A Windows 2003 szerver támogatást nyújt a távoli eljáráshívás (RPC) protokoll HTTP feletti használatára (RPC over HTTP). Alapesetben ez a lehetőség nem települ a Windows 2003 szerverrel együtt, hanem az Add/Remove Programs segítségével kapcsolható be.
Ahhoz, hogy megállapítsuk a szolgáltatás elérhetőségét a szerveren, kövessük az alábbi lépéseket:
- A vezérlőpultban kattintsunk az Add/Remove Programs-ra.
- Kattintsunk az Add/Remove Windows Components-re (ez elindítja a Windows komponens varázslót).
- Kattintsunk a Networking Services-re, majd a Details-re.
Ha az RPC over HTTP Proxy checkbox be van kapcsolva, akkor a szolgáltatás elérhető a szerveren.
A DCOM egy olyan protokoll, amely az RPC protokoll felett használható kliens- és szerveralkalmazásokban. Alapértelmezésben egy szerver, amely HTTP feletti RPC támogatásra van beállítva, elfogad DCOM kéréseket ennek a protokollnak a segítségével. Ezek a DCOM kérések ezután egy helyi port-ra kerülnek (TCP 593-as port).
Biztonsági megfontolásokból javasolt kikapcsolni, vagy eltávolítani minden olyan komponenst vagy szolgáltatást, amelyre nincs szükségünk.
Ha a DCOM támogatás nem szükséges a HTTP feletti RPC kiszolgálókon, akkor eltávolíthatjuk a DCOM támogatás, a registry módosításával. Az eltávolításhoz kövessük az alábbi lépéseket:
- Kattintsunk a Start gombra, majd a Run-ra, írjuk be, hogy regedit, végül kattintsunk az OK-ra.
- Keressük meg az alábbi registry kulcsot:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy]
A "ValidPorts" REG_SZ sztring bejegyzés értékei pontosvesszővel elválasztva szerepelnek. Alapértelmezésben a Windows 2003 szerverben az alábbi érték szerepel:
<helyi szervernév>:100-5000
Ez lehetővé teszi, hogy az "RPC over HTTP" a 100-5000-ig terjedő port-okat használja.
- Változtassuk meg az alapértelmezett beállítást az alábbiak szerint úgy, hogy kikapcsoljuk a DCOM szolgáltatást:
<helyi szervernév>:100-592;<helyi szervernév>:594-5000
- Távolítsunk el minden olyan port-tartományt, amely közvetlenül tartalmazza az 593-as port-ot. Pl. töröljük az alábbi bejegyzést, ha létezik:
- Ha közvetve tartalmazza valamely tartomány az 593-as port-ot, akkor helyettesítsük az alábbi módon.
<helyi szervernév>:100-2000
A fenti bejegyzést cseréljük az alábbira:
<helyi szervernév>:100-592;<helyi szervernév>:594-2000
Ha eltávolítjuk az 593-as port-ra vonatkozó bejegyzéseket, akkor meggátoljuk, hogy az RPC over HTTP protokoll segítségével DCOM hívásokat lehessen kezdeményezni, de RPC programok (mint pl. az Outlook 2003 kliens) számára engedélyezett lesz az RPC szerverhez való kapcsolódás (Exchange 2003 szerver).
Amikor ily módon eltávolítjuk a DCOM támogatást, segítünk enyhíteni a sebezhetőségen, amelyre az MS03-026-os biztonsági javítás vonatkozik: RPC szolgáltatások HTTP felett 80-as és 433-as port-okon.