Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Apêndice I do Guia da Equipe de Recursos de Segurança

Apêndice I: Usando as ferramentas de verificação de porta para fazer auditoria da configuração de segurança dos servidores de implantação

Publicado em: 30/11/2006

Para minimizar o risco da infra-estrutura de implantação ser comprometida pela rede, sempre coloque os servidores de implantação em uma rede privada. Além disso, verifique se os serviços de rede desnecessários estão ouvindo as conexões. Uma maneira prática de se determinar quais serviços de rede estão ouvindo as conexões em um computador é usar uma ferramenta de verificação de porta, como Nmap. (Para obter mais informações sobre Nmap, visite http://www.insecure.org/nmap).

Um servidor do Active Directory tem mais portas abertas do que qualquer outro servidor na infra-estrutura de distribuição, como mostrado na seguinte lista. Qualquer porta adicional deve ser considerada um risco de segurança, portanto, avalie se o serviço de rede que está ouvindo as conexões de entrada daquela porta é necessário.

  • 53/TCP. DNS (Sistema de nome de domínio); necessário para habilitar clientes a localizarem servidores.

  • 88/TCP. Kerberos; necessário para autenticação.

  • 389/TCP. LDAP (Lightweight Directory Access Protocol); necessário para localizar recursos no Active Directory.

  • 445/TCP. CIFS (Common Internet File System); necessário para compartilhamento de arquivo e alguns aplicativos.

  • 464/TCP. Kerberos; necessário para autenticação.

  • 593/TCP. RPC; necessário para muitos serviços de rede diferentes.

  • 636/TCP. LDAP criptografado; necessário para localizar recursos no Active Directory.

  • 3268/TCP e 3269/TCP. Solicitações de catálogo global do Active Directory.

Supondo que o servidor de compilação esteja hospedando o Windows DS e funcionando como um servidor de imagem e servidor DHCP, ele deve ouvir os pacotes de entrada apenas nas portas a seguir:

  • 67-68/UDP. DHCP (Dynamic Host Configuration Protocol); usado para atribuir endereços IP; essas portas são necessárias apenas em computadores que fornecem endereços DHCP a clientes de distribuição.

  • 69/UDP. TFTP (Trivial FTP); usado para transferir imagens a clientes de distribuição.

  • 137/UDP , 1378/UDP , 139/TCP. NetBIOS sobre TCP/IP; necessário para compartilhamento de arquivo e alguns aplicativos.

  • 445/TCP/UDP. CIFS; necessário para compartilhamento de arquivo e alguns aplicativos.

Portas que qualquer computador que esteja usando Windows pode usar incluem:

  • 123/UDP. NTP (Network Time Protocol); usado para manter o tempo sincronizado entre computadores.

  • 135/TCP. RPC; necessário para muitos serviços de rede diferentes.

  • 137/UDP , 1378/UDP , 139/TCP. NetBIOS sobre TCP/IP; necessário para compartilhamento de arquivo e alguns aplicativos.

  • 445/TCP/UDP. CIFS; necessário para compartilhamento de arquivo e alguns aplicativos.

  • 4500/UDP. Usado pelo IPSec para estabelecer conexões de rede autenticadas e criptografadas.

  • 1024+/TCP/UDP. Usado por vários aplicativos.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft