什么是Windows 7工作站上需要的msrpc

我刚刚针对我们的networking运行了nmap扫描，许多Windows 7计算机都有几个高端的端口正在使用Microsoft Windows RPC进行侦听。例：

Port Serv Process name 49152, msrpc [wininit.exe] 49153, msrpc [svchost.exe, Eventlog] 49154, msrpc [svchost.exe, Schedule] 49155, msrpc [lsass.exe] 49157, msrpc [services.exe] 49159, msrpc [svchost.exe, PolicyAgent]

出于安全原因，我想closures任何不需要的监听服务，或者至less使用Windows FW阻止有问题的端口。

我意识到，上面的过程是我无法closures的系统进程，但也许有一些configuration可以做，以防止他们倾听？

最后，不确定是否相关，但我们不使用任何域或Active Directory – 只有一个工作组针对Samba服务器。

所以，我的问题是：

通常需要什么样的听音服务？
在我的情况下，我可以以某种方式禁用它们（=让他们不听）？
如果＃2是不可行的，我可以安全地阻止他们与FW？

谢谢。

端口49152提供了通过shutdown.exe工具远程closures计算机的function。可以通过编写registryDWord HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableRemoteShutdownRPCInterface = 1来禁用它
端口49153允许远程查看事件日志。我不知道如何禁用它。
端口49154允许远程查看和pipe理计划任务。它可以通过编写registryDWord HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ DisableRpcOverTcp = 1来禁用
端口49155：我不知道它做了什么或如何禁用它。
端口49157允许远程查看和pipe理本地服务。它可以通过编写registryDWord HKLM \ System \ CurrentControlSet \ Control \ DisableRPCOverTCP = 1来禁用
港口49159：我没有看到这个最终用户电脑上。

您可以按照以下步骤禁用所有RPC端口：

确保您禁用了上面列出的所有可禁用的RPC。
删除HKLM \ Software \ Microsoft \ Rpc \ Internet
写入HKLM \ Software \ Microsoft \ Rpc \ Internet \ UseInternetPorts =“N”

不幸的是，完全禁用RPC端口会破坏Windows 8及更高版本中的打印后台处理程序。要重新启用，只需重复上面的步骤2。

多种Windows服务在dynamicRPC端口上侦听，就像您发现的那样。这些通常对应于服务列表中的服务。但是，其中一些是您真的不想closures的服务。发生这种情况时，您需要使用Windows防火墙中的内部版本来防止访问。他们仍然在倾听，但没有任何东西可以让他们接受，这使他们能够通过networking审计。

MSdynamicRPC范围从Vista改变到49152-65535。你甚至可以调整范围，如果你需要：

 netsh int ipv4 set dynamic tcp start=49152 number=50 # yields a range of 49152-49202