Hvilke porte der skal åbnes for Active Directory, RDP, DNS og mere i Windows Server

Administrationen af ​​et netværk baseret på Windows Server kræver præcis viden om porte, der skal være åbne for at tjenesterne fungerer korrekt. Fra at aktivere fjernlogin til at sikre brugergodkendelse og korrekt domænenavnsopløsning, er forskellige protokoller afhængige af specifikke porte for at fungere. For at administrere disse porte korrekt, er det nyttigt at konsultere information om typer netværksporte.

Uanset om du opretter en Active Directory (AD) server, har en DNS-server, eller aktivere adgang ved Fjernskrivebord (RDP), åbning af porte er nøglen. Hvis du ikke gør det korrekt, kan det føre til forbindelsesfejl, autentificeringsproblemer eller endda kompromittere sikkerheden af ​​din infrastruktur, hvis flere porte end nødvendigt efterlades åbne.

Generelle begreber om protokoller og porte i Windows Server

Windows Server bruger en meget bred vifte af tjenester, der kræver åbning TCP- og UDP-porte. Disse porte tillader kommunikation mellem forskellige enheder og tjenester inden for netværket og endda udadtil. De to hovedprotokoller, der bruges på disse porte er TCP (Transmission Control Protocol) y UDP (User Datagram Protocol).

TCP Det er kendetegnet ved at være en forbindelsesorienteret, pålidelig protokol, der garanterer, at alle pakker ankommer i den rigtige rækkefølge. Derfor bruges det i tjenester, der kræver stabilitet, såsom HTTP, FTP eller RDP. På den anden side, UDP Det er hurtigere, men mindre pålideligt, hvorfor det er valgt til tjenester som DNS, streaming, online spil osv.

Derudover er havne klassificeret i:

• Kendte porte (0-1023): Anvendes af standardprotokoller som HTTP (80), DNS (53) eller SSH (22).
• Registrerede havne (1024-49151): Skabt til mindre almindelige tjenester eller applikationer. De kan registreres af virksomheder.
• Dynamiske eller flygtige porte (49152-65535): Anvendes af systemet, når en klient starter en forbindelse. Også kendt som tilfældige eller midlertidige porte.

Porte brugt af Active Directory (AD)

Active Directory er hjertet i ethvert Windows-baseret domænetværk. For at dine tjenester kan fungere korrekt, er det vigtigt at åbne flere nøgleporte primært relateret til protokoller LDAP, Kerberos og RPC. Du kan finde yderligere oplysninger om, hvordan du kommunikerer med disse tjenester i forskellige indstillinger.

Blandt de vigtigste vi har:

• TCP/UDP 389: Det er den port, der bruges af LDAP (Lightweight Directory Access Protocol). Det er en prioritet for brugergodkendelse og mappereplikering.
• TCP 636: Bruges til LDAP over SSL (LDAPS).
• TCP/UDP 88: Tilknyttet Kerberos-protokollen, der bruges til godkendelse.
• TCP 445: Bruges af SMB til fil- og printerdeling.
• TCP 135: RPC-endepunktsmapper.
• TCP 3268 / 3269: Globalt katalog (GC). 3268 for søgninger og 3269, når en sikker forbindelse (SSL) er påkrævet.
• TCP 9389: Active Directory Web Services (ADWS).
• TCP/UDP 53: Port til DNS-opløsning.
• TCP 49152–65535: RPC dynamisk portområde.

Disse porte skal være tilgængelige på alle domænecontrollere og systemer, der interagerer med AD. Hvis du arbejder med domænecontrollere på forskellige steder eller netværk, skal du også sørge for at tillade disse porte mellem lokationer.

Porte påkrævet til Remote Desktop (RDP)

Remote Desktop (RDP) er en af ​​de mest brugte funktioner i Windows Server-miljøer. Dens standardport er 3389 TCP, selvom det kan ændres af sikkerhedsmæssige årsager. Det er vigtigt at vide, at opretholdelse af sikkerheden i disse adgangspunkter er afgørende for at beskytte dit netværk.

Afhængigt af infrastrukturen og antallet af implementerede roller (såsom RD Gateway, RD Licensing, RD Session Host osv.), varierer de påkrævede porte. Her viser vi dig det væsentlige:

• TCP/UDP 3389: Standard RDP-port.
• TCP 443: Hvis Remote Desktop via Web (RDWeb) eller Gateway bruges, er det indkapslet i HTTPS.
• UDP 3391: RDP-trafik over UDP, mere effektiv, hvis den bruges sammen med en gateway.
• TCP 5504: Kommunikation mellem Web Access og Connection Broker.
• TCP 5985: Til administration via PowerShell og WMI.
• TCP 445: SMB-kommunikation mellem licensserver og vært.
• TCP 139 / UDP 137-138: NetBIOS-tjenester, der bruges i ældre miljøer.
• TCP 49152–65535: Dynamisk brug af RPC.

Disse porte skal åbnes afhængigt af specifik rolle implementeret inden for RDS-serveren. Hvis du bruger internetbaserede forbindelser eller load balancere, er RD Gateway et ideelt valg til at indkapsle RDP i HTTPS og undgå problemer med firewalls eller NAT'er.

Porte til DNS-servere

DNS (Domain Name System) tillader computere inden for eller uden for netværket at omsætte domænenavne som "server.contoso.local" til IP-adresser. Sørg for, at det er korrekt konfigureret, for at gøre dette kan du konsultere mere om betjeningen af DNS-servere.

Nøgleportene for denne tjeneste er:

• UDP 53: Til de fleste DNS-forespørgsler.
• TCP 53: Det bruges, når svaret overstiger størrelsen af ​​en UDP-pakke eller til zone-til-zone-overførsler mellem DNS-servere.

Som med alle tjenester er det en god idé kun at holde porte åbne på computere, der fungerer som DNS-servere, og anvende firewallregler for at filtrere adgang fra uautoriserede netværk.

Porte til DHCP og WINS

I netværk, hvor IP-adresser leveres dynamisk igennem DHCP, er det nødvendigt at tillade visse porte:

• UDP 67: Lyttet til af DHCP-server.
• UDP 68: Bruges af klienter til at modtage konfiguration.

Selvom WINS er forældet, kan det stadig være til stede i ældre miljøer med ældre applikationer:

• UDP 137: NetBIOS navneopløsning.
• UDP 138: NetBIOS datagramtjenester.
• TCP 139: NetBIOS-sessioner.

Hvis disse tjenester ikke bruges, anbefales det stærkt at deaktivere dem og lukke de tilsvarende porte for at undgå sårbarheder. Du kan også rådføre dig om hvordan administrere USB-enheder korrekt som en del af din overordnede systemsikkerhed.

Porte påkrævet til printservere

Printservere kan også repræsentere et eksponeringspunkt, hvis ubrugte porte efterlades åbne. Derfor, hvis du administrerer udskriftskøer gennem Windows Server, skal du sørge for, at disse porte er aktive:

• TCP 135: RPC.
• UDP 137-138: NetBIOS påkrævet til printerdeling på ældre netværk.
• TCP 139: NetBIOS over TCP kommunikation.
• TCP 445: SMB-protokol til deling af filer og printere.

Det er også en god idé at åbne dynamiske høje porte, der bruges af RPC-protokollen (49152–65535), hvis printerserveren skal fjernadministreres. Manipulering af disse porte kan være afgørende for jævn og sikker drift.

Tidsserviceporte (NTP/SNTP)

Windows Server inkluderer som standard Windows Time-tjenesten (W32Time), som synkroniserer systemuret med eksterne kilder eller domænecontrollere. Opretholdelse af nøjagtig tid er afgørende for systemets sikkerhed og funktionalitet.

Portene til denne tjeneste er:

• UDP 123: Port brugt af NTP og SNTP.

Denne port skal være åben, hvis serveren synkroniserer med en ekstern tidskilde, eller hvis andre computere på netværket bruger den som tidsreference.

Porte til e-mail-tjenester (SMTP, POP3, IMAP)

Hvis du har en mailserver, såsom Microsoft Exchange eller en anden Windows Server-baseret server, skal du åbne:

• TCP 25: SMTP (mail afsendelse).
• TCP 465 / 587: SMTP med SSL eller TLS.
• TCP 110: POP3.
• TCP 995: POP3 med SSL.
• TCP 143: IMAP.
• TCP 993: IMAP med SSL.

Anbefalingen er at foretrække krypterede porte og fjerne eller blokere porte forbundet med usikrede protokoller for at bevare integriteten af ​​din kommunikation. Du kan udforske mere om ledelse OS en Windows 11.

Porte til webtjenester i IIS

Hvis din server hoster websider igennem Internet Information Services (IIS), så skal du åbne følgende porte i din firewall:

• TCP 80: HTTP (ingen kryptering).
• TCP 443: HTTPS (SSL/TLS-kryptering).
• TCP 8080: Alternativ port til HTTP, almindeligvis brugt i udvikling eller administration.

Det er vigtigt at have gyldige certifikater for at sikre, at HTTPS-trafik kører problemfrit og undgå sikkerhedsadvarsler i din browser. Husk, at når du administrerer dine servere, er det vigtigt at have en grundig forståelse af åbne porte for at undgå sårbarheder.

Sådan får du vist og kontrollere, hvilke porte der er åbne i Windows Server

Fra selve systemet kan du bruge flere metoder:

• netstat -an: Viser alle aktive forbindelser og lytteporte.
• Get-NetTCPConnection (PowerShell): Meget nyttig til at angive aktive TCP-forbindelser.
• telnet: Kontroller, om en port er tilgængelig fra en anden computer.
• Test-NetConnection: Mere moderne PowerShell-kommando til test af forbindelse.

Eksempel:

Test-NetConnection -ComputerName servidor.contoso.local -Port 3389

Du kan også gøre brug af Nmap fra en anden maskine til at scanne et komplet udvalg af porte, ideelt til audits. For god scanning og overvågning bør du overveje at læse om overvågningssoftware som kan hjælpe dig med at styre dine ressourcer bedre.

Farlige eller almindeligt udnyttede havne

Der er havne, der historisk har været mål for massive angreb. Nogle eksempler:

• TCP 3389: RDP er blevet brute-force angrebet i mange ransomware-kampagner.
• TCP 445: Udnyttet af malware ligesom WannaCry.
• TCP 23: Telnet, uden kryptering, bør aldrig afsløres.
• UDP 161: SNMP, hvis det ikke bruges, er det bedre at lukke det.

At holde disse porte åbne unødigt er en af ​​de mest almindelige fejl i cybersikkerhed. Udfør hyppige scanninger af dit netværk for at opdage disse tilfælde. Port management er en opgave, der skal være kontinuerlig for at sikre netværket, så du skal vide det håndtere almindelige fejl der kan opstå.

God praksis for åbning af havne

• Åbn kun de nødvendige porte: Mindre er mere med hensyn til sikkerhed.
• Brug lokale og perimeter firewalls: Konfigurer firewalls på hver server og i kanten af ​​netværket.
• Skift standardporte, hvis du kan: Især i RDP reducerer ændring af port 3389 automatiserede angreb.
• Begræns adgang via IP: Brug hvidlister til at begrænse, hvilke oprindelser der kan få adgang til din server.
• Revision periodisk: Brug scanningsværktøjer til at opdage unødvendigt åbne porte.

Korrekt styring af åbne porte i Windows Server er afgørende ikke kun for at sikre, at tjenester fungerer korrekt, men også for at minimere angrebsoverfladen. At kende hver rolle, hvilke porte du har brug for, og hvordan du sikrer dem, vil hjælpe dig med at få en meget mere robust infrastruktur mod interne eller eksterne trusler.