启动Windows Server EC2时,它将立即提示
您是否希望其他计算机可以发现您的计算机,并且 该网络上的设备?
我还可以看到如何打开/关闭here
我的问题是,Windows Server EC2实例是否有影响(安全性或其他方面)?用外行的话来说,我能/不能做什么?
答案 0 :(得分:3)
启用此功能后,假设存在安全组权限,您将可以被当前子网中的所有Windows实例发现。
对于您的安全组,请务必将范围保持在有限范围内,例如,允许0.0.0.0/0
(允许任何人进行入站访问)被视为不良做法。
相反,创建专用的安全组Network Discovery
,并为您添加到其中的每个端口添加源作为Network Discovery
安全组。通过引用逻辑资源而不是指定CIDR范围,可以将可发现实例的范围限制为实例的特定子集。
除非您特别想使用Windows文件夹共享之类的某些功能,否则我建议您不要使用此功能。
您仍然可以执行可在子网外部访问的标准Windows文件夹共享,但这将要求您的另一台计算机能够在没有正确权限的情况下使用该服务器的有效凭据连接到Windows服务器。
通过选择No
,唯一禁用的功能是同一子网中的其他主机,因为您无法自动发现Windows主机。
答案 1 :(得分:1)
Windows 网络发现实际上在Windows Server实例上打开了一堆不同的入站/出站端口。 (某些)过时的清单在某些科学出版物和书籍中都有提供,例如[1]:
入站
■网络发现(LLMNR-UDP-In)创建入站规则,以允许在UDP端口5355上进行链接本地多播名称解析。
■ 网络发现(NB-Datagram-ln)创建入站规则,以允许NetBIOS数据报在UDP端口138上进行发送和接收。
■ 网络发现(NB-Name-In)创建入站规则,以允许在UDP端口137上进行NetBIOS名称解析。
■ 网络发现(Pub-WSD-In)创建入站规则,以通过功能发现功能在UDP端口3702上发现设备。
■ 网络发现(SSDP-In)创建入站规则,以允许在UDP端口1900上使用简单服务发现协议。
■ 网络发现(UPnP-In)创建入站规则,以允许在TCP端口2869上使用通用即插即用。
■ 网络发现(WSD事件输入)创建一个入站规则,以允许通过TCP端口5357上的功能发现进行WSDAPI事件。
■ 网络发现(WSD EventsSecure-In)创建入站规则,以允许通过TCP端口5358上的功能发现实现安全WSDAPI事件。
■ 网络发现(WSD-In)创建入站规则,以通过功能发现功能在UDP端口3702上发现设备。
出站
■网络发现(LLMNR-TCP-Out)创建出站规则以允许LLMNIL在TCP端口5355上。
■ 网络发现(LLMNR-UDP-Out)创建出站规则,以允许UDP端口5355上的LLMNR。
■ 网络发现(NB-Datagram-Out)创建一个出站规则,以允许NetBIOS数据报在UDP端口138上进行发送和接收。
■ 网络发现(NB-Name-Out)创建出站规则,以允许UDP端口137上的NetBIOS名称解析。
■ 网络发现(Pub WSD-Out)创建出站规则,以通过功能发现功能在UDP端口3702上发现设备。
■ 网络发现(SSDP-Out)创建出站规则,以允许在UDP端口1900上使用简单服务发现协议。
■ 网络发现(UPnPHost-Out)创建出站规则,以允许使用通用的即插即用TCP(所有端口)。
■ 网络发现(UPnP-Out)创建第二个出站规则,以允许使用通用的即插即用TCP(所有端口)。
■ 网络发现(WSD Events-Out)创建一个出站规则,以允许通过TCP端口5357上的功能发现进行WSDAPI事件。
■ 网络发现(WSD EventsSecure-Out)创建出站规则,以允许通过TCP端口5358上的功能发现进行安全WSDAPI事件。
■ 网络发现(WSD-Out)创建出站规则,以通过功能发现功能在UDP端口3702上发现设备。
如果正确设置了EC2实例的安全组,则可能没有任何实际的安全隐患。默认情况下,AWS安全组应阻止多个网络发现功能使用的入站端口。
老实说,我不知道:Windows服务是否会创建出站流量,从而使EC2实例对同一VPC子网内的其他实例可见。绝对有可能...也许有人正在阅读此主题并且肯定知道这一点??
顺便说一句:我在正式的AWS论坛上找到了两个讨论。也许它们对阅读此主题的人很有用:[2] [3]。
[1] Google Books: How to Cheat at Microsoft Vista Administration
[2] https://forums.aws.amazon.com/thread.jspa?threadID=62760
[3] https://forums.aws.amazon.com/thread.jspa?threadID=110844