Friday, June 28, 2013

Харденинг win7

Речь пойдет об отключении для Мира двух любимых портов Microsoft - 135/TCP и 445/TCP/UDP.

В целом, если поспрашивать у Google можно найти много вариантов отключения, однако пробуя их все я заметил, что работают они с разной степенью стабильности и, особенно упражняясь с 135, крайне несложно вообще угробить Windows, что крайне нежелательно. В частности, пробуя какой-то из вариантов я довел свой несчастный компьютер до вечного цикла перезагрузки.

445
Тушится остановкой двух сервисов:
  • Server
  • TCP/IP NetBIOS Helper
и переводом их в "Disabled".
После перезагрузки 445 не будет слушаться.

Отличный вариант предложил Citrix (http://support.citrix.com/article/CTX118386) , однако он не работает в 7, но прекрасно рабоатет в XP.

135
Просто косить службу Remote Procedure Call (RPC) - плохо - привычное поведение Windows будет весело удивлять новыми особенностями :) - когда вам будет грустно, играясь этим можно испрвить себе настроение. Не даром это нельзя сделать через интерфейс, но, безусловно, можно подправить в реестре. 
 Более работоспособным представляется вариант завешивания 135 на лупбэк (127.0.0.1). Очевидно, что MSRPC жизненно важный сервис (в этом можно убедиться поупражняясь его отключением через реестр), - понятия не имею почем MS не повесил его на лупбэк в дефолтной конфигурации, это же безопаснее.... но, видимо, безопасность, - не важная цель для MS, поэтому на протяжении уже скоро 20 лет, 135 доступен для подключения для Мира, прослушиваясь на всех интерфейсах ОС.
Для привязки 135 к 127.0.0.1 надо создать ключик реестра, файл .reg выглядит так:
C:\>type rpc-svs.reg
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Rpc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Rpc\Linkage]
"Bind"=hex:49,50,76,34,01,00,00,00,01,00,00,00,7f,00,00,00


C:\>


Импортировав это, и перегразившись мы увидим, что 135 слушается на лупбэке. Выглядит это так:
C:\>netstat -ano | find ":135"
  TCP    127.0.0.1:135          0.0.0.0:0              LISTENING       732

C:\>tasklist |find "732"
svchost.exe                    732 Services                   0      5 652 K

C:\>


Update 2013-07-01
Опыт применения в корп. сети показал низкую работоспособность такой безопасной конфигурации:
1. При остановке служб перестает работать DFS
2. Служба Print Spooler зависит от RPC, при завешенном 135 на лупбэке служба падает при попытке распечатать документ, как утверждает Win7 в своих логах "неожиданно".

При возвращении "обратно" (подъем служб и удалении соданной ветки реестра) - все начинает работать.