locked
Gestion des ports entrants - Windows Server RRS feed

  • Question

  • Bonjour,

    Je suis à la recherche de la liste des ports entrants nécessaires sous Windows Serveur suivant tel ou tel cas d'utilisation.

    J'ai bien trouvé https://support.microsoft.com/fr-fr/kb/832017 mais c'est un peu (trop) complet et indigeste : ce qu'il me faudrait c'est en clair quels ports doivent être ouvert entre

    - serveur active directory (avec les 5 rôles FSMO sur la même machine) => serveurs active directory du même domaine

    - serveur active directory + serveur de fichier => poste utilisateur membre du domaine.

    Le but étant de réduire les ports entrants au strict nécessaire. Actuellement j'ai par exemple :

    53/tcp   open  domain      
    88/tcp   open  kerberos-sec
    135/tcp  open  msrpc?
    139/tcp  open  netbios-ssn 
    389/tcp  open  ldap        
    445/tcp  open  microsoft-ds
    464/tcp  open  kpasswd5?
    593/tcp  open  ncacn_http  
    636/tcp  open  tcpwrapped
    1027/tcp open  IIS?
    1028/tcp open  msrpc       
    1031/tcp open  ncacn_http  
    1032/tcp open  msrpc       
    3268/tcp open  ldap        
    3269/tcp open  tcpwrapped

    Merci d'avance,
    • Modifié Hotline22 jeudi 29 décembre 2016 13:23
    jeudi 29 décembre 2016 13:22

Toutes les réponses

  • Bonjour,

    Si votre objectif est de sécuriser votre serveur en fonction de ses usages, vous pouvez le faire manuellement.

    Toutefois, les outils suivants me paraissent plus adaptés pour un usage professionnel :

    • Microsoft Security Assessment Tool 4.0 : https://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=12273
    • Microsoft Baseline Security Analyzer : https://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=7558
    • Microsoft Security Compliance Manager : https://www.microsoft.com/en-us/download/details.aspx?displayLang=en&id=16776

    Ils font le travail pour vous et ils me paraissent remarquablement "intelligents".


    Les conseils, informations ou suggestions sont fournis sans aucune garantie.

    jeudi 29 décembre 2016 14:09
  • Bonjour,

    à noter que le port RPC (135) est nécessaire dans tous les cas !

    Pour AD, 3 ports particuliers sont à définir et fixer pour limiter le besoin en ports dynamiques...

    Les valeurs indiquées/choisies sont à titre d'exemple....

    => Dans Netlogon :

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters]

    "DCTcpipPort"=dword:0000e88e

    => Dans NTDS :

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NTDS\Parameters]
    "Port TCP/IP"=dword:0000e88f

    => Et dans NTFRS (si la réplication DFS n'est pas utilisée)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NtFrs\Parameters]
    "RPC TCP/IP Port Assignment"=dword:0000e890

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 29 décembre 2016 16:51