2013年1月29日 星期二

Windows如何設定網域和信任的防火牆

參考Microsoft文件
http://support.microsoft.com/kb/179442/zh-tw#method3


『Windows Server 2003』 AND 『Windows Server 2000』
對於使用 Windows NT 網域控制站或傳統用戶端混合模式網域,信任 Windows Server 2003 網域控制站和 Windows 2000 Server 為基礎的網域控制站可能會需要除了下列連接埠開啟的所有連接埠的 Windows NT 上表中所列之間的關聯性。
用戶端連接埠伺服器連接埠服務
1024-65535/TCP135/TCPRPC 端點對應程式
1024-65535/TCP1024-65535/TCPRPC 的 LSA,SAM,Netlogon (1)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP GC SSL
53,1024-65535/TCP/UDP53/TCP/UDPDNS
1024-65535/TCP/UDP88/TCP/UDPKerberos
1024-65535/TCP445/TCPSMB
1024-65535/TCP1024-65535/TCPFRS RPC (1)
當信任網域的設定支援僅 NETBIOS 為基礎的通訊,也會需要 Windows 2000 及 Windows Server 2003 所列的 Windows NT 的 NETBIOS 連接埠。範例是 Windows NT 為基礎的作業系統或根據 Samba 協力廠商網域控制站。


『Windows Server 2008』 AND 『Windows Server 2008 R2』
Windows Server 2008 和 Windows Server 2008 R2 增加動態用戶端連接埠範圍為輸出連線。新的預設起始連接埠為 49152,並預設結束連接埠是 65535。因此,您必須增加的 RPC 連接埠範圍,在您的防火牆。這項變更是為了遵守網際網路指派數字授權單位 (IANA) 建議事項。這不同於混合模式網域所組成的 Windows Server 2003 網域控制站、 Windows 2000 Server 為基礎的網域控制站或傳統用戶端,其中預設動態連接埠範圍是介於 1025 到 5000。 

用戶端連接埠伺服器連接埠服務
49152-65535/UDP123/UDPW32Time
49152-65535/TCP135/TCPRPC 端點對應程式
49152-65535/TCP464/TCP/UDPKerberos 密碼變更
49152-65535/TCP49152-65535/TCPRPC 的 LSA,SAM,Netlogon (1)
49152-65535/TCP/UDP389/TCP/UDPLDAP
49152-65535/TCP636/TCPLDAP SSL
49152-65535/TCP3268/TCPLDAP GC
49152-65535/TCP3269/TCPLDAP GC SSL
53、 49152-65535/TCP/UDP53/TCP/UDPDNS
49152-65535/TCP49152-65535/TCPFRS RPC (1)
49152-65535/TCP/UDP88/TCP/UDPKerberos
49152-65535/TCP/UDP445/TCPSMB
49152-65535/TCP49152-65535/TCPDFSR RPC (1)

使用Splunk收集伺服器(Windows2003)加入Doamin得到的Log如下:
使用的Service已受到收歛,沒有像上述文件中提到的TCP/1024-TCP/65535。

Policyid  service  count 
237 53/tcp 1
237 53/udp 25
237 88/tcp 7
237 88/udp 25
237 123/udp 1
237 135/tcp 7
237 389/tcp 5
237 389/udp 12
237 445/tcp 6
237 49156/tcp 7
237 49158/tcp 2
張貼者: 沒有留言:

2013年1月17日 星期四

設定syslog

config term
logging host 收syslog的主機IP
logging trap syslog等級
logging on (啟動syslog)

-----------------------------------------------------------------

Logging severity level (越高越不重要, log越多)   
                            
(1)  alerts             Immediate action needed                           
(2)  critical            Critical conditions                               
(3)  errors             Error conditions                                  
(4)  warnings        Warning conditions                              
(5)  notifications   Normal but significant conditions                
(6)  informational  Informational messages                            
(7)  debugging      Debugging messages
張貼者: 沒有留言:
訂閱: 文章 (Atom)