查看: 42960|回复: 0

[使用教程] Windows方程式漏洞安全组策略配置说明

[复制链接]
  • TA的每日心情
    慵懒
    2017-5-9 17:25
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2017-5-9 16:17:56 | 显示全部楼层 |阅读模式
    本帖最后由 天翼云客服 于 2017-5-9 16:22 编辑

    一、适用场景
            我们强烈建议您采取打补丁的方式进行漏洞整改,对于部分客户暂时不方便进行打补丁的情况,可临时通过设置安全组规则,实现从VPC网络出口封堵漏洞端口实现安全加固的需求。
            若客户已按照自身业务需求在安全组规则放通自身业务需要端口,则无需进行安全组加固;若客户对tcp或UDP放通了所有端口的全网访问,或对any协议放开了全网访问,则需要依照下列配置方法进行操作。
    二、配置方法
         1、进入VPC界面,登录天翼云控制中心,点击列表的虚拟私有云,进入VPC界面,如下图所示:
    1.png
      2、创建ACL,进入VPC界面后点击左侧列表的安全组菜单,然后点击创建安全组,然后输入ACL的名称,点击确定后完成安全组创建,如下图所示:
    2.png
    3.png
    3、创建安全组规则,完成安全组创建后,点开安全组,点击添加规则进行安全组规则设置,封堵此次漏洞TCP135、137、139、445端口(开通1-41;43-134;136;138;140-444;446-65535),UDP的135、137、138、139端口(开通1-134;136;140-65535)如下图所示:
    4.png
    1) 开通TCP 1-41端口,允许全网访问TCP 1-41端口,规则参数如下图所示:
    5.png
    2) 开通TCP 43-134端口,允许全网访问TCP 43-134端口,规则参数如下图所示:
    6.png
    3) 开通TCP 136端口,允许全网访问TCP 136端口,规则参数如下图所示:
    7.png
    4) 开通TCP 138端口,允许全网访问TCP 138端口,规则参数如下图所示:
        8.png
    5) 开通TCP 140-444端口,允许全网访问TCP 140-444端口,规则参数如下图所示:
        9.png
    6) 开通TCP 446-65535端口,允许全网访问TCP 446-65535端口,规则参数如下图所示:
        10.png
    7) 开通UDP 1-134端口,允许全网访问UDP 1-134端口,规则参数如下图所示:
    11.png
    8) 开通UDP 136端口,允许全网访问UDP 136端口,规则参数如下图所示:
    12.png
    9) 开通UDP 140-65535端口,允许全网访问UDP 140-65535端口,规则参数如下图所示:
        13.png
    10) 开通ICMP,若需要全网能够ping通本地windows主机,则添加该规则,规则参数如下图所示:
        14.png
    11) 规则如下图所示:
    15.png
    16.png
    4、绑定安全组,安全组创建完成后,需要将设置好的安全组策略绑定到windows主机上。  
    1) 进入弹性云主机列表,登录天翼云控制中心,点击列表的弹性云主机,进入弹性云主机界面
    17.png
    2) 进入弹性云主机详情,点击windows云主机名称,进入弹性云主机详情界面:
    18.png
    3) 绑定新安全组策略,选择网卡选项,点击右侧更改安全组选项,在安全组下拉列表中找到新的安全组,点击确定即可
    19.png
    20.png
    5、验证,规则绑定完成后,规则既已生效,可通过telnet进行测试TCP 135、137、139、445端口是否可访问。用nc或nmap进行测试UDP 135、137、138、139端口是否可访问。

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则