Które porty otworzyć dla Active Directory, RDP, DNS i innych w systemie Windows Server

Zarządzanie siecią w oparciu o Windows Server wymaga dokładnej znajomości porty, które muszą być otwarte aby usługi funkcjonowały prawidłowo. Różne protokoły, począwszy od umożliwienia zdalnego logowania, poprzez zapewnienie uwierzytelniania użytkowników, aż po prawidłowe rozwiązywanie nazw domen, wymagają do działania konkretnych portów. Aby prawidłowo zarządzać tymi portami, przydatne jest zapoznanie się z informacjami na temat rodzaje portów sieciowych.

Niezależnie od tego, czy konfigurujesz Serwer Active Directory (AD), A Serwer DNSlub umożliwienie dostępu przez Pulpit zdalny (RDP), otwarcie portów jest kluczowe. Niewykonanie tych czynności może doprowadzić do zerwania połączenia, problemów z uwierzytelnianiem, a nawet narażenia bezpieczeństwa infrastruktury, jeśli otwartych będzie więcej portów, niż jest to konieczne.

Ogólne koncepcje dotyczące protokołów i portów w systemie Windows Server

W systemie Windows Server używana jest bardzo szeroka gama usług, które wymagają otwarcia Porty TCP i UDP. Porty te umożliwiają komunikację pomiędzy różnymi urządzeniami i usługami w obrębie sieci, a nawet poza nią. Dwa główne protokoły używane na tych portach to TCP (protokół kontroli transmisji) y UDP (User Datagram Protocol).

TCP Charakteryzuje się tym, że jest zorientowanym na połączenie, niezawodnym protokołem, który gwarantuje, że wszystkie pakiety dotrą we właściwej kolejności. Dlatego też jest on używany w usługach wymagających stabilności, takich jak HTTP, FTP, czy RDP. Z drugiej strony, UDP Jest szybszy, ale mniej niezawodny, dlatego wybierany jest do usług takich jak DNS, Streaming, gry online itp.

Ponadto porty dzielą się na:

• Znane porty (0-1023): Używane przez standardowe protokoły, takie jak HTTP (80), DNS (53) lub SSH (22).
• Zarejestrowane porty (1024-49151): Stworzone dla mniej popularnych usług i aplikacji. Mogą być rejestrowane przez firmy.
• Porty dynamiczne lub efemeryczne (49152-65535): Używane przez system, gdy klient inicjuje połączenie. Znane również jako porty losowe lub tymczasowe.

Porty używane przez Active Directory (AD)

Usługa Active Directory stanowi serce każdej sieci domenowej opartej na systemie Windows. Aby Twoje usługi działały prawidłowo, konieczne jest ich otwarcie kilka kluczowych portów głównie związane z protokołami LDAP, Kerberos i RPC. Dodatkowe informacje na temat sposobu komunikowania się z tymi usługami w różnych ustawieniach można znaleźć.

Do najważniejszych zaliczamy:

• TCP/UDP 389: Jest to port używany przez protokół LDAP (Lightweight Directory Access Protocol). Priorytetem jest uwierzytelnianie użytkowników i replikacja katalogów.
• TCP 636: Używany do LDAP przez SSL (LDAPS).
• TCP/UDP 88: Powiązany z protokołem Kerberos i używany do uwierzytelniania.
• TCP 445: Używany przez SMB do udostępniania plików i drukarek.
• TCP 135: Mapowanie punktów końcowych RPC.
• TCP 3268 / 3269: Katalog globalny (GC). 3268 w przypadku wyszukiwań i 3269, gdy wymagane jest bezpieczne połączenie (SSL).
• TCP 9389: Usługi sieciowe Active Directory (ADWS).
• TCP/UDP 53: Port do rozwiązywania nazw DNS.
• TCP 49152–65535: Zakres dynamicznych portów RPC.

Te porty muszą być dostępne na wszystkich kontrolery domeny i systemów, które komunikują się z usługą AD. Jeśli pracujesz z kontrolerami domeny w różnych lokalizacjach lub sieciach, pamiętaj o umożliwieniu dostępu do tych portów między lokalizacjami.

Porty wymagane dla pulpitu zdalnego (RDP)

Pulpit zdalny (RDP) jest jedną z najczęściej używanych funkcji w środowiskach Windows Server. Jego domyślny port to 3389 TCPChoć może to zostać zmienione ze względów bezpieczeństwa. Ważne jest, aby wiedzieć, że utrzymanie bezpieczeństwa tych punktów dostępu jest niezbędne do ochrony sieci.

Wymagane porty mogą się różnić w zależności od infrastruktury i liczby wdrożonych ról (takich jak RD Gateway, RD Licensing, RD Session Host itd.). Tutaj przedstawiamy najważniejsze informacje:

• TCP/UDP 3389: Domyślny port RDP.
• TCP 443: Jeśli używany jest pulpit zdalny za pośrednictwem sieci Web (RDWeb) lub bramy, jest on kapsułkowany w protokole HTTPS.
• UDP 3391: Ruch RDP przez UDP, bardziej wydajny w przypadku użycia z bramą.
• TCP 5504: Komunikacja pomiędzy Web Access i Connection Broker.
• TCP 5985: Do podawania za pośrednictwem PowerShell i WMI.
• TCP 445: Komunikacja SMB pomiędzy serwerem licencji a hostem.
• TCP 139 / UDP 137-138: Usługi NetBIOS używane w starszych środowiskach.
• TCP 49152–65535: Dynamiczne wykorzystanie przez RPC.

Te porty muszą być otwarte w zależności od wdrożono konkretną rolę w serwerze RDS. Jeśli korzystasz z połączeń internetowych lub modułów równoważenia obciążenia, RD Gateway będzie idealnym wyborem, jeśli chcesz kapsułkować protokół RDP w protokole HTTPS i uniknąć problemów z zaporami sieciowymi lub NAT-ami.

Porty dla serwerów DNS

DNS (Domain Name System) umożliwia komputerom w sieci i poza nią rozwiązywanie nazw domen, takich jak „server.contoso.local”, na adresy IP. Upewnij się, że jest on prawidłowo skonfigurowany, aby to zrobić, możesz zapoznać się z dodatkowymi informacjami na temat działania Serwery DNS.

Kluczowe porty dla tej usługi to:

• UDP 53: Dla większości zapytań DNS.
• TCP 53: Używa się go, gdy odpowiedź przekracza rozmiar pakietu UDP lub w przypadku transferów strefowych między serwerami DNS.

Jak w przypadku wszystkich usług, dobrym pomysłem jest otwieranie portów tylko na komputerach pełniących funkcję serwerów DNS i stosowanie reguł zapory sieciowej w celu filtrowania dostępu z nieautoryzowanych sieci.

Porty dla DHCP i WINS

W sieciach, w których adresy IP są dostarczane dynamicznie DHCP, konieczne jest zezwolenie na niektóre porty:

• UDP 67: Nasłuchiwane przez serwer DHCP.
• UDP 68: Używane przez klientów do otrzymywania konfiguracji.

Usługa WINS, mimo że jest przestarzała, nadal może być obecna w starszych środowiskach ze starszymi aplikacjami:

• UDP 137: Rozwiązywanie nazw NetBIOS.
• UDP 138: Usługi datagramowe NetBIOS.
• TCP 139: Sesje NetBIOS.

Jeśli nie korzystasz z tych usług, zdecydowanie zaleca się ich wyłączenie i zamknięcie odpowiednich portów, aby uniknąć luk w zabezpieczeniach. Możesz również skonsultować się w sprawie tego, jak prawidłowo zarządzać urządzeniami USB jako część ogólnego bezpieczeństwa systemu.

Porty wymagane dla serwerów wydruku

Serwery wydruku mogą również stanowić punkt narażenia, jeśli nieużywane porty pozostaną otwarte. Jeśli więc zarządzasz kolejkami wydruku za pośrednictwem systemu Windows Server, upewnij się, że następujące porty są aktywne:

• TCP 135: ChRL.
• UDP 137-138: Do udostępniania drukarek w starszych sieciach wymagany jest NetBIOS.
• TCP 139: Komunikacja NetBIOS przez TCP.
• TCP 445: Protokół SMB umożliwiający udostępnianie plików i drukarek.

Dobrym pomysłem jest również otwarcie dynamicznych portów wysokich używanych przez protokół RPC (49152–65535), jeśli serwer wydruku będzie zarządzany zdalnie. Manipulowanie tymi portami może mieć kluczowe znaczenie dla płynnego i bezpiecznego działania.

Porty usług czasu (NTP/SNTP)

W systemie Windows Server domyślnie znajduje się usługa Czas systemu Windows (W32Time), która synchronizuje zegar systemowy ze źródłami zewnętrznymi lub kontrolerami domeny. Utrzymywanie dokładnego czasu jest niezbędne dla bezpieczeństwa i funkcjonalności systemu.

Porty dla tej usługi to:

• UDP 123: Port używany przez NTP i SNTP.

Ten port musi być otwarty, jeśli serwer synchronizuje się z zewnętrznym źródłem czasu lub jeśli inne komputery w sieci używają go jako odniesienia czasu.

Porty dla usług poczty e-mail (SMTP, POP3, IMAP)

Jeśli posiadasz serwer pocztowy, taki jak Microsoft Exchange lub inny serwer oparty na systemie Windows Server, musisz otworzyć:

• TCP 25: SMTP (wysyłanie poczty).
• TCP 465 / 587: SMTP z SSL lub TLS.
• TCP 110: POP3.
• TCP 995: POP3 z SSL.
• TCP 143: IMAP.
• TCP 993: IMAP z SSL.

Zaleca się korzystanie z szyfrowanych portów i usuwanie lub blokowanie portów powiązanych z niezabezpieczonymi protokołami w celu zachowania integralności komunikacji. Możesz dowiedzieć się więcej na temat zarządzania OS en Windows 11.

Porty dla usług sieciowych w IIS

Jeśli Twój serwer hostuje strony internetowe za pośrednictwem Internet Information Services (IIS), wówczas będziesz musiał otworzyć następujące porty w swojej zaporze:

• TCP 80: HTTP (bez szyfrowania).
• TCP 443: HTTPS (szyfrowanie SSL/TLS).
• TCP 8080: Alternatywny port dla HTTP, powszechnie używany podczas prac programistycznych i administracyjnych.

Posiadanie ważnych certyfikatów jest ważne, aby mieć pewność, że ruch HTTPS będzie przebiegał sprawnie i że w przeglądarce nie pojawią się ostrzeżenia dotyczące bezpieczeństwa. Pamiętaj, że zarządzając serwerami, musisz mieć dogłębną wiedzę na temat otwartych portów, aby uniknąć luk w zabezpieczeniach.

Jak wyświetlić i sprawdzić, które porty są otwarte w systemie Windows Server

Z poziomu samego systemu można skorzystać z kilku metod:

• netstat -an: Wyświetla wszystkie aktywne połączenia i porty nasłuchujące.
• Pobierz-NetTCPConnection (PowerShell): Bardzo przydatne do wyświetlania listy aktywnych połączeń TCP.
• telnet: Sprawdź, czy port jest dostępny z innego komputera.
• Połączenie testowe: Nowocześniejsze polecenie programu PowerShell do testowania łączności.

przykład:

Test-NetConnection -ComputerName servidor.contoso.local -Port 3389

Możesz również skorzystać z nmap z innej maszyny w celu przeskanowania pełnego zakresu portów, co jest idealnym rozwiązaniem w przypadku audytów. Aby zapewnić dobre skanowanie i monitorowanie, rozważ zapoznanie się z informacjami na temat oprogramowanie monitorujące które pomogą Ci lepiej zarządzać zasobami.

Niebezpieczne lub powszechnie eksploatowane porty

Istnieją porty, które historycznie były celem masowych ataków. Oto kilka przykładów:

• TCP 3389: Protokół RDP był wielokrotnie atakowany metodą brute force w ramach kampanii ransomware.
• TCP 445: Wykorzystywany przez malware jak WannaCry.
• TCP 23: Telnet bez szyfrowania nigdy nie powinien być ujawniany.
• UDP 161: Jeśli nie używasz protokołu SNMP, lepiej go zamknąć.

Jednym z najczęstszych błędów jest niepotrzebne pozostawianie tych portów otwartych. cyberbezpieczeństwo. Regularnie skanuj swoją sieć, aby wykryć takie przypadki. Zarządzanie portem to zadanie, które musi być wykonywane w sposób ciągły, aby zapewnić bezpieczeństwo sieci, dlatego musisz wiedzieć, radzenie sobie z typowymi błędami które mogą się pojawić.

Dobre praktyki otwierania portów

• Otwórz tylko niezbędne porty: Jeśli chodzi o bezpieczeństwo, mniej znaczy więcej.
• Użyj lokalnych i obwodowych zapór sieciowych: Skonfiguruj zapory sieciowe na każdym serwerze i na skraju sieci.
• Jeśli to możliwe, zmień domyślne porty: Zmiana portu 3389, zwłaszcza w przypadku protokołu RDP, ogranicza liczbę zautomatyzowanych ataków.
• Ogranicz dostęp według adresu IP: Użyj białych list, aby ograniczyć liczbę źródeł, które mogą uzyskać dostęp do Twojego serwera.
• Audyt okresowy: Użyj narzędzi skanujących w celu wykrycia niepotrzebnie otwartych portów.

Prawidłowe zarządzanie otwartymi portami w systemie Windows Server jest kluczowe nie tylko ze względu na prawidłowe działanie usług, ale także w celu zminimalizowania powierzchni ataku. Wiedza na temat każdej roli, potrzebnych portów i sposobów ich zabezpieczenia pomoże Ci stworzyć o wiele odporniejszą infrastrukturę chroniącą przed zagrożeniami wewnętrznymi i zewnętrznymi.

Podobne artykuł:

Łącze z systemem Windows 365: minikomputer z systemem Windows 11 z chmury

Isaac

Pisarz z pasją zajmujący się światem bajtów i technologii w ogóle. Uwielbiam dzielić się swoją wiedzą poprzez pisanie i właśnie to będę robić na tym blogu, pokazywać Ci wszystkie najciekawsze rzeczy o gadżetach, oprogramowaniu, sprzęcie, trendach technologicznych i nie tylko. Moim celem jest pomóc Ci poruszać się po cyfrowym świecie w prosty i zabawny sposób.