Acid_Od пишет: А не легче просто позакрывать все эти порты...
Ага, а чем? Научить всех пользователей, выходящих с винды в инет пользоваться фаерволлом? Да их его инсталлировать не заставишь. Тем более, что они, вообще-то, платные , по крайней мере, нормальные. Или в 2000-й сказать про фильтрацию IP? Дык она этот порт для _всех_ интерфэйсов прикроет. Если он (DCOM) в сети не нужен - лучше вырубить. А вот если на одной стороне нужен - смотри выше проблему с установкой фаерволла. [IMG]http://www.securitylab.ru/forum/smileys/smiley6.gif[/IMG]
А если это двойной сервак - инет-прокси для локалки и сервер MSSQL для 1С одновременно ? Ну закрою я порт MSSQL, дык винда тупая, она его закроет не только наружу, но и для локалки. Я понимаю, что нормальные люди делают два сервака, один для выхода наружу, а другой внутри и еще стараются, чтобы если хакнут наружный, то шобы до внутреннего все же не доползли. Но у моего начальника железный аргумент: "это че, у тебя два компа будут стоять и никто за ними не будет работать. У меня каждое рабочее место на счету."
Это в UNIX-ах мона интерфейсы конфигить, дык я не могу перейти на Юникс. 1С расчитана для работы с M$ SQL, а Майкрософт че-то не хотят выпускать свой M$ SQL для UNIX систем.
Поставь MS ISA Server (жрет 256 Мб с включеным кеш сервером). У меня на 1 машине инет-прокси, веб сервак и MSSQL для веб сервака. Все работает на 512 Мб и 700 Celeronе.
tmpaladin пишет: Поставь MS ISA Server (жрет 256 Мб с включеным кеш сервером). У меня на 1 машине инет-прокси, веб сервак и MSSQL для веб сервака. Все работает на 512 Мб и 700 Celeronе.
Сначала его купить надо, наверное. Он в составе стандартной поставки не идет.
Если на 2000й - можно прекрасно фильтровать и политиками IPSec, и RRAS сервером. В первом по диапазону IP, во втором дополнительно по интерфейсу и направлению прохождения пакетов. Обе возможности встроены в 2000ю и ничего докупать и доставлять не надо. У IPSec достоинство - управление через групповую политику, недостаток - нельзя фильтровать по направлению соединения, соответсвенно на закрытые порты можно соединится используя разрешенный номер порта - источника, но большинство ксплойтов-сканеров такого не делают. Посмотреть про IPSec можно к примеру тут: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/Windows/Win2003/W2003HG/SGCH04.asp в разделе "Blocking Ports with IPSec Filters"
Ребята просто ставти патчи от Microsoft и следите за последними новостями и всё будет ок!А на счет того чтобы ламакам давать советы это глупо.Вы потратите много времени и сил а эффекта НОЛЬ!!! [IMG]http://www.securitylab.ru/forum/smileys/smiley14.gif[/IMG]