我刚刚将 Windows 服务器 VPS 迁移到新的服务器(Windows Server 2012 R2),并意识到即使在“网络和共享中心”中为所有可用的网络配置文件(公共/来宾、私人)选择了“关闭文件和打印机共享”,仍然可以从外部访问服务器的共享。
系统上的所有网络适配器(只有一个)的 Windows 防火墙都已启用(并正在使用),默认入站操作是阻止,并且我确保所有相关的入站防火墙规则实际上都已禁用(端口 137、138 UDP 和 139、445 TCP 的“文件和打印机共享...”)。还选择了“密码保护的共享”。
知道为什么仍然可以查看和访问共享吗?
作为一种解决方法,我现在明确地阻止端口,这可以按预期工作,但这首先应该是不必要的。
答案1
好吧,这个家伙的故障排除基本上提供了解决方案:
尽管所有文件共享的防火墙例外都被禁用,为什么互联网上的文件共享仍然有效?
他说:
问题在于终端服务的“内置”规则。你能相信端口 445(文件共享端口)必须向互联网完全开放才能使用终端服务许可吗?)
因此,就我而言,这与终端服务无关,而是以下两个规则,允许流量通过端口 445 TCP:
- 远程访问管理 (NP-In)
- 文件服务器远程管理 (SMB-In)
禁用这两条防火墙规则最终使所有共享都变得不可见且无法访问。不过最终我还是会坚持使用我的明确阻止规则,因为现在很明显很多不同的服务都在使用此端口功能。而且我不想每次在系统中重新配置某些东西时都要记得重新检查共享的可访问性。