我正在处理Windows Server 2012 R2 Datacenter。 这是一个托pipe服务器,完全暴露在互联网上,即它只有一个公共ipv4地址。 这个设置既不是我的select,我也不能改变 – 我不满意。 我被要求做到“尽可能安全”。 有一件让我感到困惑的事情是端口135.在Windows防火墙中,有一个入站规则“Windows Management Instrumentation(DCOM-In)”,其中包含以下设置:Profile:All,Enabled:Yes,Action:Allow,LocalAddress:Any,RemoteAddress:Any
我的问题:这是否安全(足够)? 防止外部访问会更好吗? 如果是这样,我该怎么做 – 似乎我只能在设置窗口的“范围”选项卡中限制IP地址,或取消select“高级”选项卡中的configuration文件。
背景信息:服务器只需要一个自定义服务器软件,也可以在普通的Windows桌面上运行。 所以这个Windows Server甚至没有设置为域名,没有angular色等。
谢谢 – 还有,如果你有任何其他的input,你可能会考虑在处理暴露的Windows服务器的主题有帮助…
TCP / 135用于Microsoft RPC。 这是许多Microsoft工具AFAIK(DCOM,MAPI(交换)等)使用的半logging协议。
它初始创build为局域网协议,并不安全: https ://technet.microsoft.com/en-us/library/dd632946.aspx
几乎从不需要在外部接口上打开它。 即使您需要(例如从远程Outlook访问Exchange),也应该使用RPC over HTTPS。
所以,在你的公共服务器上closures 135端口。
MSbuild议closures外部接口上的以下端口
UDP
TCP
你不能在防火墙中创build新的规则,禁止访问这个端口?