.png)
出于安全原因,我想在我的 AD (Active Directory) 环境中阻止 445。其中之一是禁用对 SMB 共享文件夹的访问。
但我的问题是,如果我阻止从此端口到工作站的所有入站 TCP 连接,那么我无法通过 rsop.msc 连接到工作站(以接收所有应用的 GPO)。有人知道解决这个问题的最佳做法吗?
我试图找出哪个服务阻止了此操作,但我无法弄清楚。
答案1
当我有能力时我会检查,但最有可能的是远程注册表 RPC 服务 - 也可能是另一个 RPC 服务 - rsop.msc 工具想要使用命名管道传输来访问,并且该传输通过 SMB 进行。
一个简单的方法是启动 Wireshark 并查看该工具正在打开什么管道以及它正在请求什么 RPC 服务。
一些 MS-RPC 工具通过 TCP 访问服务(在这种情况下它们需要端口 135“端口映射器”),一些通过命名管道运行(在这种情况下它们需要端口 445),一些通过两者运行,但如果“首选”传输被防火墙阻止,则会导致长时间的延迟。
不要直接封锁 445 端口——相反限制谁可以访问它(即在“范围”选项卡中列出特定的 IP 地址前缀)。因此,如果您需要 SMB 通过 MS-RPC 进行管理,但想要阻止共享文件夹,则只需将允许的远程主机限制为您的“IT 团队”子网(或最接近的子网),并禁止其他一切。