Windows 7ワークステーションでmsrpcが必要なもの
私はネットワークに対してnmapスキャンを実行しました。多くのWindows 7マシンには、Microsoft Windows RPCをリッスンするいくつかのハイポートがあります。例:
Port Serv Process name
49152, msrpc [wininit.exe]
49153, msrpc [svchost.exe, Eventlog]
49154, msrpc [svchost.exe, Schedule]
49155, msrpc [lsass.exe]
49157, msrpc [services.exe]
49159, msrpc [svchost.exe, PolicyAgent]
セキュリティ上の理由から、不要なリスニングサービスを閉じるか、少なくともWindows FWを使用して問題のポートをブロックします。
上記のプロセスは閉じることができないシステムプロセスであることに気づきましたが、おそらく、それらがリッスンするのを防ぐために実行できるいくつかの構成がありますか?
最後に、適切かどうかは不明ですが、ドメインやActive Directoryは使用していません。Sambaサーバーに対するワークグループのみを使用しています。
だから、私の質問は:
- 一般的に必要なリスニングサービスは何ですか?
- 私のシナリオでは、どうにかしてそれらを無効にできますか(=それらをリッスンしないようにします)?
- #2が実行できない場合、FWで安全にブロックできますか?
ありがとう。
- ポート49152はshutdown.exeツールを介してリモートでコンピューターをシャットダウンする機能を提供します。レジストリDWordを書き込むことで無効にできますHKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRemoteShutdownRPCInterface = 1
- ポート49153を使用すると、イベントログをリモートで表示できます。無効にする方法はまだわかりません。
- ポート49154を使用すると、スケジュールされたタスクをリモートで表示および管理できます。レジストリDWordを書き込むことで無効にできますHKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\DisableRpcOverTcp = 1
- ポート49155:それが何をするか、またはどのようにそれを無効にするかわかりません.
- ポート49157を使用すると、ローカルサービスをリモートで表示および管理できます。レジストリDWordを書き込むことで無効にできますHKLM\System\CurrentControlSet\Control\DisableRPCOverTCP = 1
- ポート49159:エンドユーザーのコンピューターでこれを見たことはありません。
次の手順に従って、すべてのRPCポートを無効にすることができます。
- 上記の無効にできるRPCをすべて無効にしてください。
- 削除HKLM\Software\Microsoft\Rpc\Internet
- 書き込みHKLM\Software\Microsoft\Rpc\Internet\UseInternetPorts = "N"
残念ながら、RPCポートを完全に無効にすると、Windows 8以降の印刷スプーラーが機能しなくなります。再度有効にするには、上記の手順2を繰り返します。
ご存知のように、さまざまなWindowsサービスが動的RPCポートをリッスンします。これらは通常、サービスリストのサービスに対応します。ただし、それらのいくつかは、本当にオフにしたくないサービスです。その場合は、Windowsファイアウォールのビルドを使用してアクセスを防止する必要があります。彼らはまだ耳を傾けていますが、何も得ることができないため、ネットワーク監査に合格することができます。
MS動的RPC範囲は Vistaの時点で変更 で49152-65535になりました。必要に応じて、範囲を調整することもできます。
netsh int ipv4 set dynamic tcp start=49152 number=50 # yields a range of 49152-49202