При новой установке ядра Windows 2008 (для использования в качестве хоста Hyper V (для всего мира открыто 4 порта:
135/tcp open msrpc
445/tcp open microsoft-ds
2179/tcp open unknown
49154/tcp open unknown
Я пробовал заблокировать один из них правилом netsh firewall delete portopening protocol=TCP port=135
Но nmap -PN
по-прежнему показывает его как открытый! У меня гораздо больше опыта работы с Linux, поэтому я не уверен, представляют ли эти порты угрозу безопасности или нет, но я бы предпочел закрыть их для всего мира. Как можно заблокировать эти порты с помощью netsh advfirewall firewall
?
Чтобы расширить это дальше, каковы наиболее заблокированные правила брандмауэра, которые можно ввести, чтобы разрешить удаленное управление с помощью диспетчера серверов и диспетчера Hyper V с одного доверенного IP-адреса. Другими словами, я хочу управлять этими новыми серверами с одного удаленного компьютера и не разрешать доступ никому, кто не использует этот IP-адрес.
Вытащите сетевой кабель. Я уверен, что служба RPC намного безопаснее, чем раньше, но открытие портов 135 и 445, открытых для всего мира, заставит любого, кому приходилось иметь дело с червем Blaster и Sasser, более чем немного нервничать.
Установите брандмауэр на блокировку все входящий.
Разрешите только тот трафик, который вам нужен, с тех IP-адресов, с которых вы хотите его.
А еще лучше поставить аппаратный брандмауэр между этим сервером и Интернетом.
Вместо того, чтобы использовать инструменты удаленно, рассмотрите возможность их использования локально с сервера. И доступ к серверу через RDP. ему нужен только один открытый порт (3389), и он позволит вам удаленно управлять виртуальными машинами так же, как и локально на вашем компьютере. Я нахожу производительность почти такой же и по большей части незаметной. (при условии, что ваше интернет-соединение не является коммутируемым, и в этом случае удаленное управление тоже будет отстой).