等保测评2.0：Windows入侵防范(3)

比如47001端口，如果被监听了(使用netstat -ano查看到)，但是在防火墙中或者ip策略中被禁止通信了，那么这个端口其实不能进行啥通信，这种情况下，不能认为服务器监听了多余端口。

对于Windows防火墙，一般存在三个配置文件：域配置文件、专用配置文件、共用配置文件

当Windows接入网络时，一般会弹出个框让你选择这个网络属于哪种类型，这个时候就是在决定连入这个网络后使用哪一种配置文件。

所以查看Windows防火墙状态，不能简单通过查看防火墙状态来判断，要进入高级设置中来判断：

这里注意，公用配置文件是活动的，也即现在服务器接入的网络使用的是公用配置文件，同时它下面的防火墙是启用的。

注意看，专用配置文件下的防火墙已关闭，但是它没有处于活动状态，现在接入的网络用不到这个配置文件，所以关闭也无所谓。

所以查看具体防火墙规则的时候也要注意它是属于哪个配置文件的，是不是属于已启用的配置文件的规则：

同时还要注意一点，Windows防火墙是白名单制度，也就是开启防火墙后，只有允许的端口才可以通行(白名单)，默认拒绝其它端口，不过这是可以设置的：

至于Windows防火墙的规则内容，这里就不说了，百度上写得很清楚。

4.6. Ip策略

Windows本身除了防火墙可以实现端口的管制，Ip安全策略中也可以实现：

Ip安全规则引用一个筛选器列表，规则的名字会自动变成应用的筛选器列表的名字：

筛选器列表中可以有多个IP筛选器：

筛选器即对ip设置规则，表示对符合选定规则的连接进行操作(允许、阻止等)。

进行的操作由筛选器列表指定的筛选器操作决定，也就是说同一个筛选器列表中的IP筛选器的操作都是一样的：

IP安全策略和Windows防火墙的一个区别是，IP安全策略不是白名单制的。

启用IP安全策略的话，需要开启IPSEC Policy Agent服务，且策略被指派：

另外，可能需要gpupdate /force命令强制更新策略。

4.7. 总结

总而言之，就是要判断是否对外界的通信存在管制，这里要结合实际情况来判断。

比如默认共享未删除，但默认共享使用的端口已经被防火墙或者ip策略禁止通信了，那么就不能机械的判定不符合。

另外，某被监听端口是否属于多余或者高危端口，一定要结合实际的情况判断，很多情况下还是需要访谈的。

最后，除了Windows自带的防火墙和IP策略，很有可能对方用硬件防火墙等第三方设备实现了管制，要注意访谈。

5. 测评项c

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;

5.1. 使用远程桌面的

对于使用Windows远程桌面来进行远程管理的，就在windows防火墙或ip策略或硬件防火墙中看是否对rdp的端口进行了ip限制，rdp端口一般是默认值3389。

注意，这里限制的粒度最好达到ip地址级别，也就是具体的数个或者十几个ip地址，或者至少是一个比较小的网段级别。

如果粒度不够小，限制的意义就大大减弱了。

这里要注意的一点事，rdp的端口是可以改的，在注册表中修改即可：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp的portnumber

对于windows server 2008 r2只修改这一处就可以了：

我将3389修改为了5656，所以连接的时候需要加上端口号：

5.2. 使用第三方工具的

比如使用TeamViewer，那就要看这个软件本身有没有这个功能了，或者用其他的软件来协助实现管理终端IP限制的效果。

5.3. 不存在远程管理的