在审查我们的 IT 基础设施时,我们注意到大多数 Windows 工作站都启用了端口 135。
已在这些工作站上执行了 DCERPC 服务枚举器。 完成此枚举后,我们对 DCERPC 的实际工作方式有一些疑问:
1) 某些 DCERPC 服务仅在端口 135 上“本地”(扫描仪提到的词)可用,例如“WindowsShutdown”命名管道相关服务。这是否意味着域管理员将能够远程调用此服务来关闭操作系统,或者术语“本地”将阻止远程操作?
2) 一些 DCERPC 在某些 TCP 端口上可用,而这些端口并未出现在我们在 DCERPC 服务枚举器之前进行的完整 TCP 端口扫描中(例如端口 49665)。考虑到本地 Windows 防火墙已启用,这些端口是否可能在 TCP 端口扫描期间被过滤,但在端口 135 上的 DCERPC 枚举期间出现?或者这些端口可能是在与端口 135 通信后打开的?
3) 使用 DCERPC 服务的默认权限是什么?我们可以更改这些权限吗?
4)关闭端口 135 是否会阻止使用任何 DCERPC 服务?
谢谢。