¿Se puede modificar el subsistema de llamada a procedimiento remoto de Windows del predeterminado sin que Windows 8 / 8.1 / 10 se rompa?

5

Esta es una pregunta que personalmente como profesional de seguridad me ha molestado durante mucho tiempo.

Por lo tanto, una instalación de Windows predeterminada, desde XP hasta 10, generalmente tiene algunos servicios escuchando en el quad-zero (0.0.0.0 para aquellos que podrían estar menos familiarizados con la jerga) para lo que me imagino que sería Asistencia con la configuración en un entorno de dominio. Muchos de estos servicios, como Link-Local Name Resolution o NetBIOS, se pueden desactivar, aunque con un poco de trabajo.

Aunque entiendo que el subsistema RPC de Windows depende de casi todos los servicios instalados en el sistema, el Asignador de puntos finales de RPC se vinculará al puerto msrpc típico (puerto 135) en todas las interfaces. En un entorno doméstico o de alta seguridad, escuchar puertos RPC puede ser indeseable, ya que puede invitar a posibles explotaciones.

Me he metido con algunos de estos hechos en un entorno de prueba, en gran parte con tratar de configurar el servidor RPC de Windows para que escuche en el host local. He estado usando RPCCFG, deshabilitando DCOM, los pasos habituales que encuentro en algunos foros con fecha. Sé que no se puede deshabilitar por completo, por lo que he intentado hacerlo al menos visible en el software con la impresión de que la funcionalidad seguirá siendo la misma: el asignador está ahí, pero no escucha el hardware. Desde XP hasta 10, el único lugar donde conseguí que funcionara es en una instalación de Windows Server 2008 R2 Datacenter, y no he podido replicarlo desde entonces.

Si bien me doy cuenta de que, en un entorno de alta seguridad, sería más conveniente simplemente no usar Windows con respecto a los problemas de seguridad, la imposibilidad de configurar este servicio y hacer que funcione sin que Windows lance un CRITICAL_PROCESS_DIED. Llámame entusiasta, pero siempre es algo que me parece interesante.

Entonces, ¿puede el subsistema RPC de Windows escuchar en localhost sin error? ¿O no es configurable sin romper todas las funciones dentro de Windows?

    
pregunta LegacyLegolas 17.09.2015 - 18:46
fuente

1 respuesta

1

¿Ha considerado simplemente bloquear los puertos relevantes en el firewall? Denegar el acceso desde todos los hosts externos. Usando la ventana "Firewall de Windows con redes avanzadas" ( wf.msc ), edite una regla, vaya a la pestaña Alcance y configúrela para que funcione solo en la dirección IP local 127.0.0.1, o para que no acepte conexiones desde computadoras remotas (o ambos). También puede agregar una regla que bloquee explícitamente las conexiones a 135 desde máquinas remotas. Es mejor bloquear tanto la entrada como la salida, si eres realmente paranoico, ya que un atacante podría presentar un servidor RPC malicioso y atacarte a través de datos devueltos o devoluciones de llamada.

Lo admito, no lo he intentado yo mismo. Interesado en saber si funciona. Obviamente, Windows no requiere que el RPC de la red esté disponible (el sistema operativo funciona bien sin una interfaz de red en absoluto), pero espero que algunas funciones de la red dejen de funcionar si se bloquea toda la asignación del punto final de RPC.

    
respondido por el CBHacking 18.09.2015 - 10:32
fuente

Lea otras preguntas en las etiquetas