Я имею дело с центром обработки данных Windows Server 2012 R2. Это размещенный сервер, полностью доступный в Интернет, т. Е. У него есть только общедоступный адрес ipv4. Это не мой выбор, и я не могу его изменить - и я не доволен этим. Меня попросили сделать его «максимально безопасным». Одна вещь, которая меня озадачивает, - это порт 135. В брандмауэре Windows есть правило для входящего трафика «Инструментарий управления Windows (DCOM-In)» со следующими настройками: Профиль: Все, Включено: Да, Действие: Разрешить, Локальный адрес: Любой, Удаленный адрес: Любой.
Мой вопрос: это безопасно (достаточно)? Не лучше ли запретить доступ извне? Если да, то как мне это сделать - похоже, я могу ограничиться только IP-адресами на вкладке «Область действия» окна настроек или отменить выбор профилей на вкладке «Дополнительно».
Справочная информация: сервер необходим только для одного настраиваемого серверного программного обеспечения, которое также может работать на обычном рабочем столе Windows. Таким образом, этот Windows Server даже не настроен как домен, без ролей и т. Д.
Спасибо - также, если у вас есть какие-либо другие данные, которые вы могли бы счесть полезными в отношении работы с открытым сервером Windows ...
TCP / 135 используется для Microsoft RPC. Это частично документированный протокол, который используется многими инструментами Microsoft AFAIK (DCOM, MAPI (Exchange) и т. Д.).
Изначально он был создан местный протокол локальной сети, и это небезопасно: https://technet.microsoft.com/en-us/library/dd632946.aspx
Почти никогда вам нужно открыть его на внешнем интерфейсе. Даже если вам нужно (например, доступ к Exchange из удаленного Outlook), вы должны вместо этого использовать RPC через HTTPS.
Так, близко 135 порт на вашем публичном сервере.
MS рекомендует закрыть следующие порты на внешних интерфейсах
UDP
TCP
Не можете ли вы создать новое правило в брандмауэре, запрещающее доступ к этому порту?