2.3　RPC服務遠程漏洞的防護策略

RPC協議是Windows操作系統使用的一種協議，提供了系統中進程之間的交互通信，允許在遠程主機上運行任意程序。在Windows操作系統中使用的RPC協議，包括Microsoft其他一些特定的擴展，系統大多數的功能和服務都依賴于它，它是操作系統中極為重要的一個服務。

2.3.1　什么是RPC服務遠程漏洞

RPC全稱是Remote Procedure Call，在操作系統中，它默認是開啟的，為各種網絡通信和管理提供了極大的方便，但也是危害極為嚴重的漏洞攻擊點，曾經的沖擊波、震蕩波等大規模攻擊和蠕蟲病毒都是Windows操作系統的RPC服務漏洞造成的。可以說，每一次的RPC服務漏洞的出現且被攻擊，都會給網絡系統帶來一場災難。

啟動RPC服務的具體操作步驟如下。

Step 01　在Windows操作界面中選擇“開始”→“Windows系統”→“控制面板”→“管理工具”選項，打開“管理工具”窗口。

Step 02　在“管理工具”窗口中雙擊“服務”圖標，打開“服務”窗口。

Step 03　在服務（本地）列表中雙擊“Remote Procedure Call（RPC）”選項，打開“Remote Procedure Call（RPC）的屬性（本地計算機）”對話框，在“常規”選項卡中可以查看該協議的啟動類型。

Step 04　選擇“依存關系”選項卡，在顯示的界面中可以查看一些服務的依賴關系。

分析：從上圖的顯示服務可以看出，受其影響的系統組件有很多，其中包括了DCOM接口服務，這個接口用于處理由客戶端機器發送給服務器的DCOM對象激活請求（如UNC路徑）。攻擊者若成功利用此漏洞則可以以本地系統權限執行任意指令，還可以在系統上執行任意操作，如安裝程序，查看、更改或刪除數據，建立系統管理員權限的賬戶等。

若想對DCOM接口進行相應的配置，其具體操作步驟如下。

Step 01　執行“開始”→“運行”命令，在彈出的“運行”對話框中輸入Dcomcnfg命令。

Step 02　單擊“確定”按鈕，彈出“組件服務”窗口，單擊“組件服務”前面的“”號，依次展開各項，直到出現“DCOM配置”選項為止，即可查看DCOM中各個配置對象。

Step 03　根據需要選擇DCOM配置的對象，如AxLogin，并單擊鼠標右鍵，從彈出的快捷菜單中選擇“屬性”菜單命令，打開“AxLogin屬性”對話框，在“身份驗證級別”下拉列表中根據需要選擇相應的選項。

Step 04　選擇“位置”選項卡，在打開的界面中對AxLogin對象進行位置的設置。

Step 05　選擇“安全”選項卡，在打開的界面中對AxLogin對象的啟動和激活權限、訪問權限和配置權限進行設置。

Step 06　選擇“終結點”選項卡，在打開的界面中對AxLogin對象進行終結點的設置。

Step 07　選擇“標識”選項卡，在打開的界面中對AxLogin對象進行標識的設置，選擇運行此應用程序的用戶賬戶。設置完成后，單擊“確定”按鈕即可。

由于DCOM可以遠程操作其他計算機中的DCOM程序，而技術使用的是用于調用其他計算機所具有的函數的RPC（遠程過程調用），因此，利用這個漏洞，攻擊者只需要發送特殊形式的請求到遠程計算機上的135端口，輕則可以造成拒絕服務攻擊，重則可以以本地管理員權限執行任何操作。

2.3.2　RPC服務遠程漏洞入侵演示

DcomRpc接口漏洞對Windows操作系統乃至整個網絡安全的影響，可以說超過了以往任何一個系統漏洞。其主要原因是DCOM是目前幾乎各種版本的Windows系統的基礎組件，應用比較廣泛。下面就以DComRpc接口漏洞的溢出為例，為大家詳細講解溢出的方法。

Step 01　將下載好的DComRpc.xpn插件復制到X-Scan的plugins文件夾中，作為X-Scan插件。

Step 02　運行X-Scan掃描工具，選擇“設置”→“掃描參數”選項，打開“掃描參數”對話框，再選擇“全局設置”→“掃描模塊”選項，即可看到添加的“DComRpc溢出漏洞”模塊。

Step 03　在使用X-Scan掃描到具有DComRpc接口漏洞的主機時，可以看到在X-Scan中有明顯的提示信息，并給出相應的HTML格式的掃描報告。

Step 04　如果使用RpcDcom.exe專用DcomRpC溢出漏洞掃描工具，則可先打開“命令提示符”窗口，進入RpcDcom.exe所在文件夾，執行“rpcdcom -d 192.168.0.130”命令后開始掃描并會給出最終的掃描結果。

2.3.3　RPC服務遠程漏洞的防御

RPC服務遠程漏洞可以說是Windows操作系統中最為嚴重的一個系統漏洞，下面介紹幾個RPC服務遠程漏洞的防御方法，以使用戶的計算機或系統處于相對安全的狀態。

1. 及時為系統打補丁

防御系統出現漏洞最直接、有效的方法是打補丁，對于RPC服務遠程溢出漏洞的防御也是如此。不過在對系統打補丁時，務必要注意補丁相應的系統版本。

2. 關閉RPC服務

關閉RPC服務也是防范DcomRpc漏洞攻擊的方法之一，而且效果非常徹底。其具體的方法為：選擇“開始”→“設置”→“控制面板”→“管理工具”選項，在打開的“管理工具”窗口中雙擊“服務”圖標，打開“服務”窗口。在其中雙擊“Remote Procedure Call（RPC）”服務項，打開其屬性窗口。在屬性窗口中將啟動類型設置為“禁用”，這樣自下次開機開始RPC將不再啟動。

另外，還可以在注冊表編輯器中將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs的Start值由4變成2，重新啟動計算機。

不過，進行這種設置后，將會給Windows的運行帶來很大的影響，例如從登錄Windows 10系統到顯示桌面，要等待相當長的時間。這是因為Windows的很多服務都依賴于RPC，在將RPC設置為無效后，這些服務將無法正常啟動。這種方式的弊端非常大，一般不能采取這種關閉RPC服務的方式。

3. 手動為計算機啟用（或禁用）DCOM

針對具體的RPC服務組件，用戶還可以采用具體的方法進行防御。例如禁用RPC服務組件中的DCOM服務，這里以Windows 10操作系統為例，其具體的操作步驟如下。

Step 01　選擇“開始”→“運行”選項，打開“運行”對話框，輸入Dcomcnfg命令，單擊“確定”按鈕，打開“組件服務”窗口，選擇“控制臺根節點”→“組件服務”→“計算機”→“我的電腦”選項，進入“我的電腦”文件夾，若針對于本地計算機，則需要右擊“我的電腦”選項，從彈出的快捷菜單中選擇“屬性”選項。

Step 02　打開“我的電腦屬性”對話框，選擇“默認屬性”選項卡，進入“默認屬性”設置界面，取消勾選“在此計算機上啟用分布式COM（E）”復選框，然后單擊“確定”按鈕即可。

Step 03　若針對于遠程計算機，則需要右擊“計算機”選項，從彈出的快捷菜單中選擇“新建”→“計算機”選項，打開“添加計算機”對話框。

Step 04　在“添加計算機”對話框中，直接輸入計算機名或單擊右側的“瀏覽”按鈕來搜索計算機。