Защита Windows сервера до установки обновления MS17-010
Рассмотрим как можно закрыть порты 135 и 445 в версиях Windows 2008/2012.
В связи с тем что в начале апреля в сеть были выложены инструменты для обхода защиты Windows, в частности по портам 445 и 135.
Подробнее в новости xakep.ru/2017/04/24/doublepulsar/
Исправление уязвимости доступно установкой обновлений MS17-010, CVE-2017-0146, и CVE-2017
Более подробно по ссылке geektimes.ru/post/288148/
Рассмотрим 2 варианта создания правил в брандмауере, через командную строку и через графический интерфейс.
Инструкция для настройки разрешения подключения только с доверенных адресов находится после Windows 2012
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/a185b5.png)
2. Вводим или вставляем команду
Нажимаем Enter, ждём сообщения Ok
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/90ffb4.png)
Вводим или вставляем вторую команду
Нажимаем Enter, ждём сообщения Ok
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/04f777.png)
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/71d267.png)
2. Заходим в панель управления, в поиск вводим «брандмауер» и запускаем панель управления брандмауером Windows
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/9ae769.png)
3. Входим в «Дополнительные параметры»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/b0e9d4.png)
4. Выбираем строку «Правила входящих подключений» и нажимаем на «Создать новое правило»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/2f89e2.png)
5. Устанавливаем отметку «Для порта», нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/689729.png)
6. Выбираем «Протокол TCP» и «определенные локальные порты», вводим в поле 135 и 445 через запятую, нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/791adc.png)
7. Выбираем блокировать «Блокировать», нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/55a105.png)
8. Оставляем все отметки, нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/819ff0.png)
9. Вводим имя правила, нажимаем «Готово»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/aa74ed.png)
Шаги по настройке для Windows 2012 не отключаются от 2008, отличия только в интерфейсе.
1. Найдем приложение cmd
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/5eef87.png)
2. Вводим команду, нажимаем Enter, ждем сообщения Ok
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/2b9e27.png)
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/e3f90c.png)
Остальные шаги идентичны Windows 2008
Настройка на Windows 2016 идентична Windows 2012
По указанным шагам возможна блокировка любых TCP/UDP портов.
Выберем правила: Управление DFS (входящий трафик SMB) и Управление DFS (входящий трафик DCOM)
Нажимаем «Отключить правило»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/503757.png)
2. Создадим новое правило, выберем тип правила «настраиваемое»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/5d0c01.png)
3. Выбираем «все программы»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/490ba3.png)
4. Выбираем тип протокола TCP, локальный порт указываем «специальные порты», в поле вводим 135 и 445 через запятую
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/5446b8.png)
5. Укажем удаленный доверенный адрес, к примеру это может быть ip адрес Вашего офиса, выбираем «указанные адреса», нажимаем «добавить»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/5934d5.png)
6. Вводим адрес в строку, если у Вас подсеть или диапазон, их требуется вводить в указанном в окне виде
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/b8367e.png)
7. Проверяем введенный адрес, нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/88aa3f.png)
8. Выбираем «разрешить подключение»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/ae37d0.png)
9. Оставляем все отмеченное, нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/09def8.png)
10. Даём название, нажимаем «готово»
В связи с тем что в начале апреля в сеть были выложены инструменты для обхода защиты Windows, в частности по портам 445 и 135.
Подробнее в новости xakep.ru/2017/04/24/doublepulsar/
Исправление уязвимости доступно установкой обновлений MS17-010, CVE-2017-0146, и CVE-2017
Более подробно по ссылке geektimes.ru/post/288148/
Рассмотрим 2 варианта создания правил в брандмауере, через командную строку и через графический интерфейс.
Инструкция для настройки разрешения подключения только с доверенных адресов находится после Windows 2012
Windows 2008
Первый вариант, через командную строку
1. Через меню «Пуск» находим приложение cmd![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/a185b5.png)
2. Вводим или вставляем команду
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135
Нажимаем Enter, ждём сообщения Ok
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/90ffb4.png)
Вводим или вставляем вторую команду
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Нажимаем Enter, ждём сообщения Ok
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/04f777.png)
Второй вариант, через графический интерфейс
1. В меню «Пуск» находим — панель управления![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/71d267.png)
2. Заходим в панель управления, в поиск вводим «брандмауер» и запускаем панель управления брандмауером Windows
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/9ae769.png)
3. Входим в «Дополнительные параметры»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/b0e9d4.png)
4. Выбираем строку «Правила входящих подключений» и нажимаем на «Создать новое правило»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/2f89e2.png)
5. Устанавливаем отметку «Для порта», нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/689729.png)
6. Выбираем «Протокол TCP» и «определенные локальные порты», вводим в поле 135 и 445 через запятую, нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/791adc.png)
7. Выбираем блокировать «Блокировать», нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/55a105.png)
8. Оставляем все отметки, нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/819ff0.png)
9. Вводим имя правила, нажимаем «Готово»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/aa74ed.png)
Windows 2012
Шаги по настройке для Windows 2012 не отключаются от 2008, отличия только в интерфейсе.
Отличия при настройке через командную строку
1. Найдем приложение cmd
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/5eef87.png)
2. Вводим команду, нажимаем Enter, ждем сообщения Ok
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135,445 name="Block_TCP-135,445"
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/2b9e27.png)
Отличия при настройке через графический интерфейс
1. Кнопка запуска панели управления находится на стартовом экране, так же Вы можете найти панель управления через поиск на стартовом экране.![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/e3f90c.png)
Остальные шаги идентичны Windows 2008
Настройка на Windows 2016 идентична Windows 2012
По указанным шагам возможна блокировка любых TCP/UDP портов.
Настройка доступа по портам 135 и 445 только доверенным адресам
1. Отключим системные разрешающие правила для портом 135 и 445Выберем правила: Управление DFS (входящий трафик SMB) и Управление DFS (входящий трафик DCOM)
Нажимаем «Отключить правило»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/503757.png)
2. Создадим новое правило, выберем тип правила «настраиваемое»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/5d0c01.png)
3. Выбираем «все программы»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/490ba3.png)
4. Выбираем тип протокола TCP, локальный порт указываем «специальные порты», в поле вводим 135 и 445 через запятую
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/5446b8.png)
5. Укажем удаленный доверенный адрес, к примеру это может быть ip адрес Вашего офиса, выбираем «указанные адреса», нажимаем «добавить»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/5934d5.png)
6. Вводим адрес в строку, если у Вас подсеть или диапазон, их требуется вводить в указанном в окне виде
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/b8367e.png)
7. Проверяем введенный адрес, нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/88aa3f.png)
8. Выбираем «разрешить подключение»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/ae37d0.png)
9. Оставляем все отмеченное, нажимаем далее
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/09def8.png)
10. Даём название, нажимаем «готово»
![](https://blog.vpsville.ru/uploads/images/00/01/49/2017/04/25/3019b5.png)
- +1
- 25 апреля 2017, 23:20
- apereshein
Комментарии (0)
RSS свернуть / развернуть