MS08-059：以非管理员身份运行Microsoft Host Integration Server 2006

Microsoft Host Integration Server 2006是一款有趣的产品，它允许开发者将IBM大型机和AS/400（大型服务器）上的业务流程作为XML Web服务进行管理。您可以在http://www.microsoft.com/hiserver/downloads/default.mspx下载免费试用版。

不幸的是，该产品的管理接口访问权限未得到适当锁定。MS08-059是针对Microsoft Host Integration Server 2006的更新，用于保护SNA RPC服务接口。如果未安装此更新，攻击者可能远程运行代码并控制Microsoft Host Integration Server 2006。该更新增强了RPC用户验证，并锁定了此接口暴露的一些不必要的远程管理功能。

如果您在环境中使用Microsoft Host Integration Server 2006，务必尽快保护运行HIS的服务器。我们的首要建议是尽快应用安全更新。如果无法立即应用更新（需要重启），可以采取以下措施来降低潜在攻击的风险。

一种临时解决方法是使用服务控制管理器禁用SNA RPC服务，并阻止其自动启动。这将阻止易受攻击的服务运行，但也会阻止远程管理。防火墙RPC端口不是有效的解决方法，因为通信端口在服务启动时动态分配。

另一种降低风险的方法是以较低权限用户身份运行服务。任何成功的攻击将在降低的权限下运行，从而限制损害范围。我们在安装过程中通过弹出警告（见下图）推荐此做法，并在文档中提及，但可能有人忽略，因此我们在本文中强调此选项。以非管理员账户运行可减少潜在风险，并限制易受攻击接口的暴露。

• SVRD Bloggers
  发布内容“按原样”提供，不提供任何保证，也不授予任何权利。