[讨论] win2k的小心了……新的远程蓝屏漏洞

涉及程序：
Windows 2000

描述：
Windows 2000 microsoft-ds 端口拒绝服务攻击漏洞

详细：
Windows 2000存在一个拒绝服务漏洞，因为Windows 2000默认开启的microsoft-ds端口(TCP 445)允许远程用户连接。

当远程用户发送一个非法(malformed)的数据包到microsoft-ds端口(TCP 445)时，核心资源被LANMAN服务占用，导致拒绝服务攻击，造成蓝屏。

如一个攻击者发送一个连续的10k大小的NULL字串数据流给TCP端口445 时，引起的最常见的症状是LANMAN 服务将占用大量的核心内存，计算机发出的“嘀嘀嘀。。。”的告警声将被声卡驱程无法装载的错误状态所替代，IIS不能为.asp 的页面服务，作为管理员去重启服务器时，系统将会显示你没有权限关闭或重启计算机。

严重的话，以后计算机只要一打开，就会自动消耗100% 的CPU资源，根本无法进行正常的工作，而且很难恢复过来。

受影响版本:
===========
- Windows 2000 Server (SP0, SP1, SP2)
- Windows 2000 Advanced Server (SP0, SP1, SP2)
- Windows 2000 Professional (SP0, SP1, SP2)


解决方案：
临时解决方案：

一、通过禁止TCP/IP上的NetBIOS关闭端口445
1、点击'开始'，选择'设置'，再点击'网络和拨号连接'。
2、右击'本地连接'，选择'属性'。
3、点击'Internet协议(tcp/ip)',选择'属性',然后点击'高级'。
4、点'WINS'标签，选择'禁用TCP/IP上的NETBIOS' ，然后'确定'。

二、在注册表中建立并设置MaxWorkItems值：
1、启动注册表编辑器Regedt32.exe 。
2、选择HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\ 下Parameters值。
3、在'编辑'菜单上，点'增加值'，输入'MaxWorkItems'。
4、点REG_DWORD，然后选择OK。
5、设置如下数值：
- 如果超过2G大小内存，设置1024
- 如果512G-2G大小内存，设置512
- 如果小于512G大小内存，设置256
6、退出注册表编辑器。