» проверка целостности системы

сабж.
хочется, значит, такую прогу чтобы сканировала файлы (системные, а может и ещё чего) по расписанию и отчёт либо мне отправляла, либо куда-то клала в файл, либо в event log писала.

В Linux я бы тебе tripwire посоветовал

leputain
А если вынь - то Adinf

это drweb'овский что-ли? это ж антивирус..

Adinf - отстой, имхо.

Только и может вопить "Ой, похоже на вирус" там где этого и близко нет.

Demetrio
Так ведь настраивать надо... Я например до сих пор не нашел ему достойной замены, и мне глубоко все-равно что его интерфейс остался на уровне 88-го года.
С учетом того, что даже два антивирусника могут пропустить вирус, как еще ты сможешь гарантировать что ни одна компонента системы не изменилась?

leputain
Чем не устраивает sfc+планировщик?

Karlsberg

Цитата:

Я например до сих пор не нашел ему достойной замены

а как же "KAV Inspector для Windows"?
можно отдельно "KAV Inspector v3.5",
можно из состава "KAV Personal Pro v4.5.0.94"
PS
на работе у меня стоит "KAV Personal v5.0.142" + "Adinf"
дома - "KAV Personal Pro v4.5.0.94" (сканер + инспектор)

Цитата:

sfc+планировщик

ну он ведь не будет ругаться если в автозагрузке что-то невирусное появится, а я даже этого не хочу. хочется, вообще, комплексной проверки, конечно %systemroot% и %systemroot%\system32 проверять, заглядывать чтобы в run, runonce (и т.п.) и среди сервисов ничего нового не появилось, чтобы драйвера никакие новые не оказались поставленными, чтобы аппаратная конфигурация не изменилась..
а вирусы - антириусом ловить
конечно подразумевается, что я вначале всё поставил сам, поставил драйвера, настроил сервисы, автозапускаемые проги и дальше запустил нечто, что будет ругаться, если кто-то что-то провернёт..

Добавлено
вот я нашёл http://osiris.shmoo.com, смотрю...

Tim72

Цитата:

а как же "KAV Inspector для Windows"?

Так уж сложилось исторически - любой продукт касперского приводит к каким-нибудь проблемам на моем компьютере. Впрочем, в последнее время ситуация меняется. Вторая причина - КАВ инспектор, насколько я понимаю, идет только в паре с антивирусом, а Адинф - отдельный продукт.
Чего-то я не нахожу инфы о нем на хомяке касперыча, не подскажешь где есть?

вспомнил!
вот как называется то, что мне нужно - обнаружение вторжений. intrusion detection.
имеется ввиду, что появление чего-то нового в автозагрузке = вторжению, или изменения в драйверах у юзера, который не знает, что такое драйвера..

leputain

Насколько мне известно, intrusion detection - это довесок к файерволу который по определенному паттерну может определить попытку атаки.

ааааааа! нажал отправить и не отправилось, печатаю заново.
начитался сейчас на збугорных секьюрных сайтах про ids (intrusion detection system).
honeypot тоже ids, но это ж не довесок к файрволу, а целая система, хост.
ids бывают двух типов - nids и hids. network- и host-based-.
первый - network ids - является обычно либо довеском к файрволу (Karlsberg;)) либо отдельным хостом-фильтром через который идёт весь траффик, который как раз таки и анализируется на соответствие паттерну (что сложнее, т.к. это замедляет + нет паттерна для атаки, которую придумаю завтра imho) либо на присутствие аномалии (сетевая активность за пределами рабочего дня, обращение к другой сети/подсети).
ух. передохну.

honeypot относится как раз ко вторым, host-based ids. но это просто ловушка, а я о рабочих станциях:
вот меня интересует hids на аномалию выражение-то какое!
такая штука ставится на свежий, настроенный хост, админ делает после настройки снапшот, тот кладётся на сервер (например), дальше по шедулеру делаются сверки с снапшотом. есть аномалия - обращаем внимание.
надо админу что-то поднастроить, он настраивает, делает новый снапшот и кладёт его на сервер.

(может статейку написать?)

я на serverfiles.com нашел след. штуки:
http://www.winalysis.com/wnaly300.exe
http://www.runtimeware.com/Sentinel2.zip
все дружно качаем и гоняем их =)

ну хоть кому-нить интересен этот вопрос также как и мне, а?

Karlsberg

Цитата:

идет только в паре с антивирусом

можно установить только Инспектор, некоторве знакомые так и делают, или пользовать "отдельный продукт" - "KAV Inspector v3.5"...

а вообще по-пути, хочется заметить - ну и цены у американцев на лицензии на такие проги. супер. золотая жила просто.

а у меня корыстная цель - облегчить себе жизнь. radmin классная штука. хочу больше классных штук



Добавлено
косячок вышел. к winalysis есть кряк, но он не заметил изменение acl на корне и системной папке. да и тестирование + сравнение с снапшотом делается вручную (но зато быстро). не, ну вы представляете? не заметил изменение acl. а должен? ну у меня ж админские права, и я могу читать acl. видимо, авторы не предусмотрели. мда...

leputain

Цитата:

ну хоть кому-нить интересен этот вопрос также как и мне, а?

Очччень интересен. Но меня интересует такая фича в пределах одного компьютера, а не в пределах локалки.

Цитата:

либо отдельным хостом-фильтром

ничего не мешает выделить для файервола с IDS отдельную писишку, и получится отдельный хост

Tim72

Цитата:

KAV Inspector v3.5

А где его хомяк находится? Обыскался на касперском

уррааааа!
winalysis!
просто был выключен фильтр на security на volumes.
далее: встроенные шедулер и архиватор eventlog'ов.
+там очень интересная выборка по user'ам. мол, у кого были неудачные логоны, у кого пустые пароли, ну вообще! пока что я в восторге.
снапшоты, сравнения, всё пучком.

Добавлено
ну, конечно, наверно у него шедулер опирается на виндовский.
короче обалденая ids (для сети) и system integrity monitor (для дома) в одном флаконе.

Добавлено
ах, снова косяк. если запиндюрить тот ключик, что я нашёл. то не сканирует. видимо как-то сечёт фишку.

Добавлено

Цитата:

Features

Monitor for changes to files, the registry, users, groups, security policies, services, shares, scheduled jobs, the system environment and more.

Archive Event logs from multiple machines to a central database. Generate reports from the event log archive in a variety of formats including HTML and XML.

Monitor remote computers from a central location. There is no need to install Winalysis on the remote machines.

Real-time notification of critical events through email, net send, event log, user defined scripts and SNMP Traps.

Convert selected event log messages to SNMP Traps.

Restore files and/or the registry from compressed snapshots with the ability to undo a restore at any time.

Built-in and user defined reports help you find security vulnerabilities in your Active Directory or NT user account databases (e.g. password not required, failed login attempts, ...).

ну разве не прелесть?
и ложка дёгтя:

Цитата:

Standard License (per computer):
$55 USD for Windows XP/NT/2000

Site License: ($1000 USD)
Monitor up to 25 computers.

Enterprise License: ($2500 USD)
Monitor any number of computers.

Не знаю, как там у админов в локалке, сам "админ" в домашнем ящике, возможно, цели до конца не понял, извините.
Представь, работаешь, никого не трогаешь, тут "тронули" тебя, прописав в автозагрузку что-нить, ты перегрузился "что-нить" запустилось, чего-нить заразила, или прибила, или просто запустилось, а ты не хотел этого... тут, наконец-то! подошло время сверяться со снапшотом. Ну те и покажет, что у вас в автозагрузке неведомая запись, а толку... поезд уже в пути.
По-моему, болезнь дешевле предупредить..., т.е. настроить разрешения, как на папки, так и на разделы реестра, в конце концов повесить в трей "сторожа", чтобы следил за указанными разделами реестра, скажем, этого http://maxcomputing.narod.ru/ , если устанавливаешь "правильную" программу, которая что-то пишет в RUN и etc, то разрешаешь, все остальное без твоего ведома не пропишется и самое главное, не запустится.
+
файрволл
антивирь
SFC при каждой загрузке и\или выгрузке
в инет ходим не под админом

Цитата:

среди сервисов ничего нового не появилось, чтобы драйвера никакие новые не оказались поставленными

Кем поставленные? Права на что?

Цитата:

ааааааа! нажал отправить и не отправилось, печатаю заново.

с нашей связью, да на мопеде, перед тем, как "Отправить" руки сами жамкают Ctrl+C своего поста.

ну да..
щас спою
во-первых, я параноик.
сразу вспомнил фразу с одного сайта - ids средство от паранойи
"поезд" если и пропишется, то не пойдёт. просто хочется в чистоте содержать всё.

а файрвол и антивирь само собой. sfc - да. в инет - юзером.
и всё равно зачем-то обновляются же базы антивирей, паттернов для ids.. а если проблема изнутри (а это 80%, по данным http://www.windowsecurity.com/articles/Intrusion_Detection_FAQ.html )? файрвол незачем. а если юзер попытается подбирать пароль, поднять привелегии?

System Safety Monitor - стоит внимания. гляну.


Добавлено

Цитата:

прописав в автозагрузку что-нить, ты перегрузился "что-нить"

в конце-концов можно просто запретить запись в эти ветки в реестре юзеру/юзерам.
но для чистоты сравниваться надо.

у нас тётеньки вообще только включают и выключают комп, бллин. так что теоретически успеет сравниться до задействования. + там есть фича восстановления того, в чём есть разность или алерта по разности, так что узнаем своевременно.

KLASS
Все что ты сказал, конечно, правильно, но остается одна дырка - какой-нибудь эксплоит, получающий привелегии админа и ставящий в систему свою компоненту, которая еще не вошла в антивирусные базы. Может SSM здесь поможет, а может и нет.

Цитата:

SFC при каждой загрузке и\или выгрузке

А чего это за зверь?

system file checker / windows file protection по-другому. встроена в xp/2003, и в 2000 начиная с какого-то сервис пака (м.б. 3), короче в 4 точно есть. дальше сам - sfc /?

Цитата:

а если проблема изнутри

Если "посвященных" более чем 2, это уже не сеть, а одна сплошная дыра. Вдвоем легче разобраться, кто есть не прав, а админ на то и голова, чтобы не давать устраивать беспредел, если юзер оказался хакером-докладную, или его поставить админом

Цитата:

а если юзер попытается подбирать пароль, поднять привелегии?

Цитата:

у нас тётеньки вообще только включают и выключают комп

Исключающие друг друга фразы Потом, пассы менять надо, периодически.

Цитата:

и всё равно зачем-то обновляются же базы антивирей, паттернов для ids..

Ну, антивирь может помочь там, где уже не помогло все остальное, т.е. настроенное до того как... и потом, антивирь это больше для админа, который ставит\удаляет..., проверился-поставил.
Возможно я просто не жил в локалке.

Цитата:

какой-нибудь эксплоит, получающий привелегии админа и ставящий в систему свою компоненту

Приведи пож. конкретный пример, а то не понятно, потом SSM отслеживает все, что запускается в ящике.

Цитата:

А чего это за зверь?

SFC /?

да этот ssm может и помочь. его можно натравить на опасные пути. но проще тот же winalysis натравить на всё, каждые полчаса. но а хотфиксы и обновления помогут от эксплоита. + конкретно в моём случае сеть не постоянно соединена с www, у нас только диалап так что обновлюсь скорее чем подвергнусь, или нет?

Добавлено

Цитата:

посвященных

???

Добавлено

Цитата:

пассы менять надо, периодически

42 дня max, 20 последних помнит, за 14 до напоминает , никаких plain и blank

Добавлено
-а если юзер попытается подбирать пароль, поднять привелегии?
-у нас тётеньки вообще только включают и выключают комп
Исключающие друг друга фразы

не понимаю - чем они друг друга исключают? я не издеваюсь, а просто сонный.. можно подробней?


Добавлено
читая всё это - мысль - пора делать faq/guide по тотальной baseline настройке сервера/рабочей станции.

Добавлено
и всё же. если есть файрволл, поставлены обновления и антивирус, да и монитор целостности - как проникнуть - либо изнутри (зачем? удалить/скопировать?) лмбо снаружи - как? (только свежим эксплоитом).

тогда как защищаемся - проверяем людей, ставим acl жёстче (или жёсче, бллин), отключаем usb порты, убираем флопводы, cdrom'ы. у меня только людей не проверяют..

да, подразумевается, что всё настроено идеально (умеренно, а то представляю как прицепиться можно к такому слову) - политики, ntfs, аккаунты..

Добавлено
думаю дальше - меня понесло мимо темы? переименуем! - стирай-не стирай бэкап есть. тогда только унести - как без usb, floppy? раскрутить корпус - за этим смотрят. хотя надо "проверить" тех кто смотрит . только распечатать или запомнить. ну предположим, человеческая память занята уже тем, как напоганить/спереть (не понесёшь же с собой инструкцию по "поганингу" ), остаётся принтер и перепись ручкой/карандашом. карандаш - рука устанет. принтер! надо контролировать что и откуда печатается. если из 1с - счёт, заявка (1-2стр.) ок. иначе - наблюдать.

вы не подумайте, я не на военной базе работаю.

Цитата:

???

Я имел ввиду, то, что любые атаки начинаются с получения некой инфы и чаще всего, эта инфа, находится на приклееной к ящику админа (никого не имею ввиду) цветной бумажке

Цитата:

не понимаю - чем они друг друга исключают?

Тетки комп тока включать\выключать умеют и тут же подбор пароля, они что все хакеры

Цитата:

читая всё это - мысль - пора делать faq/guide по тотальной baseline настройке сервера/рабочей станции

Здравая мысль... потом в ФАК запостить.

Добавлено
Походу темку надо в "операционки", т.к. не маленькая, не простая и общая... одной программой, думаю, не отделаться.

Цитата:

Я имел ввиду, то, что любые атаки начинаются с получения некой инфы и чаще всего, эта инфа, находится на приклееной к ящику админа (никого не имею ввиду) цветной бумажке

у меня эта бумажка спрятана в коробочке с дисками. вот только этих коробочек с дисками штук пятьдесят.
и даже больше, на этой бумажке записан не пароль.


Цитата:

Тетки комп тока включать\выключать умеют и тут же подбор пароля, они что все хакеры

а, ну есть такие, у них я боюсь за всякую гадость через internet explorer.
а есть и часто меняющиеся работники, которые работают вдалеке - вот за ними глаз да глаз, у них там принтер и куча бумаги


Цитата:

Здравая мысль... потом в ФАК запостить.

я могу начать. начну послезавтра (или через неделю ). перенесу сервер в новый корпус и буду посвободнее.

и всё равно - не могу выкниуть мысли об ЭТОМ из головы. я-то раншье думал - идеальной защиты нет. а тепрь думая как ней приблизиться. мне это не для работы, а так - себя потешить..
ну так вот если система прикрыта фйрволом, пароли сложные, права скурпулёзно назначены, антивирус есть, патчи последние стоят - то получается ли так, что единственный способ взломать её - это поднять привелегии? если под взломом иметь ввиду добычу инфы. то есть найти принципиально новую уязвимость, чем собственно и занимается blackhat сцена, а вайтхэты защищаются. так?

leputain
Если надумаешь писАть фак по настройке защиты системы, вот ссылка по теме
http://www.microsoft.com/security/guidance/prodtech/WindowsXP.mspx

ой.
я уже прочёл это.
и ещё ихние
Threats_and_Countermeasures_Guide_v1-2
Windows_Server_2003_Security_Guide_v1_3
Windows_2000_Hardening_Guide