Порт 5985: Что такое порт SMB? Для чего используются порт 445 и 139?

Содержание

Что такое порт SMB? Для чего используются порт 445 и 139?

NetBIOS означает Базовая сетевая система ввода-вывода . Это программный протокол, который позволяет приложениям, ПК и настольным компьютерам в локальной сети (LAN) обмениваться данными с сетевым оборудованием и передавать данные по сети. Программные приложения, работающие в сети NetBIOS, обнаруживают и идентифицируют друг друга по именам NetBIOS. Имя NetBIOS имеет длину до 16 символов и обычно отделено от имени компьютера. Два приложения запускают сеанс NetBIOS, когда одно (клиент) отправляет команду «вызвать» другого клиента (сервер) через TCP-порт 139 .

Для чего используется порт 139

Однако NetBIOS в вашей глобальной сети или через Интернет представляет собой огромный риск для безопасности. Все виды информации, такие как ваш домен, имена рабочих групп и систем, а также информация об учетной записи могут быть получены через NetBIOS. Поэтому важно поддерживать NetBIOS в предпочтительной сети и следить за тем, чтобы он никогда не покидал вашу сеть.

Брандмауэры, в качестве меры безопасности, всегда сначала блокируют этот порт, если он у вас открыт. Порт 139 используется для общего доступа к файлам и принтерам , но оказывается самым опасным портом в Интернете. Это так, потому что он оставляет жесткий диск пользователя уязвимым для хакеров.

После того, как злоумышленник обнаружит активный порт 139 на устройстве, он может запустить NBSTAT диагностический инструмент для NetBIOS через TCP/IP, в первую очередь предназначенный для устранения неполадок с разрешением имен NetBIOS. Это знаменует собой важный первый шаг атаки – Footprinting .

Используя команду NBSTAT, злоумышленник может получить некоторую или всю критическую информацию, связанную с

  1. Список локальных имен NetBIOS
  2. Имя компьютера
  3. Список имен, разрешенных WINS
  4. IP-адреса
  5. Содержимое сеансовой таблицы с IP-адресами назначения

Имея вышеупомянутые подробности, злоумышленник имеет всю важную информацию об ОС, службах и основных приложениях, работающих в системе.

Помимо этого, у него также есть частные IP-адреса, которые LAN/WAN и инженеры по безопасности старались скрыть за NAT. Кроме того, идентификаторы пользователей также включены в списки, предоставляемые запуском NBSTAT.

Это позволяет хакерам получить удаленный доступ к содержимому каталогов или дисков жесткого диска. Затем они могут автоматически загружать и запускать любые программы по своему выбору с помощью некоторых бесплатных инструментов, даже если владелец компьютера не узнает об этом.

Если вы используете компьютер с несколькими компьютерами, отключите NetBIOS на каждой сетевой карте или Dial-Up Connection в свойствах TCP/IP, которые не являются частью вашей локальной сети.

Что такое порт SMB

Хотя порт 139 технически известен как «NBT через IP», порт 445 – «SMB через IP». SMB означает Блоки сообщений сервера ’. Блок сообщений сервера на современном языке также известен как Общая интернет-файловая система . Система работает как сетевой протокол прикладного уровня, в основном используемый для предоставления общего доступа к файлам, принтерам, последовательным портам и другим видам связи между узлами в сети.

Большая часть использования SMB связана с компьютерами под управлением Microsoft Windows , где он был известен как «Сеть Microsoft Windows» до последующего внедрения Active Directory. Он может работать поверх сеансовых (и нижних) сетевых уровней несколькими способами.

Например, в Windows SMB может работать напрямую через TCP/IP без необходимости использования NetBIOS через TCP/IP. Он будет использовать, как вы указали, порт 445. В других системах вы найдете службы и приложения, использующие порт 139. Это означает, что SMB работает с NetBIOS через TCP/IP .

Злобные хакеры признают, что порт 445 уязвим и имеет много опасностей. Одним из замечательных примеров неправильного использования порта 445 является относительно тихое появление червей NetBIOS . Эти черви медленно, но четко определенным образом сканируют Интернет на наличие портов 445, используют такие инструменты, как

PsExec , чтобы перенести себя на новый компьютер-жертву, а затем удвоить усилия по сканированию. Именно с помощью этого малоизвестного метода собираются огромные « Бот-армии », содержащие десятки тысяч зараженных червем компьютеров NetBIOS, и теперь они обитают в Интернете.

Как бороться с портом 445

Учитывая вышеперечисленные опасности, в наших интересах не предоставлять порт 445 Интернету, но, как и порт Windows 135, порт 445 глубоко встроен в Windows и его трудно безопасно закрыть.Тем не менее, его закрытие возможно, однако, другие зависимые сервисы, такие как DHCP (протокол динамической конфигурации хоста), который часто используется для автоматического получения IP-адреса от серверов DHCP, используемых многими корпорациями и интернет-провайдерами, перестанет функционировать.

Принимая во внимание все причины безопасности, описанные выше, многие интернет-провайдеры считают необходимым блокировать этот порт от имени своих пользователей. Это происходит только в том случае, если порт 445 не защищен маршрутизатором NAT или персональным межсетевым экраном. В такой ситуации ваш интернет-провайдер, возможно, не позволит трафику порта 445 достичь вас.

Консольный порт и порт управления в сетевых устройствах / Cisco 2960S

Разница между консольным портом и портом управления в сетевых устройствах

«В чем разница между консольным портом и выделенным портом управления (fa0) на коммутаторе Cisco 2960s? «У вас когда-нибудь была такая проблема? Этот вопрос задавали пользователи Cisco, и поэтому многие эксперты поделились своими предложениями здесь, давайте узнаем больше о различии между консольным портом и портом управления в сетевых устройствах.

  • Консольный порт: требуется специальный кабель консоли. Это означает, что вы должны иметь физический доступ к устройству.
  • Порт управления: только удаленный доступ. Вы не можете запустить обычный трафик данных.

Консольный порт предназначен для внеполосного управления и настройки? Специальный порт управления предназначен для удаленного управления и настройки вне диапазона?

Консольный порт НЕ «внеполосное управление» или OoBM, потому что вы не можете назначить ему IP-адрес (если у вас нет консольного сервера).

Это означает, что вы не можете использовать telnet / SSH в консольном порту. Консольный порт является «закрытым и личным» портом: для использования консольного порта необходим физический доступ к устройству. Порт управления - это порт OoBM.

  • Q: У меня есть коммутатор Cisco 2960s, на котором я включил базовую конфигурацию. Административный IP-адрес и маска подсети настраиваются на vlan 1, gi1 / 0/1. Я также настроил его для удаленного входа в систему SSH, и он работает. Мне нужно переместить соединение управления на выделенный порт управления (fa0). Должен ли я установить порт управления на vlan для назначения административного IP-адреса? Как настроить выделенное управление с помощью IP-адреса, маски подсети и шлюза по умолчанию? Я никогда раньше этого не делал.
  1. Я знаю, что консольный порт предназначен для конфигурации коммутатора, когда у вас есть физический доступ к коммутатору.
  2. Я знаю, что не может telnet / SSH в консольном порту.
  3. Я использую gi1 / 0/1 на vlan 1 на Cisco 2960s для моего подключения telnet / SSH, и я могу подключиться к коммутатору.
  4. Мне нужно изменить порт управления, который я использую сейчас (gi1 / 0/1), на выделенный порт управления (fa0) для удаленного управления. Могу ли я использовать выделенный порт управления (fa0) для удаленного SSH? Если я могу это сделать, я просто не знаю, что это за команды.
  • Я предполагаю, что я спрашиваю, могу ли я использовать выделенный порт управления (fa0) для удаленного SSH-соединения и как это сделать?
  • A: Конечно, вы можете.
  • Во-первых, для SSH используемая IOS должна поддерживать криптографию.
  • Затем настройте IP-адрес интерфейса Fa0. Убедитесь, что IP-адрес полностью отличается от управляющей VLAN вашего коммутатора.
  • Наконец, «точка», где telnet / ssh переходит к: ip tftp interface f0
  • Да, у меня уже есть SSH, настроенный с криптовым набором. Когда я устанавливаю IP для fa0, мне нужно назначить интерфейс для vlan, и мне также нужно добавить шлюз?
  • Нет, нет. IP-адрес Fa0 должен б

Руководство администратора: Настройка портов подключения

Если какой-либо порт компьютера, используемый каким-либо компонентом программы SecureTower занят другой программой, вы можете настроить другие порты для подключения к компоненту.

Для этого необходимо настроить конфигурационные файлы и задать номера портов подключения в программе, соответствующие номерам в конфигурационных файлах.

Настройка конфигурационных файлов

Для изменения портов подключения в конфигурационных файлах компонентов системы:

  1. Перейдите в папку С:\Documents and Settings\All Users\Application Data\Falcongaze SecureTower\ (для операционных систем Windows до версии Vista) или С:\Program Data\Falcongaze SecureTower\ (для операционных систем Windows Vista и Windows 7).
  2. Откройте файл компонента, номер порта которого требуется изменить.

Примечание.

Обратите внимание на то, что Сервер сетевого перехвата использует другую технологию подключения, поэтому возможность настройки портов подключения для данного сервера отсутствует.

  1. В конфигурационном файле измените значения порта на новое, которое должно использоваться для подключения к серверу.
  2. Перейдите на вкладку Монитор состояния в левой части главного окна Консоли администратора и перезапустите серверы, порты подключения к которым были изменены.

Для того чтобы найти в конфигурационных файлах настройки портов для подключения к серверам, используйте следующую информацию:

  • Сервер безопасности и отчетности

SecurityCenterServer.config (5,7,8 строки)

<Storage Address="localhost:9090" /> - Центральный сервер

<AuthServerConnection Port="39001" />

<TcpChannel Port="39002" />

  • Сервер пользователей

FgSTAuthServerSettings.xml (2 строка файла)

<TCPChannel Port="39001" />

  • Сервер обработки почты

MailProcessingServer.config (3 строка файла)

<TcpChannel Port="39004" />

  • Сервер контроля агентов

FgSTEndPointAgentControlServerSettings.dat (3 и 4 строки файла)

<TCPChannel Port="39003" />

<StorageServerAddress="localhost:9090" > - Центральный сервер

icap_server_settings.xml (4, 13 и 29 строки)

<port>20061</port> - API server

<port>1344</port> -ICAP server

<address>localhost:9090</address> - Центральный сервер

  • Сервер распознавания

ProgramData\Falcongaze SecureTower\RecognitionServer\config\

config. xml (4,10 строки)

<Port>20022</Port> - API server

<address>localhost:9090</address> - Центральный сервер

  • Сервер индексирования

FgStDPConfig.xml

<manager port="20041" /> - Сервер индексирования

<Indexer port="20042" /> - Процесс индексирования

<Searcher port="20043" /> - Процесс поискового индекса

Настройка номеров портов в консоли

Если настройки портов подключения к серверам были изменены в конфигурационных файлах соответствующих серверов, требуется изменить соответствующие номера портов в настройках Консоли администратора.

Для изменения номеров портов подключения к Центральному серверу и Серверу пользователей в Консоли администратора:

  1. В меню Настройки на панели меню Консоли администратора, выберите команду Настройка портов подключения.
  1. В окне Настройка портов подключения укажите те же порты, которые вы указали для соответствующих серверов в конфигурационных файлах.
  2. Если необходимо восстановить значения портов, по умолчанию нажмите кнопку Порты по умолчанию.
  3. Для сохранения изменений нажмите ОК.

Для изменения настроек подключения к Серверу индексирования внесите соответствующие изменения в дополнительных настройках подключения к базам данных Центрального сервера, в полях Сервер индексирования и Поисковый индекс.  

Настройка межсетевого экрана

Для корректной работы системы SecureTower (для предотвращения несанкционированного подключения к серверным компонентам и предотвращения проблем с распределением лицензий) проведите настройку межсетевого экрана.

Необходимо сформировать список из приведенных ниже портов, разрешенных для использования в сети организации.

1. Порты подключения SecureTower, ОБЯЗАТЕЛЬНЫЕ к включению в список разрешенных:

  • Порты для подключения к серверам:

Сервер индексирования  (IndexationServer) 20042

Сервер пользователей (AuthServer) 39001

Сервер обеспечения безопасности (SecurityCenterServer) 39002

Сервер контроля агентов (EndPointAgentControlServer) 39003

Сервер обработки почты (MailProcessingServer) 39004

Сервер ICAP 20061

Сервер распознавания 20022

Сервер мониторинга состояния (HealthMonitor) 39000

  • Порты, необходимые для функционирования агента:

Порт передачи данных серверу контроля агентов 10500

2.  Рекомендуемые порты:

  • TCP (стандартные порты, обеспечивающие нормальное функционирование локальной сети): 135, 139, 445, 5985
  • UDP (если используется): 137
  • Стандартные порты операционной системы:

FTP 21

SSH 22

Telnet 23

SMTP 25  

Порт клиента WHOIS 43

Система преобразования имени хоста 53

Стандартный порт HTTP веб-сервера 80

POP 110

Защищённое SSL/TLS соединение POP 995

IMAP 143

Защищённое соединение IMAP 993

Защищённое SSL HTTP соединение 443

MysQL Server 3306

Протоколы сетевой печати 631

Система удаленного доступа к компьютеру VNC (Virtual Network Computing) 5900

Примечание.

Для того чтобы обеспечить мониторинг активности пользователя за компьютером в реальном времени, на рабочей станции с установленной Консолью клиента требуется открыть порты UDP 5000 и выше.

Основы сетевых портов | Windows IT Pro/RE

Исследуем сетевые порты

Сетевые порты могут дать важнейшую информацию о приложениях, которые обращаются к компьютерам по сети. Зная приложения, которые используют сеть, и соответствующие сетевые порты, можно составить точные правила для брандмауэра, и настроить хост-компьютеры таким образом, чтобы они пропускали только полезный трафик. Построив профиль сети и разместив инструменты для распознавания сетевого трафика, можно более эффективно обнаруживать взломщиков — иногда просто анализируя генерируемый ими сетевой трафик. Эту тему мы начали рассматривать в первой части статьи, опубликованной в предыдущем номере журнала. Там приводились основные сведения о портах TCP/IP как фундаменте сетевой безопасности. Во второй части будут описаны некоторые методы для сетей и хост-компьютеров, с помощью которых можно определить приложения, прослушивающие сеть. Далее в статье будет рассказано о том, как оценить трафик, проходящий через сеть.

Блокирование сетевых приложений

Поверхность атаки по сети — общепринятый термин для описания уязвимости сети. Многие сетевые нападения проходят через уязвимые приложения, и можно существенно уменьшить площадь атаки, сократив число активных приложений в сети. Другими словами, следует отключить неиспользуемые службы, установить брандмауэр на выделенной системе для проверки законности трафика и составить исчерпывающий список управления доступом (access control list — ACL) для брандмауэра на периметре сети.

Каждый открытый сетевой порт представляет приложение, прослушивающее сеть. Поверхность атаки каждого сервера, подключенного к сети, можно уменьшить, отключив все необязательные сетевые службы и приложения. Версия Windows Server 2003 превосходит предшествующие версии операционной системы, так как в ней по умолчанию активизируется меньше сетевых служб. Однако аудит все же необходим, чтобы обнаружить вновь установленные приложения и изменения в конфигурации, которые открывают лишние сетевые порты.

Каждый открытый порт — потенциальная лазейка для взломщиков, которые используют пробелы в хост-приложении или тайком обращаются к приложению с именем и паролем другого пользователя (либо применяют другой законный метод аутентификации). В любом случае, важный первый шаг для защиты сети — просто отключить неиспользуемые сетевые приложения.

Сканирование портов

Сканирование портов — процесс обнаружения прослушивающих приложений путем активного опроса сетевых портов компьютера или другого сетевого устройства. Умение читать результаты сканирования и сравнивать сетевые отчеты с результатами хост-опроса п

Настройка Port knocking в Mikrotik

Небольшая заметка на тему использования известной технологии для защиты уязвимого сервиса при сохранении удаленного доступа к нему. Речь пойдет о настройке Port knocking в Mikrotik для защиты подключения к Winbox с сохранением доступа откуда угодно. Покажу работу технологии на простом и более сложном примере.

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Курс стоящий, все подробности читайте по ссылке.

Что такое port knocking

Port knocking - защитный режим обслуживания сети, действие которого основано на следующем принципе. Сетевой порт является закрытым до тех пор, пока не будут выполнены определенные условия. В данном случае условием является определенная последовательность пакетов данных, направленная на целевое устройство, которое защищается с помощью port knocking.

В моем примере мы будет защищать порт 8291, который используется в mikrotik для подключения управляющей программы winbox. Для того, чтобы с ее помощью можно было подключиться к устройству, нужно будет отправить определенную последовательность пакетов по протоколу icmp.

Простая настройка port knocking из одного правила

Для того, чтобы не погружаться в теорию работы и настройки firewall в mikrotik, я буду считать, что вы настраивали его по моей статье на эту тему. Так как мое текущее повествование на достаточно узкую тему, сфокусируюсь только на ней. Если вы не очень знакомы с описываемым роутером, то читайте мою статью на тему базовой настройки mikrotik.

Допустим, вы ограничили доступ к порту 8291, который использует winbox для подключения, фиксированным списком ip адресов. Название списка winbox_remote. Сейчас я покажу, как сделать так, чтобы в этот список временно попал тот ip адрес, который вам нужен, и который отсутствует в этом списке. Причем доступа к микротику у вас не будет. Тут нам как раз поможет технология port knocking.

Создаем следующее правило в фаерволе микротика.

add action=add-src-to-address-list address-list=winbox_remote address-list-timeout=30m chain=input comment="icmp port knocking" in-interface=ether2-wan packet-size=144 protocol=icmp

Рассказываю, что мы тут настроили. При пинге с какого-то ip адреса размером пакета 116 байт, на микротик придет пакет размером 144 байта (28 байт заголовок) и адрес отправителя будет добавлен в список winbox_remote на 30 минут. Для проверки работы достаточно выполнить пинг с любого компьютера, примерно вот так:

ping 1.2.3.4 -l 116 -n 1

После этого адрес отправителя отправится в указанный список роутера. Там будет создана динамическая запись.

Чтобы правило сработало, оно должно быть правильно расположено в списке правил. Правило с port knocking обязательно должно быть выше правила, разрешающего все icmp пакеты. Если этого не сделать, то первое разрешающее правило обработает все входящие icmp пакеты и до созданного нами в этой статье правила они просто не дойдут.

Более сложная проверка из трех правил

Теперь рассмотрим вариант немного посложнее. В список разрешенных ip адресов можно будет попасть, отправив не менее трех пакетов нужно длины. Для этого создаем 3 правила в firewall.

add action=add-src-to-address-list address-list=winbox_remote address-list-timeout=30m chain=input comment="icmp port knocking" in-interface=ether2-wan log=yes packet-size=144 protocol=icmp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=1m chain=input in-interface=ether2-wan log=yes packet-size=144 protocol=icmp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=1m chain=input in-interface=ether2-wan log=yes packet-size=144 protocol=icmp

Обращаю внимание на порядок правил. Он должен быть именно такой. Первый пакет попадает на третье правило и адрес отправителя записывается в список stage1. Следующий пакет будет иметь адрес отправителя из stage1 (src-address-list=stage1), поэтому его заносим в список stage2. Третий пакет будет иметь адрес отправителя из stage2, поэтому добавляем его в winbox_remote.

Тут есть один важный нюанс. Чаще всего у вас первым правилом в списке firewall на mikrotik будет разрешение на уже установленные соединения. Примерно такое:

add action=accept chain=input comment="accept establish & related" connection-state=established,related

Оно будет захватывать второй и последующие пакеты icmp, поэтому они не попадут на 3 наших правила выше. Чтобы этого избежать, нужно правила с port knocking в mikrotik ставить либо выше этого правила, либо в этом правиле сделать исключение для протокола icmp, примерно так:

add action=accept chain=input comment="accept establish & related" connection-state=established,related protocol=!icmp

После этого все должно работать нормально. На время отладки рекомендую включить логирование целевых правил. Так будет проще разобраться в проблемах, если будут возникать.

Таким способом можно наполнять разные списки и использовать их для доступа к различным сервисам. Как говорится, просто и сердито. Настроить не сложно, обойти такую защиту в очень хлопотно, особенно если время жизни записей в списке оставить 1 минуту. Для подключения к сервису этого вполне хватит, а дальше соединение получит статус established и будет оставаться активным, пока не закроется.

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте . Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:
  • Знания, ориентированные на практику;
  • Реальные ситуации и задачи;
  • Лучшее из международных программ.

Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!

Помогла статья? Подписывайся на telegram канал автора
Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

IP адреса и порты

Думаю, что все знают, что каждому компьютеру, находящемуся в сети присваивается IP-адрес. Этот адрес состоит из четырех чисел со значениями о 0 до 255, разделенных точками. В общем виде IP-адрес состоит из адреса сети, подсети и локального хост-адреса. Для того чтобы подсоединиться к этому компьютеру и, впоследствии, воспользоваться каким-нибудь сервисом (если машина является сервером), необходимо знать этот самый IP. Но что делать, если нам необходимо сразу несколько сервисов: web, почта, telnet? Web- браузер будет соединяться к этому IP-адресу точно так же, как и почтовый клиент, а ведь каждому из этих приложений надо предоставлять отдельный сервис.

Для их разделения и используются порты. Браузер соединяется с сервером по его IP'шнику, но уточняет, что ему нужен такой-то порт, и почтовый клиент соединяется с тем же IP, но уточняя, что ему нужен другой порт. Вот и получается, что порты – это, как бы, адреса конкретных сервисов в пределах одного IP.

Чтобы систематизировать порты системы был создан список так называемых “стандартных портов”. Исходя из этого списка, web-сервис должен находиться на 80-м порту, телнет-сервис – на 23-м, POP3(приём почты) – на 110–м, SMTP(отправка почты) – на 25-м, ICQ “облюбовал” себе порт под номером 4000 и т.д. Портов на одной системе может быть около 65 тысяч.

В списке всех портов сначала идут Well Known Port Numbers (хорошо изученные/отсортированные/известные порты). Это порты с номерами от 0 до 1023. Обычно эти порты отдаются под сервисные службы. Далее идут Registered Port Numbers (зарегистрированные порты). Это порты с номерами от 1024 и до 49151. На этих портах обычно находятся клиентские программы. И замыкают структуру Dynamic and/or Private Ports (динамичные и приватные порты). Это порты с номерами от 49152 до 65535.

Сканирование портов заключается в просмотре поочерёдно всех портов системы на их “открытость”. Т.е. “нехорошая программа” посылает запросы, если порт “молчит” – значит, он закрыт. В целях безопасности рекомендуется закрыть все неиспользуемые машиной порты. Это можно сделать Firewall’ом. Наибольшее внимание следует уделить так называемым “троянским портам”, которые обеспечивают реализацию целевого назначения троянских программ.

Приведу список наиболее активных таких портов.

• PORT=1011 Doly Trojan • PORT=1024 Trojan NetSpy • PORT=1034 I-Worm.Mydoom.m backdoor • PORT=1243 BackDoor-G, Trojan.SubSeven • PORT=1568 Trojan.RemoteHack • PORT=1807 Trojan.SpySender • PORT=1999 BackDoor, TransScout • PORT=2745 I-Worm.Bagle.i backdoor • PORT=3127 I-Worm.MyDoom, Novarg backdoor • PORT=4242 Virtual Hacking Machine • PORT=4444 MS BLAST worm • PORT=4590 ICQTrojan • PORT=4666 Trojan Mneah • PORT=5001 Back Door Setup, Sockets de Troie • PORT=5400 Backdoor.BackConstructor, Backdoor.BladeRunner • PORT=5554 Worm.Win32.Sasser.* FTP сервер • PORT=5887 Backdoor.NetDown • PORT=8866 I-Worm.Bagle.b - backdoor • PORT=9898 Worm.Win32.Sasser (Dabber Worm backdoor) • PORT=9989 iNi Killer • PORT=9995 Worm.Win32.Sasser.c remote shell • PORT=9996 Worm.Win32.Sasser.* сервер • PORT=11117 TrojanProxy.Win32.Mitglieder.s (mail) • PORT=21554 W32.GirlFriend.backdoor.135 • PORT=29104 Backdoor.Netrojan (NETrojan 1.0) • PORT=36794 I-Worm.Tanatos (W32.Bugbear) • PORT UDP=1025 Backdoor.Optix, Backdoor.KiLo • PORT UDP=1116 Backdoor.Lurker • PORT UDP=2140 Backdoor.DeepThroat • PORT UDP=12389 Backdoor.KheSanh

139-ый порт - любимый порт для нюков, сканеров и прочей гадости, поэтому настоятельно рекомендую закрывать его файрволлом. Не лишним будет закрыть и 445-ый порт. Однако отключение портов имеет и отрицательные стороны, т.к. существует опасность отключения портов, необходимых для нормального функционирования системы. К примеру, закрыв порт 6112, вы не сможете воспользоваться услугами сервера Battle.net, а, отключив порты под номерами 27960 и 2049, вам не будет доступна игра в Quake III Arena и NFS соответственно. Если вы используете WinProxy и прочие Proxy, то не следует закрывать 3128-ой порт. Необходимо отметить, что порт номер, к примеру, 513 для TCP не идентичен 513–му порту для UDP.

Чем же отличаются TCP и UDP? Прежде всего, необходимо определить, что такое протокол. Протокол (protocol) – это согласованные стандарты обмена данными, которые поддерживает каждая конкретная сеть. TCP (Transmission Control Protocol) – это протокол управления передачей сообщений, делит слишком большие сообщения на фрагменты. Каждому фрагменту присваивается свой заголовок, объясняющий частью чего и какой частью по счету данный фрагмент является. При отправке пакеты, содержащие фрагменты различных файлов, перемешиваются. В результате, по мере роста нагрузки сети работа каждого пользователя немного замедляется, но кто-то один никогда не сможет полностью заблокировать сеть своими непомерными запросами. Протокол TCP/IP следит за тем, чтобы ничего не случилось с отправленным файлом. На компьютере–адресате он собирает из отдельных фрагментов файл в его первозданном виде. Более того, в TCP есть и система проверки, не вкралась ли в данные при пересылке ошибка, а при ее обнаружении – коррекции этой ошибки. Конечно, TCP – не единственный протокол, который совместно с IP обеспечивает работоспособность Интернет. Например, гораздо менее известный протокол UDP (User Datagram Protocol – протокол датаграмм пользователя) позволяет организовать постоянный поток данных с минимальными задержками, хотя и с некоторыми потерями. Такой подход абсолютно неприемлем при обмене файлами, но оправдан при передаче живого звука. Небольшие искажения речи из-за потерянных пакетов гораздо меньше мешают слушателю, чем паузы, неизбежно возникающие при дополнительных запросах и пересылках потерявших пакетов. Раз уж мы затронули тему протоколов, то следует обратить внимание на следующие аспекты: Telnet – один из первых протоколов Интернета. Его можно использовать как удаленный терминал хоста Интернета. Во время связи с хост-компьютером Интернета компьютер пользователя работает так, как будто его клавиатура и дисплей подключены непосредственно к удаленному компьютеру. Вы можете запускать программы на компьютере, находящемся на противоположной стороне земного шара, с той же легкостью, словно сидите за ним. Эта система терминал-хост эволюционировала из символьных систем UNIX, популярных еще на заре Интернета. Microsoft Windows NT и Windows 95 устанавливают программу Telnet как часть пакета утилит TCP/IP. File Transfer Protocol (FTP) – это протокол, позволяющий легко пересылать файлы и документы. FTP. С помощью FTP (File Transfer Protocol — протокол передачи данных) можно обмениваться файлами (копировать, перемещать) между FTP-сервером и компьютером пользователя, FTP-клиентом. Это самый распространенный протокол передачи файлов между компьютерами.TFTP (trivial File Transfer Protocol) – тривиальный протокол передачи файлов. SMTP (Simple mail Transfer Protocol) протокол передачи электронной почты, определяющий правила взаимодействия и форматы управляющих сообщений. RIP (Routing Information Protocol) – протокол обмена трассировочной информацией между маршрутизаторами. DNS (Domain Name System) – система обеспечения преобразования символических имен и псевдонимов сетей и узлов в IP-адреса и обратно.

Установка и настройка

для удаленного управления Windows - приложения Win32

  • 14 минут на чтение

В этой статье

Для запуска сценариев удаленного управления Windows (WinRM) и инструмента командной строки Winrm для выполнения операций с данными необходимо установить и настроить удаленное управление Windows (WinRM).

Эти элементы также зависят от конфигурации WinRM.

Где установлен WinRM

WinRM автоматически устанавливается со всеми поддерживаемыми в настоящее время версиями операционной системы Windows.

Конфигурация WinRM и IPMI

Эти компоненты провайдера WinRM и интерфейса интеллектуального управления платформой (IPMI) устанавливаются вместе с операционной системой.

  • Служба WinRM запускается автоматически в Windows Server 2008 и подопечных (в Windows Vista необходимо запускать службу вручную).
  • По умолчанию прослушиватель WinRM не настроен. Даже если служба WinRM запущена, сообщения протокола WS-Management, запрашивающие данные, не могут быть приняты или отправлены.
  • Брандмауэр подключения к Интернету (ICF) блокирует доступ к портам.

Используйте команду Winrm для поиска слушателей и адресов, введя следующую команду в командной строке.

  WinRM и WinRM / config / слушатель
  

Чтобы проверить состояние параметров конфигурации, введите следующую команду.

  winrm получить winrm / config
  

Быстрая конфигурация по умолчанию

Вы можете включить протокол WS-Management на локальном компьютере и настроить конфигурацию по умолчанию для удаленного управления с помощью команды winrm quickconfig .

Команда winrm quickconfig (или сокращенная версия winrm qc ) выполняет эти операции.

  • Запускает службу WinRM и устанавливает тип запуска службы на автоматический запуск.
  • Настраивает приемник для портов, которые отправляют и получают сообщения протокола WS-Management с использованием HTTP или HTTPS на любом IP-адресе.
  • Определяет исключения ICF для службы WinRM и открывает порты для HTTP и HTTPS.

Примечание

Команда winrm quickconfig создает исключение брандмауэра только для текущего профиля пользователя. Если профиль брандмауэра был изменен по какой-либо причине, следует запустить winrm quickconfig , чтобы включить исключение брандмауэра для нового профиля; в противном случае исключение может быть не разрешено.

Чтобы получить информацию о настройке конфигурации, введите в командной строке winrm help config .

Для настройки WinRM с настройками по умолчанию

  1. Введите winrm quickconfig в командной строке.

    Если вы не работаете под учетной записью администратора локального компьютера, вам необходимо выбрать Запуск от имени администратора в меню Пуск или использовать команду Runas в командной строке.

  2. Когда инструмент отображает Внести эти изменения [да / нет]? , тип y .

    Если конфигурация прошла успешно, отобразятся следующие выходные данные.

      WinRM обновлен для удаленного управления.
    
    Тип службы WinRM изменен на отложенный автоматический запуск.
    Служба WinRM запущена.
    Создал прослушиватель WinRM на https: // * для приема запросов WS-Man на любой IP-адрес на этом компьютере.
      
  3. Сохраните настройки по умолчанию для клиентских и серверных компонентов WinRM или измените их.Например, вам может потребоваться добавить определенные удаленные компьютеры в список TrustedHosts конфигурации клиента.

    Вам следует настроить список доверенных хостов, если не удается установить взаимную аутентификацию. Kerberos допускает взаимную аутентификацию, но его нельзя использовать в рабочих группах - только в доменах. Лучшая практика при настройке доверенных хостов для рабочей группы - сделать список как можно более ограниченным.

  4. Создайте прослушиватель HTTPS, набрав команду winrm quickconfig -transport: https .Имейте в виду, что вы должны открыть порт 5986 для работы транспорта HTTPS.

Настройки прослушивателя и протокола WS-Management по умолчанию

Чтобы получить конфигурацию слушателя, введите в командной строке winrm enumerate winrm / config / listener . Слушатели определяются транспортом (HTTP или HTTPS) и адресом IPv4 или IPv6.

winrm quickconfig создает следующие настройки по умолчанию для слушателя. Вы можете создать более одного слушателя. Для получения дополнительной информации введите winrm help config в командной строке.

Адрес

Задает адрес, для которого был создан этот слушатель.

Транспорт

Задает транспорт, используемый для отправки и получения запросов и ответов протокола WS-Management. Значение должно быть либо HTTP , либо HTTPS . По умолчанию HTTP .

Порт

Задает TCP-порт, для которого создается этот прослушиватель.

WinRM 2.0: Порт HTTP по умолчанию - 5985.

Имя хоста

Задает имя хоста компьютера, на котором запущена служба WinRM.Значение должно быть полным доменным именем, литеральной строкой IPv4 или IPv6 или подстановочным знаком.

Включено

Указывает, включен или отключен прослушиватель. Значение по умолчанию - True .

URLPrefix

Задает префикс URL-адреса, по которому принимаются запросы HTTP или HTTPS. Это строка, содержащая только символы a-z, A-Z, 9-0, подчеркивание (_) и косую черту (/). Строка не должна начинаться или заканчиваться косой чертой (/). Например, если имя компьютера - SampleMachine, то клиент WinRM должен указать https: // SampleMachine / < URLPrefix > в адресе назначения.Префикс URL-адреса по умолчанию - "wsman".

Сертификат

Задает отпечаток сертификата службы. Это значение представляет собой строку двузначных шестнадцатеричных значений, содержащихся в поле отпечатка сертификата. Эта строка содержит хэш SHA-1 сертификата. Сертификаты используются при проверке подлинности на основе сертификатов клиента. Сертификаты могут быть сопоставлены только с локальными учетными записями пользователей, и они не работают с учетными записями домена.

Прослушивание

Задает адреса IPv4 и IPv6, которые использует прослушиватель.Например: «111.0.0.1, 111.222.333.444, :: 1, 1000: 2000: 2c: 3: c19: 9ec8: a715: 5e24, 3ffe: 8311: ffff: f70f: 0: 5efe: 111.222.333.444, fe80: : 5efe: 111.222.333.444% 8, fe80 :: c19: 9ec8: a715: 5e24% 6 ".

Настройки протокола по умолчанию

Многие параметры конфигурации, такие как MaxEnvelopeSizekb или SoapTraceEnabled, определяют, как компоненты клиента и сервера WinRM взаимодействуют с протоколом WS-Management. В следующем списке описаны доступные параметры конфигурации.

MaxEnvelopeSizekb

Задает максимальное количество данных протокола простого доступа к объектам (SOAP) в килобайтах.По умолчанию 150 килобайт.

Примечание

Поведение не поддерживается, если для MaxEnvelopeSizekb задано значение больше 1039440.

Максимальное время ожидания

Задает максимальный тайм-аут в миллисекундах, который может использоваться для любого запроса, кроме запросов на извлечение. По умолчанию - 60000.

MaxBatchItems

Задает максимальное количество элементов, которые можно использовать в ответе по запросу. По умолчанию 32000.

MaxProviderRequests

Задает максимальное количество одновременных запросов, разрешенных службой.По умолчанию - 25.

.

WinRM 2.0: Этот параметр устарел и установлен только для чтения.

Параметры конфигурации клиента WinRM по умолчанию

Клиентская версия WinRM имеет следующие параметры конфигурации по умолчанию.

Сеть Задержки

Задает дополнительное время в миллисекундах, которое клиентский компьютер ожидает, чтобы учесть время задержки сети. По умолчанию 5000 миллисекунд.

URLPrefix

Задает префикс URL-адреса, по которому принимаются запросы HTTP или HTTPS.Префикс URL-адреса по умолчанию - "wsman".

AllowUnencrypted

Позволяет клиентскому компьютеру запрашивать незашифрованный трафик. По умолчанию клиентскому компьютеру требуется зашифрованный сетевой трафик, и этот параметр равен Ложь .

Базовый

Позволяет клиентскому компьютеру использовать обычную проверку подлинности. Обычная проверка подлинности - это схема, при которой имя пользователя и пароль отправляются в виде открытого текста на сервер или прокси. Этот метод является наименее безопасным методом аутентификации.По умолчанию True .

Дайджест

Позволяет клиенту использовать дайджест-аутентификацию. Дайджест-проверка подлинности - это схема запрос-ответ, в которой для запроса используется указанная сервером строка данных. Только клиентский компьютер может инициировать дайджест-запрос проверки подлинности. Клиентский компьютер отправляет запрос на сервер для аутентификации и получает от сервера строку токена. Затем клиентский компьютер отправляет запрос ресурса, включая имя пользователя и криптографический хэш пароля в сочетании со строкой токена.Дайджест-проверка подлинности поддерживается для HTTP и HTTPS. Клиентские сценарии и приложения WinRM Shell могут указывать дайджест-аутентификацию, но служба WinRM не принимает дайджест-аутентификацию. По умолчанию True .

Примечание

Дайджест-проверка подлинности по HTTP не считается безопасной.

Сертификат

Позволяет клиенту использовать проверку подлинности на основе сертификата клиента. Аутентификация на основе сертификатов - это схема, в которой сервер аутентифицирует клиента, идентифицированного сертификатом X509.По умолчанию True .

Kerberos

Позволяет клиенту использовать проверку подлинности Kerberos. Проверка подлинности Kerberos - это схема, в которой клиент и сервер взаимно проходят проверку подлинности с помощью сертификатов Kerberos. По умолчанию True .

переговоры

Позволяет клиенту использовать проверку подлинности с согласованием. Согласование аутентификации - это схема, в которой клиент отправляет запрос на сервер для аутентификации. Сервер определяет, использовать ли протокол Kerberos или NTLM.Протокол Kerberos выбран для аутентификации учетной записи домена, а NTLM выбран для учетных записей локальных компьютеров. Имя пользователя должно быть указано в формате домен \ имя_пользователя для пользователя домена. Имя пользователя должно быть указано в формате «имя_сервера \ имя_пользователя» для локального пользователя на сервере. По умолчанию True .

CredSSP

Позволяет клиенту использовать аутентификацию Credential Security Support Provider (CredSSP). CredSSP позволяет приложению делегировать учетные данные пользователя с клиентского компьютера на целевой сервер.По умолчанию Ложь .

Порты по умолчанию

Задает порты, которые клиент будет использовать для HTTP или HTTPS.

WinRM 2.0: Порт HTTP по умолчанию - 5985, порт HTTPS по умолчанию - 5986.

TrustedHosts

Задает список доверенных удаленных компьютеров. В этот список следует добавить другие компьютеры в рабочей группе или компьютеры в другом домене.

Примечание

Компьютеры в списке TrustedHosts не аутентифицированы.Клиент может отправлять учетные данные на эти компьютеры.

Если для TrustedHost указан IPv6-адрес, он должен быть заключен в квадратные скобки, как показано следующей служебной командой winrm: winrm set winrm / config / client '@ {TrustedHosts = "[0: 0: 0: 0 : 0: 0: 0: 0] "} '.

Для получения дополнительной информации о том, как добавлять компьютеры в список TrustedHosts, введите winrm help config .

Параметры конфигурации службы WinRM по умолчанию

Служебная версия WinRM имеет следующие параметры конфигурации по умолчанию.

Корень SDDL

Задает дескриптор безопасности, который управляет удаленным доступом к слушателю. Значение по умолчанию - «O: NSG: BAD: P (A ;; GA ;;; BA) (A ;; GR ;;; ER) S: P (AU; FA; GA ;;; WD) (AU; SA; GWGX ;;; WD) ".

Максимальное количество одновременных операций

Максимальное количество одновременных операций. По умолчанию - 100.

WinRM 2.0: Параметр MaxConcurrentOperations устарел и предназначен только для чтения. Этот параметр был заменен на MaxConcurrentOperationsPerUser.

MaxConcurrentOperationsPerUser

Задает максимальное количество одновременных операций, которые любой пользователь может удаленно открыть в одной системе. По умолчанию 1500.

EnumerationTimeoutms

Задает тайм-аут простоя в миллисекундах между сообщениями Pull. По умолчанию - 60000.

MaxConnections

Задает максимальное количество активных запросов, которые служба может обрабатывать одновременно. По умолчанию - 300.

WinRM 2.0: По умолчанию 25.

MaxPacketRetrievalTimeSeconds

Задает максимальное время в секундах, которое требуется службе WinRM для получения пакета. По умолчанию 120 секунд.

AllowUnencrypted

Позволяет клиентскому компьютеру запрашивать незашифрованный трафик. По умолчанию Ложь .

Базовый

Позволяет службе WinRM использовать обычную проверку подлинности. По умолчанию Ложь .

Сертификат

Позволяет службе WinRM использовать проверку подлинности на основе сертификата клиента.По умолчанию Ложь .

Kerberos

Разрешает службе WinRM использовать проверку подлинности Kerberos. По умолчанию True .

переговоры

Разрешает службе WinRM использовать проверку подлинности с согласованием. По умолчанию True .

CredSSP

Позволяет службе WinRM использовать аутентификацию поставщика поддержки безопасности учетных данных (CredSSP). По умолчанию Ложь .

Cbt Уровень закалки

Устанавливает политику требований к токену привязки канала в запросах аутентификации.По умолчанию - Relaxed .

Порты по умолчанию

Задает порты, которые служба WinRM будет использовать для HTTP или HTTPS.

WinRM 2.0: Порт HTTP по умолчанию - 5985, порт HTTPS по умолчанию - 5986.

IPv4Filter и IPv6Filter

Задает адреса IPv4 или IPv6, которые могут использовать слушатели. Значения по умолчанию: IPv4Filter = * и IPv6Filter = *.

IPv4: Строка литерала IPv4 состоит из четырех десятичных чисел, разделенных точками, каждое в диапазоне от 0 до 255.Например: 192.168.0.0.

IPv6: Буквальная строка IPv6 заключена в скобки и содержит шестнадцатеричные числа, разделенные двоеточиями. Например: [:: 1] или [3ffe: ffff :: 6ECB: 0101].

EnableCompatibilityHttpListener

Указывает, включен ли прослушиватель HTTP совместимости. Если этот параметр равен True , то слушатель будет прослушивать порт 80 в дополнение к порту 5985. Значение по умолчанию - False .

EnableCompatibilityHttpsListener

Указывает, включен ли прослушиватель HTTPS совместимости.Если этот параметр равен Истина , то слушатель будет прослушивать порт 443 в дополнение к порту 5986. По умолчанию Ложь .

Параметры конфигурации Winrs по умолчанию

winrm quickconfig также настраивает параметры Winrs по умолчанию.

AllowRemoteShellAccess

Разрешает доступ к удаленным оболочкам. Если вы установите для этого параметра значение False , то новые подключения удаленной оболочки будут отклонены сервером. По умолчанию True .

Таймаут простоя

Задает максимальное время в миллисекундах, в течение которого удаленная оболочка будет оставаться открытой при отсутствии активности пользователя в удаленной оболочке. Удаленная оболочка автоматически удаляется по истечении указанного времени.

WinRM 2.0: Значение по умолчанию - 180000. Минимальное значение - 60000. Установка этого значения ниже 60000 не повлияет на тайм-аут.

MaxConcurrentUsers

Задает максимальное количество пользователей, которые могут одновременно выполнять удаленные операции на одном компьютере через удаленную оболочку.Новые подключения удаленной оболочки будут отклонены, если они превысят указанный предел. По умолчанию 5.

MaxShellRunTime

Задает максимальное время в миллисекундах, в течение которого удаленной команде или сценарию разрешено выполнение. По умолчанию - 28800000.

WinRM 2.0: Для параметра MaxShellRunTime задано значение только для чтения. Изменение значения MaxShellRunTime не повлияет на удаленные оболочки.

MaxProcessesPerShell

Задает максимальное количество процессов, которые разрешено запускать любой операции оболочки.Значение 0 разрешает неограниченное количество процессов. По умолчанию 15.

MaxMemoryPerShellMB

Задает максимальный объем памяти, выделяемой для каждой оболочки, включая дочерние процессы оболочки. По умолчанию 150 МБ.

MaxShellsPerUser

Задает максимальное количество одновременных оболочек, которые любой пользователь может удаленно открыть на одном компьютере. Если этот параметр политики включен, пользователь не сможет открывать новые удаленные оболочки, если счетчик превышает указанный предел.Если этот параметр политики отключен или не настроен, ограничение по умолчанию будет равно 5 удаленным оболочкам на пользователя.

Настройка WinRM с помощью групповой политики

Используйте редактор групповой политики для настройки Windows Remote Shell и WinRM для компьютеров в вашем предприятии.

Для настройки с помощью групповой политики

  1. Откройте окно командной строки от имени администратора.
  2. В командной строке введите gpedit.msc . Откроется окно редактора объектов групповой политики .
  3. Найдите Windows Remote Management и Windows Remote Shell Group Policy Objects (GPO) в Computer Configuration \ Administrative Templates \ Windows Components .
  4. На вкладке Extended выберите параметр, чтобы просмотреть описание. Дважды щелкните параметр, чтобы изменить его.

Брандмауэр Windows и порты WinRM 2.0

Начиная с WinRM 2.0 портами прослушивателя по умолчанию, настроенными с помощью Winrm quickconfig , являются порт 5985 для транспорта HTTP и порт 5986 для HTTPS.Прослушиватели WinRM можно настроить на любой произвольный порт.

Если компьютер обновлен до WinRM 2.0, ранее настроенные прослушиватели переносятся и по-прежнему получают трафик.

Замечания по установке и настройке WinRM

WinRM не зависит от какой-либо другой службы, кроме WinHttp. Если на том же компьютере установлена ​​служба IIS Admin, вы можете увидеть сообщения, указывающие, что WinRM не может быть загружен до Internet Information Services (IIS). Однако на самом деле WinRM не зависит от IIS - эти сообщения возникают потому, что порядок загрузки гарантирует, что служба IIS запускается до службы HTTP.WinRM требует, чтобы WinHTTP.dll был зарегистрирован.

Если на компьютере установлен клиент брандмауэра ISA2004, это может привести к тому, что клиент веб-служб для управления (WS-Management) перестанет отвечать. Чтобы избежать этой проблемы, установите ISA2004 Firewall SP1.

Если две службы прослушивания с разными IP-адресами настроены с одним и тем же номером порта и именем компьютера, то WinRM прослушивает или принимает сообщения только по одному адресу. Это связано с тем, что префиксы URL-адресов, используемые протоколом WS-Management, одинаковы.

Примечания по установке драйвера IPMI и поставщика

Драйвер может не обнаруживать наличие драйверов IPMI сторонних производителей. Если драйвер не запускается, возможно, вам придется отключить его.

Если ресурсы контроллера управления основной платой (BMC) появляются в системной BIOS, то ACPI (Plug and Play) обнаруживает оборудование BMC и автоматически устанавливает драйвер IPMI. Поддержка Plug and Play может присутствовать не во всех BMC. Если BMC обнаруживается функцией Plug and Play, неизвестное устройство отображается в диспетчере устройств до установки компонента управления оборудованием.После установки драйвера в диспетчере устройств появляется новый компонент, универсальное устройство, совместимое с IPMI Microsoft ACPI.

Если ваша система не обнаруживает BMC автоматически и не устанавливает драйвер, но BMC был обнаружен в процессе установки, вы должны создать устройство BMC. Для этого введите в командной строке следующую команду: Rundll32 ipmisetp.dll, AddTheDevice . После выполнения этой команды создается устройство IPMI, которое отображается в диспетчере устройств.Если вы удалите компонент «Управление оборудованием», устройство будет удалено.

Для получения дополнительной информации см. Введение в управление оборудованием.

Провайдер IPMI помещает классы оборудования в пространство имен root \ hardware WMI. Дополнительные сведения о классах оборудования см. В разделе «Поставщик IPMI». Дополнительные сведения о пространствах имен WMI см. В разделе Архитектура WMI.

Замечания по настройке подключаемого модуля WMI

Начиная с Windows 8 и Windows Server 2012, подключаемые модули WMI имеют собственные конфигурации безопасности.Чтобы обычный или опытный (не администратор) пользователь мог использовать подключаемый модуль WMI , вам необходимо разрешить доступ для этого пользователя после настройки прослушивателя. Во-первых, вы должны настроить пользователя для удаленного доступа к WMI, выполнив один из следующих шагов.

  • Запустите lusrmgr.msc , чтобы добавить пользователя в группу WinRMRemoteWMIUsers__ в окне Локальные пользователи и группы или
  • используйте инструмент командной строки winrm для настройки дескриптора безопасности для пространства имен подключаемого модуля WMI следующим образом: winrm configSDDL http: // schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace .

Когда появится пользовательский интерфейс, добавьте пользователя.

После настройки пользователя для удаленного доступа к WMI необходимо настроить WMI , чтобы разрешить пользователю доступ к подключаемому модулю. Для этого запустите wmimgmt.msc , чтобы изменить безопасность WMI для пространства имен, к которому будет осуществляться доступ в окне WMI Control .

Большинство классов WMI для управления находятся в пространстве имен root \ cimv2 .

портов TCP / IP на процессорах управления XCC, IMM2 и CMM> Lenovo Press

Абстрактные

Процессоры управления системами, интегрированные в серверы ThinkSystem, System x, Flex System и BladeCenter, используют для связи различные порты TCP / IP. Этот документ перечисляет их и указывает, какие из них администратор может и не может изменять. Вам необходимо убедиться, что ваша сеть (брандмауэры и маршрутизаторы) разрешает связь через эти порты для правильной работы процессора управления.

История изменений

Изменения в обновлении от 30 сентября:

Введение

Процессоры управления системами (также известные как служебные процессоры), интегрированные в серверы ThinkSystem, System x, Flex System и BladeCenter, используют для связи различные порты TCP / IP.Этот документ перечисляет их и указывает, какие из них администратор может и не может изменять. Вам необходимо убедиться, что ваша сеть (брандмауэры и маршрутизаторы) разрешает связь через эти порты для правильной работы процессора управления.

Охватываемые процессоры управления:

  • Контроллер XClarity (XCC)
  • Модуль управления шасси (CMM и CMM2)
  • Интегрированный модуль управления II (IMM2 и IMM2.1)
  • Интегрированный модуль управления (IMM)
  • Модуль расширенного управления BladeCenter (AMM)
  • Модуль управления BladeCenter (MM)
  • Адаптер удаленного управления II (RSA II)
  • Контроллер управления основной платой (BMC)

Контроллер XClarity (XCC)

XCC использует следующие порты.Как указано, порты либо фиксированные, либо настраиваемые. Для настраиваемых портов указан порт по умолчанию.

Модуль управления шасси (CMM)

Модуль управления шасси (CMM и CMM2) - это служебный процессор, используемый в шасси Flex System Enterprise. Следующие порты настраиваются пользователем. Указаны используемые номера портов по умолчанию.

Следующие порты TCP / IP являются фиксированными и не могут быть изменены.

Модуль интегрированного управления и модуль интегрированного управления II (IMM2)

Следующие порты настраиваются пользователем. Указаны используемые номера портов по умолчанию.

Следующие порты TCP / IP являются фиксированными и не могут быть изменены.

Таблица 5. Порты IMM и IMM2 - фиксированные

Модуль расширенного управления BladeCenter

Следующие порты настраиваются пользователем.Указаны используемые номера портов по умолчанию.

Таблица 6. Порты AMM - настраиваются пользователем

Следующие порты TCP / IP являются фиксированными и не могут быть изменены.

Таблица 7. Порты AMM - фиксированные

Модуль управления BladeCenter

Следующие порты настраиваются пользователем. Указаны используемые номера портов по умолчанию.

Таблица 8. Порты MM - настраиваются пользователем

Следующие порты TCP / IP являются фиксированными и не могут быть изменены.

Таблица 9. Порты MM - фиксированные

Адаптер удаленного управления II (RSA II)

Следующие порты настраиваются пользователем. Указаны используемые номера портов по умолчанию.

Таблица 10. Порты RSA II - настраиваются пользователем

Следующие порты TCP / IP являются фиксированными и не могут быть изменены.

Таблица 11. Порты RSA II - фиксированные

Контроллер управления основной платой (BMC)

Следующие порты TCP / IP являются фиксированными и не могут быть изменены.

Таблица 12. Порты BMC

Связанные семейства продуктов

Семейства продуктов, относящиеся к этому документу, следующие:

Товарные знаки

Lenovo и логотип Lenovo являются товарными знаками или зарегистрированными товарными знаками Lenovo в США и / или других странах.Текущий список товарных знаков Lenovo доступен в Интернете по адресу https://www.lenovo.com/us/en/legal/copytrade/.

Следующие термины являются товарными знаками Lenovo в США и / или других странах:
Lenovo®
BladeCenter®
Flex System
System x®
ThinkSystem
XClarity®

Другие названия компаний, продуктов или услуг могут являться товарными знаками или знаками обслуживания других компаний.

Remote PowerShell / WinRM - Марк Кин

В Интернете есть много статей о том, как настроить удаленную оболочку PowerShell или как настроить удаленную оболочку PowerShell.Я обнаружил, что не все статьи о том, как настроить удаленную оболочку PowerShell, не полны. Как там некоторая информация, разные части информации повсюду в разных сообщениях, а не в полном порядке и / или пропущенных этапах.

Вам понадобится Remote PowerShell для администрирования серверов Windows, а в наши дни с PowerShell вы можете делать все и что угодно с помощью PowerShell, поэтому удаленный PowerShell является обязательным.

Remote PowerShell немного сложно настроить и поставляется в двух вариантах: HTTP (порт 5985) и HTTPS (порт 5986).Что касается безопасности, этот пост будет посвящен наиболее безопасному способу настройки Remote PowerShell, порту 5986 HTTPS с SSL. Кроме того, я не сосредотачиваюсь на машинах на основе домена, я сосредотачиваюсь только на стандартных машинах, машинах, не подключенных к домену , также известному как серверы «рабочих групп» .

Два сценария ниже, один из которых предполагает, что у вас уже есть доверенный сертификат, а другой предполагает, что вы хотите создать новый самоподписанный сертификат. Оба сценария принимают во внимание делегированную аутентификацию - чтобы подготовить почву для использования CredSSP.

# Настраивает WinRM Remote PowerShell с делегированной аутентификацией для существующего доверенного сертификата SSL
########################################################################### ######################
################ Сделайте это на сервере
########################################################################### #######################
# Включить WinRM на виртуальной машине - с созданием сертификата по запросу
Функция RemotePowerShell {
$ process = 'cmd.exe '
$ arguments = '/ c winrm invoke restore winrm / config @ {}'
start-process $ process –ArgumentList $ arguments –Wait
# включить удаленное взаимодействие с диспетчером сервера
Configure-SMRemoting.exe –включить
# Включить WinRM
Enable-PSRemoting –SkipNetworkProfileCheck –Force
<# Только если вы действительно хотите усилить безопасность, однако это может нарушить некоторые функции DSC, которые вызывают различные вещи локально через порт HTTP
Get-ChildItem WSMan: \ Localhost \ listener | Где -Property Keys -eq "Transport = HTTP" | Удалить элемент -Recurse
Remove-Item -Path WSMan: \ Localhost \ listener \ listener * -Recurse
#>
$ domain = 'домен.com '
$ Hostname = "{0} $ domain" -f '*.'
$ CertificateThumbprint = (Get-ChildItem Cert: \ LocalMachine \ My |? {$ _. Subject -match $ domain}). Thumbprint;
$ CommandLine = "winrm create winrm / config / Listener? Адрес = * + Transport = HTTPS @ {Hostname =` "$ ($ Hostname)` "; CertificateThumbprint =` "$ ($ CertificateThumbprint)` "}";
CMD.EXE / C $ CommandLine
Set-Item wsman: \ localhost \ client \ trusthosts * –Force
# Включить делегирование учетных данных
Enable-WSManCredSSP –Ролевой сервер –Force
перезапуск службы Winrm
}
Правила брандмауэра функций {
################ Правила межсетевого экрана
New-NetFirewallRule –DisplayName «Удаленное управление Windows (HTTPS-In)» –Name «Windows Remote Management (HTTPS-In)» –Profile Any –LocalPort 5986 –Protocol TCP
New-NetFirewallRule –DisplayName "RemotePowerShell" –Direction Inbound –LocalPort 5985–5986 –Protocol TCP –Action Allow
}
RemotePowerShell
Правила межсетевого экрана
########################################################################### #######################
################ Сделайте это на клиенте, чтобы настроить делегированную аутентификацию
########################################################################### #######################
Enable-PSRemoting –Force
Enable-WSManCredSSP –Ролевой клиент –DelegateComputer * –Force
$ разрешено = @ ('WSMAN / *.domain.com ')
$ TopKey = 'hklm: \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation'
если (! (Test-Path $ TopKey)) {
мкр. $ TopKey
}
New-ItemProperty –Path $ TopKey –Name AllowFreshCredentials –Value 1 –PropertyType Dword –Force
New-ItemProperty –Path $ TopKey –Name AllowFreshCredentialsWhenNTLMOnly –Value 1 –PropertyType Dword –Force
New-ItemProperty –Path $ TopKey –Name AllowSavedCredentialsWhenNTLMOnly –Value 1 –PropertyType Dword –Force
New-ItemProperty –Path $ TopKey –Name ConcatenateDefaults_AllowFresh –Value 1 –PropertyType Dword –Force
New-ItemProperty –Path $ TopKey –Name ConcatenateDefaults_AllowFreshNTLMOnly –Value 1 –PropertyType Dword –Force
New-ItemProperty –Path $ TopKey –Name ConcatenateDefaults_AllowSavedNTLMOnly –Value 1 –PropertyType Dword –Force
$ ключ = путь присоединения $ TopKey 'AllowFreshCredentialsWhenNTLMOnly'
если (! (Test-Path $ key)) {
md $ ключ
}
$ i = 1
Разрешено $ |% {
# Скрипт не учитывает существующие записи в этом ключе
New-ItemProperty –Path $ key –Name $ i –Value $ _ –PropertyType String –Force
$ i ++
}
$ key = Join-Path $ TopKey 'AllowSavedCredentialsWhenNTLMOnly'
если (! (Test-Path $ key)) {
md $ ключ
}
$ i = 1
Разрешено $ |% {
# Скрипт не учитывает существующие записи в этом ключе
New-ItemProperty –Path $ key –Name $ i –Value $ _ –PropertyType String –Force
$ i ++
}
$ ключ = путь присоединения $ TopKey 'AllowFreshCredentials'
если (! (Test-Path $ key)) {
md $ ключ
}
# Скрипт не учитывает существующие записи в этом ключе
$ я = 1
New-ItemProperty –Path $ key –Name $ i –Value 'wsman / *' –PropertyType String –Force
перезапуск службы WinRM

Если у вас дешевый скейт, вы можете попросить PowerShell создать для вас новый самоподписанный сертификат, который вы сможете использовать.

# Устанавливает WinRM Remote PowerShell с делегированной аутентификацией при создании самоподписанного сертификата
########################################################################### #######################
################ Сделайте это на сервере
########################################################################### #######################
# Включить WinRM на виртуальной машине - с созданием сертификата по запросу
Функция RemotePowerShell {
$ process = 'cmd.exe '
$ arguments = '/ c winrm invoke restore winrm / config @ {}'
start-process $ process –ArgumentList $ arguments –Wait
# включить удаленное взаимодействие с диспетчером сервера
Configure-SMRemoting.exe –включить
# Включить WinRM
Enable-PSRemoting –SkipNetworkProfileCheck –Force
<# Только если вы действительно хотите усилить безопасность, однако это может нарушить некоторые функции DSC, которые вызывают различные вещи локально через порт HTTP
Get-ChildItem WSMan: \ Localhost \ listener | Где -Property Keys -eq "Transport = HTTP" | Удалить элемент -Recurse
Remove-Item -Path WSMan: \ Localhost \ listener \ listener * -Recurse
#>
$ Имя хоста = $ env: ИМЯ КОМПЬЮТЕРА
$ CertificateThumbprint = (New-SelfSignedCertificate –DnsName $ Hostname –CertStoreLocation Cert: \ LocalMachine \ My).Отпечаток пальца;
$ CommandLine = "winrm create winrm / config / Listener? Адрес = * + Transport = HTTPS @ {Hostname =` "$ ($ Hostname)` "; CertificateThumbprint =` "$ ($ CertificateThumbprint)` "}";
CMD.EXE / C $ CommandLine
Set-Item wsman: \ localhost \ client \ trusthosts * –Force
# Включить делегирование учетных данных
Enable-WSManCredSSP –Ролевой сервер –Force
перезапуск службы Winrm
}
Правила брандмауэра функций {
################ Правила межсетевого экрана
New-NetFirewallRule –DisplayName «Удаленное управление Windows (HTTPS-In)» –Name «Windows Remote Management (HTTPS-In)» –Profile Any –LocalPort 5986 –Protocol TCP
New-NetFirewallRule –DisplayName "RemotePowerShell" –Direction Inbound –LocalPort 5985–5986 –Protocol TCP –Action Allow
}
RemotePowerShell
Правила межсетевого экрана
########################################################################### #######################
################ Сделайте это на клиенте, чтобы настроить делегированную аутентификацию
########################################################################### #######################
Enable-PSRemoting –Force
Enable-WSManCredSSP –Ролевой клиент –DelegateComputer * –Force
$ разрешено = @ ('WSMAN / *.domain.com ')
$ TopKey = 'hklm: \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation'
если (! (Test-Path $ TopKey)) {
мкр. $ TopKey
}
New-ItemProperty –Path $ TopKey –Name AllowFreshCredentials –Value 1 –PropertyType Dword –Force
New-ItemProperty –Path $ TopKey –Name AllowFreshCredentialsWhenNTLMOnly –Value 1 –PropertyType Dword –Force
New-ItemProperty –Path $ TopKey –Name AllowSavedCredentialsWhenNTLMOnly –Value 1 –PropertyType Dword –Force
New-ItemProperty –Path $ TopKey –Name ConcatenateDefaults_AllowFresh –Value 1 –PropertyType Dword –Force
New-ItemProperty –Path $ TopKey –Name ConcatenateDefaults_AllowFreshNTLMOnly –Value 1 –PropertyType Dword –Force
New-ItemProperty –Path $ TopKey –Name ConcatenateDefaults_AllowSavedNTLMOnly –Value 1 –PropertyType Dword –Force
$ ключ = путь присоединения $ TopKey 'AllowFreshCredentialsWhenNTLMOnly'
если (! (Test-Path $ key)) {
md $ ключ
}
$ я = 1
Разрешено $ |% {
# Скрипт не учитывает существующие записи в этом ключе
New-ItemProperty –Path $ key –Name $ i –Value $ _ –PropertyType String –Force
$ i ++
}
$ key = Join-Path $ TopKey 'AllowSavedCredentialsWhenNTLMOnly'
если (! (Test-Path $ key)) {
md $ ключ
}
$ я = 1
Разрешено $ |% {
# Скрипт не учитывает существующие записи в этом ключе
New-ItemProperty –Path $ key –Name $ i –Value $ _ –PropertyType String –Force
$ i ++
}
$ ключ = путь присоединения $ TopKey 'AllowFreshCredentials'
если (! (Test-Path $ key)) {
md $ ключ
}
# Скрипт не учитывает существующие записи в этом ключе
$ я = 1
New-ItemProperty –Path $ key –Name $ i –Value 'wsman / *' –PropertyType String –Force
перезапуск службы WinRM

Затем для подключения с помощью удаленного управления приведенный ниже сценарий выглядит примерно так, как вы бы использовали.

$ RemoteMachines = '1598.domain.com', '1599.domain.com'
$ adminname = 'имя_пользователя'
$ adminpassword = 'YourPassword'
$ пароль = ConvertTo-SecureString $ adminpassword –AsPlainText –Force
$ cred = New-Object System.Management.Automation.PSCredential (". \ $ Adminname", $ password)
$ SessionOptions = New-PSSessionOption –SkipCACheck –SkipCNCheck –SkipRevocationCheck
$ PSSession = New-PSSession –ComputerName $ RemoteMachines –Port 5986 –UseSSL –Authentication Credssp –Credential $ cred –SessionOption $ SessionOptions
# Делай что-нибудь
Invoke-Command –Session $ PSSession –ScriptBlock {
gci C:
whoami
}
Get-PSSession | Удалить-PSSession

Нравится:

Нравится Загрузка...

UDP-трафик с портами источника и назначения 54915

UDP-трафик с исходными и целевыми портами 54915

При устранении проблемы с сетью на моем MacBook Pro ноутбук, я заметил, рассматривая пакет файл захвата в Wireshark, что система была отправив много Трафик протокола пользовательских дейтаграмм (UDP) в подсеть xxx.xxx.xxx.255 широковещательный адрес, то есть для всех систем на подсеть, с использованием порта 54915 как источника и назначения порты.На приведенном ниже снимке экрана показано, что я увидел, когда применил фильтр Wireshark из udp.port == 54915 .

Wireshark ассоциировал СМИ адрес управления доступом (MAC) для системы, отправляющей эти Дейтаграммы UDP с Яблоко. Первые шесть шестнадцатеричных цифр MAC-адреса идентифицирует производителя контроллер сетевого интерфейса (NIC) в устройстве. В MAC-адрес был f4: 5c: 89: c0: 42: 47 и F4: 5C: 89 - это код, присвоенный Apple, Inc.

.

Когда ваша система обменивается данными с другими устройствами по сети, используя протокол TCP / IP, вы также можете найти MAC-адрес другого системы, взаимодействующие с вашей системой в Таблица протокола разрешения адресов (ARP) в системе.Если система находится в той же подсети на вашем локальной сети (LAN), вы также можете увидеть адрес ARP, пинг адрес другой системы, а затем проверка таблицы arp с помощью команда arp. Если есть вмешивающееся устройство, такое как маршрутизатор или межсетевой экран, между системой, выдающей эхо-запрос команда и адрес пропингуется, вы не сможете определить MAC-адрес системы пропингуется, только MAC-адрес промежуточное устройство. И MAC-адрес, показанный Wireshark и другими программы-анализаторы пакетов, будут отражать только MAC-адрес ближайшего вмешивающегося устройства, если системы не находятся в одной локальной сети, и есть одна или несколько промежуточных сетей такие устройства, как маршрутизаторы или межсетевые экраны.

 $ пинг -c 1 128.154.156.83
PING 128.154.156.83 (128.154.156.83): 56 байтов данных
64 байта из 128.154.156.83: icmp_seq = 0 ttl = 64 time = 112.225 мс

--- 128.154.156.83 статистика пинга ---
1 пакет передан, 1 пакет получен, потеря пакетов 0,0%
туда и обратно min / avg / max / stddev = 112,225 / 112,225 / 112,225 / 0,000 мс
$ arp -a | grep 128.154.156.83
gssla16040496-128154156083.abc.example.com (192.168.156.83) на f4: 5c: 89: c0: 42: 47 на en0 ifscope [ethernet]
$ 

Результаты вышеуказанного эхо-запроса также позволяют предположить, что это система Apple, а не в системе Microsoft Windows, поскольку время жить (TTL) в пакетов эхо-ответа от системы - 64, поскольку Apple Системы OS X и iOS используют значение TTL 64, тогда как обычно оно составляет 128 для Системы Windows, хотя другие операционные системы также используют значение 64 - см. Определение систем Apple на сеть.

Почему вы можете видеть пакеты UDP с портом источника 54915 и местом назначения порт 54915 отправляется на широковещательный адрес для подсети? Когда я поискал информацию об этих пакетах, я обнаружил, что они связаны с участием Logitech's Программное обеспечение управления Arx. Logitech заявляет в отношении этого программного обеспечения:

Выиграйте информационную войну и опередите соперников с важная внутриигровая информация на планшете или смартфоне. Arx control служит вторым экраном для поддерживаемых заголовков.

Arx Control позволяет контролировать периферийные устройства Logitech G и управлять ими не выходя из игры. Точная настройка DPI мыши в реальном времени время или вызовите список макросов G-Key для быстрого ознакомления прямо на вашем смартфоне или планшете.

Устранение неполадок и мониторинг оборудования вашей системы с помощью графического процессора / процессора температуры и уровни использования. Управляйте своими медиа или запускайте игры удаленно со встроенными элементами управления.

Arx Control доступен на Android и iOS на планшетах и смартфоны и работает в любой системе с ПО Logitech Gaming Software установлены.Поставьте смартфон вертикально в регулируемом Arx Smart Док-станция на некоторых клавиатурах Logitech для удобного просмотра.

Вы можете найти программное обеспечение в Apple App Store по адресу Logitech Arx Control. На странице указано: «Это приложение доступно только в App Store для устройств iOS. Apple использует iOS операционная система на своем айфон iPad и Ipod Touch устройств. Программное обеспечение, очевидно, ищет другие устройства с Программное обеспечение Arx Conrol устанавливается путем отправки широковещательных пакетов на UDP-порт 54 915, а затем ожидает ответа от этих устройств.

Когда я посмотрел содержимое пакетов с помощью Wireshark, я увидел следующий глобальный уникальный идентификатор (GUID) в поле данных:

{85606d47-401a-4575-a7fa-10d380f4313d}

Статьи по теме:

  1. Сбор и фильтрация данных с помощью Wireshark
  2. Определение систем Apple на сеть
.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *