Monitorowanie udostępnionego folderu

niedziela, 13. Marzec 2011

Czasem dobrze wiedzieć kto w danym momencie podłącza się do naszego udostępnionego w sieci folderu.

W systemie Windows możemy w bardzo prosty sposób włączyć możliwość informowania nas o pewnych zachodzących zdarzeniach.

Posłużymy się poleceniem eventtriggers które monitoruje alerty systemowe i podejmuje określoną zdefiniowaną przez nas akcję.

Monitowanie udostępnionego folderu w czasie rzeczywistym osiągniemy przez wpisanie następującego polecenia:

eventtriggers /create /tr monitoring_folder /eid 540 /tk „net send <podajemy nazwę naszego komputera> Nastapilo polaczenie uzytkownika”

eid 540 – zdarzenie logowania użytkownika do zdalnego udostępnionego folderu
net send – wysłanie komunikatu za pomocą posłańca na wskazany komputer

pozostałe przydatne parametry:

eventtriggers /query – wyświetla listę wyzwalaczy
eventtriggers /delete /tid 1 – kasuje wyzwalacz o numerze 1

Pokaż znajomym:

Szybka aktywacja systemu Windows

niedziela, 6. Marzec 2011

Podczas instalacji systemu Windows wprowadzamy klucz licencyjny, aby zaktywować oprogramowanie.
Podobne czynności czekają nas podczas reinstalacji systemu Windows.

Możemy skorzystać z pewnej sztuczki, która  ominie ręczne wpisywanie klucza licencyjnego.

Przy każdej aktywacji systemu Windows sprawdzany jest sprzęt, na którym zainstalowane jest oprogramowanie i na tej podstawie generowane są dwa plik licencyjne: wpa.dbl i wpa.bak

Jeśli dokonujemy często reinstalacje systemów w naszej firmie taki sposób licencjonowania usprawni całą pracę.

Przed każdą reinstalacją sytemu wystarczy przekopiować te pliki, które znajdują się w c:\\Windows\\System32\\ na zewnętrzny nośnik danych i po ponownym zainstalowaniu systemu Windows wgrać je w to samo miejsce.

Po ponownym uruchomieniu Windows XP nie będzie już informował o konieczności rejestracji.

Uwaga! W przypadku zmiany sprzętu przy operacji reinstalacji systemu Windows, licencję należny wprowadzić ponownie.

Zabezpiecz się przed Brute Force

czwartek, 3. Marzec 2011

Ważne jest stosowanie mocnych haseł logowania do systemu, ale również istotne jest zabezpieczenie naszego Windowsa przed próbami ciągłego odgadywania haseł.

Jeśli chcemy podejść profesjonalnie do bezpieczeństwa danych powinniśmy zadbać o każdy szczegół naszej polityki bezpieczeństwa. Dziś zajmiemy się zabezpieczeniem przed atakiem Brute Force na konto użytkownika w systemie Windows.

  1. Uruchamiamy Panel sterowania -> Narzędzia administracyjne -> Zasady zabezpieczeń lokalnych->Zasady konta->Zasady blokady konta i wybieramy opcję „Próg blokady konta” i definiujemy maksymalną liczbę nieudanych prób logowania.
  2. Po zatwierdzeniu system poinformuje nas:
    Czas trwania blokady konta, domyślnie: 30 minut
    Wyzeruj licznik blokady konta po, domyślnie: 30 minut
    Opcje domyślne można zmienić po dwukrotnym kliknięciu myszką na wybraną konfigurację

Powyższą operację możemy wykonywać również zdalnie w MS Domenie przez zasady GPO

Blokada ataku DoS

czwartek, 3. Marzec 2011

W systemie Windows możemy włączyć podstawową ochronę przed atakami DoS (Denial of Service).

System może nas uchronić przed narzędziami wykorzystujące metodę SYNflood.

Prosta zmiana w ustawień w rejestrze powinna załatwić sprawę.

Przechodzimy do klucza HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\ i dodajemy nowe obiekty o wartości DWORD:

  1. SynAttackProtect wartość: 2
    włącza funkcje ochronną przed atakami SYNflood
  2. TCPMaxConnectResponseRetransmissions wartość: 2
    maksymalny czas na potwierdzenie danych. Po dwóch nieudanych próbach komunikacyjnych z innym komputerem system zamknie otwarte porty.
  3. TCPMaxHalfOpen wartość: 400
    TCPMaxHalfOpenRetired
    wartość: 300
    parametry odpowiedzialne za określenie po jakiej maksymalnej liczbie otwartych połączeń system ma zaklasyfikować komunikację jako próbę ataku DOS.
  4. KeepAliveTime wartość: 120000
    system dzięki tej opcji oczekuje 2 minuty na potwierdzenie nawiązania komunikacji
  5. NoNameReleaseOnDemand wartość: 0
    chroni serwer przed atakami wymuszającymi zwolnienie nazw (atak na protokół NWlink
  6. EnablePMTUDiscovery wartość: 0
    Przy wartości 0 system nie określa automatycznie maksymalnej wielkości MTU co uniemożliwi przeprowadzanie ataku przepełniającego stos TCP.
  7. EnableDeadGWDetect wartość: 0
    Uniemożliwienie systemowi automatycznej zmiany domyślnego adresu IP bramy. W przypadku wartości ustawionej na 1 system wykrywa nieaktywną bramę i przełącza na alternatywne źródło. Bramy podajemy we właściwościach karty sieciowej.