DCOM, MS RPC, Port 135

Konu, 'İşletim Sistemleri ve Diğer Yazılımlar' kısmında Headquarters tarafından paylaşıldı.

  1. Headquarters

    Headquarters Yeni Üye

    DCOM, MS RPC, Port 135

    Microsoft'un RPC uygulaması, TCP bağlantı noktası (Port)135 üzerinden çalışır.
    RPC'de, ulaşım katmanı olarak, DCOM gibi daha yüksek seviyeli bir dizi protokoller kullanılır.
    Microsoft RPC uygulanması ve Hizmetleri'nin, erişim açıkları sağladığı ve saptanmıştır.

    Port TCP 135 Kapatılması
    Port 135 internette en çok saldırıya uğrayan portlardan
    olduğu için kapatılması oldukça arzu edilir.

    Bu sadece RPC hizmeti'ni devre dışı bırakarak mümkün değildir..,
    RPC hizmeti Windows'un ağ bağlantılarının çalışıyor olması için
    gereken çok sayıda önemli servise hizmet eder.

    Ancak Microsoft, RPC tüm ağ arayüzlerine bağlı olduğundan,
    Internet'ten gelen saldırılara karşı savunmasız hale gelmemesi için
    varsayılan veya yapılandırılmış farklı bir bağlantı noktasına izin vermez.

    Aşağıdaki bölümlerde RPC üzerinden çalışan hizmetler
    devre dışı bırakıldığında, Port 135'in nasıl kapandığı açıklanmıştır.

    RPC'ye Bağımlı Hizmetler Devre Dışı
    Birkaç zorunlu olmayan hizmet RPC kullanıyor ve bunlar devre dışı bırakılmalıdır.

    Hizmet Konsolu'ndan aşağıdaki hizmetleri devre dışı bırakalım.

    - SSDP Bulma (SSDP Discovery Service)
    - Windows Saati (Windows Time)
    - Messenger
    - Uzak Kayıt Defteri (Remote Registry)
    - Sistem Olay Bildirim Hizmeti (System Event Notification)
    - Uzak Masaüstü Yardım Oturum Yöneticisi (Remote Desktop Help Session Manager)
    - Dağıtılmış İşlem Düzenleyicisi (Distributed Transaction Coordinator)
    - Görev Zamanlayıcısı hizmeti (Task Scheduler service)
    - COM + Olay Sistemi (COM+ Event System)
    - COM + Sistem Uygulaması (COM+ System Application)
    - DCOM


    Windows DCOM uygulamaları TCP/IP ağı üzerinden COM işlevsellik paylaşımı sağlar
    Sadece vadesi dolmuş Microsoft'a ait birkaç uygulama DCOM kullanır.
    Bu özellik varsayılan olarak açıktır ve RPC kullanır.

    1- Başlat menüsünden "Çalıştır" > Dcomcnfg.exe yazın,
    2- "Bileşen Hizmetleri" penceresi açılacak,
    3- Sol bölümde, "Bileşen Hizmetleri" satırını genişletin,
    4- "Bilgisyarlar" satırını genişletin,
    5- "Bilgisyarım" üzerinden sağ tıklayın,
    6- Açılan menüden "Özellikler",
    7- "Varsayılan Özellikler" sekmesini seçin,
    8- "Bu bilgisayar üzerinden DCOM izin ver" satındaki çek işaretini kaldırın,
    9- "Varsayılan Protokoller" sekmesini seçin,
    10- DCOM protokoller listesinden, "TCP/IP odaklı Bağlantı"yı çıkarın.

    Ayrıca, doğrudan kayıt defterini düzenleyerek aynı değişikliği yapmak mümkündür.

    1- "Başlat" menüsünden "Çalıştır",
    2- Regedt32.exe yazın, Tamam deyin,
    3- "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole" anahtarını bulun,
    4- Sağında "EnableDCOM" yazan değeri N olarak düzenleyin,
    5- "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc" anahtarını bulun,
    6- Sağında "DCOM Protocols" yazan değerden "ncacn_ip_tcp" satırını silin,

    RPC Yapılandırmak

    Microsoft yapılandırma aracı rpccfg kullanarak, MS RPC'yi yeniden ayarlamak mümkündür.
    Bu aracı edinmek için http://www.microsoft.com gidin ve site arama barına
    rpccfg yazarak çıkan linkten indirebilirsiniz.
    Amaç sadece geri döngü adresine RPC bağlamak için.

    1- DOS komut isteminde: rpccfg -l yazın
    2- "Enter"
    Bu mevcut arayüzleri listeler.
    3- Subnet 127.0.0.0 yanında sayı büyük olasılıkla 1, not edin,
    4- Şimdi: rpccfg -a 1 yazın (ya da daha önce belirtilen sayıyı)
    5- Şimdi: rpccfg-q ve ancak geri dönüş adresi listelenmiş olmalıdır.

    Aşağıdaki ayar yapılandırmayı tamamlamak için Kayıt Defteri eklenecek;
    1- "Başlat" menüsünden "Çalıştır",
    2- Regedt32.exe yazın, Tamam deyin,"
    3- "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs" anahtarını bulun,
    4- Sağına "ListenOnInternet" "dize değeri" ekleyin ve "N" olarak ayarlayın.

    Ayarlarınızın geçerli olması için bilgisayarınızı yeniden başlatın.

    RPC kullanan tüm servisler kapandıysa, port 135 şimdi kapalı olmalıdır.
    Eğer RPC port 135'e bağlanıyorsa, RPC'ye bağlı en az bir servis çalışıyordur.
    Kapanmayan hizmetler için son seçenek RPC sunucusu yama'sıdır.

    RPC Sunucusu Yaması

    Microsoft RPC, 135'ten farklı bir port üzerinden dinlemek için yapılandırılamaz.
    Bunun yerine, o bağlantı noktası kullanmaya zorlamamak için yama sistemi gereklidir.
    OS Patching kesinlikle ileri kullanıcılar içindir.
    RPC Sunucusu bir hex editörü kullanarak yamalanması gerekir.
    Eğer bir hex editörünüz yoksa, bu adresten alabileceğiniz 010 Editör kullanın;
    http://www.sweetscape.com/010editor/

    RPC sunucusu Rpcss.dll olarak adlandırılan bir dosyada, ancak bu dosya sabit kullanımda uygulanmaktadır.

    1- Yedek olarak Rpcss.dll dosyasının bir kopyasını oluşturun.
    Windows Explorer kullanarak kopya dosyasını, \windows\system32\rpcss.dll'dan
    kendi klasörlerinizden birine kaydedin.
    2- "Başlat" menüsünden "Çalıştır" deyin,
    3- Regedt32.exe yazın, Tamam deyin,
    4- HKLM \ System \ CurrentControlSet \ Services \ RpcSs anahtarını bulun,
    5- "ImagePath" olan değeri "XImagePath" olarak yeniden adlandırın,
    6- Kayıt Defter'ini kapatın,
    7- Bilgisayarınızı yeniden başlatın.
    Bilgisayar'ın yeniden başlaması değişiklikleri hazırlaması için normalden biraz uzun sürebilir.
    8- Hex editörü çalıştırın ve "\ windows \ system32 \ Rpcss.dll" dosyasını açın,
    9- Bayt dizisi ara "31 00 33 00 35" veya Unicode metin "135",
    10- Bu bayt dizisini "30 00 30 00 30" olarak değiştirin,
    Bu değişikliklerle 135-den 000- olan portlarda, DCOM açmak mümkün olmayacaktır.
    11- Dosyayı kaydedin,
    12- "Başlat" menüsünden "Çalıştır" deyin,
    13- Regedt32.exe yazın, Tamam deyin,
    14- HKLM \ System \ CurrentControlSet \ Services \ RpcSs anahtarını bulun,
    15- "XImagePath" olan değeri "ImagePath" olarak yeniden adlandırın,
    16- Kayıt Defter'ini kapatın,
    17- Bilgisayarınızı yeniden başlatın.


    KAYNAK
     

Sayfayı Paylaş