2010年03月12日

根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。

一、帐户登录事件

下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。

672:已成功颁发和验证身份验证服务 (AS) 票证。

673:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。

674:安全主体已更新 AS 票证或 TGS 票证。

675:预身份验证失败。用户键入错误的密码时,密钥发行中心 (KDC) 生成此事件。

676:身份验证票证请求失败。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

677:TGS 票证未被授权。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

678:帐户已成功映射到域帐户。

681:登录失败。尝试进行域帐户登录。在 Windows XP Professional 或 Windows Server 家族的成员中不生成此事件。

682:用户已重新连接至已断开的终端服务器会话。

683:用户未注销就断开终端服务器会话。

二、帐户管理事件

下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。

624:用户帐户已创建。

627:用户密码已更改。

628:用户密码已设置。

630:用户帐户已删除。

631:全局组已创建。

632:成员已添加至全局组。

633:成员已从全局组删除。

634:全局组已删除。

635:已新建本地组。

636:成员已添加至本地组。

637:成员已从本地组删除。

638:本地组已删除。

639:本地组帐户已更改。

641:全局组帐户已更改。

642:用户帐户已更改。

643:域策略已修改。

644:用户帐户被自动锁定。

645:计算机帐户已创建。

646:计算机帐户已更改。

647:计算机帐户已删除。

648:禁用安全的本地安全组已创建。

注意:

从正式名称上讲,SECURITY_DISABLED 意味着该组不能用来授权访问检查。

649:禁用安全的本地安全组已更改。

650:成员已添加至禁用安全的本地安全组。

651:成员已从禁用安全的本地安全组删除。

652:禁用安全的本地组已删除。

653:禁用安全的全局组已创建。

654:禁用安全的全局组已更改。

655:成员已添加至禁用安全的全局组。

656:成员已从禁用安全的全局组删除。

657:禁用安全的全局组已删除。

658:启用安全的通用组已创建。

659:启用安全的通用组已更改。

660:成员已添加至启用安全的通用组。

661:成员已从启用安全的通用组删除。

662:启用安全的通用组已删除。

663:禁用安全的通用组已创建。

664:禁用安全的通用组已更改。

665:成员已添加至禁用安全的通用组。

666:成员已从禁用安全的通用组删除。

667:禁用安全的通用组已删除。

668:组类型已更改。

684:管理组成员的安全描述符已设置。

注意:

在域控制器上,每隔 60 分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。

685:帐户名称已更改。

三、目录服务访问事件

下面显示了由”审核目录服务访问”安全模板设置所生成的安全事件。

566:发生了一般对象操作。

四、登录事件ID

528:用户成功登录到计算机。

529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。

530:登录失败。试图在允许的时间外登录。

531:登录失败。试图使用禁用的帐户登录。

532:登录失败。试图使用已过期的帐户登录。

533:登录失败。不允许登录到指定计算机的用户试图登录。

534:登录失败。用户试图使用不允许的密码类型登录。

535:登录失败。指定帐户的密码已过期。

536:登录失败。Net Logon 服务没有启动。

537:登录失败。由于其他原因登录尝试失败。

注意:

在某些情况下,登录失败的原因可能是未知的。

538:用户的注销过程已完成。

539:登录失败。试图登录时,该帐户已锁定。

540:用户成功登录到网络。

541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式 Internet 密钥交换 (IKE) 身份验证已完成,或者快速模式已建立了数据频道。

542:数据频道已终止。

543:主要模式已终止。

注意:

如果安全关联的时间限制(默认为 8 小时)过期、策略更改或对等终止,则会发生此情况。

544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。

545:由于 Kerberos 失败或者密码无效,造成主要模式身份验证失败。

546:由于对等客户端发送的建议无效,造成 IKE 安全关联建立失败。接收到的程序包包含无效数据。

547:在 IKE 握手过程中,出现错误。

548:登录失败。来自信任域的安全标识符 (SID) 与客户端的帐户域 SID 不匹配。

549:登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的 SID 将被筛选出去。

550:可以用来指示可能的拒绝服务 (DoS) 攻击的通知消息。

551:用户已启动注销过程。

552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。

682:用户已重新连接至已断开的终端服务器会话。

683:用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。

五、对象访问事件

下面显示了由”审核对象访问”安全模板设置所生成的安全事件。

560:访问权限已授予现有的对象。

562:指向对象的句柄已关闭。

563:试图打开一个对象并打算将其删除。

注意:

当在 Createfile() 中指定了 FILE_DELETE_ON_CLOSE 标记时,此事件可以用于文件系统。

564:受保护对象已删除。

565:访问权限已授予现有的对象类型。

567:使用了与句柄关联的权限。

注意:

创建句柄时,已授予其具体权限,如读取、写入等。使用句柄时,最多为每个使用的权限生成一个审核。

568:试图创建与正在审核的文件的硬链接。

569:授权管理器中的资源管理器试图创建客户端上下文。

570:客户端试图访问对象。

注意:

在此对象上发生的每个尝试操作都将生成一个事件。

571:客户端上下文由授权管理器应用程序删除。

572:Administrator Manager(管理员管理器)初始化此应用程序。

772:证书管理器已拒绝挂起的证书申请。

773:证书服务已收到重新提交的证书申请。

774:证书服务已吊销证书。

775:证书服务已收到发行证书吊销列表 (CRL) 的请求。

776:证书服务已发行 CRL。

777:已制定证书申请扩展。

778:已更改多个证书申请属性。

779:证书服务已收到关机请求。

780:已开始证书服务备份。

781:已完成证书服务备份。

782:已开始证书服务还原。

783:已完成证书服务还原。

784:证书服务已开始。

785:证书服务已停止。

786:已更改证书服务的安全权限。

787:证书服务已检索存档密钥。

788:证书服务已将证书导入其数据库中。

789:证书服务审核筛选已更改。

790:证书服务已收到证书申请。

791:证书服务已批准证书申请并已颁发证书。

792:证书服务已拒绝证书申请。

793:证书服务将证书申请状态设为挂起。

794:证书服务的证书管理器设置已更改。

795:证书服务中的配置项已更改。

796:证书服务的属性已更改。

797:证书服务已将密钥存档。

798:证书服务导入密钥并将其存档。

799:证书服务已将证书颁发机构 (CA) 证书发行到 Microsoft Active Directory? 目录服务。

800:已从证书数据库删除一行或多行。

801:角色分离已启用。

六、审核策略更改事件

下面显示了由”审核策略更改”安全模板设置所生成的安全事件。

608:已分配用户权限。

609:用户权限已删除。

610:与其他域的信任关系已创建。

611:与其他域的信任关系已删除。

612:审核策略已更改。

613:Internet 协议安全 (IPSec) 策略代理已启动。

614:IPSec 策略代理已禁用。

615:IPSec 策略代理已更改。

616:IPSec 策略代理遇到一个可能很严重的故障。

617:Kerberos v5 策略已更改。

618:加密数据恢复策略已更改。

620:与其他域的信任关系已修改。

621:已授予帐户系统访问权限。

622:已删除帐户的系统访问权限。

623:按用户设置审核策略。

625:按用户刷新审核策略。

768:检测到两个林的名称空间元素之间有冲突。

注意:

当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些字段无效,如 DNS 名称、NetBIOS 名称和 SID。

769:已添加受信任的林信息。

注意:

当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作 ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为 TopLevelName 的项,有些参数是无效的,如 DNS 名称、NetBIOS 名称和 SID。

770:已删除受信任的林信息。

注意:

请参见事件 769 的事件描述。

771:已修改受信任的林信息。

注意:

请参见事件 769 的事件描述。

805:事件日志服务读取会话的安全日志配置。

七、特权使用事件

下面显示了由”审核特权使用”安全模板设置所生成的安全事件。

576:指定的特权已添加到用户的访问令牌中。

注意:

当用户登录时生成此事件。

577:用户试图执行需要特权的系统服务操作。

578:特权用于已经打开的受保护对象的句柄。

八、详细的跟踪事件

下面显示了由”审核过程跟踪”安全模板设置所生成的安全事件。

592:已创建新进程。

593:进程已退出。

594:对象句柄已复制。

595:已获取对象的间接访问权。

596:数据保护主密钥已备份。

注意:

主密钥用于 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS)。每次新建主密钥时都进行备份。(默认设置为 90 天。)通常由域控制器备份主密钥。

597:数据保护主密钥已从恢复服务器恢复。

598:审核过的数据已受保护。

599:审核过的数据未受保护。

600:已分配给进程主令牌。

601:用户试图安装服务。

602:已创建计划程序任务。

九、审核系统事件

下面显示了由”审核系统事件”安全模板设置所生成的系统事件。

512:Windows 正在启动。

513:Windows 正在关机。

514:本地安全机制机构已加载身份验证数据包。

515:受信任的登录过程已经在本地安全机构注册。

516:用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。

517:审核日志已清除。

518:安全帐户管理器已加载通知数据包。

519:进程正在使用无效的本地过程调用 (LPC) 端口,试图伪装客户端并向客户端地址空间答复、读取或写入。

520:系统时间已更改。

注意:

在正常情况下,该审核出现两次。

2010年03月10日

一、利用Windows自带的防火墙日志检测入侵
下面是一条防火墙日志记录
2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980
2005-01-1300:35:04:表示记录的日期时间
OPEN:表示打开连接;如果此处为Close表示关闭连接
TCP:表示使用的协议是Tcp
61.145.129.133:表示本地的IP
64.233.189.104:表示远程的IP
4959:表示本地的端口
80:表示远程的端口。注:如果此处的端口为非80、21等常用端口那你就要注意了。
每一条Open表示的记录对应的有一条CLOSE记录,比较两条记录可以计算连接的时间。

注意,要使用该项,需要在Windows自带的防火墙的安全日志选项中勾选“记录成功的连接”选项。

 

二、通过IIS日志检测入侵攻击

1、认识IIS日志
IIS日志默认存放在System32\LogFiles目录下,使用W3C扩展格式。下面我们通过一条日志记录来认识它的格式
2005-01-0316:44:57218.17.90.60GET/Default.aspx-80
-218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322)20000

2005-01-0316:44:57:是表示记录的时间;

218.17.90.60:表示主机的IP地址;

GET:表示获取网页的方法
/Default.aspx:表示浏览的网页的名称,如果此外的内容不是你网站网页的名称,那就表示可能有人在用注入
式攻击对你的网站进行测试。如:“/msadc/..蜡..蜡..蜡../winnt/system32/cmd.exe/c+dir”这段格式的
文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。

-80:表示服务器的端口。

-218.17.90.60:表示客户机的IP地址。如果在某一时间或不同时间都有大量的同一IP对网站的连接那你
就要注意了。

Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+CLR+1.1.4322):表示用户的浏览器的版本
操作系统的版本信息

200:表示浏览成功,如果此处为304表示重定向。如果此处为404则表示客户端错误未找到网页,如果服务器没
有问题但出现大量的404错误也表示可能有人在用注入式攻击对你的网站进行测试。

2、检测IIS日志的方法
明白了IIS日志的格式,就可以去寻找攻击者的行踪了。但是人工检查每一条数据几乎是不可能的,所以
我们可以利用Windows本身提供了一个命令findstr。下面以寻找05年1月1日日志中包含CMD字段为例演示
一下它的用法。IIS日志路径已设为D\w3c
Cmd提示符下输入:findstr”cmd”d\w3c\ex050101.log回车。怎么同一个IP出现了很多,那你可要注意了!
下面是我写的几个敏感字符,仅供参考,你可以根据自己系统、网页定制自己的敏感字符,当然如果你根据
这些字符作一个批处理命令就更方便了。
cmd、’、\\、..、;、and、webconfig、global、

如果你感觉findstr功能不够直观强大,你可以AutoScanIISLogFilesV1.4工具。它使用图形化界面
一次可以检测多个文件。下载地址:http://www.11k.net/Software/View-Software-1585.html

如果你感觉这些IIS日志中的信息记录还不够多,那么你可以做一个隐藏网页,凡是登陆到网站上都会先定向到
该网页,然后你可以在该网页中添加代码,获取用户的IP、操作系统、计算机名等信息。并将其输入到数据库
中,这样即使一个攻击者使用动态的IP只要他不换系统,即使删除了IIS日志,你也可以把他找出来。

三、通过查看安全日志检测是否有成功的入侵
如果你你启用了登陆事件、策略更改、账户登陆、系统事件的成功失败的审核,那么任何成功的入侵都将
在安全日志中留下痕迹

推荐的作法:

1、建议每天最少检查一次安全日志。
推荐重点检查的ID事件
529:登录失败,试图使用未知用户名或带有错误密码的已知用户名进行登录。
528:用户成功登录到计算机上。
539:登录失败:登录帐号在登录尝试时被锁定。此事件表明有人发动密码攻击但未成功,因而导致账户锁定

682:用户重新连接到一个已经断开连接的终端服务器会话上。终端服务攻击
683:用户在没有注销的情况下与终端服务器会话断开连接。终端服务攻击

624:一个用户帐号被创建。
625:更改了用户账户类型
626:启用了用户账户
629:禁用了用户账户
630:删除了用户账户
以上5个事件可能是一个攻击者试图通过禁用或删除发动攻击时使用的账户来掩盖他们的踪迹。

577:用户试图执行受到权限保护的系统服务操作。
578:在已经处于打开状态的受保护对象句柄上使用权限。
577、578事件中详细信息中特权说明
SeTcbPrivilege特权:此事件可以表明一个用户通过充当操作系统的一部分来试图提升安全权限,如一个用户
试图将其账户添加到管理员组就会使用此特权
SeSystemTimePrivilege特权:更改系统时间。此事件可表明有一个用户尝试更改系统时间
SeRemoteShutDownPrivilege:从远程系统强制关闭
SeloadDriverPrivilege:加载或卸载驱动程序
SeSecurityPrivilege:管理审计和安全日志。在清除事件日志或向安全日志写入有关特权使用的事件是发生
SeShutDownPrivilege:关闭系统
SeTakeOwnershipPrivilege:取得文件或其他对象的所有权.此事件可表明有一个攻击者正在通过取得一个
对象的所有权来尝试绕过当前的安全设置

517:日志事件被清除或修改。此事件可以表明一个攻击者企图通过修改或删除日志文件来掩盖他们的踪迹
612:更改了审计策略。此事件可以表明一个攻击者企图通过修改审计策略来掩盖他们的踪迹
如为了掩盖删除日志文件的踪迹他可能先关闭系统事件的审核。

2、通过筛选器来查看重要性事件
方法:点击事件查看器窗口中的查看菜单,点击筛选,点击筛选器,定义自己的筛选选项,确定即可。

3、在查看完成之后备份事件
方法:点击事件查看器窗口中的操作菜单,点击导出列表,选择保存路径和文件名,如果保存类型
选择了“文本文件(制表符分隔)”,将会保存为文本文件。如果保存类型
选择了“文本文件(逗号分隔)”,将会保存为Excel文件。
当然也可以选择另存日志文件。
如果感觉这样保存麻烦也可以使用微软的resourceKit工具箱中的dumpel.exe配合计划任务可以实现
定期备份系统日志。

4、删除检查过的日志文件,日志文件越少越容易发现问题。

5、配合系统日志程序日志检测可疑内容

6、使用EventCombMT工具
EventCombMT是一个功能强大的多线程工具,它可同时分析许多服务器中的事件日志,为包含在搜索条件中的
每一台服务器生成一个单独的执行线程。利用它你可以定义
要搜索的单个事件ID或多个事件ID,用空格分格
定义一个要搜索的事件ID范围。如:528>ID<540
将搜索限定为特定的事件日志。如:只搜索安全日志
将搜索限定为特定的事件消息。如:成功审计
将搜索限制为特定的事件源。
搜索事件说明内的特定文本。
定义特定的时间间隔以便从当前日期和时间向后扫描
注:要使用该工具您需要安装WindowsServer2003ResourceKitTools.安装完成后在命令提示符下输入EventCombMT即可
下载地址:http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

四、通过端口检测入侵攻击

端口是攻击者最喜欢的进入的大门,所以我们要养成查看端口的习惯

1、通过netstat命令。CMD提示符下
netstat-ano:检测当前开放的端口,并显示使用该端口程序的PID。
netstat-n:检测当前活动的连接
如果通过以上命令发现有不明的端口开放了,不是中了木马就是开放新的服务。
处理方法:
打开任务管理器,在查看菜单下选择列,勾选PID,点击确定。然后根据开放端口使用的PID在任务管理器中
查找使用该端口的程序文件名。在任务管理器杀掉该进程。
如果任务管理器提示杀不掉,可以使用ntsd命令,格式如下:c:\>ntsd-cq-pPID。
如果使用该PID的进程不是单独的程序文件而是调用的Svchost或lsass(现在有很多木马可以做到这一点)。那么
需要你有很志业的知识才能查找到。我的经验是下面的几种方法配合使用

在服务中查找使用Svchost或lsass的可疑服务。在命令提示符下输入tasklist/svc可以查看进程相关联的
PID和服务。
利用Windows优化大师中的进程管理去查找Svchost或lsass中可疑的.dll。
检查System32下最新文件:在命令提示符sytem32路径下输入dir/od
利用hijackthis工具可以查出系统启动的程序名和dll文件.

下载地址:http://www.cl520.net/soft/3992.htm

发现可疑的dll后如果不知道是否为病毒文件去Google吧

2、使用ActivePort软件
ActivePort软件安装后用的是图形化界面,它可以显示所有开放的端口,当前活动的端口,并可以将端口、
进程、程序名路径相关联。并且可以利用它来中断某个活动的连接

五、通过进程监控可疑程序
如果发现不正常的进程,及时杀掉,如果在任务管理器中无法杀掉可以去查找可疑的服务,将服务关闭后
再杀,当然也可以在提示符下利用ntsd命令。格式为:ntsd-cq-pPID

六、利用Svcmon.exe(serviceMonitoringTool)监视已安装的服务

这个工具可以用来监视本地或者是远程计算机服务的状态改变,当它发现一个服务开始或者是停止的时候,
这个工具将会通过发e-mail或者是ExchangeServer来通知你知道。要想使用这个工具需要安装ResourceKit。
但是去MS的网站

http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en

下载的ResourceKit安装后没有找到这个工具,
其实还有很多工具这个ResourceKit没有。可能这是一个简单的ResourceKit包。后来又安装了2003
光盘上的SupportTools也没找到它。我使用了2000的
ResourceKit安装光盘,安装后,在2003上一样可以使用。不过我用了后发现系统会不稳定,所以最好找2003的ResourceKit安装光盘。
这个工具由两部分组成,Svcmon.exe在你安装好ResourceKit后,默认的位于C:\ProgramFiles\ResourceKit
文件夹下,你要将其拷贝到%SystemRoot%\System32下,然后在命令提示符下输入Smconfig将打开
配置向导。是图形界面,注意在ExchangeRecipients那里添如你要提醒的用户的Email。其他的
按照指示做就可以了。
如果发现有不正常的服务可以使用ResourceKit中的Instsrv.exe移除服务
使用格式:instsrvservicenameRemove

七、检测System32下的系统文件
在安装好系统后和安装新的软件后对System32文件夹做备份,然后用COMP命令定期检查该文件的内容查找
可疑的文件夹或文件。COMP命令的使用格式为:命令提示符下
COMPdata1data2/L/C
data1指定要比较的第一个文件的位置和名称。
data2指定要比较的第二个文件的位置和名称。
/L显示不同的行数。
/C比较文件时不分ASCII字母的大小写。
注:MS的WinDiff工具可以图形化比较两个文件

八、利用Drivers.exe来监视已安装的驱动程序
现在有的攻击者将木马添加到驱动程序中,我们可以通过MS提供的Drivers工具来进行检测。
在运行此工具的计算机上,此工具会显示安装的所有设备驱动程序。该工具的输出包括一些信息,其中
有驱动程序的文件名、磁盘上驱动程序的大小,以及链接该驱动程序的日期。链接日期可识别任何新安
装的驱动程序。如果某个更新的驱动程序不是最近安装的,可能表示这是一个被替换的驱动程序。
注:Drivers.exe工具在MS的的网站下载的WindowsServer2003ResourceKitTools中也没有这个工具
我是使用的2000的。

九、检查本地用户和组
这个想来不用说太多,大家都知道的了,需要注意的一点是,如果使用命令行的netuser来查看,将无法查看
到隐藏的用户(即用户名后加了$的),所以最好使用管理单元来查看所有用户。

十、检查网页文件,特别是有与数据库连接的文件的日期,现在有的攻击者入侵后会在网页代码中留下后门,
所以如果日期发了变化,那就要注意查看了。

十一、附Server2003EnterpriseEdition安装IIS和SQL2000后默认启动的服务、进程、端口
1、已启动的服务
AutomaticUpdate、COM+EventSystem、ComputerBrowser、CryptographicServices、DHCPClient、
DistributedfileSystem、DistributedlinkTracking、Distributedtransaction、DNSClient、
ErrorReporting、Eventlog、HelpAndSupports、IPSECServices、LogicalDiskManager、
NetworkLocation、plugandplay、PrintSpooler、RemoteProcedureCall、RemoteRegistry、
SecondaryLogon、SecurityAccounts、Server、SystemEventNetification、TaskScheduler、
TCP/IPNetBIOS、TerminalServices、WindowsInstaller、WindowsManagementInstrumentation、
WindowsTime、WirelessConfig、Workstation。

以下为安装IIS(只有WEB服务)后新加的启动的服务
AddService、Com+systemapplication、HttpSSL、IISAdminService、
networkconnections、protectedstorage、shellhardware、wordwideweb。

以下为安装SQL2000后新增加的已启动的服务
MicrosoftSearch、NTLMSecurity、MSSQLServer

2、已启动的进程
ctfmon:admin、wpabaln:admin、explorer:admin、wmiprvse、dfssvc、msdtc:networkservice、
sploolsv、lsass、conime:admin、services、

svchost:7个其中localservice2个、networkservice1个、winlogon、csrss、smss、

system、systemidleprocess。共计:22个进程,其中admin、networkservice、localservice表示用户名
未注明的为System用户

以下为安装IIS后新增加的进程
wpabaln:admin、inetinfo、

以下为安装SQL后新增加的进程
mssearch、sqlmangr、wowexecadmin、sqlservr

3、已开启的端口
TCP:135、445、1025、1026、139
udp:445、500、1027、4500、123

以下为安装IIS后新增加的端口
tcp:80、8759注意8759这个端口是第一次安装后自动选择的一个端口,所以每台机会不同

以下为安装SQL后新增加的端口

tcp:1433
udp:68、1434

如果启用防火墙后将开启以下端口
TCP:3001、3002、3003
UDP:3004、3005