RPC脆弱性攻撃後遺症解決策 - RPC

サーバーを再起動すると、攻撃のためにRPCの脆弱性を使用するようにホストに要求されることが多く、サーバーのセキュリティを確保するためにRPCサービスを無効にしました。攻撃はなくなりましたが、問題は発生していますが、Messenger、Windows Installerサービスなど、RPCサービスに依存する多くのシステムサービスは正常に実行できません。主な症状は、Windowsの起動に時間がかかる、ウィンドウが最小化された後ステータスバーに表示されないコピー、貼り付け、ページの2番目のレイヤーを開くこと、RPCサービスのプロパティページを見つけることができないことなどができません。 RPCサービスを再度有効にしたいのですが、大変な手間がかかりました。

閉じる方法は[管理ツール]、[サービス]、[リモートプロシージャコール]、[属性]の順にクリックします。デフォルトの起動カテゴリは[自動]ですが、オプションはグレー（無効）です。ハードウェアプロファイルサービスを無効にしてシステムを再起動するには、[ログイン]タブをクリックします。

作成者は、インターネット上で多くの情報を確認して、それを有効にする3つの方法を見つけました。

方法1：レジストリを変更する

レジストリエディタを起動し、HKEY_LOCAL_MACHINE \\を開くsystem \\ CurrentControl-Set \\ Services \\ RpcSsブランチは、Start項目の値を「4」から「2」に変更します。つまり、スタートアップの種類は自動に設定され、システムを再起動できます。

方法2：< SC>コマンドプロンプトを使用して'コマンドプロンプトウィンドウを開き、' sc configと入力します。RpcSs start = auto'コマンドを入力すると、システムは' SC ChangeServiceConfigを表示します。 RPCサービスを正常に有効にすることができるように、SUCCESS - '

方法3：回復コンソールを使用する

例としてWindows 2003システムを起動し、インストールCDを使用してシステムを起動し、Windows 2003インストールインターフェイスに入ったら、「' R」キーを押して障害にログインします。コンソールを復元してください。回復コンソールで、[RpcSの有効化service_auto_start]コマンドを入力し、次に[exit]コマンドを入力してシス​​テムを再起動し、通常モードでログインしてRPCサービスを有効にします。

上記の方法を使用することに成功したわけではありません。有効にするには、レジストリ内のいくつかのキー値を変更する必要があると思います。

無効になったレジストリを無効にする前にバックアップレジストリを復元します。プロンプトはインポートできません。成功しません。有効にできません。

無効にする前後の2つのレジストリの内容（HKEY_LOCAL_MACHINE \\ SYSTEMブランチのみ）をWord文書に変換してから、Wordで[文書の比較とマージ]機能を使用してそれらを自動的に検索します。 2つのレジストリ間の違い無効にしたレジストリに次のようなブランチがあることを分析しました。

1. HKEY_LOCAL_MACHINE \\ SYSTEM \\ Curr-

entControlSet \\ HardwareProfiles \\ 0001 \\ System \\ CurrentControlSet \\ Enum \\ ROOT \\ LEGACY_RPCSS

2.HKEY_LOCAL_MACHINE \\ SYSTEM \\ Curr-

entControlSet \\ HardwareProfiles \\ Current \\ System \\ CurrentControlSet \\ Enum \\ ROOT \\ LEGACY_RPCSS

無効になる前のレジストリ内の1つだけ二つの枝その後の操作で、最初のブランチを削除することでRPCサービスを再開できることがわかりました。

上記3つの方法は、RPCサービスのスタートアップの種類を禁止に変更した場合にのみ適用できます。作成者はスタートアップの種類を変更せずにRPCサービスを終了しますが、それに関連付けられたハードウェアプロファイルサービスを禁止します "Start"オプションの値はまだ "2"であり、変更はありません。したがって、RPCサービスを有効にする前に、ハードウェアプロファイルサービスを有効にする必要があります。