Это скорее сетевой вопрос, чем вопрос программирования. В нашей сети работает вирус, который, похоже, вырубает наши серверы. Я определил, что вирус распространяется путем создания каналов svcctl:
Эта сигнатура обнаруживает запросы на изменение конфигурации службы в удаленной системе с помощью именованного канала svcctl. SCM Manager API предоставляет функциональные возможности для создания новой службы, изменения конфигурации службы и т. Д. SCM Manager доступен удаленно через именованный канал svcctl. Таким образом, пользователь может подключиться к целевой системе в качестве «гостя» и изменить параметры конфигурации для слабой службы с помощью именованного канала svcctl.
В настоящее время я предотвратил повторное заражение моей машины, отключив службу сервера. Мне было интересно, есть ли способ настроить что-то в групповой политике, чтобы этот вирус не создавал фиктивные службы на других компьютерах? К сожалению, наши сотрудники не делают ничего, чтобы избавить нашу сеть от этого вируса.
Я был бы удивлен, если есть какой-нибудь способ предотвратить удаленный доступ к каналу SVCCTL. Я не нахожу никакой документации, в которой говорится, что это можно сделать.
Я бы рассмотрел аудит ваших сервисных ACL и затягивая их sdset функциональность sc команда или принудительное удаление списков управления доступом более качественных служб с помощью групповой политики.