בקרה על תקשורת באמצעות Windows XP Service Pack 2
(EZ0046)
חומת אש היא מנגנון המפריד בין מחשב או רשת לעולם החיצוני, כידוע חומת אש חדשה – Windows Firewall מובנית בתוך עדכון Windows XP Service Pack 2.
Windows Firewall החדש מבצע סינון תקשורת נכנסת ע"פ חוקים הרשומים בטבלת חריגים השיטה בה משתמש נקראת Stateful host firewall.
Windows Firewall חוסם תקשורת שאינה מגיעה כתשובה לבקשה שנוצרה במחשב שלך, וכמו כן חוסם תקשורת שאינה מוגדרת כמקובלת (באמצעות טבלת החריגים), למשל גישה לשרת FTP במחשבך וכו'.
התנהגות זאת מספקת הגנה טובה כנגד משתמשים בעלי כוונות זדוניות המנסים לפגוע במחשבך.
בקרה על תקשורת
Windows XP Service Pack 2 מכיל כלים חדשים לניתור מערך התקשורת במחשב, באמצעות כלים אלה נוכל לדעת האם יישום מנסה לשנות את הגדרות חומת האש, לאן מתבצעת תקשורת? ובאמצעות אילו רכיבי תוכנה.
מנגנון המעקב (Auditing) יספק מידע על ניסיון של תוכנית להאזין למידע מבחוץ, תפקידנו כמובן יהיה לאבחן האם המדובר בתקשורת רצויה, אם כן נוכל לאשר אותה, ראה מאמר מה קרה למחשב?.
על מנת להפעיל את מנגנון המעקב יש לבצע את הצעדים הבאים:
1. | לחץ על Start > Control Panel > Performance and Maintenance |
2. | לחץ על Administrative Tools, הפעל את ה- Event Viewer |
3. | נסמן את לשונית ה- System |
4. | נחפש אירועים שמקורם ב- Windows Firewall (WF)/Internet Connection Sharing (ICS). |
5. | סמן את לשונית ה- Security על מנת לאתר אירועים בהם יישום או שירות מנסה לפתוח מבואות (Ports) |
6. | נחפש אירועים בעלי זיהוי (Event ID) שמספרם 849, 850 ו- 861 |
איור 1: זיהוי יישום המנסה להאזין לתקשורת מבחוץ
אפשרויות חדשות הוספו לתוכנית השירות Netstat, ראשית נפעיל את תוכנית ה- Tasklist, נשתמש באפשרות /svc (יש להקליד Tasklist /svc בחלון Cmd), נקבל פירוט על כל התהליכים המופעלים במערכת, נוכל לראות זיהוי התהליך (PID = Process ID)
איור 2: שימוש בפקודת Tasklist
כעת, נפעיל את תוכנית ה- Netstat נשתמש באפשרויות הבאות:
| • | b – אפשרות חדשה הזמינה ב- SP2, Netstat יציג את שמות היישומים המאזינים על מבואות TCP ו- UDP |
איור 3: אפשרות חדשה בפקודת netstat
anb – Netstat מציג את רשימת כל מבואות ה- TCP ו- UDP בציון שמות היישומים שהפעילו אותם, (ניתן לקשר לרשימת התהליכים ע"פ ה- (PID)
איור 4: אפשרויות נוספות בפקודה netstat
בנוסף, ניתן לקבל מידע על מצב חומת האש באמצעות הפקודה Netsh firewall show config
שים לב
שינויים במע' הרישום (Registry) עשויים לגרום לנזק בלתי הפיך למערכת ההפעלה, נזק שיתוקן אך ורק בהתקנה חוזרת או מחיקה כללית והתקנה מחדש של מערכת ההפעלה.
יש לבצע את הפעולות המפורטות במאמר זה רק אם הינך שולט בתכנים. לפני עריכת מערכת הרישום, ודא כי אתה מבין כיצד לשחזר את ה- Registry במידה ומתעוררות בעיות. למידע כיצד לעשות זאת, קרא את נושאי העזרה של עורך הרישום Regedit.exe: "Restoring the Registry" ו- "Restoring a registry key", ועיין במאמרים להלן: כיצד לגבות, לערוך ולשחזר Registry ב– Windows XP ואת המאמר גיבוי ועריכה של ה- Registry.