响应MS08-067 Windows系统紧急安全配置指南

　　本配置手册不是全面的windows系统安全配置手册，只是指导windows用户，通过简易的、且不需要付任何费用的方法来避免受到主流攻击影响。本手册在每次出现重大漏洞时将做出修订。目前手册中的内容包括可有效对抗在2008年10月24出现的RPC漏洞(MS08-067)影响。

　　最新漏洞情况通报

　　本报告的修订针对2008年10月24出现的RPC漏洞(MS08-067)作出，这是一个针对139、445端口的RPC服务进行攻击的漏洞。可以直接获取系统控制权。

　　根据MS的消息该攻击无法穿透DEP保护，因此对正版用户，该漏洞对XP SP2以上版本(含SP2)和Server 2003 SP1(含SP1)系统无效。因此主要受到威胁的用户应该是， windows 2000和windows xp sp2以前版本用户。

　　但由于一些盗版传播中，被人为降低了安全级别或者修改过安全机制，因此上述信息只能供参考。

　　基本处置建议

　　在重大远程漏洞发生时，对于不需要实时连接的系统，可以考虑先断网检测安全配置，然后采用调整防火墙和安全策略的方式保证联网打补丁时段的安全再打补丁。

　　单机防火墙配置

　　相关介绍：

　　单机防火墙是一个重要的安全环节，有很多免费的和付费的防火墙品牌，主流反病毒产品往往也自带防火墙，从windows XP版本开始windows也自带了一个防火墙。

　　桌面用户、工作站用户

　　桌面系统是指以浏览、下载、游戏、工作等与用户直接操作交互为主要应用方式，其多数网络操作为用户主动对外发起连接，而不是凭借本地监听端口为外部用户提供服务。利用这一特性我们可以作出如下配置。

　　配置为禁止外部发起连接模式

　　桌面系统如果不提供共享打印，不需要在局域网游戏(如CS、FIFA等)中作为主机使用，可以通过设置为禁止发布发起连接模式，来阻断所有向本主机发起的连接的。进行有关设置不会影响到操作者的浏览、聊天、下载、在线视频、常见网游等操作。

　　效果：本节操作可以不依赖其他补丁和配置，独立防范MS08-067攻击。

　　优点：不仅可以阻断MS08-067攻击，而且可以阻断所有相同的针对主机固定端口的攻击。

　　缺点：如果主机提供打印共享、网络共享目录等服务则会失效，在CS、Fifa等游戏中无法作为host使用。可能与蓝波宽带拨号程序冲突。

　　Windows Vista、Windows Server2003自带防火墙支持配置为禁止外部发起连接模式。