Office Server 2007 en Windows Server 2008 Advanced Firewall

Ook voor Office Server 2007 heb ik maar even een lijstje met porten opgesteld om dit in samenwerking met Windows Server 2008 advance firewall te gebruiken.

Direct Hosted SMB

445 TCP/UDP

Office Web Services

56737, 56738 (SSL) TCP

RPC endpoint mapper

135 TCP

Dynamic Ports SSO

Standaard = 49152 - 65535 TCP/UDP

Non-default Web Sites

Alle sites die niet op 443 en 80 draaien hebben een firewall rule nodig.

 

MOSS heeft SMB nodig om de index te propageren naar de Query servers, search query results op te halen van de Query servers, en om de crawl data te versturen naar de Index Server. Verder gebruikt Sharepoint Web Services voor administratie van de farm services en dergelijke. Ook gebruikt MOSS, wanneer SSO geconfigureerd is gebruik de SSO service een dynamische port, geregisteerd bij de RPC endpoint mapper.
Tenslotte dien je voor elke website die niet op standaard HTTP porten draait een gaatje te prikken.

Gebruik de MMC snapin of console om de rules aan te maken, waarbij het aanbevolen is gebruik te maken van de meer geadvanceerde features van de advanced firewall. Je kan namelijk filteren op RPC en RPC-EPMAP porten, en deze zelfs koppelen aan programma's of windows Services. Voor de SSO rules zou ik dus een rule aanmaken waarbij alleen de RPC service en de RPC-EPMAP port zijn toegestaan, en een rule waarbij alleen de Microsoft Single Sign-on service gekoppeld wordt aan een bij de endpoint mapper geregistreerde port.
Daarnaast kan je voor het System process (waar http.sys leeft) een rule maken die de toegang tot de non-default web applicaties en tot de Office Web Services toestaat.
Tenslotte is er al een standaard rule voor SMB, genaamd "File and Printer sharing (SMB-In)", welke geactiveerd dient te worden.

De volgende voorbeeld commando's (wederom voor het domain profiel, zonder profile=domain gelden de rules voor elk firewall profiel) kunnen gebruikt worden via admin console:

netsh advfirewall firewall add rule name="SSO Service dynamic RPC" service=entsso action=allow protocol=TCP dir=in localport=rpc profile=domain8

netsh advfirewall firewall add rule name="RPC endpoint mapper" service=rpcss action=allow protocol=TCP dir=in localport=rpc-epmap profile=domain8

netsh advfirewall firewall add rule name="Sharepoint intranet portal" program=System action=allow protocol=TCP dir=in localport=81 profile=domain8

netsh advfirewall firewall add rule name="Sharepoint web services" program=System action=allow protocol=TCP dir=in localport=56737,56738 profile=domain8

netsh advfirewall firewall set rule name="File and Printer sharing (SMB-In)" new enable=yes profile=domain8

 

Meer over NetSh advfirewall: https://support.microsoft.com/kb/947709

Meer informatie over MOSS hardening: https://technet.microsoft.com/en-us/library/cc262849.aspx