什么是 RPC 服务远程溢出漏洞攻击
攻击RPC漏洞其实就是攻击DCOM接口。DCOM(分布式组件对象模型,分布式组件对象模式)是一系列微软的概念和程序接口,利用这个接口,客户端程序对象能够请求来自网络中另一台计算机上的服务器程序对象。
DComRpc接口漏洞对Windows操作系统乃至整个网络安全的影响,可以说超过了以往任何一个系统漏洞。其主要原因是DCOM是目前几乎各种版本的Windows系统的基础组件,应用比较广泛。
RPC服务远程可以说是Windows系统中最为严重的一个系统,下面介绍几个RPC服务远程的防御方法,以使自己的计算机或系统处于相对安全的状态。
1、及时为系统打补丁
防御系统出现最直接、有效的方法是打补丁,对于RPC服务远程溢出的防御也是如此。不过在对系统打补丁时,务必要注意补丁相应的系统版本。
2、关闭RPC服务
关闭RPC服务也是防范DcomRpc漏洞攻击的方法之一,而且效果非常彻底。其具体的方法为:选择【开始】→【设置】→【控制面板】→【管理工具】选项,在打开的【管理工具】窗口中双击【服务】图标,打开【服务】窗口。在其中双击【Remote Procedure Call】服务项,打开其属性窗口。在属性窗口中将启动类型设置为【禁用】,这样自下次开机开始RPC将不再启动。
另外,还可以在注册表编辑器中将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs的Start的值由4变成2,重新启动计算机。
不过,进行这种设置后,将会给的运行带来很大的影响。如:从登录系统到显示桌面画画,要等待相当长的时间。这是因为的很多服务都依赖于RPC,因此,在将RPC设置为无效后,这些服务将无法正常启动。所以,这种方式的弊端非常大,一般不能采取关闭RPC服务。
3、手动为计算机启用(或禁用)DCOM
针对具体的RPC服务组件,用户还可以采用具体的方法进行防御。例如禁用RPC服务组件中的DCOM服务。可以采用如下方式进行,这里以操作系统为例,其具体的操作步骤如下。
步骤1选择【开始】→【运行】选项,打开【运行】对话框,输入Dcomcnfg命令,单击【确定】按钮,打开【组件服务】窗口,选择【控制台根目录】→【组件服务】→【计算机】→【我的电脑】选项,进入【我的电脑】文件夹,若对于本地计算机,则需要右击【我的电脑】选项,从弹出的快捷菜单中选择【属性】选项。
步骤2打开【我的电脑属性】对话框,选择【默认属性】选项卡,进入【默认属性】设置界面,取消勾选【在此计算机上启用分布式COM(E)】复选框,然后单击【确定】按钮即可。
步骤3若对于远程计算机,则需要右击【计算机】选项,从弹出的快捷菜单中选择【新建】→【计算机】选项,打开【添加计算机】对话框。
步骤4在【添加计算机】对话框中,直接输入计算机名或单击右侧的【浏览】按钮来搜索计算机。