Windows Server 2012 R2: fechando portas smtp / pop3 / imap (ou desativando os serviços relacionados)

Navegue suas respostas
1

Estou executando um Windows Server 2012 R2. No momento, quero melhorar a segurança do meu servidor, por isso estou procurando serviços (e portas abertas), que não são necessários.

Desativei quase todas as funções de servidor, exceto o IIS (preciso do IIS).

O firewall do Windows é configurado para que todas as conexões de entrada / saída sem uma regra sejam bloqueadas automaticamente.

Eu criei apenas algumas regras para a porta 80.443 e a porta de área de trabalho remota. Todas as outras regras são desativadas (ou definidas para perfil privado), portanto, não há regras para outras portas / protocolos / serviços em minha rede pública e, portanto, não devem existir portas abertas.

Mas se eu escanear meu servidor com o nmap (tcp connect scan), existem algumas portas abertas. Por exemplo: 

25/tcp   open  smtp
80/tcp   open  http 
110/tcp  open  pop3
119/tcp  open  nntp
143/tcp  open  imap
465/tcp  open  smtps
563/tcp  open  snews
587/tcp  open  submission
993/tcp  open  imaps
995/tcp  open  pop3s
3389/tcp open  rdp

Eu não preciso de pop, imap e outros serviços (exceto RDP 3389).

Agora tenho algumas perguntas: 1. Como é possível que as portas sejam mostradas como abertas, se o firewall deve bloquear todas as portas sem regras (as portas acima não têm regras)? 2. Com o netstat -anop tcp, procurei os serviços que estão escutando nessas portas. É o serviço do sistema. Mas por que o serviço do sistema está escutando essas portas e como posso impedir que o serviço faça isso?

    
por Rul3r 02.05.2014 / 23:07

1 resposta

1

Eu vejo três opções aqui:

  1. Seu firewall está mal configurado. Não se preocupe, isso acontece com o melhor de nós. Bom em você para o teste!
  2. Um dos seus adaptadores de rede está usando um perfil de rede diferente do seu firewall desejado perfil. O Conscientização do local de rede também pode ser usado para isso.
  3. O NMap está detectando erroneamente as portas abertas. Eu tenho visto isso acontece raramente quando testando por trás de certa draconiana implementações de firewall / proxy / IDS.

Você deve confirmar que os serviços realmente estão atendendo a essas portas com netstat -ab e, em seguida, restringir o escopo de sua solução de problemas. É possível que você tenha recursos adicionais do Windows que você precisa desinstalar?

    
por 21.05.2014 / 19:05

Tags

Registro de acesso do nginx: por que URLs externos são registrados? GPO Permitir que o administrador da filial Instale quaisquer softwares aplicativos, como .EXE Ou .msi, em seus próprios computadores cliente de OU