在网络审查期间,我们注意到加入域的一些 Surface Hub 没有打开端口 135(msrpc)。
拥有打开端口 135 的 Surface Book 和其他产品有什么区别?考虑到两者在 Active Directory 环境中都能完美运行。
谢谢。
答案1
端口 135 是 RPC 端点映射器服务。该服务允许其他系统发现计算机上公布了哪些服务以及在哪个端口上找到这些服务。它主要与远程访问和远程管理相关。
这是一个敏感端口,与一系列安全漏洞有关,绝不能暴露在互联网上。
但是,在活动目录和服务器/客户端环境中,许多服务都需要端口 135 才能正常运行。对于客户端(例如 Surface),可以安全地关闭该端口,因为依赖于端口 135 的服务通常暴露在服务器上。但是,这确实带来了一些缺点,即某些远程管理功能将被关闭 - 特别是威盛访问将被阻止。因此,作为负责“远程”管理这些设备的管理员,您可能希望保持端口开放,但出于安全目的,在 Windows 防火墙上将对该端口的访问限制为仅限您的本地 IP 地址。
您将无法在 Active Directory 服务器上阻止此端口,否则会造成破坏。
如果您想了解哪些服务依赖于端口 135,您可以查看此文档: