Для чего нужен msrpc на рабочей станции Windows 7

Question

Для чего нужен msrpc на рабочей станции Windows 7

Я только что проверил nmap в нашей сети, и на многих компьютерах с Windows 7 есть несколько высоких портов, прослушивающих Microsoft Windows RPC. Пример:

Port   Serv  Process name
49152, msrpc [wininit.exe]
49153, msrpc [svchost.exe, Eventlog]
49154, msrpc [svchost.exe, Schedule]
49155, msrpc [lsass.exe]
49157, msrpc [services.exe]
49159, msrpc [svchost.exe, PolicyAgent]

Из соображений безопасности я хотел бы закрыть любую ненужную службу прослушивания или хотя бы заблокировать соответствующие порты с помощью Windows FW.

Я понимаю, что вышеперечисленные процессы являются системными процессами, которые я не могу закрыть, но, возможно, есть какая-то конфигурация, которую можно сделать, чтобы они не слушали?

Наконец, не уверен, если это уместно, но мы не используем какие-либо домены или Active Directory - только рабочие группы против сервера Samba.

Итак, мои вопросы:

Для чего вообще нужны услуги прослушивания?
В моем сценарии я могу как-то их отключить (= заставить их не слушать)?
Если № 2 не выполнимо, могу ли я безопасно заблокировать их с помощью FW?

Благодарю.

4

windows tcp rpc port-scanning

Источник

Jim Balo 26 июл '13 в 17:59

2 ответа

Другие вопросы по тегам windows tcp rpc port-scanning

Techie007 09 окт '15 в 02:44 2015-10-09 02:44 · Answer 1 · 2015-10-09 02:44

Порт 49152 позволяет удаленно выключать компьютер с помощью средства shutdown.exe. Его можно отключить, написав реестр DWord HKLM\ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableRemoteShutdownRPCInterface = 1
Порт 49153 позволяет удаленно просматривать журнал событий. Я пока не знаю, как это отключить.
Порт 49154 позволяет удаленно просматривать и администрировать запланированные задачи. Его можно отключить, написав реестр DWord HKLM\ Software \ Microsoft \ Windows NT \ CurrentVersion \ Schedule \ DisableRpcOverTcp = 1
Порт 49155: я не уверен, что он делает или как его отключить.
Порт 49157 позволяет удаленно просматривать и администрировать локальные сервисы. Его можно отключить, написав реестр DWord HKLM\ System \ CurrentControlSet \ Control \ DisableRPCOverTCP = 1
Порт 49159: я не видел этого на компьютерах конечных пользователей.

Вы можете отключить все порты RPC, выполнив следующие действия:

Убедитесь, что вы отключили все отключенные RPC, перечисленные выше.
Удалить HKLM\ Программное обеспечение \Microsoft\Rpc\Internet
Напишите HKLM\Software\Microsoft\Rpc\Internet\UseInternetPorts="N"

К сожалению, полное отключение портов RPC нарушает диспетчер очереди печати в Windows 8 и более поздних версиях. Для повторного включения просто повторите шаг 2 выше.

sysadmin1138 27 июл '13 в 02:45 2013-07-27 02:45 · Answer 2 · 2013-07-27 02:45

Различные службы Windows прослушивают динамические RPC-порты, как вы узнали. Они обычно соответствуют услугам в списке услуг. Однако некоторые из них - это сервисы, которые вы действительно не хотите отключать. Когда это происходит, вам нужно использовать сборку в брандмауэре Windows для предотвращения доступа. Они все еще слушают, но ничто не может добраться до них, что позволяет им проходить аудиты сети.

Диапазон динамического RPC MS изменился с Vista до 49152-65535. Вы даже можете настроить диапазон, если вам нужно:

netsh int ipv4 set dynamic tcp start=49152 number=50  # yields a range of 49152-49202