这是一个networking问题,而不是一个编程问题。 我们的networking上有一种病毒在运行,似乎正在取消我们的服务器。 我已经确定病毒通过创buildsvcctlpipe道传播:
此签名使用svcctl命名pipe道检测请求以更改远程系统上的服务的服务configuration。 SCM Manager API提供了创build新服务,更改服务的服务configuration等的function。SCM Manager通过命名pipe道svcctl远程显示。 因此,用户可以以“访客”用户身份连接到目标系统,并使用命名pipe道svcctl更改弱服务的configuration设置。
目前,我已经通过禁用我的服务器服务来防止我的机器重新感染。 我想知道是否有某种方法来设置组策略中的某些东西,以防止此病毒在其他计算机上创build虚拟服务? 不幸的是,我们的networking工作人员没有做任何事情来摆脱我们的networking病毒。
如果有任何方法阻止远程访问SVCCTLpipe道,我会感到惊讶。 我没有find任何文件表明有办法这样做。
我会考虑审计您的服务ACL,并使用sc命令的sdsetfunction加强它们,或者使用组策略强制使用更好的服务ACL。