Наверное, не совсем правильно сформулировал вопрос.
Какие службы Windows 2000/XP должны работать на ПК являющимся шлюзом с установленным KWF?
На форуме
http://forum.ixbt.com/topic.cgi?id=7:12821-2 по этому поводу даны следующие рекомендации:
BotFighter
Рекомендации по выбору и настройке ОС под шлюз WinRoute:
По поводу процессов - подозрительных до чёртиков, а также паразитных, т.е. с большой вероятностью никак не используемых в работе, но занимающих ресурсы:
coolsrv.exe
logon.scr
logonui.exe
mdialer32.exe
mixer.exe
svchost.exe (подозрительно много экземпляров)
tcpsvcs.exe
vssvc.exe
wdfmdr.exe
winlogon.exe (один - лишний)
Держать XP со столькими процессами на шлюзе, да ещё и столь слабо прикрытую WR (судя по правилам) - большой-большой риск. Я бы даже сказал, экстрим..
________________________________________
Примите добрый совет - заберите данные куда-нибудь ещё, покуда они целы и не стали достоянием гласности, полностью очистите HDD на шлюзовой машине, переустановите систему с нуля, желательно на Win 2000 (неважно, Pro или Server), отключите в ней DCOM (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole -> "Enable DCOM" = "N"), выбейте всё из всех автозагрузок и лишние процессы так, чтобы осталось всего-то ничего:
KAV Monitor Service
Kerio WinRoute Firewall
Plug and Play
Диспетчер подключений удаленного доступа
Диспетчер учетных записей безопасности
Журнал событий
Защищенное хранилище
Сетевые подключения
Служба RunAs
Телефония
Удаленный вызов процедур (RPC)
В свойствах сетевых подключений уберите привязку ко всему, кроме TCP/IP.
Воспользуйтесь типовыми схемами настройки WR, что даны по ссылке ровно над первым постом этой страницы. А вот потом можно будет и возникшие вопросы порешать
Примите добрый совет - заберите данные куда-нибудь ещё, покуда они целы и не стали достоянием гласности, полностью очистите HDD на шлюзовой машине, переустановите систему с нуля, желательно на Win 2000 (неважно, Pro или Server), отключите в ней DCOM (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole -> "Enable DCOM" = "N"), выбейте всё из всех автозагрузок и лишние процессы так, чтобы осталось всего-то ничего:
KAV Monitor Service
Kerio WinRoute Firewall
Plug and Play
Диспетчер подключений удаленного доступа
Диспетчер учетных записей безопасности
Журнал событий
Защищенное хранилище
Сетевые подключения
Служба RunAs
Телефония
Удаленный вызов процедур (RPC)
В свойствах сетевых подключений уберите привязку ко всему, кроме TCP/IP.
Воспользуйтесь типовыми схемами настройки WR, что даны по ссылке ровно над первым постом этой страницы. А вот потом можно будет и возникшие вопросы порешать.
В моем случае применение подобных рекомендации дает не совсем корректные логи в log->connection, соединения которые исходят от абонента в некоторых случаях приписываются ПК являющимся KWF
например
23/Oct/2005 13:54:37] [ID] 63042 [Rule] Firewall Traffic [Service] POP3 [Connection] TCP proksi:1181 -> 10.0.0.2:110 [Duration] 81 sec [Bytes] 0/88/88 [Packets] 0/2/2
