パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows NT系のRPCSSにまた欠陥」記事へのコメント

  • by Anonymous Coward on 2003年09月11日 17時52分 (#395687)
    塞いでおけば問題ないようにも思えるんですが、それだけじゃダメですか?教えて、わかる人。

    # Windows使ってたら、普通あいてるポートじゃないよなぁ
    • by Anonymous Coward on 2003年09月11日 19時52分 (#395767)
      135を塞ぐのも厳しい話です。

      2000/2003 ServerのドメインであるActive Directoryは、
      ドメイン管理情報の伝達に135番を使っています。

      塞いでしまうと、Active Directoryの管理機構が
      いくつか使用不能になってしまいます。普通あいてない
      かもしれませんが、あけなければいけないポートなのです。

      塞ぐな [microsoft.com]とMicrosoftもPRしています。

       Blasterの影響はこういうところにきたかなと思います。
      親コメント
      • by moci (11748) on 2003年09月12日 0時58分 (#395916) 日記
        塞ぐな とMicrosoftもPRしています。

        塞げ [microsoft.com] とMicrosoftから言われています。」と、NT 4.0ユーザ。

        おかげさんで来年末までは、ただ金が無いというだけでなしに、Active Directoryの導入を拒否し続けられそうです。

        親コメント
      • by Anonymous Coward
        セキュリティーホールを生みかねない機能を、WAN越しに使うべきではないと思う。企業の場合、知識のある人間雇ってくれと言っても、なかなか上の人がうんと言わないのはわかるけど。結局下の人が、評価もされないのになれない勉強するしかないんだよなぁ。

        # 自分もわからない人でかつ万年下の人なのでAC
        • >セキュリティーホールを生みかねない機能を、WAN越しに使うべきではないと思う。

          いや、LANも危険ですよ。
          ユーザがどっからか蟲を持ち込んで、Firewallの内側だからと安心してたら
          大繁殖…なぁんて話、聞いたことありませんか?

          まぁ、某社での体験ですと…そうやって持ち込むってのは、いつも
          社長でしたが…。

          社長「ねぇ。K君。このHappy99って開いてもいいのかな?」
          K君「だめです! それはウィルスです!」
          社長「早く言ってよ。動かしちゃったよ…」

          # 某ベンチャー企業であった実話。クリスマス直前の寒い日曜日でした
          ## というか、動かしてから質問するんじゃない>社長)
          ### ちなみに私は、月曜日に話を聞いて気軽に笑ってました
          親コメント
      • だからそいつは、ドメインを跨るような所で叩き落せ、とか、そういう所ではTrustしたIPアドレス以外は通すな、とか、そういう運用を求められてるんじゃねえかなと思う訳で。
        実際俺が管理してる所はLANの内外を経る通信に関してRPC関連を全部叩き落してたお陰でBlaster関連は全部シャットアウトしてたわけだが。もちろん[外部からPC持ち込むときにはまず俺に連絡しろ]として、安
    • by Anonymous Coward
      FAQ [microsoft.com]によると、

      ファイアウォールにて UDP ポート 135、137、138、445 および TCP ポート 135、139、445、593 をブロックし、影響を受けるコンピュータ上でポート 80 および 443 をリッスンする COM インターネット サービス

      • by Anonymous Coward
        ソケット使って自力で通信するより、
        マイクロソフトのRPCをIISに中継させる奴使えば楽じゃん、
        と思ったけど、自力でやっといてよかった。

        車輪は再発明すべきなのです。
      • by Anonymous Coward
        >ファイアウォールにて UDP ポート 135、137、138、445 および
        >TCP ポート 135、139、445、593 をブロックし、影響を受けるコンピュータ上で
        >ポート 80 および 443 をリッスンする COM インターネット サービス (CIS)
        >および RPC over HTTP を無効に設定

        あのぅ、、、こ
        • by Anonymous Coward
          >あのぅ、、、これだけのポート塞いで、一体何に使え、というんですか?

          馬鹿?
          • by Anonymous Coward
            Windows独自の機能を使うためのポートがほぼ全滅してるんだから、なにに使えばいいんだと思うのは当然だろう。
            挙げられたポート塞いで平気なら、そもそもWindowsなんて使わないわけで。
        • by Anonymous Coward
          ポートを塞ぐ方向を理解できないと(ルーティングを司る事は)難しい。

          #Port.80-inを塞いだって、Port.80-outを塞がなきゃ別に問題ないんだけどねぇ。

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...