正在閱讀：通報(bào)：Windows域環(huán)境存在遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)！通報(bào)：Windows域環(huán)境存在遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)！

　　【PConline資訊】3月8日消息，北京網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)布消息稱，Windows域環(huán)境存在遠(yuǎn)程代碼執(zhí)行隱患風(fēng)險(xiǎn)，漏洞可導(dǎo)致任意計(jì)算機(jī)設(shè)備被攻擊者控制。

　　研究人員稱，攻擊者在已經(jīng)進(jìn)入了目標(biāo)內(nèi)網(wǎng)環(huán)境并控制了任意一臺機(jī)器后，可以發(fā)動此攻擊方案來攻擊同一廣播域內(nèi)的其他加入了Windows域的機(jī)器。攻擊發(fā)動后，生效時間與被攻擊主機(jī)的配置有關(guān)，可能很快生效，也有可能需要更長時間。

　　此次攻擊涉及到Windoes2012及更高版本系統(tǒng)做域控制器的Windows域環(huán)境。目前，安全研究人員已經(jīng)公開多個Windows特性進(jìn)行了串聯(lián)，在一定條件下實(shí)現(xiàn)了直接控制域內(nèi)任何主機(jī)攻擊效果。

　　針對此次攻擊，安全機(jī)構(gòu)建議做好以下防護(hù)措施：

　　1、在所有域控制器上打開強(qiáng)制LDAP簽名與LDAPSChannelBinding功能

　　2、將域內(nèi)含有敏感權(quán)限的用戶加入ProtectedUsers組的介紹

　　3、將域內(nèi)含有敏感權(quán)限的用戶設(shè)置為“敏感賬戶，不能被委派”

　　4、如環(huán)境內(nèi)沒有用到WPAD，可通過下發(fā)域策略禁用域內(nèi)主機(jī)的WinHttpAutoProxySvc服務(wù)；如環(huán)境內(nèi)沒有用到IPV6，可通過主機(jī)防火墻或在網(wǎng)絡(luò)層面限制網(wǎng)絡(luò)中的DHCPv6流量

　　5、對自己的信息系統(tǒng)開展自查，對重要的數(shù)據(jù)、文件進(jìn)行定期備份