Kobzar
02-06-2011, 15:59
Добрый день коллеги. Вопрос из еженедельника "А х... его знает..."
Итак, есть доменная сеть, отлаженная и работающая.
Появилась необходимость обезопасить сеть до безобразия, а именно - оставить открытыми только порты необходимые для работы -
остальное заблокировать. Закрываем все фаерволом и для работы нашего домена и нужных служб открываем следующий перечень портов:
ad_ports=53 67:68 88 123 135:139 389 3389 445 475 464 636 750 1026 3268:3269 9100
Обьяснять для чего какой порт нужен не буду, можно всегда прочитать тут:
Тыцать тут (http://support.microsoft.com/default.aspx?scid=kb;en-us;832017)
И вот вроде бы все как раз должно работать... Но!
Гребанный майкрософт, для которого безопасность это что-то из разряда космоса, настоятельно рекомендует
для работы RPC открывать совсем небольшой диапазон портов:
RPC randomly allocated high TCP ports
TCP 1024 - 65535
49152 - 65535²
Что согласитесь практически приравнивается правилу открыть всем и все !
Вот хотелось бы найти как сделать следующее:
1.Ограничить диапазон портов RPC до минимума
2.Сделать это глобально без заморочек с конечными пользователями
Пока удалось нарыть только это: Тыцать тут (http://support.microsoft.com/kb/154596/ru)
Если были люди которые занимались подобным - буду благодарен за любые подсказки по делу.
Прошу людей не понимающих сути вопроса или предлагающих не заниматься чепухой - не флудить!
Заранее спасибо !
Итак, есть доменная сеть, отлаженная и работающая.
Появилась необходимость обезопасить сеть до безобразия, а именно - оставить открытыми только порты необходимые для работы -
остальное заблокировать. Закрываем все фаерволом и для работы нашего домена и нужных служб открываем следующий перечень портов:
ad_ports=53 67:68 88 123 135:139 389 3389 445 475 464 636 750 1026 3268:3269 9100
Обьяснять для чего какой порт нужен не буду, можно всегда прочитать тут:
Тыцать тут (http://support.microsoft.com/default.aspx?scid=kb;en-us;832017)
И вот вроде бы все как раз должно работать... Но!
Гребанный майкрософт, для которого безопасность это что-то из разряда космоса, настоятельно рекомендует
для работы RPC открывать совсем небольшой диапазон портов:
RPC randomly allocated high TCP ports
TCP 1024 - 65535
49152 - 65535²
Что согласитесь практически приравнивается правилу открыть всем и все !
Вот хотелось бы найти как сделать следующее:
1.Ограничить диапазон портов RPC до минимума
2.Сделать это глобально без заморочек с конечными пользователями
Пока удалось нарыть только это: Тыцать тут (http://support.microsoft.com/kb/154596/ru)
Если были люди которые занимались подобным - буду благодарен за любые подсказки по делу.
Прошу людей не понимающих сути вопроса или предлагающих не заниматься чепухой - не флудить!
Заранее спасибо !