Sous ce jeu de mots débile (ndFask : c’est bien, il en est conscient) se cache en fait un gros problème que Microsoft semble bien en mal de résoudre. Et pendant que la firme de Redmond se débat avec les patches, Steve Gibson tente lui une toute autre approche.
En effet, d’après lui DCOM ne sert absolument à rien pour la quasi-totalité des utilisateurs. Alors, on se demande à quoi peut bien servir ce truc à part laisser rentrer des vers et autres virus…
C’est pour cela qu’il vient de créer un sympatique utilitaire qui se charge de désactiver purement et simplement notre ami DCOM. Je viens de tester la chose chez moi, résultat : plus de port 135 ouvert.
On remerciera Microsoft… En fait, non, on remerciera Gibson plutôt !
sinon un firewall fait tout aussi bien l’affaire , suffit de contôler les applis qui ont le droit d’utiliser le port 135 , à la limite le firewall de xp/2000 suffit largement ,tu bloques le port 135 et basta
Oui, a premiere vue, je vois pas pourquoi DCOM est active sur XP Home. Sur XP Pro c’est une autre histoire, les affirmation de l’auteur de la page sont assez delirantes, un grand nombre d’entreprises utilisent DCOM et le virer aveuglement partout va causer des bonnes surprises… j’espere que les admins de ces reseau vont rester zen… Cela dit par defaut il devrait etre fermes au requetes de plages d’IP publiques. Au passage c’est vraiment pas juste pour “faire comme CORBA” que DCOM existe (sachant que ca a quand meme pas grand chose a voir avec corba si ce n’est le cote distribue, et, malgre le nom, pas grand chose a voir avec COM ou OLE).
Enfin ce n’est rien qu’une activation par defaut du firewall ne saurait empecher. Entre XP et 2003 la politique de MS a completement change en ce qui concerne l’activation des services par defaut. Depuis 2003, tout est verouille par defaut et aucun service non vital ne tourne… XP est sorti avant… et pour XP home moi, personellement, je serais d’avis de faire un SP2 qui eteint tout et fout le firewall. Tant pis si ca casse des applications d’utilisateurs qui font serveur sans meme savoir ce qu’ils font (genre emule ou autre). Le probleme c’est que cette mesure serait TRES impopulaire pour la majorite des utilisateurs (l’update il a casse mon PC) et ne serait bien percu que des geeks. Pour le long terme je pense que ca serait quand meme la “bonne chose a faire”™. Ce message a été édité par GloP le 09/09/2003
[quote]Enfin ce n’est rien qu’une activation par defaut du firewall ne saurait empecher. Entre XP et 2003 la politique de MS a completement change en ce qui concerne l’activation des services par defaut. Depuis 2003, tout est verouille par defaut et aucun service non vital ne tourne… XP est sorti avant… et pour XP home moi, personellement, je serais d’avis de faire un SP2 qui eteint tout et fout le firewall. Tant pis si ca casse des applications d’utilisateurs qui font serveur sans meme savoir ce qu’ils font (genre emule ou autre). Le probleme c’est que cette mesure serait TRES impopulaire pour la majorite des utilisateurs (l’update il a casse mon PC) et ne serait bien percu que des geeks. Pour le long terme je pense que ca serait quand meme la “bonne chose a faire”™.
Sur le papier l’idée peut paraitre séduisante, surtout que longhorn, c’est pas pour demain.
Je vois 2 types de softs qui font serveur qui sont utilisés par l’utilisateur lambda :
les softs P2P : ca me dérange pas s’ils sont cassés .
les jeux : par contre, là c’est un peu plus problématique.
GloP > MS a tjs du mal pour ce qui est de l’education de ses clients… Si tu veux, je ferai le test en demandant a notre admin Windows ce que c’est DCOM et quelles applications en dependent.
Ce qu’est qu’apres les delires du vers MS Blaster que MS s’est enfin decide a foutre un petit guide bien visible que la page d’acceuil de leur site. C’est un bon debut, mais carrement insuffisant pour une boite avec une influence telle que celle de MS. Vendre un logiciel va bien au dela du CDROM.
Pour ce qui est du 2003 Server : on a tous constate que le niveau general de securite par defaut a ete tire vers le haut (quoi que DCOM tourne tjs, et personnellement, comme 99.99% des users, je sais pas si je peux desactiver ou pas), mais le meilleur reglage reste celui de l’utilisateur averti qui comprend ce qu’il fait…
Aller MS, au boulot ! Ce message a été édité par unreal le 09/09/2003
[quote]Aller MS, au boulot ![/quote]Il y a des gros progres a faire dans ce domaine pour rendre l’information plus accessible mais le but c’est de rendre la vie facile, pas d’obliger les gens a se taper 40 pages de manuel ou “d’education“ pour se servir de leur PC. (meme si bien sur ils s’en serviraient mieux en sachant plus de choses, comme pour tout). Il y a des limites quand meme faut etre serieux. Quand t’achetes une bagnolle t’attend pas que Renault t’apprenne a conduire.
[quote]Oui, a premiere vue, je vois pas pourquoi DCOM est active sur XP Home. Sur XP Pro c’est une autre histoire, les affirmation de l’auteur de la page sont assez delirantes, un grand nombre d’entreprises utilisent DCOM et le virer aveuglement partout va causer des bonnes surprises… j’espere que les admins de ces reseau vont rester zen… Cela dit par defaut il devrait etre fermes au requetes de plages d’IP publiques. Au passage c’est vraiment pas juste pour “faire comme CORBA” que DCOM existe (sachant que ca a quand meme pas grand chose a voir avec corba si ce n’est le cote distribue, et, malgre le nom, pas grand chose a voir avec COM ou OLE).
Gibson est aussi ce type qui préconise l'arrêt de Universal Plug and Play, en disant que la 'quasi totalité' des matériels ne l'utilisent pas...
Alors, bon, hein ... ses conseils, vous savez ce que j'en fait...
[quote]Gibson est aussi ce type qui préconise l’arrêt de Universal Plug and Play, en disant que la ‘quasi totalité’ des matériels ne l’utilisent pas… Alors, bon, hein … ses conseils, vous savez ce que j’en fait…[/quote]Avant que le flamme commence je vais dire que sur ce point la cela dit il a pas completement tord UPnP est un protocole super mal pense dans sa premiere version et tres tres peu utilise du coup par les fabricant de matos (oui c’est pour la matos c’est une sorte de protocole universel pour que les differents composants hardware puissent se parler). Faut faire attention a faire la difference avec PnP tout court qui a rien a voir. La derniere version de UPnP a rien a voir et a ete bien refaite que ca soit au niveau protocole comme securite et devrait se rependre de plus en plus. Le probleme c’est la haine causee par le debut carrement merdique de la chose Mais c’est pas le sujet! Donc hop on ne derive pas merci! Ce message a été édité par GloP le 09/09/2003
Dans la page liée en tête de fil, il y a un monsieur qui Stallmanne un poil (véhémence des propos, hein, c’est ce que je veux dire). Donc moi pas foncièrement concerné (physionomiste à l’entrée du modem, pas de baskets, on t’a dit…)… Mais Dcom sert à quoi ? Je viens de découvrir. Activix est connoté passoire et prise de controle de la machine à distance, mais activex c’est aussi plus d’interaction avec l’utilisateur (enfin je crois).
Donc elle sert à quoi la passoire ?
Et sinon, mettez vos passewares dans un tupperware !
[quote]Oui, a premiere vue, je vois pas pourquoi DCOM est active sur XP Home. Sur XP Pro c’est une autre histoire, les affirmation de l’auteur de la page sont assez delirantes, un grand nombre d’entreprises utilisent DCOM et le virer aveuglement partout va causer des bonnes surprises… j’espere que les admins de ces reseau vont rester zen… Cela dit par defaut il devrait etre fermes au requetes de plages d’IP publiques. Au passage c’est vraiment pas juste pour “faire comme CORBA” que DCOM existe (sachant que ca a quand meme pas grand chose a voir avec corba si ce n’est le cote distribue, et, malgre le nom, pas grand chose a voir avec COM ou OLE).
Enfin ce n’est rien qu’une activation par defaut du firewall ne saurait empecher. Entre XP et 2003 la politique de MS a completement change en ce qui concerne l’activation des services par defaut. Depuis 2003, tout est verouille par defaut et aucun service non vital ne tourne… XP est sorti avant… et pour XP home moi, personellement, je serais d’avis de faire un SP2 qui eteint tout et fout le firewall. (…)[/quote]Mmmh, le Tzim il aimerais savoir exactement quelles applis utilisent DCOM (et RPC, tant qu’a faire)… Genre ma console (mmc) d’admin, elle marche comment ? RPC ? DCOM ?
Enfin, pour ce qui est du Firewall par défaut : Je viens de réinstaller XP (pilotes du scanner gérant pas 2k3) avec SP1 + tout les patchs, a la création de la connexion, le Firewall était actif par défaut. Ensuite, si les utilisateurs préfèrent utiliser d’autres firewalls …
[quote]Enfin, pour ce qui est du Firewall par défaut : Je viens de réinstaller XP (pilotes du scanner gérant pas 2k3) avec SP1 + tout les patchs, a la création de la connexion, le Firewall était actif par défaut. Ensuite, si les utilisateurs préfèrent utiliser d’autres firewalls …[/quote]Oui mais c’etait pas une connection ethernet reseau local qui se fait creer automatiquement. Or il y a jamais qu’en europe qu’on file des modems ADSL USB pour limiter le client
[quote][quote]Aller MS, au boulot ![/quote]Il
y a des gros progres a faire dans ce domaine pour rendre l’information
plus accessible mais le but c’est de rendre la vie facile, pas
d’obliger les gens a se taper 40 pages de manuel ou “d’education“ pour
se servir de leur PC. (meme si bien sur ils s’en serviraient mieux en
sachant plus de choses, comme pour tout). Il y a des limites quand
meme faut etre serieux. Quand t’achetes une bagnolle t’attend pas que
Renault t’apprenne a conduire.[/quote]Ouai mais il faut un permis pour pouvoir conduire une bagnole, à quand le permis pour utiliser un PC ?
[quote]et, malgre le nom, pas grand chose a voir avec COM ou OLE[/quote]T’es sûr? je pensais que DCOM était le penchant “internet” de COM (réseau local)
[quote]je serais d’avis de faire un SP2 qui eteint tout et fout le firewall. […] Le probleme c’est que cette mesure serait TRES impopulaire[…][/quote]Je me suis laissé dire que ça arrivait. Et très bientôt. C’est Tata Jeanine qui va être contente… Mais qu’est-ce qui est le plus impopulaire? Un système considéré comme du gruyère ou deux ou trois programmes qui cessent de marcher jusqu’au prochain patche?
Si ça continue, les gens vont être contents de voir Palladium arriver…
(au fait, GLoP, oki oki oki sur la discussion d’hier, c’est vrai que t’as pas dit ça. On prend un café un de ces jours?)
J’ ai Kerio personal firewall, j’ ai voulu bloquer le port 135.
Est ce que quelqu’ un qui utilise Kerio pourrais me dire si ce que j’ ai fait est bon ou pas !
J’ ai créé un Filter Rule: que j’ ai configuré comme suit:
Protocol : TCP and UDP
Direction : Both Directions
Port type : Single Port Application : Any
Port Number : 135
