superboh
Goto Top

Microsoft Baseline Security Analyzer und Firewall WinXP

Hallo,

ich möchte in einem Netzwerk ab und an den Status der Patchs mit dem MS Baseline Security Analyzer überprüfen. Leider klappt das bei WinXP Pro (SP2) Clients wegen der lokalen Firewall der Clients nicht. Ich bekomme die Meldung dass keine Verbindung zum Windows Update-Agent auf dem Zielcomputer hergestellt werden kann.
Für die in der Hilfe angegebenen Ports (TCP 135, 139, 445; UDP 137, 138) habe ich eine Ausnahme definiert. Nur das mit dem COM+Port begreife ich nicht ganz. Was für ein Port ist da gemeint den ich da noch angeben muss?

Wenn ich die Firewall ganz abschalte, dann geht das mit den Scanns einwandfrei, aber diesen Schritt möchte ich nach Möglichkeit nicht tun müssen, auch wenn das Netzwerk durch eine zentrale Firewall geschützt ist.

Gruss,
Thomas

Content-Key: 18011

Url: https://administrator.de/contentid/18011

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: toaol
toaol 19.10.2005 um 07:43:27 Uhr
Goto Top
hallo!

http://cert.uni-stuttgart.de/archive/win-sec-ssc/2005/10/msg00073.html

COM+ ist ueber die UDP Ports 135, 137, 138 und 445 sowie die TCP Ports
135, 139, 445 und 593 erreichbar. Ist COM Internet Services (CIS) oder
"RPC over HTTP" aktiviert, ist COM+ auch ueber die TCP Ports 80 und
443 erreichbar.

OLE und dessen Nachfolger COM stellen ein System fuer die gemeinsame
Benutzung von Code und Datenstrukturen durch verschiedene Anwendungen
oder das Betriebssystem zur Verfuegung.

hth + gl

so long...
Mitglied: superboh
superboh 20.10.2005 um 13:53:26 Uhr
Goto Top
Ich werds mir nachher mal ansehen ...

Danke vorerst mal.
Thomas
Mitglied: looser0815
looser0815 02.03.2006 um 14:25:43 Uhr
Goto Top
Hallo!

Ich habe mich auch eine ganze Weile mit dem Problem rumgeschlagen, und habe nun folgende Lösung gefunden:

1. Schritt:
Installieren des Windows-Hotfix KB902400 (MS05-051) mit dem Kommandozeilenparameter /B:SP2QFE

2. Schritt:
Komponentendienstverwaltung (Systemsteuerung->Verwaltung->Komponentendienste) öffnen.
Die Eigenschaften für die Komponente "Windows Update Agent - Remote Access" im Pfad Komponentendienste->Computer->Arbeitsplatz->DCOM Konfiguration öffnen.
Das Register Endpunkte auswählen und mit "Hinzufügen" einen statischen Endpunkt (Port) mit der Protokollsequenz "Verbindungsorientiertes TCP/IP" angeben.

3. Schritt:
In der Windows-Firewall den TCP-Port 135 (DCE Endpoint Mapper) sowie den unter Schritt 2 konfigurierten statischen TCP-Port für den Windows Update Agent als Ausnahmen für das eigene Netzwerk konfigurieren und aktivieren. Die Datei- und Druckerfreigabe sollte auch als Ausnahme aktiviert sein.

Nun sollte der Scan mit dem Microsoft Basline Secuurity Analyser 2.0 auch remote funktionieren.