我正在处理 Windows Server 2012 R2 数据中心。它是一台托管服务器,完全暴露在互联网上,即它只有一个公共 ipv4 地址。这个设置不是我的选择,我也不能改变它——而且我对此并不满意。我被要求让它“尽可能安全”。有一件事让我感到困惑,那就是端口 135。在 Windows 防火墙中,有一个入站规则“Windows Management Instrumentation (DCOM-In)”,其设置如下:配置文件:全部、已启用:是、操作:允许、本地地址:任意、远程地址:任意
我的问题是:这样安全吗?防止外部访问会更好吗?如果是这样,我该怎么做 - 似乎我只能在设置窗口的“范围”选项卡中限制 IP 地址,或者在“高级”选项卡中取消选择配置文件。
背景信息:该服务器仅用于一个自定义服务器软件,该软件也可以在普通的 Windows 桌面上运行。因此,该 Windows 服务器甚至没有设置为域,没有角色等。
谢谢 - 如果您有任何其他意见,您可能会认为对处理暴露的 Windows 服务器有帮助...
答案1
TCP/135 用于 Microsoft RPC。据我所知,这是许多 Microsoft 工具(DCOM、MAPI(Exchange)等)使用的半文档协议。
它最初被创建为当地的局域网协议,并且它不安全:https://technet.microsoft.com/en-us/library/dd632946.aspx
几乎绝不您需要在外部接口上打开它。即使您需要(例如从远程 Outlook 访问 Exchange),您也应该使用 RPC over HTTPS。
所以,关闭 135
公共服务器上的端口。
MS 建议关闭外部接口上的以下端口
UDP
- 135
- 137
- 138
- 445
TCP
- 135
- 139
- 445
- 593
您不能在防火墙中创建新规则来禁用对该端口的访问吗?