Biuletyn zabezpieczeń firmy Microsoft MS05-051

Problem nie dotyczy systemów Windows XP z dodatkiem Service Pack 2 i Windows Server 2003 z dodatkiem Service Pack 1.

W systemie Windows Server 2003 usługa MSDTC (Microsoft Distributed Transaction Coordinator) jest domyślnie uruchomiona, ale nie jest skonfigurowana do obsługi funkcji Dostęp do usługi DTC przez sieć. Osoba atakująca musi dysponować prawidłowymi poświadczeniami logowania oraz być w stanie zalogować się lokalnie, aby wykorzystać możliwości stwarzane przez usterkę. Jednakże, jeśli administrator włączył obsługę funkcji Dostęp do usługi DTC przez sieć, system Windows Server 2003 może być narażony na ataki związane ze zdalnym wykonaniem kodu, przeprowadzane przez anonimowych użytkowników. Informacje na temat sposobu konfiguracji funkcji Dostęp do usługi DTC przez sieć można znaleźć w następującej witrynie sieci Web firmy Microsoft (j.ang.).

W systemie Windows XP z dodatkiem Service Pack 1 usługa MSDTC nie jest domyślnie uruchomiona. Aby możliwe było przeprowadzenie ataku ze zdalnym wykonaniem kodu, ta usługa musi być uruchomiona. Osoba atakująca musi dysponować prawidłowymi poświadczeniami logowania oraz być w stanie zalogować się lokalnie, aby wykorzystać możliwości stwarzane przez usterkę. Jednakże, o ile administrator nie wyłączy usługi, może ją uruchomić każdy użytkownik lokalny. Po uruchomieniu tej usługi system Windows XP z dodatkiem Service Pack 1 może być narażony na ataki związane ze zdalnym wykonaniem kodu, przeprowadzane przez anonimowych użytkowników. Wynika to z faktu, że w systemie Windows XP z dodatkiem Service Pack 1 usługa MSDTC jest skonfigurowana do obsługi funkcji Dostęp do usługi DTC przez sieć. Informacje na temat sposobu konfiguracji funkcji Dostęp do usługi DTC przez sieć można znaleźć w następującej witrynie sieci Web firmy Microsoft (j.ang.).

W przypadku klientów, którzy muszą korzystać ze składnika podlegającego usterce, metody działania stosowane w zaporach oraz standardowe, domyślne konfiguracje zapór mogą pomóc w zabezpieczeniu sieci przedsiębiorstwa przed atakami z zewnątrz. Zgodnie ze standardowymi zasadami działania zaleca się, aby w systemach połączonych z Internetem była otwarta jak najmniejsza liczba portów.

Wyłączenie usługi MSDTC

Wyłączenie usługi MSDTC pomaga w ochronie systemu podlegającego usterce przed próbami jej wykorzystania. Aby wyłączyć usługę MSDTC (Microsoft Distributed Transaction Coordinator), należy wykonać następujące czynności:

Usługę MSDTC można również zatrzymać i wyłączyć za pomocą następującego polecenia wykonywanego z wiersza poleceń:

sc stop MSDTC & sc config MSDTC start= disabled

Wpływ rozwiązania: Po wyłączeniu usługi MSDTC nie można używać usług ani aplikacji, które z niej korzystają. Mogą to być takie aplikacje, jak: SQL Server, BizTalk Server, Exchange Server czy Kolejkowanie wiadomości. Usługa ta jest również niezbędna w większości konfiguracji klastrowych. Dlatego firma Microsoft zaleca użycie tego rozwiązania tylko w systemach, w których nie można zainstalować aktualizacji zabezpieczeń.

Wyłączenie usługi MSDTC za pomocą ustawień zasad grupy we wszystkich podlegających usterce systemach, które nie wymagają tej funkcji.
Ze względu na ryzyko zaatakowania systemu przez wykorzystanie usterki usługi MSDTC należy wyłączyć tę usługę za pomocą ustawień zasad grupy. Uruchamianie tej usługi można wyłączyć z poziomu systemu lokalnego, lokalizacji, domeny lub jednostki organizacyjnej za pomocą funkcji obiektu zasad grupy w środowiskach domeny systemów Windows 2000 i Windows Server 2003. Aby uzyskać więcej informacji na temat sposobu wyłączania tej usługi za pomocą skryptów logowania, zobacz artykuł 297789 w bazie wiedzy Microsoft Knowledge Base (j.ang.)

Uwaga Warto także zapoznać się z podręcznikiem Windows 2000 Security Hardening Guide (Podręcznik wzmacniania zabezpieczeń systemu Windows 2000) (j.ang.). Zawiera on informacje dotyczące wyłączania usług.

Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web:

Wpływ rozwiązania: Po wyłączeniu usługi MSDTC nie można używać usług ani aplikacji, które z niej korzystają. Mogą to być takie aplikacje, jak: SQL Server, BizTalk Server, Exchange Server czy Kolejkowanie wiadomości. Usługa ta jest również niezbędna w większości konfiguracji klastrowych. Dlatego firma Microsoft zaleca użycie tego rozwiązania tylko w systemach, w których nie można zainstalować aktualizacji zabezpieczeń.

Wyłączenie funkcji Dostęp do usługi DTC przez sieć

Jeśli nie można zainstalować aktualizacji zabezpieczeń i wyłączyć usługi MSDTC, celowe może być wyłączenie funkcji Dostęp do usługi DTC przez sieć. Opcja ta jest dostępna tylko w systemie Windows XP i nowszych wersjach systemu operacyjnego. Pozwala ona na dalsze wykonywanie transakcji lokalnych, ale pomaga w ochronie przed atakami z sieci usiłującymi wykorzystać opisywaną usterkę. Informacje na temat sposobu konfiguracji funkcji Dostęp do usługi DTC przez sieć można znaleźć w następującej witrynie sieci Web firmy Microsoft (j.ang.). Aby wyłączyć funkcję Dostęp do usługi DTC przez sieć, należy wykonać następujące czynności:

Ostrzeżenie Wykonanie tej procedury powoduje uruchomienie usługi podlegającej usterce, jeśli nie została wcześniej uruchomiona. Przed zamknięciem okna dialogowego konfiguracji należy zatrzymać usługę MSDTC na karcie MSDTC.

HKLM\Software\Microsoft\MSDTC\Security\NetworkDtcAccess

Wpływ rozwiązania: Po wyłączeniu funkcji Dostęp do usługi DTC przez sieć wykonywanie transakcji rozproszonej może zakończyć się niepowodzeniem. Może to mieć wpływ na inne aplikacje, takie jak: SQL Server, BizTalk Server czy Kolejkowanie wiadomości. Dlatego firma Microsoft zaleca użycie tego rozwiązania tylko w systemach, w których nie można zainstalować aktualizacji zabezpieczeń.

Zablokowanie na zaporze następujących portów:

Te porty mogą być wykorzystywane do nawiązywania połączeń z usługą MSDTC. Zablokowanie tych portów na zaporze może pomóc w zabezpieczeniu systemów chronionych zaporą przed próbami wykorzystania usterki opisanej w tym biuletynie. Należy także zablokować wszelkie inne jawnie skonfigurowane porty RPC w systemie zdalnym. W celu zapobieżenia atakom mogącym wykorzystywać inne porty zaleca się blokowanie całego niepożądanego ruchu przychodzącego z Internetu. Chociaż usługa RPC może używać portów UDP 135, 137, 138, 445 oraz portów TCP 135, 139, 445 i 593, wykorzystanie usterki usługi MSDTC przez te porty nie jest możliwe.

Uwaga Inne protokoły, takie jak SPX (Sequenced Packet Exchange) czy NetBEUI, umożliwiają komunikację z usługą MSDTC. Jeśli są one wykorzystywane, należy zablokować dla nich odpowiednie porty. Więcej informacji na temat protokołów IPX i SPX można znaleźć w następującej witrynie sieci Web firmy Microsoft (j.ang.).

W celu lepszego zabezpieczenia się przed próbami ataku z sieci z wykorzystaniem tej usterki należy używać zapory osobistej, takiej jak Zapora połączenia internetowego (j.ang.), która dostarczana jest z systemami operacyjnymi Windows XP i Windows Server 2003.

Zapora połączenia internetowego dostępna w systemach Windows XP i Windows Server 2003 ułatwia ochronę połączenia internetowego, domyślnie blokując niepożądany ruch przychodzący. Zaleca się zablokowanie całej niepożądanej komunikacji przychodzącej z Internetu.

Aby włączyć Zaporę połączenia internetowego za pomocą Kreatora konfiguracji sieci, wykonaj następujące czynności:

Aby ręcznie skonfigurować Zaporę połączenia internetowego dla określonego połączenia, wykonaj następujące czynności:

Uwaga Aby umożliwić określonym programom i usługom komunikowanie się poprzez zaporę, kliknij przycisk Ustawienia na karcie Zaawansowane, a następnie zaznacz wymagane programy, protokoły i usługi.

W celu lepszego zabezpieczenia się przed próbami ataku z sieci z wykorzystaniem tej usterki należy włączyć zaawansowane filtrowanie TCP/IP w systemach obsługujących taką funkcję.

Włączenie zaawansowanego filtrowania TCP/IP umożliwia zablokowanie wszelkiego niepożądanego ruchu przychodzącego. Aby uzyskać więcej informacji na temat sposobu konfigurowania filtrowania TCP/IP, zobacz artykuł 309798 bazy wiedzy Microsoft Knowledge Base. (j.ang.)

W celu lepszego zabezpieczenia się przed próbami ataku z sieci z wykorzystaniem tej usterki należy zablokować odpowiednie porty poprzez zastosowanie protokołu IPSec w systemach jej podlegających.

Do ochrony komunikacji sieciowej można użyć zabezpieczeń protokołu internetowego (IPSec). Szczegółowe informacje na temat protokołu IPsec i sposobu stosowania filtrów można znaleźć w artykule 313190 bazy wiedzy Microsoft Knowledge Base (j.ang.) i artykule 813878 bazy wiedzy Microsoft Knowledge Base (j.ang.). Usługa RPC wykorzystuje szeroki zakres portów, co może utrudniać zabezpieczenie wszystkich poprzez zastosowanie protokołu IPsec. W artykule 908472 bazy wiedzy Microsoft Knowledge Base (j.ang.) opisano sposób ograniczenia komunikacji z usługą RPC do zestawu portów stałych oraz sposobu zabezpieczenia takich portów za pomocą protokołu IPsec.

Ogranicza koszty systemów informatycznych w firmach.
MSDTC stanowi zaawansowany, ekonomiczny system obsługi transakcji rozproszonych, przeznaczony dla użytkowników połączonych w sieć, niedrogich komputerów osobistych i serwerów.

Upraszcza tworzenie aplikacji.
Transakcje MSDTC znacznie upraszczają zadanie zachowania spójności, pomimo błędów, które mogą wystąpić przy aktualizacji danych aplikacji.

Udostępnia spójny model transakcyjny.
Usługa MSDTC obsługuje różnorodne systemy zarządzania zasobami, w tym relacyjne bazy danych, obiektowe bazy danych, systemy plików, systemy przechowywania dokumentów i kolejki wiadomości.

Umożliwia tworzenie oprogramowania z wykorzystaniem rozproszonych komponentów.
Usługa MSDTC udostępnia prosty, obiektowy interfejs programowania aplikacji przeznaczony do inicjowania i kontrolowania transakcji.

W systemie Windows XP z dodatkiem Service Pack 2, Windows Server 2003 i Windows Server 2003 z dodatkiem Service Pack 1, aby wykorzystać tę usterkę, osoba atakująca musi posiadać prawidłowe poświadczenia logowania i mieć możliwość lokalnego zalogowania się w systemie. Usterki nie można wykorzystać zdalnie, chyba że osoba atakująca posiada uprawnienia administratora.

Sprawdzone metody działania stosowane w zaporach oraz standardowe domyślne konfiguracje zapór mogą pomóc w zabezpieczeniu sieci przed atakami spoza obszaru działania przedsiębiorstwa. Zgodnie ze standardowymi zasadami działania zaleca się, aby w systemach połączonych z Internetem była otwarta jak najmniejsza liczba portów.

Wyłączenie modelu COM+
Wyłączenie modelu COM+ pomaga w ochronie systemu podlegającego usterce przed próbami jej wykorzystania. Istnieją różne sposoby wyłączenia modelu COM+, zależne od platformy.

Ważne Niniejszy biuletyn zawiera informacje na temat sposobu modyfikacji rejestru. Przed przystąpieniem do modyfikacji rejestru należy koniecznie utworzyć jego kopię zapasową. Trzeba też wiedzieć, jak odtworzyć rejestr w razie wystąpienia problemu. Więcej informacji na temat sposobów tworzenia kopii zapasowej, odtwarzania i modyfikacji rejestru można znaleźć w artykule 256986 bazy wiedzy Microsoft Knowledge Base.

Ostrzeżenie Nieprawidłowa modyfikacja rejestru za pomocą Edytora rejestru lub inną metodą może spowodować poważne problemy. Problemy takie mogą wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie gwarantuje możliwości rozwiązania takich problemów. Użytkownik dokonuje modyfikacji rejestru na własną odpowiedzialność.

echo “Workaround for KB902400” >%windir%\system32\~clbcatq.dll

HKEY_LOCAL_MACHINE\Software\Microsoft\COM3

Edytor rejestru Windows wersja 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3]
"Com+Enabled"=dword:00000000

Wpływ rozwiązania: Po wyłączeniu modelu COM+ nie można używać aplikacji, które go wykorzystują. Przed zastosowaniem opisanych rozwiązań klienci powinni sprawdzić, czy którakolwiek z aplikacji o istotnym znaczeniu dla firmy nie korzysta z usług COM+. Firma Microsoft zaleca ich użycie tylko w systemach, w których nie można zainstalować aktualizacji zabezpieczeń. Więcej informacji na temat modelu COM+ można znaleźć w następującej witrynie sieci Web firmy Microsoft (j.ang.).

Zablokowanie na zaporze następujących portów:

Te porty są używane do nawiązywania połączeń z usługą RPC. Zablokowanie tych portów na zaporze może pomóc w zabezpieczeniu systemów chronionych zaporą przed próbami wykorzystania usterki opisanej w tym biuletynie. Należy także zablokować wszelkie inne jawnie skonfigurowane porty RPC w systemie zdalnym. W celu zapobieżenia atakom mogącym wykorzystywać inne porty zaleca się blokowanie całego niepożądanego ruchu przychodzącego z Internetu. Więcej informacji na temat portów używanych przez usługę RPC można znaleźć w następującej witrynie sieci Web (j.ang.). Aby uzyskać więcej informacji na temat sposobu wyłączania usługi CIS, zobacz artykuł 825819 w bazie wiedzy Microsoft Knowledge Base.

Uwaga Inne protokoły, takie jak SPX (Sequenced Packet Exchange) czy NetBEUI, umożliwiają komunikację z usługą MSDTC. Jeśli są one wykorzystywane, należy zablokować dla nich odpowiednie porty. Więcej informacji na temat protokołów IPX i SPX można znaleźć w następującej witrynie sieci Web firmy Microsoft (j.ang.).

Wyłączenie modelu DCOM
Wyłączenie modelu DCOM pomaga w ochronie systemu podlegającego usterce przed próbami jej zdalnego wykorzystania. Jednakże, system podlegający usterce może być w dalszym ciągu narażony na lokalne ataki związane z podniesieniem uprawnień, usiłujące wykorzystać tę usterkę. Instrukcje wyłączania modelu DCOM można znaleźć w artykule 825750 bazy wiedzy Microsoft Knowledge Base.

Alternatywnie, zamiast wykonywać czynności opisane w artykule 825750 bazy wiedzy Microsoft Knowledge Base, można wkleić poniższy tekst do pliku .reg. Następnie kliknij dwukrotnie plik .reg, będąc zalogowanym lokalnie jako administrator:

Edytor rejestru Windows wersja 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"

Uwaga Za pomocą zasad grupy ustawienie to można zastosować jednocześnie w wielu systemach. Więcej informacji na temat zasad grupy można znaleźć w następującej witrynie sieci Web firmy Microsoft (j.ang.).

Wpływ rozwiązania: Po wyłączeniu modelu DCOM nie można używać aplikacji, które go wykorzystują. Przed zastosowaniem opisanego rozwiązania klienci powinni sprawdzić, czy którakolwiek z aplikacji o istotnym znaczeniu dla firmy nie korzysta z usług DCOM. Wyłączenie modelu DCOM może mieć potencjalny wpływ na wiele wbudowanych składników i aplikacji innych producentów. Nie zaleca się wyłączania modelu DCOM w danym środowisku przed sprawdzeniem, czy będzie to miało wpływ na jakieś aplikacje. W niektórych środowiskach wyłączenie modelu DCOM może nie być możliwe. Dlatego firma Microsoft zaleca użycie tego rozwiązania tylko w systemach, w których nie można zainstalować aktualizacji zabezpieczeń. Informacje na temat wyłączenia modelu DCOM można znaleźć w artykule 825750 bazy wiedzy Microsoft Knowledge Base.

Ta usterka powoduje awarię typu odmowa usługi. Nie pozwala ona osobie atakującej na wykonanie kodu ani podniesienie swoich uprawnień użytkownika, ale może sprawić, że usługa jej podlegająca przestanie akceptować żądania.

W systemach Windows XP z dodatkiem Service Pack 1, Windows XP z dodatkiem Service Pack 2, Windows Server 2003 i Windows Server 2003 z dodatkiem Service Pack 1 nawet po uruchomieniu usługi MSDTC protokół TIP nie jest włączony. Aby usługa MSDTC podlegała usterce, administrator musiałby ręcznie włączyć protokół TIP.

W przypadku, gdy usługa MSDTC przestanie reagować w odpowiedzi na atak, usługi od niej niezależne w dalszym ciągu funkcjonują normalnie.

W przypadku klientów, którzy muszą korzystać ze składnika podlegającego usterce, metody działania stosowane w zaporach oraz standardowe, domyślne konfiguracje zapór mogą pomóc w zabezpieczeniu sieci przedsiębiorstwa przed atakami z zewnątrz. Zgodnie ze standardowymi zasadami działania zaleca się, aby w systemach połączonych z Internetem była otwarta jak najmniejsza liczba portów.

Wyłączenie usługi MSDTC

Wyłączenie usługi MSDTC pomaga w ochronie systemu podlegającego usterce przed próbami jej wykorzystania. Aby wyłączyć usługę MSDTC (Microsoft Distributed Transaction Coordinator), należy wykonać następujące czynności:

Usługę MSDTC można również zatrzymać i wyłączyć za pomocą następującego polecenia wykonywanego z wiersza poleceń:

sc stop MSDTC & sc config MSDTC start= disabled

Wpływ rozwiązania: Po wyłączeniu usługi MSDTC nie można używać usług ani aplikacji, które z niej korzystają. Mogą to być takie aplikacje, jak: SQL Server, BizTalk Server, Exchange Server czy Kolejkowanie wiadomości. Usługa ta jest również niezbędna w większości konfiguracji klastrowych. Dlatego firma Microsoft zaleca użycie tego rozwiązania tylko w systemach, w których nie można zainstalować aktualizacji zabezpieczeń.

Wyłączenie usługi MSDTC za pomocą ustawień zasad grupy we wszystkich podlegających usterce systemach, które nie wymagają tej funkcji.
Ze względu na ryzyko zaatakowania systemu przez wykorzystanie usterki usługi MSDTC należy wyłączyć tę usługę za pomocą ustawień zasad grupy. Uruchamianie tej usługi można wyłączyć z poziomu systemu lokalnego, lokalizacji, domeny lub jednostki organizacyjnej za pomocą funkcji obiektu zasad grupy w środowiskach domeny systemów Windows 2000 i Windows Server 2003. Aby uzyskać więcej informacji na temat sposobu wyłączania tej usługi za pomocą skryptów logowania, zobacz artykuł 297789 w bazie wiedzy Microsoft Knowledge Base (j.ang.)

Uwaga Warto także zapoznać się z podręcznikiem Windows 2000 Security Hardening Guide (Podręcznik wzmacniania zabezpieczeń systemu Windows 2000) (j.ang.). Zawiera on informacje dotyczące wyłączania usług.

Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web:

Wpływ rozwiązania: Po wyłączeniu usługi MSDTC nie można używać usług ani aplikacji, które z niej korzystają. Mogą to być takie aplikacje, jak: SQL Server, BizTalk Server, Exchange Server czy Kolejkowanie wiadomości. Usługa ta jest również niezbędna w większości konfiguracji klastrowych. Dlatego firma Microsoft zaleca użycie tego rozwiązania tylko w systemach, w których nie można zainstalować aktualizacji zabezpieczeń.

Zablokowanie portu TCP 3372 na zaporze:

Jest to port wykorzystywany do inicjacji połączenia z protokołem TIP. Zablokowanie go na zaporze może pomóc w zabezpieczeniu systemów chronionych zaporą przed próbami wykorzystania opisywanej usterki. Należy także zablokować wszelkie inne jawnie skonfigurowane porty TIP w systemie zdalnym. W celu zapobieżenia atakom mogącym wykorzystywać inne porty zaleca się blokowanie całego niepożądanego ruchu przychodzącego z Internetu.

W celu lepszego zabezpieczenia się przed próbami ataku z sieci z wykorzystaniem tej usterki należy włączyć zaawansowane filtrowanie TCP/IP w systemach obsługujących taką funkcję.

Włączenie zaawansowanego filtrowania TCP/IP umożliwia zablokowanie wszelkiego niepożądanego ruchu przychodzącego. Aby uzyskać więcej informacji na temat sposobu konfigurowania filtrowania TCP/IP, zobacz artykuł 309798 bazy wiedzy Microsoft Knowledge Base.

W celu lepszego zabezpieczenia się przed próbami ataku z sieci z wykorzystaniem tej usterki należy zablokować odpowiednie porty poprzez zastosowanie protokołu IPSec w systemach jej podlegających.

Do ochrony komunikacji sieciowej można użyć zabezpieczeń protokołu internetowego (IPSec). Szczegółowe informacje na temat protokołu IPSec i sposobu stosowania filtrów znajdują się w artykułach 313190 i 813878 bazy wiedzy Microsoft Knowledge Base.

Ogranicza koszty systemów informatycznych w firmach.
MSDTC stanowi zaawansowany, ekonomiczny system obsługi transakcji rozproszonych, przeznaczony dla użytkowników połączonych w sieć, niedrogich komputerów osobistych i serwerów.

Upraszcza tworzenie aplikacji.
Transakcje MSDTC znacznie upraszczają zadanie zachowania spójności, pomimo błędów, które mogą wystąpić przy aktualizacji danych aplikacji.

Udostępnia spójny model transakcyjny.
Usługa MSDTC obsługuje różnorodne systemy zarządzania zasobami, w tym relacyjne bazy danych, obiektowe bazy danych, systemy plików, systemy przechowywania dokumentów i kolejki wiadomości.

Umożliwia tworzenie oprogramowania z wykorzystaniem rozproszonych komponentów.
Usługa MSDTC udostępnia prosty, obiektowy interfejs programowania aplikacji przeznaczony do inicjowania i kontrolowania transakcji.

Ta usterka powoduje awarię typu odmowa usługi. Nie pozwala ona osobie atakującej na wykonanie kodu lub podniesienie swoich uprawnień użytkownika, ale może sprawić, że usługi jej podlegające przestaną akceptować żądania.

W systemach Windows XP z dodatkiem Service Pack 1, Windows XP z dodatkiem Service Pack 2, Windows Server 2003 i Windows Server 2003 z dodatkiem Service Pack 1 nawet po uruchomieniu usługi MSDTC protokół TIP nie jest włączony. Aby usługa MSDTC podlegała usterce, administrator musiałby ręcznie włączyć protokół TIP.

W przypadku, gdy usługa MSDTC przestanie reagować w odpowiedzi na atak, usługi od niej niezależne w dalszym ciągu funkcjonują normalnie.

W przypadku klientów, którzy muszą korzystać ze składnika podlegającego usterce, metody działania stosowane w zaporach oraz standardowe, domyślne konfiguracje zapór mogą pomóc w zabezpieczeniu sieci przedsiębiorstwa przed atakami z zewnątrz. Zgodnie ze standardowymi zasadami działania zaleca się, aby w systemach połączonych z Internetem była otwarta jak najmniejsza liczba portów.

Wyłączenie usługi MSDTC

Wyłączenie usługi MSDTC pomaga w ochronie systemu podlegającego usterce przed próbami jej wykorzystania. Aby wyłączyć usługę MSDTC (Microsoft Distributed Transaction Coordinator), należy wykonać następujące czynności:

Usługę MSDTC można również zatrzymać i wyłączyć za pomocą następującego polecenia wykonywanego z wiersza poleceń:

sc stop MSDTC & sc config MSDTC start= disabled

Wpływ rozwiązania: Po wyłączeniu usługi MSDTC nie można używać usług ani aplikacji, które z niej korzystają. Mogą to być takie aplikacje, jak: SQL Server, BizTalk Server, Exchange Server czy Kolejkowanie wiadomości. Usługa ta jest również niezbędna w większości konfiguracji klastrowych. Dlatego firma Microsoft zaleca użycie tego rozwiązania tylko w systemach, w których nie można zainstalować aktualizacji zabezpieczeń.

Wyłączenie usługi MSDTC za pomocą ustawień zasad grupy we wszystkich podlegających usterce systemach, które nie wymagają tej funkcji.
Ze względu na ryzyko zaatakowania systemu przez wykorzystanie usterki usługi MSDTC należy wyłączyć tę usługę za pomocą ustawień zasad grupy. Uruchamianie tej usługi można wyłączyć z poziomu systemu lokalnego, lokalizacji, domeny lub jednostki organizacyjnej za pomocą funkcji obiektu zasad grupy w środowiskach domeny systemów Windows 2000 i Windows Server 2003. Aby uzyskać więcej informacji na temat sposobu wyłączania tej usługi za pomocą skryptów logowania, zobacz artykuł 297789 w bazie wiedzy Microsoft Knowledge Base (j.ang.)

Uwaga Warto także zapoznać się z podręcznikiem Windows 2000 Security Hardening Guide (Podręcznik wzmacniania zabezpieczeń systemu Windows 2000) (j.ang.). Zawiera on informacje dotyczące wyłączania usług.

Więcej informacji na temat zasad grupy można znaleźć w następujących witrynach sieci Web:

Wpływ rozwiązania: Po wyłączeniu usługi MSDTC nie można używać usług ani aplikacji, które z niej korzystają. Mogą to być takie aplikacje, jak: SQL Server, BizTalk Server, Exchange Server czy Kolejkowanie wiadomości. Usługa ta jest również niezbędna w większości konfiguracji klastrowych. Dlatego firma Microsoft zaleca użycie tego rozwiązania tylko w systemach, w których nie można zainstalować aktualizacji zabezpieczeń.

Zablokowanie portu TCP 3372 na zaporze:

Jest to port wykorzystywany do inicjacji połączenia z protokołem TIP. Zablokowanie go na zaporze może pomóc w zabezpieczeniu systemów chronionych zaporą przed próbami wykorzystania opisywanej usterki. Należy także zablokować wszelkie inne jawnie skonfigurowane porty TIP w systemie zdalnym. W celu zapobieżenia atakom mogącym wykorzystywać inne porty zaleca się blokowanie całego niepożądanego ruchu przychodzącego z Internetu.

W celu lepszego zabezpieczenia się przed próbami ataku z sieci z wykorzystaniem tej usterki należy włączyć zaawansowane filtrowanie TCP/IP w systemach obsługujących taką funkcję.

Włączenie zaawansowanego filtrowania TCP/IP umożliwia zablokowanie wszelkiego niepożądanego ruchu przychodzącego. Aby uzyskać więcej informacji na temat sposobu konfigurowania filtrowania TCP/IP, zobacz artykuł 309798 bazy wiedzy Microsoft Knowledge Base.

W celu lepszego zabezpieczenia się przed próbami ataku z sieci z wykorzystaniem tej usterki należy zablokować odpowiednie porty poprzez zastosowanie protokołu IPSec w systemach jej podlegających.

Do ochrony komunikacji sieciowej można użyć zabezpieczeń protokołu internetowego (IPSec). Szczegółowe informacje na temat protokołu IPSec i sposobu stosowania filtrów znajdują się w artykułach 313190 i 813878 bazy wiedzy Microsoft Knowledge Base.

Ogranicza koszty systemów informatycznych w firmach.
MSDTC stanowi zaawansowany, ekonomiczny system obsługi transakcji rozproszonych, przeznaczony dla użytkowników połączonych w sieć, niedrogich komputerów osobistych i serwerów.

Upraszcza tworzenie aplikacji.
Transakcje MSDTC znacznie upraszczają zadanie zachowania spójności, pomimo błędów, które mogą wystąpić przy aktualizacji danych aplikacji.

Udostępnia spójny model transakcyjny.
Usługa MSDTC obsługuje różnorodne systemy zarządzania zasobami, w tym relacyjne bazy danych, obiektowe bazy danych, systemy plików, systemy przechowywania dokumentów i kolejki wiadomości.

Umożliwia tworzenie oprogramowania z wykorzystaniem rozproszonych komponentów.
Usługa MSDTC udostępnia prosty, obiektowy interfejs programowania aplikacji przeznaczony do inicjowania i kontrolowania transakcji.