Какие порты и протоколы закрывать на сервере Windows?

Question

[Дмитрий Шумов]

Добрый день! Есть такая практика, для обеспечения безопасности сервера, закрывать ненужные порты и протоколы, оставляя для работы только нужные. Есть ли какие-то рекомендации, списки портов и протоколов по ролям серверов, которые необходимы серверам для работы.
Сумбурно получилось, если что, могу уточнить вопрос, если не понятно будет.
Спасибо.

Answer 1

[FeNUMe]

Закрыть всё, открыть только используемые.

Comments

[CityCat4]

Nikolay Petyukh, внутри сети я так обычно и делаю. Но делать так на сервере, смотрящем голой ж... в тырнет - глупость и безответственность :)
ЗЫ: а еще я с некоторых пор перестал отключать на домашних компах UAC - только у себя :) Оказывается, в нем польза есть :DDD

Answer 2

[Сергей]

В Wiki есть набольшая таблица с номером, протоколом и описанием.
Оратор выше всё правильно сказал,
Правила в таком порядке:
- все разрешающие правила (по возможности с указанием от [IP адрес] кого или кому);
- запрещающее правило для всего и всех.

Answer 3

[Дмитрий Шумов]

Брандмауэр, это понятно - пользовался. И таблица в Wiki - тоже понятно. Я хочу закрыть на основе коммутатора/свича. Т.е. я правильно понимаю, необходимо закрыть все, а потом на основе таблицы, открыть только нужное? Но наверняка, есть какой то список, минимально необходимых портов для windows server, от которого отталкиваться. Легче же открыть минимум необходимого, а потом по мере необходимости добавлять. Вот такой список, будет минимально достаточным, для windows server в домене:
53/TCP,UDP DOMAIN (Domain Name System)
67, 68/UDP
и для кучи открыть порты вот из этой таблицы
или это избыточно или недостаточно?

Comments

[Вадим Чопоров]

ммм... Вы уверены, что занимаетесь своим делом? Коммутатор/свич - это устройства уровня L2 OSI, TCP/UDP - это L3. Возможно, у вас L3 коммутатор, но опять вопрос - а чем отличается закрытие на брандмауэре и маршрутизаторе, если вы ограничиваете 1 конкретный сервер? Что избыточно, а что недостаточно для вашей конкретной ситуации - должен знать технический владелец сервера.
PS Сервер - это не конкретная технология или сервис, это абстрактное понятие. В вашем случае, мне кажется стоит воспользоваться встроенным профилем файрвола, в случае Windows-сервера.