Назад | Перейти на главную страницу

Для чего нужен msrpc на рабочей станции Windows 7

Я только что провел сканирование нашей сети с помощью nmap, и многие машины с Windows 7 имеют несколько портов с высоким уровнем прослушивания с помощью Microsoft Windows RPC. Пример:

Port   Serv  Process name
49152, msrpc [wininit.exe]
49153, msrpc [svchost.exe, Eventlog]
49154, msrpc [svchost.exe, Schedule]
49155, msrpc [lsass.exe]
49157, msrpc [services.exe]
49159, msrpc [svchost.exe, PolicyAgent]

По соображениям безопасности я хотел бы закрыть любую ненужную службу прослушивания или хотя бы заблокировать соответствующие порты с помощью Windows FW.

Я понимаю, что указанные выше процессы - это системные процессы, которые я не могу закрыть, но, возможно, есть некоторая конфигурация, которая может быть сделана, чтобы они не прослушивались?

Наконец, не уверен, что это актуально, но мы не используем никаких доменов или Active Directory - только рабочие группы против сервера Samba.

Итак, мои вопросы:

  1. Для чего вообще нужны услуги прослушивания?
  2. В моем сценарии, могу ли я как-нибудь отключить их (= заставить их не слушать)?
  3. Если №2 невозможно, могу ли я безопасно заблокировать их с помощью FW?

Спасибо.

  • Порт 49152 обеспечивает возможность удаленного выключения компьютера через shutdown.exe инструмент. Его можно отключить, написав в реестр DWord HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableRemoteShutdownRPCInterface = 1
  • Порт 49153 позволяет удаленно просматривать журнал событий. Как отключить пока не знаю.
  • Порт 49154 позволяет удаленно просматривать и администрировать запланированные задачи. Его можно отключить, написав в реестр DWord HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ DisableRpcOverTcp = 1
  • Порт 49155: я не уверен, что он делает и как его отключить.
  • Порт 49157 позволяет удаленно просматривать и администрировать локальные службы. Его можно отключить, написав в реестр DWord HKLM \ System \ CurrentControlSet \ Control \ DisableRPCOverTCP = 1
  • Порт 49159: я не видел этого на компьютерах конечных пользователей.

Вы можете отключить все порты RPC, выполнив следующие действия:

  1. Убедитесь, что вы отключили все отключенные RPC, перечисленные выше.
  2. Удалить HKLM \ Программное обеспечение \ Microsoft \ Rpc \ Интернет
  3. Напишите HKLM \ Software \ Microsoft \ Rpc \ Internet \ UseInternetPorts = "N"

К сожалению, полное отключение портов RPC нарушает работу диспетчера очереди печати в Windows 8 и более поздних версиях. Чтобы снова включить, просто повторите шаг 2 выше.

Как вы уже выяснили, различные службы Windows прослушивают динамические порты RPC. Обычно они соответствуют службам в списке служб. Однако некоторые из них - это службы, которые вы действительно не хотите отключать. Когда это произойдет, вам нужно использовать сборку брандмауэра Windows для предотвращения доступа. Они все еще слушают, но до них ничего не может добраться, что позволяет им проходить сетевой аудит.

Диапазон MS Dynamic RPC сделал изменить с Vista, на 49152-65535. Вы даже можете отрегулировать диапазон, если вам нужно:

netsh int ipv4 set dynamic tcp start=49152 number=50  # yields a range of 49152-49202