3.3.3　DcomRpc漏洞防范方法

既然系統中存在著這么一個“功能強大”的間諜漏洞，就不得不對這個漏洞的防范加以重視了，下面推薦四種防范方法。

1.打好補丁

對于任何漏洞來說，打補丁是最方便的“修補”漏洞的方法了，因為一個補丁的推出往往包含了專家們對相應漏洞的徹底研究，所以打補丁也是最有效的方法之一。下載補丁應盡可能地在服務廠商的網站中下載；打補丁的時候務必要注意補丁相應的系統版本。

2.封鎖135端口

135端口是風險極高，但卻難以了解其用途、無法實際感受到其危險性的代表性端口之一。

3.關閉RPC服務

關閉RPC服務也是防范DcomRpc漏洞攻擊的方法之一，而且效果非常徹底。具體方法為：選擇“開始”→“設置”→“控制面板”→“管理工具”菜單項，即可打開“管理工具”窗口。雙擊“服務”圖標，即可打開“服務”窗口。雙擊打開“Remote Procedure Call”屬性窗口，在屬性窗口中將啟動類型設置為“已禁用”，這樣自下次計算機重啟開始RPC就將不再啟動。

要想將其設置為有效，需在注冊表編輯器中將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs”的“Start”的值由0X04變成0X02后，重新啟動機器即可。

但進行這種設置后，將會給Windows運行帶來很大影響。這是因為Windows的很多服務都依賴于RPC，而這些服務在將RPC設置為無效后將無法正常啟動。由于這樣做弊端非常大，因此一般來說，不能關閉RPC服務。

4.手動為計算機啟用（或禁用）DCOM

除上述方法外，還可通過如下不同方法手動禁用DCOM服務。

圖　3.3.3-1

這里以Windows 10為例，具體的操作步驟如下。

步驟1：打開“運行”對話框，在文本框中輸入“dcomcnfg”命令，單擊“確定”按鈕，如圖3.3.3-1所示。

步驟2：依次選擇“控制臺根目錄”→“組件服務”→“計算機”→“我的電腦”→“屬性”選項，如圖3.3.3-2所示。

步驟3：選擇“默認屬性”選項卡，取消勾選“在此計算機上啟用分布式COM”選項的復選框，單擊“確定”按鈕，如圖3.3.3-3所示。

步驟4：依次選擇“計算機”→“新建”→“計算機”選項，如圖3.3.3-4所示。

步驟5：打開“添加計算機”對話框，在文本框中輸入計算機名稱或單擊右側的“瀏覽”按鈕，搜索計算機，如圖3.3.3-5所示。

在添加計算機后，在計算機名稱列表中右擊該計算機名稱，從快捷菜單中選擇“屬性”菜單項，在打開的屬性窗口的“默認屬性”選項卡設置界面中清除“在這臺計算機上啟用分布式COM”復選框之后，單擊“確定”按鈕，即可以應用更改設置并退出。

圖　3.3.3-2

圖　3.3.3-3

圖　3.3.3-4

圖　3.3.3-5