O que é o msrpc necessário em uma estação de trabalho do Windows 7?

Navegue suas respostas
2

Acabei de executar uma verificação nmap em nossa rede e muitas máquinas com Windows 7 têm várias portas altas ouvindo com o Microsoft Windows RPC. Exemplo: 

Port   Serv  Process name
49152, msrpc [wininit.exe]
49153, msrpc [svchost.exe, Eventlog]
49154, msrpc [svchost.exe, Schedule]
49155, msrpc [lsass.exe]
49157, msrpc [services.exe]
49159, msrpc [svchost.exe, PolicyAgent]

Por motivos de segurança, gostaria de fechar qualquer serviço de escuta que não seja necessário ou, pelo menos, bloquear as portas em questão usando o Windows FW.

Eu percebo que os processos acima são processos do sistema que não posso fechar, mas talvez haja alguma configuração que possa ser feita para evitar que eles ouçam?

Por último, não tenho certeza se é relevante, mas não usamos domínios ou Active Directory - apenas grupos de trabalho em um servidor Samba.

Então, minhas perguntas são:

  1. Quais são os serviços de escuta necessários em geral?
  2. No meu cenário, posso desativá-los de alguma forma (= fazê-los não escutar)?
  3. Se o número 2 não for factível, posso bloqueá-lo com segurança com o FW?

Obrigado.

    
por Jim Balo 26.07.2013 / 19:59

2 respostas

5

  • A porta 49152 fornece a capacidade de desligar o computador remotamente por meio da ferramenta shutdown.exe . Pode ser desabilitado escrevendo o registro DWord HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableRemoteShutdownRPCInterface = 1
  • A porta 49153 permite a visualização remota do log de eventos. Eu não sei como desabilitá-lo ainda.
  • A porta 49154 permite a visualização remota e a administração de tarefas agendadas. Pode ser desabilitado escrevendo o registro DWord NT \ CurrentVersion \ Schedule \ DisableRpcOverTcp = 1 HKLM \ Software \ Microsoft \ Windows
  • Porta 49155: não sei o que faz ou como desativá-lo.
  • A porta 49157 permite a visualização e administração remota de serviços locais. Pode ser desabilitado escrevendo o registro DWord HKLM \ System \ CurrentControlSet \ Control \ DisableRPCOverTCP = 1
  • Porta 49159: Eu não vi esse nos computadores dos usuários finais.

Você pode desativar todas as portas RPC seguindo estas etapas:

  1. Verifique se você desativou todos os RPCs desativáveis listados acima.
  2. Excluir HKLM \ Software \ Microsoft \ Rpc \ Internet
  3. Escreva HKLM \ Software \ Microsoft \ Rpc \ Internet \ UseInternetPorts="N"

Infelizmente, desabilitar completamente as portas RPC interrompe o Spooler de Impressão no Windows 8 e posterior. Para reativar, basta repetir o passo 2 acima.

    
por 09.10.2015 / 04:44
3

Uma variedade de serviços do Windows escuta em portas RPC dinâmicas, como você descobriu. Estes geralmente correspondem aos serviços na lista Serviços. No entanto, alguns deles são serviços que você realmente não deseja desativar. Quando isso acontece, você precisa usar a compilação no firewall do Windows para impedir o acesso. Eles ainda estão ouvindo, mas nada pode chegar a eles, o que lhes permite passar por auditorias de rede.

O intervalo MS Dynamic RPC fez alteração do Vista para 49152-65535. Você pode até ajustar o intervalo se precisar: 

netsh int ipv4 set dynamic tcp start=49152 number=50  # yields a range of 49152-49202
    
por 27.07.2013 / 04:45

Tags

Práticas recomendadas no gerenciamento de disco da VM Por que adotar cedo? [fechadas]