RPC服务器安全配置(1)

　　9月10日微软紧急发布了最新的RPC漏洞信息，攻击者只要向远程计算机上的135端口发送特殊格式的请求，就可以获得对远程计算机的完全控制，这使得攻击者能够对服务器随意执行任何操作，包括更改网页、格式化硬盘或者向本地管理员组中添加新的用户。

　　此漏洞将会影响运行Microsoft Windows的用户：

　　RPC是Windows操作系统使用的一个协议，它提供了一种进程间通信机制。通过这一机制，在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码，该协议本身是从 OSF(开放式软件基础)RPC协议衍生出来的，只是增加了一些Microsoft特定的扩展。

　　RPC中处理通过TCP/IP的消息交换的部分有一个漏洞，此问题是由错误地处理格式不正确的消息造成的，这种特定的漏洞影响分布式组件对象模型(DCOM)与RPC间的一个接口，此接口监听TCP/IP端口135，此接口处理客户端计算机向服务器发送的DCOM对象激活请求，例如通用命名约定(UNC)路径。

　　此漏洞是由于Windows RPC服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在RPC建立连接后发送某种类型的格式不正确的RPC消息，则会导致远程计算机上与 RPC之间的基础分布式组件对象模型(DCOM)接口出现问题，进而使任意代码得以执行而135端口则成了问题出现的最根本的起源。

　　对于服务器而言，我们现在需要做的就是尽可能快地封上你的135端口，以下是一些安全配置方法:

　　在防火墙上封堵135端口

　　135端口用于启动与远程计算机的RPC连接，连接到Internet的计算机应当在防火墙上封堵135端口，用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击，使用防火墙关闭所有不必要的端口，漏洞不仅仅影响135端口，还影响到大部分调用DCOM函数的服务端口，建议用户使用网络或是个人防火墙过滤以下端口：

　　如果你在使用Widows XP或Widows Server2003中的Internet连接防火墙来保护你的Internet连接，则默认情况下会阻止来自Internet的入站RPC通信信息。