Użytkownik "Marek Janaszewski /USUN_TO. z adresu!/"
<USUN_TO.j_marek@gazeta.pl> napisał w wiadomości
news:c8d66s$228u$9@news.atman.pl
> Michal Kawecki wrote:
> [...].
>> DCOM możesz wyłączyć, o ile nie korzystasz z usług zdalnego pulpitu i
>> kilku innych, bardzo rzadko używanych dodatków. Nie będzie to
>> oczywiście likwidacja przyczyny tych błędów, ale...
>>
>> DCOM Windows XP - Do You Need It?
>> http://www.updatexp.com/dcom-windows-xp.html
>
> Witam!
>
> Chyba autor artykułu trochę przesadza z krytyką DCOM:
>
> You see DCOM is a new name for the old OLE.
> OLE (Object Linking and Embedding) was a bad idea that Microsoft
> tried to make happen... Now they call it DCOM...
> Virtually no-one needs it, wants it or uses it! Shocked? You should
> be...
>
> OLE to nie jest to samo co DCOM. DCOM jest jedną z technologii
> wywodzącej się z OLE, działającą w sieci. Samo OLE jest dosyć
> potrzebne i chyba to nie był to zły pomysł.
>
> Jeśli chodzi o względy bezpieczeństwa to nie wiem czy jest sens tak
> głębokie zmiany w systemie. Bezpieczniej i wygodniej jest zablokować
> odpowiednie porty na firewallu: 135, 137, 138, 139, 445.
>
> O ile wiem Blaster atakował właśnie RPC czyli port 135 a nie
> konkretnie jakiś obiekt DCOM. Chyba samo RCP może być także
> wykorzystane bez DCOM.
>
> W 2000/XP istnieje coś takie jak udziały administracyjne w sieci.
> Zablokowałem je ze ględów bezpieczeństwa, mimo że nie mam włączonego
> udostępniania w Internecie :-) Okazało się, że przystawka do MMC,
> Wynikowe zasady grup, odwołuje się do mojego dysku C właśnie za
> pomocą tych udziałów.
To nie ma IMO nic wspólnego z DCOM. Udziały administracyjne są pierwszą
rzeczą, którą wyłączam w systemie wraz z udostępnianiem rejestru, UPnP i
nullsession... ;-). Oczywiście, jeśli ktoś potrzebuje tych usług, to ich
wyłączyć nie może, ale chyba nie muszę nadmieniać, że ich się nie
wystawia do Internetu..........
(czyli izoluje się sieć lokalną i to nie jakimś FW na tym samym serwerze
;-))
> Także wiem czy dobrym pomysłem jest wyłączanie samego DCOM, może
> odwołania do tych komponentów następują także z wewnątrz systemu. W
> końcu np. gniazda TCP/IP mogą być wykorzystywane do komunikacji
> między procesami, przez adres localhost albo prawdziwy adres IP. To
> jest wykorzystywane. W ten sposób ujednolica się interfejs programów
> komunikujących się lokalnie i zdalnie.
Artykuł na temat wyłączania usług DCOM został być może napisany w nieco
swobodny sposób, ale jego przesłanie jest bardzo istotne z punktu
widzenia bezpieczeństwa systemu: sprowadza się ono do idei wyłączania
wszelkich usług, których nie używamy, a które mogą być potencjalnym
źródłem zagrożenia. Taką usługą jest właśnie domyślnie włączona usługa
DCOM, teoretycznie wykorzystywana m.in. do komunikacji poszczególnych
aplikacji poprzez sieć. Zakres zastosowania tej komunikacji został w tym
artykule jasno określony, więc szkoda gdybać tutaj nad potencjalnymi
problemami wynikającymi z jej wyłączenia; ja mogę tylko nadmienić, że do
tej pory nie spotkałem się z takimi problemami, więc wyłączam ją
wszędzie.
Nie ma sensu też rozprawianie nad tym, czy bezpieczniej i wygodniej jest
blokować jakimś 3rd party programem zagrożone porty, czy też - po
prostu - wyłączyć usługę, która je otwiera na świat. Wystarczy poczytać
na grupach o przejściach ZU, którzy zaraz po instalacji systemu
podłączają go do Internetu usiłując choćby dokonać aktywacji ;-). Ja zaś
zaręczam, że Blastera po wyłączeniu DCOM się nie złapie. I nie jestem
wcale pewien, czy nie dotyczy to także Sassera, ale muszę to jeszcze
sprawdzić.
BTW wyłączenie DCOM jest jednym z zalecanych przez Microsoft sposobów na
zabezpieczenie się przed Blasterem - polecam przeczytanie sekcji FAQ w
artykule
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx. Bo tak
naprawdę to Blaster wykorzystuje dziurę w zabezpieczeniach DCOM, a nie w
protokole RPC, który służy tutaj wyłącznie jako warstwa transportująca
odpowiednio spreparowane odwołanie się do interfejsu DCOM. Wyłączenie DC
OM eliminuje całkowicie zagrożenie spowodowane zarówno tym wirusem, jak
i wszelkimi jego naśladowcami...
P.S. Zwracam uwagę, że autorem tekstu o DCOM jest... MVP ;-).
-- M. [MVP] "Use Google, stupid!" /odpowiadając zmień px na pl/Received on Tue May 18 18:05:27 2004
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 27 May 2004 - 12:07:28 MET DST