DCOM を無効にする方法

　DCOM (分散 COM) の危険性については、Security Friday さんによるこの記事を:

• DCOMはやっぱり危険，IE/Officeを遠隔から操作できる（上） (日経 IT Pro)
• DCOMはやっぱり危険，IE/Officeを遠隔から操作できる（中） (日経 IT Pro)
• DCOMはやっぱり危険，IE/Officeを遠隔から操作できる（下） (日経 IT Pro)

　DCOM を無効にしても構わないのであれば、無効にしましょう。

　Windows NT 4.0 / 2000 / XP における、DCOM の無効化方法についてまとめます。

1. dcomcnfg コマンドを起動します。スタートメニューの「ファイル名を指定して実行...」から dcomcnfg と入力し [OK] をクリックします。

   

2. dcomcnfg コマンドは、Windows NT 4.0 / 2000 と Windoows XP では様子が違います。

   Windows NT 4.0 / 2000 の場合:

   「分散 COM の構成のプロパティ」ウィンドウが表示されます。 [既定のプロパティ] タブの [このコンピュータで分散 COM を有効にする] のチェックを外します。

   

   チェックを外した後で、[適用] をクリックし、さらに [OK] をクリックします。 「分散 COM の構成のプロパティ」ウィンドウが閉じます。

   Windows XP 場合:

   「コンポーネントサービス」ウィンドウが表示されます。

         コンソールルート
             コンポーネントサービス
                 コンピュータ
                     マイ コンピュータ

   とたどり、[マイ コンピュータ] を右クリックして [プロパティ] を選択します。

   

   すると「マイ コンピュータのプロパティ」ウィンドウが表示されます。 [既定のプロパティ] タブの [このコンピュータで分散 COM を有効にする] のチェックを外します。

   

   チェックを外した後で、[適用] をクリックし、さらに [OK] をクリックします。 「マイ コンピュータのプロパティ」ウィンドウが閉じます。

• Windows 2000 では、SP3 以降でないと DCOM を無効にできません。 SP1 および SP2 の場合は、MS01-041 patch を適用すると DCOM を無効にできるようになります。 Windows 2000 SP なしの DCOM を無効にする方法はありません。

• 上記の他に、COM インターネットサービス (CIS) および RPC over HTTP についても無効にする必要がある場合があるようです。 詳細は [HOWTO] COM インターネット サービス (CIS) および HTTP プロキシを経由した RPC のサポートを削除する方法 (Microsoft) を参照してください。

• DCOM/RPC Vulnerabilities FAQ (NTBUGTRAQ)。 DCOM を無効にすると不具合が発生するアプリケーションのリストがあります。

• マイクロソフト セキュリティ情報 (MS03-026) ： よく寄せられる質問 (Microsoft)
  「回避策: この修正プログラムのテスト、または評価中にこの脆弱性の悪用を防ぐための回避策はありますか? 」の項を参照。

• DCOM を無効にするには (Microsoft)