Отключение сервиса dcom в реестре windows

Обновлено: 06.07.2024

В этом документе мы кратко описали способы устранения уязвимостей в RPC DCOM и возможные проблемы, которые могут возникнуть при этом.

Отключаем DCOM

Отключение DCOM – самый эффективный способ предотвращения эксплуатации RPC/DCOM уязвимости. Отключить DCOM можно двумя способами:

HKEY_LOCAL_MACHINE\Software\Microsoft\OLE – измените значение EnableDCOM к N.

Затем перезагрузите операционную систему.

Через утилиту Dcomcnfg.exe.

Если вы используете Windows XP или Windows Server 2003, выполните следующие действия:

кликните Component Services под Console Root

Откройте папку Computers.

Для локального компьютера, кликните правой кнопкой мыши на My Computer и затем кликните Properties.

Для удаленного компьютера, кликните правой кнопкой мыши на папку Computers, затем new, и затем кликните Computer.

Введите имя компьютера.

Правой клавишей мыши на имени компьютера кликните на Properties.

Кликните на закладку Default Properties.

Снимите переключатель (check box) Enable Distributed COM on this Computer.

Кликните Apply, чтобы отключить DCOM.

Перезагрузите операционную систему.

Отключение DCOM на Windows pre-SP3

Отключение DCOM на Windows 2000 системах, на которых не установлен Windows 2000 SP3 или более поздний, может не сработать. На таких системах, вы должны сперва установить MS01-041/298012. Отключение DCOM на таких системах будет также работать, если установили Windows 2000 Security Rollup Pack 1 (SRP1/311401), который содержит в себе MS01-041.

Предупреждение Microsoft об отключении DCOM В статье Microsoft об отключении DCOM, содержится следующее довольно неопределенное предупреждение:

Предупреждение, если Вы отключаете DCOM, вы можете потерять функциональные возможности операционной системы. После того, как вы отключаете поддержку DCOM, может случится следующее:

Любой COM объект, который может быть активирован дистанционно, перестанет работать.

Локальный COM+ snap-in не сможет подключаться к удаленным серверам.

Функция авторегистрации сертификатов может неправильно функционировать.

Запросы Windows Management Instrumentation (WMI) удаленных серверов могут неправильно функционировать.

Потенциально существуют множество встроенных компонентов и сторонних приложений, которые могут перестать работать, если вы отключите DCOM. Microsoft рекомендует проверить работоспособность всех приложений, используемых в вашей среде, после отключения DCOM. Microsoft также предупреждает, что не во всех средах можно отключить DCOM.

Список приложений, которые требуют DCOM или имеют проблемы при отключенном DCOM:

Microsoft Access Workflow Designer

FrontPage с Visual Source Safe на IIS

BizTalk Server schedule client

Excel использует DCOM, если он включает RTD инструкцию

Win95 требует Client for Microsoft Networks или DCOM, чтобы работать с MS SNA Server

Microsoft Exchange Conferencing Server

Dell entire Open Manage suite

Veritas Backup Exec, Network based backup. Программа использует RPC/DCOM для проверки файлов открытых файлов и т.п.

Citrix NFuse Elite. При отключении DCOM, многие функции Citrix NFuse перестают функционировать.

Sophos (Antivirus) Enterprise Manager. Без DCOM программа отказывается работать.

Перестают работать множество функций в SMS 2.0 при отключенном DCOM.

Windows 95/98 и DCOM

Dcom может быть установлен на Windows 95/98 системах (DCOM95 1.2), однако заплаты для этих систем не были выпущены, так как Windows 95/98 системы больше не поддерживаются Microsoft.

Хотя Dcom и включен в операционную Windows ME, эта система по словам Microsoft не содержит уязвимый код.

Патч MS03-039 содержит в себе патч MS03-026, который ошибочно могут требовать установить некоторые утилиты проверки установки MS03-026. Если вы используете подобный инструмент, то обратитесь к его производителю, чтобы он внес соответствующие изменения в работу программы.

Уязвимость может эксплуатироваться через 80, 443 или 593 порт. К сожалению, нет подробной информации о способах эксплуатации обнаруженных уязвимостей через эти порты.

593 порт используется службой RPC over HTTP End Point Mapper. Эта служба очень похожа на службу RPC End Point Mapper на 135 TCP порту. Эта служба нужна для работы RPC over http (DCOM "Tunneling TCP/IP" протокол). По умолчанию эта служба отключена на всех Windows системах.

DCOM – это набор программных интерфейсов Майкрософт, реализованных на базе модели Удаленного вызова процедур (RPC), который обеспечивает взаимодействие между COM-компонентами по сети и выполняет функцию вызова объекта, размещенного на другом компьютере. Это один из основных процессов Windows и запускается вместе с загрузкой системы.

Но есть случаи, когда при заметном снижении производительности Windows, в Диспетчере задач замечает, что узел службы модуля запуска процессов DCOM-сервера грузит процессор почти до 100%. Есть ряд решений, позволяющие решить проблему чрезмерного использования ресурсов системы.


Отключение внешних устройств

В первую очередь отключите все внешние USB устройства. Возможно, причина высокой нагрузки на процессор, создаваемой модулем запуска DCOM-сервера, в одном из них. Каждый раз при подключении внешних устройств (смартфонов, планшетов, игровых приставок и прочих), они используют ресурсы компьютера для синхронизации с системой.

Поэтому отключите их и проверьте, снизилась ли нагрузка. Если да, определите проблемное устройство и обновите его драйвер.

Создание новой учетной записи

Во многих случаях удается решить проблему высокой нагрузки процессора модулем DCOM-сервера путем создания нового профиля пользователя. Для этого загрузите компьютер в безопасном режиме и войдите в систему как администратор.

Перейдите в раздел Семья и другие пользователи с помощью команды ms-settings:otherusers из окна «Выполнить» (Win + R).


Нажмите на плюс «Добавить пользователя для этого компьютера».


Для создания локального профиля кликните на кнопку «У меня нет данных для входа этого человека».


Выберите пункт «Добавить пользователя без учетной записи Майкрософт».Отобразится окно для заполнения данных авторизации.


Введите данные для входа и выберите пароль, который можете запомнить.


Когда новая учетная запись будет создана, разверните меню Пуск, кликните на иконку пользователя и выберите «Выход».


Теперь с экрана блокировки войдите в систему под вновь созданной учетной записью. Проверьте, грузит ли модуль запуска процессов DCOM-сервера ресурсы процессора. Если проблема решена, переместите все личные файлы в новый профиль.

Если не можете получить доступ к настройкам профиля, можно создать новую учетную запись с помощью командой строки.

Откройте командную строку с правами администратора с помощью системного поиска.


В консоли запустите команду:

net user /add [имя пользователя] [пароль]

После ее выполнения будет создана новая учетная запись. Теперь ей нужно предоставить права администратора.

new localgroup администраторы [имя] /add

С помощью этих команд можно быстро создать профиль локального администратора.

После их успешного выполнения перезагрузите компьютера. Если был использован безопасный режим, откройте окно конфигурации системы командой msconfig из окна «Выполнить» (Win + R). На вкладке Загрузка снимите флажок с опции безопасного режима и примените изменения. Подтвердите перезагрузку ПК.

Запуск инструмента Process Explorer

С помощью утилиты Process Explorer можно узнать, какие DLL были загружены вместе с подробностями о том, какой родительский процесс их запустил. Также можно узнать подробности об использовании процессора, какие фоновые приложения грузят ресурсы системы и прочее. Попробуйте проверить процессы, использующие модулем запуска DCOM-сервера и узнать проблемный, который грузит процессор.

Загрузите утилиту с официального сайта Microsoft.


После распаковки пакета в доступном каталоге запустите его.


В меню «File» нажмите на пункт «Show Details for All Processes».

Теперь найдите процесс «svchost.exe», щелкните на нем правой кнопкой мыши и выберите Свойства. Перейдите на вкладку Image. Здесь будет отображен «источник» нагрузки, то есть, какой процесс использует исполняемый файл.

Немного покопайтесь и найдите приложение или службу, которую можно отключить на странице «services.msc».

Настройка ПК с ОРС-сервером

Настройка DCOM на уровне компьютера

Dcomcnfg.jpg

"Свойства по умолчанию". Выставляем, как показано на рисунке

Свойства по умолчанию.jpg

Безопасность COM.jpg

В разделе "Разрешение на запуск и активацию" нажать "Изменить ограничения".

Сохранить ограничения.jpg

Добавить.jpg

Дополнительно.jpg

Поиск.jpg

Пользователи DCOM.jpg

Права Пользователей DCOM.jpg

Разрешение на запуск и активацию(Win10).jpg

Настройка пользователей Server и Scada.

Пользователь Server

1. Открываем "Управление компьютером", Открываем вкладку "Служебные программы - Локальные пользователи и группы - Пользователи". Добавляем пользователя Server.

2. Галочки расставляем, как на рисунке. Пароль - 0000 (или свой).

Sever.jpg

3. Добавляем пользователя "Server" в группу "Администраторы". Остальные группы у пользователя удаляем.

Server- Администратор.jpg

5. Открываем вкладку "Локальные политики - Назначение прав пользователя".

Локальная политика безопасности Server.jpg

Пользователь Scada

  1. Открываем "Локальные пользователи и группы"
  2. Добавляем пользователя Scada, галочки и пароль - аналогично,как пользователю Server.
  3. Добавляем его в группу "Пользователи DCOM", отальные группы удаляем.
  4. В локальной политике безопасности запрещаем этому пользователю локальный вход.

Права DCOM компонентам OpcEnum и Tekon OPC Server

Настройка OpcEnum

OpcEnum Проверка поддлинности.jpg

OpcEnum Безопасность.jpg

Настройка Tekon OPC Server

  1. Ищем в окне компонентов Tekon OPC Data Access Server (version 3.4)
  2. Наживаем правой кнопкой мыши - "Свойства"

Свойства по умолчаниюOPCTekon.jpg

Уровень проверки подлинностиTekonopc.jpg

Безопасность Tekonopc.jpg

Удостоверение OPC.jpg

Настройка брандмауэра Windows

Замечание относительно версий АСУД.SCADA до 2.8.0

При настройке АСУД Scada версии до версии 2.8.0, на ПК с OPC-сервером дополнительно к указанным действиям должен быть создан:

Обычно, на Пультах-ПК - это пользователи:

Настройка ПК со Scada

Настройка пользователей и предоставление прав

Sever.jpg

Запретить локальный вход Sever.jpg

Настройка Брандмауэра Windows

ASUD Scada и ОРС-сервер установлены на одном ПК

Если программа SCADA и орс-сервер уcтановлены на одном ПК, то можно не использвать дополнительные настройки DCOM.

Локалдьное подключение.jpg

Если конфигурация более сложная, например Scada и ОРС-сервер установлены на разных ПК, то рекомендуется настраивать ПК, как описано выше в пунктах 2 и 3.

При регистрации ОРС-сервера в SCADA следует использовать учетные данные пользователя scada, созданного на ПК с сервером:

Удалённое подключение.jpg

DCOM Access Assistant

Данный мастер создает необходимых для работы системы Пользователей, а так же настраивает:

Вы можете применять данную программу для конфигураций:

Утилита должна быть запущена последовательно на каждом из ПК. Перед запуском у вас уже должно быть установлено ПО АСУД.SCADA

После первого запуска утилита просканирует конфигурацию АСУД и оторазит текущую версию установленного программного обеспечения.

Dcom aa.jpg

Далее есть два варинта настройки:

  • Лайт вариант - упрощенный, для наших ПК с пользователями adminscada, dispather
  • Полноценный вариант - с выбор специального пользователя для подключения SCADA - ОРС.Сервер
    (как описано в инструкции выше)

Замечание!
При настройке версий до 2.8.0 см. замечание указанное в статье выше.

Dcom aa.jpg

Если вы хотите выполнить полноценную "безопасную" настройку подключения согласно инструкции (выше), следует выбирать пользователя server, scada c блокировкой локального входа для этих пользователей и отказом доступа по сети.

DCOM ошибки и их решения

В данном разделе описаны типовые ошибки, причины их возникновния и способы их решения.

Настройка и оптимизация Windows 10 после установки

Всякая полезная информация, никак не связанная с видео и дизайном.

Canonical Link

Настройка и оптимизация Windows 10 после установки

Настройка и оптимизация Windows 10.jpg (92.47 КБ) 26861 просмотр Настройка и оптимизация Windows 10.jpg (92.47 КБ) 26861 просмотр
Ниже я прикладываю все файлы, которые использовал на стриме. Внимательно изучайте их, не запускайте просто так вслепую! Я старался объяснить свои действия как можно подробнее, смотрите запись стрима. Если что-то не понятно - используйте goolge, а если и после поиска не уверены - не выполняйте эти команды. Отберите только то, что вам действительно нужно.

Содержание:

Полезные файлы для автоматических настроек

Файл реестр all.reg
Время на стриме - 27:04 "Изучение моего файла all.reg"

Windows Registry Editor Version 5.00


Файл Remove Extra Folders from This PC.bat
Время на стриме - 41:10 "Удаление лишних папок в Этом Компьютере"

@echo off
openfiles > nul 2>&1
if not %errorlevel% equ 0 (
echo.===NOT ADMIN===
pause > nul
exit
)
@echo on

REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\" /f
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\" /f
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\" /f
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\" /f
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\" /f
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\" /f
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\" /f
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\" /f
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\" /f
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\" /f
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\" /f
@echo.
@echo.
@echo = = = Restart Explorer! = = =
@echo.
@echo.
@pause


Файл Add Block Telemetry to Host.bat
Время на стриме - 52:06 "Добавление блокированных адресов сайтов в файл hosts"

@echo off
cls
echo Editing Hosts File

SET NEWLINE=^& echo.

:AddTelemetryHost
echo.=== %1 ====
FIND /C /I " %1" %WINDIR%\system32\drivers\etc\hosts > NUL 2>&1
IF %ERRORLEVEL% NEQ 0 ECHO %NEWLINE%^0.0.0.0 %1>>%WINDIR%\System32\drivers\etc\hosts
exit /b


Файл Удобное удаление SmartScreen.exe.bat
Время на стриме - 58:35 "Полное удаление функций SmartScreen и получение доступа к защищенным файлам из командной строки"

@echo off
openfiles > nul 2>&1
if not %errorlevel% equ 0 (
echo.===NOT ADMIN===
pause > nul
exit
)
@echo on


Файл Удобное удаление Compattelrunner.exe.bat
Время на стриме - 01:03:35 "Удобное удаление Compattelrunner.exe и отключение задач планировщика для сбора данных"

@echo off
openfiles > nul 2>&1
if not %errorlevel% equ 0 (
echo.===NOT ADMIN===
pause > nul
exit
)
@echo on

schtasks /change /TN "\Microsoft\Windows\Autochk\Proxy" /DISABLE
schtasks /change /TN "\Microsoft\Windows\NetTrace\GatherNetworkInfo" /DISABLE
schtasks /change /TN "\Microsoft\Windows\LanguageComponentsInstaller\Installation" /DISABLE


Файл Remove App.bat
Время на стриме - 01:10:45 "Быстрое удаление стандартных ненужных приложений Windows 10"

PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Alarm* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Feedback* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *GetHelp* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Getstarted* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Messaging* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Microsoft.Print3D* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Microsoft.ScreenSketch* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Microsoft.Wallet* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *MicrosoftSolitaireCollection* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *MixedReality* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *OfficeHub* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *OneConnect* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *OneNote* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Paint* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Recorder* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *StickyNotes* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Viewer* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *WindowsCamera* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *WindowsMaps* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *XboxApp* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *XboxGamingOverlay* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *XboxSpeechToTextOverlay* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Microsoft.Xbox.TCUI* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Microsoft.XboxGameOverlay* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *Zune* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *communications* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *microsoft.people* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *photos* | Remove-AppxPackage"
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "Get-AppxPackage *yourphone* | Remove-AppxPackage"


Файл Удаление OneDrive.bat
Время на стриме - 01:25:18

taskkill /f /im OneDrive.exe
%SystemRoot%\SysWOW64\OneDriveSetup.exe /uninstall
rd "%USERPROFILE%\OneDrive" /Q /S
rd "C:\OneDriveTemp" /Q /S
rd "%LOCALAPPDATA%\Microsoft\OneDrive" /Q /S
rd "%PROGRAMDATA%\Microsoft OneDrive" /Q /S
pause


Файл disabling clipboard service.bat
Время на стриме - 02:22:45 "Про службу буфера обмена"

reg add "HKLM\System\CurrentControlSet\Services\cbdhsvc" /v "Start" /t REG_DWORD /d "4" /f
reg add "HKCU\Software\Microsoft\Clipboard" /v "EnableClipboardHistory " /t REG_DWORD /d "0" /f
reg add "HKLM\Software\Policies\Microsoft\Windows\System" /v "AllowCrossDeviceClipboard " /t REG_DWORD /d "0" /f
reg add "HKLM\Software\Policies\Microsoft\Windows\System" /v "AllowClipboardHistory" /t REG_DWORD /d "0" /f
@pause

Читайте также: