Re: Błędy MS DTC i DCOM

Michal Kawecki wrote:
[....]
>> W 2000/XP istnieje coś takie jak udziały administracyjne w sieci.
>> Zablokowałem je ze ględów bezpieczeństwa, mimo że nie mam włączonego
>> udostępniania w Internecie :-) Okazało się, że przystawka do MMC,
>> Wynikowe zasady grup, odwołuje się do mojego dysku C właśnie za
>> pomocą tych udziałów.
>
> To nie ma IMO nic wspólnego z DCOM. Udziały administracyjne są
> pierwszą rzeczą, którą wyłączam w systemie wraz z udostępnianiem
> rejestru, UPnP i nullsession... ;-). Oczywiście, jeśli ktoś
> potrzebuje tych usług, to ich wyłączyć nie może, ale chyba nie muszę
> nadmieniać, że ich się nie wystawia do Internetu..........
> (czyli izoluje się sieć lokalną i to nie jakimś FW na tym samym
> serwerze ;-))

Witam!

Wiem, że nie ma nic wspólnego ale obrazuje proces przeregulowania systemu,
który może być uciążliwy.

O Nullsession i blokowaniu udostępniania rejestru wcześniej nie słyszałem.
Wygląda jednak, że wszystko to jednak działa na NetBIOS-ie, który generalnie
jest zalecany aby był blokowany i wyłączany dla Internetu. O UPnP słyszałem
i nie za bardzo chce aby szukało mi przez TCP/IP innych urządzeń i wysyłał
rozgłoszenia. Chyba ten standard nie jest wykorzystywany przez urządzania.

W każdym razie przy tej okazji znalazłem artykuł na IT-FAQ:
http://www.it-faq.pl/EditModule.aspx?tabid=1&mid=1158&def=Cs_ITSCS_CMS_Articles_View&ArticleID=1113
podsumowujące te sztuczki z rejestrem. Akurat od DCOM nie było.

BTW: Kiedyś czytałem artykuł na temat SOAP, w którym było ogólne narzekanie
że działa na porcie 80-tym. Microsoft specjalnie tak to zaprojektował aby
firewall SOAP przepuszczały. Spece od bezpieczeństwa czasem chcąc wszystko
wyłączyć. Natomiast jak się ogląda prezentacje na MSDN to wykorzystanie
WebServiców wydaje się bardzo obiecujące. Tak samo było jeśli chodzi książki
dla programistów i DCOM. Obiecywano marashaling, czyli że programistę ma nie
obchodzić techniczne szczegóły aktywacji obiektów. A dyskutujemy teraz na
temat jak i czy wyłączać DCOM :-)

[...]
> Nie ma sensu też rozprawianie nad tym, czy bezpieczniej i wygodniej
> jest blokować jakimś 3rd party programem zagrożone porty, czy też - po
> prostu - wyłączyć usługę, która je otwiera na świat. Wystarczy
> poczytać na grupach o przejściach ZU, którzy zaraz po instalacji
> systemu podłączają go do Internetu usiłując choćby dokonać aktywacji
> ;-). Ja zaś zaręczam, że Blastera po wyłączeniu DCOM się nie złapie.
> I nie jestem wcale pewien, czy nie dotyczy to także Sassera, ale
> muszę to jeszcze sprawdzić.

Co to jest ZU, Zwykły Użytkownik czy co?

Aktywowałem Windows bez łatki blisterowej, pożyczyłem odpowiedni CD-ROM i
jakoś przetrwałem. Oczywiście zacząłem od wizyty na Windows Update. Myślę,
że blaster jest dosyć tępiony ze względu na resety.

Myślę, że blaster przy kolejnym ServicePacku zostanie jeszcze bardziej
wytępiony. Chyba użytkownicy chętniej wgrywają całe ServicePacki. Ale jak
zwykle piractwo będzie stanowić problem. Już wiadomo, że kolejny SP dostępny
off-line będzie zawierał w sobie zaszyte znane fałszywe klucze aktywacyjne.

Sasser atakuje na porcie 445, SMB (Server Message Blocks) alias CIF (Common
Internet File System). O ile wiem to jest taki udostępnianie plików
bezpośrednio na TCP/IP, nie NetBIOS przez TCP/IP (NetBT). Zaczynam się gubić
mechanizmach udostępniania plików w Windows. Do tej pory wiedziałem o NetBT
a tu wyskakuje jakiś CIF.

Z otwartych portów poniżej 1025 na mojej maszynie wydaje się, że 500-nego
nie znam zastosowania. Jakiś LASS i IKE. Ruchu na tym porcie nie ma.

> BTW wyłączenie DCOM jest jednym z zalecanych przez Microsoft sposobów
> na zabezpieczenie się przed Blasterem - polecam przeczytanie sekcji
> FAQ w artykule
> http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx. Bo
> tak naprawdę to Blaster wykorzystuje dziurę w zabezpieczeniach DCOM,
> a nie w protokole RPC, który służy tutaj wyłącznie jako warstwa
> transportująca odpowiednio spreparowane odwołanie się do interfejsu
> DCOM. Wyłączenie DC OM eliminuje całkowicie zagrożenie spowodowane
> zarówno tym wirusem, jak i wszelkimi jego naśladowcami...

W artykule powiązanym Microosft raczej wzbraniali się przed tym:
http://support.microsoft.com/default.aspx?scid=kb;en-us;825750

There are potentially many built-in components and 3rd party applications
that will be affected if you disable DCOM. Microsoft does not recommend that
you disable DCOM in your environment until you have tested to discover what
applications are affected. Disabling DCOM may not be workable in all
environments.

W każdym razie dziękuje za informacje na temat bezpieczeństwa, zastanowię
się czy nie robić coś z tym. Na razie jak napisałem wystarcza mi blokowanie
portów jak zaleca Microsoft. Na razie chce aby DCOM działał nie plując
komunikatami, potem może go wyłączę i zobacz jak system będzie działa.

-- 
Pozdrawiam,
Marek Janaszewski
[ j_marek@gazeta.pl ]