響應MS08-067 Windows系統緊急安全配置指南

本配置手冊不是全面的windows系統安全配置手冊，只是指導windows使用者，通過簡易的、且不需要付 任何費用的方法來避免受到主流攻擊影響。本手冊在每次出現重大漏洞時將做出修訂。目前手冊中的內容 包括可有效對抗在2008年10月24出現的RPC漏洞(MS08-067)影響。

最新漏洞情況通報

本報告的修訂針對2008年10月24出現的RPC漏洞(MS08-067)作出，這是一個針對139、445連接埠的RPC服 務進行攻擊的漏洞。可以直接擷取系統控制權。

根據MS的訊息該攻擊無法穿透DEP保護，因此對正版使用者，該漏洞對XP SP2以上版本(含SP2)和Server 2003 SP1(含SP1)系統無效。因此主要受到威脅的使用者應該是， windows 2000和windows xp sp2以前版本 使用者。

但由於一些盜版傳播中，被人為降低了安全層級或者修改過安全機制，因此上述資訊只能供參考。

基本處置建議

在重大遠程漏洞發生時，對於不需要即時串連的系統，可以考慮先斷網檢測安全配置，然後採用調整 防火牆和安全性原則的方式保證連網打補丁時段的安全再打補丁。

單機防火牆配置

相關介紹：

單機防火牆是一個重要的安全環節，有很多免費的和付費的防火牆品牌，主流反病毒產品往往也內建 防火牆，從windows XP版本開始windows也內建了一個防火牆。

案頭使用者、工作站使用者

案頭系統是指以瀏覽、下載、遊戲、工作等與使用者直接操作互動為主要應用方式，其多數網路操作為 使用者主動對外發起串連，而不是憑藉本地監聽連接埠為外部使用者提供服務。利用這一特性我們可以作出如下 配置。

配置為禁止外部發起串連模式

案頭系統如果不提供共用列印，不需要在區域網路遊戲(如CS、FIFA等)中作為主機使用，可以通過設定 為禁止發布發起串連模式，來阻斷所有向本主機發起的串連的。進行有關設定不會影響到操作者的瀏覽、 聊天、下載、線上視頻、常見網遊等操作。

效果：本節操作可以不依賴其他補丁和配置，獨立防範MS08-067攻擊。

優點：不僅可以阻斷MS08-067攻擊，而且可以阻斷所有相同的針對主機固定連接埠的攻擊。

缺點：如果主機提供列印共用、網際網路共用目錄等服務則會失效，在CS、Fifa等遊戲中無法作為host使 用。可能與藍波寬頻撥號程式衝突。

Windows Vista、Windows Server2003內建防火牆支援配置為禁止外部發起串連模式。

使用者可按照下列圖示步驟，配置windows內建防火牆。

Step 1：在控制台中找到防火牆。