查看: 48096|回复: 0

[使用教程] Windows方程式漏洞安全组策略配置说明

[复制链接]
发表于 2017-5-9 16:17:56 | 显示全部楼层 |阅读模式
本帖最后由 天翼云客服 于 2017-5-9 16:22 编辑

一、适用场景
        我们强烈建议您采取打补丁的方式进行漏洞整改,对于部分客户暂时不方便进行打补丁的情况,可临时通过设置安全组规则,实现从VPC网络出口封堵漏洞端口实现安全加固的需求。
        若客户已按照自身业务需求在安全组规则放通自身业务需要端口,则无需进行安全组加固;若客户对tcp或UDP放通了所有端口的全网访问,或对any协议放开了全网访问,则需要依照下列配置方法进行操作。
二、配置方法
     1、进入VPC界面,登录天翼云控制中心,点击列表的虚拟私有云,进入VPC界面,如下图所示:
1.png
  2、创建ACL,进入VPC界面后点击左侧列表的安全组菜单,然后点击创建安全组,然后输入ACL的名称,点击确定后完成安全组创建,如下图所示:
2.png
3.png
3、创建安全组规则,完成安全组创建后,点开安全组,点击添加规则进行安全组规则设置,封堵此次漏洞TCP135、137、139、445端口(开通1-41;43-134;136;138;140-444;446-65535),UDP的135、137、138、139端口(开通1-134;136;140-65535)如下图所示:
4.png
1) 开通TCP 1-41端口,允许全网访问TCP 1-41端口,规则参数如下图所示:
5.png
2) 开通TCP 43-134端口,允许全网访问TCP 43-134端口,规则参数如下图所示:
6.png
3) 开通TCP 136端口,允许全网访问TCP 136端口,规则参数如下图所示:
7.png
4) 开通TCP 138端口,允许全网访问TCP 138端口,规则参数如下图所示:
    8.png
5) 开通TCP 140-444端口,允许全网访问TCP 140-444端口,规则参数如下图所示:
    9.png
6) 开通TCP 446-65535端口,允许全网访问TCP 446-65535端口,规则参数如下图所示:
    10.png
7) 开通UDP 1-134端口,允许全网访问UDP 1-134端口,规则参数如下图所示:
11.png
8) 开通UDP 136端口,允许全网访问UDP 136端口,规则参数如下图所示:
12.png
9) 开通UDP 140-65535端口,允许全网访问UDP 140-65535端口,规则参数如下图所示:
    13.png
10) 开通ICMP,若需要全网能够ping通本地windows主机,则添加该规则,规则参数如下图所示:
    14.png
11) 规则如下图所示:
15.png
16.png
4、绑定安全组,安全组创建完成后,需要将设置好的安全组策略绑定到windows主机上。  
1) 进入弹性云主机列表,登录天翼云控制中心,点击列表的弹性云主机,进入弹性云主机界面
17.png
2) 进入弹性云主机详情,点击windows云主机名称,进入弹性云主机详情界面:
18.png
3) 绑定新安全组策略,选择网卡选项,点击右侧更改安全组选项,在安全组下拉列表中找到新的安全组,点击确定即可
19.png
20.png
5、验证,规则绑定完成后,规则既已生效,可通过telnet进行测试TCP 135、137、139、445端口是否可访问。用nc或nmap进行测试UDP 135、137、138、139端口是否可访问。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则