RPC服務(wù)器安全配置
9月10日微軟緊急發(fā)布了最新的RPC漏洞信息，攻擊者只要向遠(yuǎn)程計(jì)算機(jī)上的135端口發(fā)送特殊格式的請(qǐng)求，就可以獲得對(duì)遠(yuǎn)程計(jì)算機(jī)的完全控制，這使得攻擊者能夠?qū)Ψ?wù)器隨意執(zhí)行任何操作，包括更改網(wǎng)頁、格式化硬盤或者向本地管理員組中添加新的用戶。
此漏洞將會(huì)影響運(yùn)行Microsoft Windows的用戶：
　
RPC是Windows操作系統(tǒng)使用的一個(gè)協(xié)議，它提供了一種進(jìn)程間通信機(jī)制。通過這一機(jī)制，在一臺(tái)計(jì)算機(jī)上運(yùn)行的程序可以順暢地執(zhí)行某個(gè)遠(yuǎn)程系統(tǒng)上的代碼，該協(xié)議本身是從 OSF(開放式軟件基礎(chǔ))RPC協(xié)議衍生出來的，只是增加了一些Microsoft特定的擴(kuò)展。
RPC中處理通過TCP/IP的消息交換的部分有一個(gè)漏洞，此問題是由錯(cuò)誤地處理格式不正確的消息造成的，這種特定的漏洞影響分布式組件對(duì)象模型(DCOM)與RPC間的一個(gè)接口，此接口監(jiān)聽TCP/IP端口135，此接口處理客戶端計(jì)算機(jī)向服務(wù)器發(fā)送的DCOM對(duì)象激活請(qǐng)求，例如通用命名約定(UNC)路徑。
此漏洞是由于Windows RPC服務(wù)在某些情況下不能正確檢查消息輸入而造成的。如果攻擊者在RPC建立連接后發(fā)送某種類型的格式不正確的RPC消息，則會(huì)導(dǎo)致遠(yuǎn)程計(jì)算機(jī)上與 RPC之間的基礎(chǔ)分布式組件對(duì)象模型(DCOM)接口出現(xiàn)問題，進(jìn)而使任意代碼得以執(zhí)行而135端口則成了問題出現(xiàn)的最根本的起源。
對(duì)于服務(wù)器而言，我們現(xiàn)在需要做的就是盡可能快地封上你的135端口，以下是一些安全配置方法:
在防火墻上封堵135端口
135端口用于啟動(dòng)與遠(yuǎn)程計(jì)算機(jī)的RPC連接，連接到Internet的計(jì)算機(jī)應(yīng)當(dāng)在防火墻上封堵135端口，用以幫助防火墻內(nèi)的系統(tǒng)防范通過利用此漏洞進(jìn)行的攻擊，使用防火墻關(guān)閉所有不必要的端口，漏洞不僅僅影響135端口，還影響到大部分調(diào)用DCOM函數(shù)的服務(wù)端口，建議用戶使用網(wǎng)絡(luò)或是個(gè)人防火墻過濾以下端口：

如果你在使用Widows XP或Widows Server2003中的Internet連接防火墻來保護(hù)你的Internet連接，則默認(rèn)情況下會(huì)阻止來自Internet的入站RPC通信信息。
方案一：關(guān)閉病毒攻擊的TCP/IP端口
使用Windows自帶的TCP/P篩選功能。打開默認(rèn)的網(wǎng)絡(luò)連接屬性，單擊"屬性"，選擇常規(guī)頁的TCP/IP，再單擊"屬性"、"高級(jí)"，進(jìn)入下一頁。選擇"TCP/IP篩選"、"屬性"，在TCP和UDP端口設(shè)置中選擇"只允許"，添加相應(yīng)的端口,如80用于IE測(cè)覽，其他的端口根據(jù)應(yīng)用程序的設(shè)定相應(yīng)修改，最后確定就OK了!
方案二：使用金山網(wǎng)鏢或者天網(wǎng)防火墻
網(wǎng)鏢高級(jí)功能可以非常方便地實(shí)現(xiàn)封閉和開放端口的功能單擊莫面右下角"金山網(wǎng)鏢"的圖標(biāo)，在彈出的菜單中選擇"配置"選項(xiàng)，然后選擇"高級(jí)頁"。選中使用IP包過濾技術(shù)，添加TCP、UDP的135、139、445端口，最新捕獲的"新流言"病毒還要關(guān)閉4444端口……請(qǐng)注意在做這一切前請(qǐng)先升級(jí)你的反病毒軟件和防火墻。
禁用所有受影響的計(jì)算機(jī)上的DCOM
如果一臺(tái)計(jì)算機(jī)是一個(gè)網(wǎng)絡(luò)的一部分，則該計(jì)算機(jī)上的 COM　對(duì)象將能夠通過 DCOM　網(wǎng)絡(luò)協(xié)議與另一臺(tái)計(jì)算機(jī)上的 COM對(duì)象進(jìn)行通信，你可以禁用特定的計(jì)算機(jī)上的DCOM，幫助其防范此漏洞(但這樣做會(huì)阻斷該計(jì)算機(jī)上的對(duì)象與其他計(jì)算機(jī)上的對(duì)象之間的所有通信)。
如果你禁用一臺(tái)遠(yuǎn)程計(jì)算機(jī)上的DCOM，此后，你將無法通過遠(yuǎn)程訪問該計(jì)算機(jī)來重新啟用DCOM，要重新啟用 DCOM，需要本地操作該計(jì)算機(jī)。
手動(dòng)為計(jì)算機(jī)啟用(或禁用)DCOM
1.運(yùn)行Dcomcnfg.exe。如果你使用Widows XP或Widows Server2003，則還要執(zhí)行下面這些步驟
單擊"控制臺(tái)根節(jié)點(diǎn)"下的"組件服務(wù)"，打開"計(jì)算機(jī)"子文件夾。對(duì)于本地計(jì)算機(jī)，請(qǐng)以右鍵單擊"我的電腦"，然后選擇"屬性"。對(duì)于遠(yuǎn)程計(jì)算機(jī)，請(qǐng)以右鍵單擊"計(jì)算機(jī)"文件夾。然后選擇"新建"，再選擇"計(jì)算機(jī)"。輸入計(jì)算機(jī)名稱，以右鍵單擊該計(jì)算機(jī)名稱，然后選擇"屬性"。
2.選擇"默認(rèn)屬性"選項(xiàng)卡。
3.選擇(或清除)"在這臺(tái)計(jì)算機(jī)上啟用分布式COM"復(fù)選框。
4.如果要為該計(jì)算機(jī)設(shè)置更多屬性，請(qǐng)單擊"應(yīng)用"按鈕以啟用(或禁用)DCOM。否則，請(qǐng)單擊"確定"以應(yīng)用更改并退出Dcomcnfg.exe。
立刻為你的計(jì)算機(jī)打相應(yīng)的補(bǔ)丁
Windows Server 2003中文版（32位）
　 http://www.microsoft.com/downloads/dtails.aspx?displaylang=zhcn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
Microsoft Windows 2000簡(jiǎn)體中文版
　 http://www.microsoft.com/downloads/details.aspx?displaylang=zhcn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
Microsoft Windows NT 4.0中文版
　 http://www.microsoft.com/downloads/details.aspx?displaylang=zhcn&FamilyID=2CC6F4E-217E-4FA7-BDBF-DF77A0B9303F