לא פעם אני רואה שאנשים משתמשים ב - FW של XP כ - FW שמגן עליהם אל מול האינטרנט
ה - FW של XP נבנה עם חשיבה של רשת כך שמנהל הרשת יכול לנהל אותו בצורות שונות
כולל בעזרת SCRIPTS.
לאן אני חותר חישבו ונסו את הדבר הבא:
הפעילו את ה - FW והריצו את הפקודה הבא מ - CMD:
netsh firewall set opmode disable
מה קיבלתם FW סגור כלומר מ - CMD ניתן לכבות את ה - FW
עכשיו נסו את הדבר הבא:
netsh firewall set service remoteadmin enable
netsh firewall set service remotedesktop enable
netsh firewall set service remotedesktop enable
אופס קיבלתם אפשרות שליטה ב - Remote desktop
עכשיו נניח שאתם רוצים לאפשר לתוכנה מסוימת לצאת החוצה:
netsh firewall add allowedprogram program="c:\windows\system32\calc.exe" name="calc" ENABLE scope=ALL profile=ALL
עכשיו שנו כיוון וחישבו בראש של התוקף. תוקף יכול לנצל פקודות אלו על מנת לשנות חוקים ב - FW ולאפשר לסוס הטוריאני שלו לצאת החוצה לכל מקום.
לא פעם הייתי צריך לנצל את הפקודות הנ"ל על מנת לאפשר עבודה יותר נוחה על המחשבים הניתקפים ו - MICROSOFT היו שם לעזור :)
5 תגובות:
פשוט אסור להשתמש ב-FW הזה. הוא לא רציני. מעבר לזה שהוא פשוט בפשוטים, הוא נועד רק להגנה מפני תקשורת נכנסת ולא יוצאת, כדי להקטין את הסיכוי להידבקות בתולעת במערכות של MS, שתדמית האבטחה של מוצרי MS לא תהיה כ"כ נמוכה.
אתה צריך להזכיר גם את WMIC כדי לסגור את המסלול ולהדליק מרחוק את השירותים האלה אם הם כבויים :)
גיא מסכים אבל שמרתי את הרעיון לנושא הנ"ל בפוסט אחר שבו אני ירחיב קצת על הנושא
תודה
שלום רב,
בכל מערכת הפעלה ישנם כלי ניהול. זה שחברות לא יודעות לרכוש תוכנות שלא מחיבות Local Admin(או לפעמים זה פשוט יותר "נוח") - זה לא אומר שיצרן מערכת ההפעלה אשם (ראה Iptables).
בברכה,
יובל סיני
אני דיי מסכים איתך יובל הבעייה המרכזית היא שמרבית הארגונים עובדים בצורה שכולם Administrators ולפעמים אכן צריך את זה לעבודה אבל עדיין לא לכולם.
אני חושב שצריך להגדיר קבוצות שונות בארגון ולאט לאט להסיר את ההרשאות מבלי לפגוע בעבודה השוטפת.
אבל זה תהליך לא פשוט שמנהל אבטחת המידע או מנהל ה - SYSTEM צריך לקבל על עצמו לבצע ויש כאן לא מעט פוליטיקות שנכנסות לתוך התהליך.
הוסף רשומת תגובה