Az eset Katasztrofális
is lehet ugyanis, ha emil-mellékletként 2 fájlt küld át egy sápadtarcú,
rosszabb esetben a
2 fájl-t ötvözi...akkor mivel a spec. fájl "szétlőtte" a Norton-t a második
akár virus is lehet , a Norton oda se bagózik rá...
A Spec fájl. minden
Win felhasználó rendelkezésére áll, ugyanis része a MS IE 5.x telepítőkészletének,
azonbelül
a Virtual Machine-nak, konkrétan a "WFC" csomagnak...Amint a Norton
kiírja a Scanning in compressed file wfc.zip-et másodperceken belül temethetjük
a víruskeresőt....
Elszáll!!!"...Dr. Watson acces violation..."
Ez rendkívül bosszantó, ugyanis az NT-t eleve biztonságra érzékenyebb
helyen használják,
sajnos a hiba nem gépfüggő,
Cyrix266-os, valamint 2 db Intel Celeronon is le lett tesztelve, még a
teszt idejére a Everyone FULL CONTROL is engedélyezve volt az egész winchesteren....A
HIba Windows NT Server alatt is fellépett SP6(a)val is...
Hát ez van....Uff, én beszéltem....
Gekaichromage
|
