这更像是一个网络问题,而不是编程问题。我们工作网络上有一种病毒肆虐,似乎正在摧毁我们的服务器。我确定该病毒通过创建 svcctl 管道进行传播:
此签名检测使用 svcctl 命名管道更改远程系统上服务的服务配置的请求。SCM 管理器 API 提供创建新服务、更改服务的服务配置等功能。SCM 管理器通过命名管道 svcctl 远程公开。因此,用户可以作为“Guest”用户连接到目标系统,并使用命名管道 svcctl 更改弱服务的配置设置。
目前,我已通过禁用服务器服务来防止我的机器再次感染。我想知道是否有办法在组策略中设置某些内容,以防止此病毒在其他计算机上创建虚拟服务?不幸的是,我们的网络工作人员没有采取任何措施来清除我们网络中的此病毒。
答案1
如果有任何方法可以阻止远程访问 SVCCTL 管道,我会感到惊讶。我没有找到任何文档表明有办法做到这一点。
我会考虑审计你的服务 ACLsdset并使用命令的功能对其进行加强sc,或者使用组策略强制使用更好的服务 ACL。