Меню

Настройка брандмауэра windows server 2008 r2 открыть порт



Открытие портов в брандмауэре Windows

Сегодня расскажу как правильно открывать порты при помощи брандмауэра Windows. Такая задача может возникнуть если вы установили какой-то, возможно не стандартный, сервис на своем компьютере и требуется предоставить к нему доступ из сети. В моем случае это была CRM на Windows Server 2012 R2, которая слушала tcp порты 3034 и 3050. Чаще требуется открыть порты к базам данных SQL Server (порты 1433 и 1434) — всё делается аналогично.

Итак, в меню Пуск переходим в Панель управления -> Система и безопасностьи -> Брандмауэр Windows (если на панели управления не включено представление по категориям, сразу выбираем Брандмауэр Windows).

Переходим в Дополнительные настройки. Для примера откроем tcp порт 1433:

  1. Выбираем Правила для входящих подключений.
  2. В окне Действия нажимаем на ссылку Создать правило
  3. Далее выбираем Тип правила в разделе Порт и нажимаем кнопку [Далее]
  4. На странице Протокол и порты указываем тип порта TCP
  5. Выбираем Указанные локальные порты и вводим значение 1433. Снова нажимаем кнопку [Далее]
  6. На странице Действие выбираем Разрешить соединение и жмем кнопку [Далее]
  7. На странице Профиль выбираем необходимые параметры для среды. [Далее]
  8. На странице Имя вводим название правила SQL Server (порт 1433) и нажимаем кнопку [Готово]
  9. Перезагружаем компьютер.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 1

Брандмауер Windows дебилен настолько, что лично мне проще воткнуть маршрутизатор и закрыться NAT-ом, чем его настраивать.

Источник

Настройка брандмауэра для доменов Active Directory и доверий

В этой статье описано, как настроить брандмауэр для Active Directory — домены и доверие.

Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Исходный номер статьи базы знаний: 179442

Не все порты, перечисленные в таблицах, являются обязательными во всех сценариях. Например, если брандмауэр разделяет участников и контроллеров домена, не нужно открывать порты FRS или DFSR. Кроме того, если вы знаете, что ни один клиент не использует LDAP с SSL/TLS, вам не нужно открывать порты 636 и 3269.

Дополнительная информация

Оба контроллера домена находятся в одном лесу, или два контроллера домена находятся в отдельном лесе. Кроме того, отношения доверия в лесу являются отношениями доверия Windows Server 2003 или более поздней версии.

Порты клиента Порт сервера Служба
1024 – 65535/TCP 135/TCP Сопоставитель конечных точек RPC
1024 – 65535/TCP 1024 – 65535/TCP RPC для LSA, SAM, NetLogon (*)
1024 – 65535/TCP/UDP 389/TCP/UDP LDAP
1024 – 65535/TCP 636/TCP LDAP SSL
1024 – 65535/TCP 3268/TCP LDAP GC
1024 – 65535/TCP 3269/TCP SSL GC LDAP
53, 1024 – 65535/TCP/UDP 53/TCP/UDP DNS
1024 – 65535/TCP/UDP 88/TCP/UDP Kerberos;
1024 – 65535/TCP 445/TCP БИЗНЕСА
1024 – 65535/TCP 1024 – 65535/TCP RPC FRS (*)

Порты NETBIOS, перечисленные для Windows NT, также необходимы для Windows 2000 и Windows Server 2003, когда настроены отношения доверия с доменами, поддерживающие только связь на основе NETBIOS. В качестве примеров можно привести операционные системы Windows NT или сторонние контроллеры доменов, основанные на Samba.

Дополнительные сведения о том, как определить порты сервера RPC, которые используются службами RPC для LSA, приведены в следующих статьях:

Windows Server 2008 и более поздние версии

В Windows Server 2008 более поздних версиях Windows Server увеличился диапазон портов динамического клиента для исходящих подключений. Новый начальный порт по умолчанию — 49152, а конечный порт по умолчанию — 65535. Поэтому необходимо увеличить диапазон портов RPC в брандмауэре. Это изменение было сделано в соответствии с рекомендациями по использованию номеров в Интернете (IANA). Это отличается от домена смешанного режима, состоящего из контроллеров домена под управлением Windows Server 2003, серверных контроллеров домена под управлением Windows 2000 или устаревших клиентов, где диапазон динамических портов по умолчанию равен 1025 и 5000.

Дополнительные сведения об изменении диапазона динамических портов в Windows Server 2012 и Windows Server 2012 R2 приведены в следующих статьях:

  • Диапазон динамических портов по умолчанию для TCP/IP изменился.
  • Динамические порты в Windows Server.
Порты клиента Порт сервера Служба
49152-65535/UDP 123/UDP Раз
49152-65535/TCP 135/TCP Сопоставитель конечных точек RPC
49152-65535/TCP 464/TCP/UDP Изменение пароля Kerberos
49152-65535/TCP 49152 – 65535/TCP RPC для LSA, SAM, NetLogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP GC
49152-65535/TCP 3269/TCP SSL GC LDAP
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP RPC FRS (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos;
49152-65535/TCP/UDP 445/TCP SMB (* *)
49152-65535/TCP 49152 – 65535/TCP СЛУЖБА DFSR RPC (*)

Порты NETBIOS, перечисленные для Windows NT, также необходимы для Windows 2000 и Server 2003, когда настроены доверенные домены, поддерживающие только связь на основе NETBIOS. В качестве примеров можно привести операционные системы Windows NT или сторонние контроллеры доменов, основанные на Samba.

(*) Сведения о том, как определить порты сервера RPC, которые используются службами RPC для LSA, приведены в следующих статьях:

(**) Для операции доверия этот порт не является обязательным, он используется только для создания доверия.

Внешние отношения 123/UDP необходимы только в том случае, если служба времени Windows настроена для синхронизации с сервером по внешнему доверию.

Active Directory

В Windows 2000 и Windows XP протокол ICMP должен быть разрешен через брандмауэр с клиентов на контроллеры домена, чтобы клиент групповой политики Active Directory мог работать правильно через брандмауэр. Протокол ICMP используется для определения того, является ли ссылка медленной или высокоскоростной.

В Windows Server 2008 и более поздних версиях служба поддержки сетевых расположений обеспечивает оценку пропускной способности на основе трафика с другими станциями в сети. Трафик для оценки не создается.

Для проверки того, что IP-адрес сервера разрешается службой DNS перед подключением, а также при его размещении с помощью DFS, перенаправителем Windows также используются ICMP-сообщения PING. Если вы хотите минимизировать трафик ICMP, вы можете использовать следующий образец правила брандмауэра:

В отличие от уровней протокола TCP и протокола UDP, у ICMP отсутствует номер порта. Это связано с тем, что ICMP напрямую размещается на уровне IP.

По умолчанию DNS-серверы Windows Server 2003 и Windows 2000 используют одновременные порты на стороне клиента при запросе других DNS-серверов. Тем не менее, это поведение можно изменить с помощью определенного параметра реестра. Вы также можете установить отношение доверия через принудительный туннель туннельного протокола (точка-точка). Это ограничит количество портов, которые брандмауэр должен открыть. Для PPTP необходимо включить следующие порты.

Порты клиента Порт сервера Протокол
1024 – 65535/TCP 1723/TCP PPTP

Кроме того, необходимо включить протокол IP 47 (GRE).

При добавлении разрешений на доступ к ресурсу в доверяющем домене для пользователей в доверенном домене существуют некоторые различия в поведении Windows 2000 и Windows NT 4,0. Если компьютеру не удается отобразить список пользователей удаленного домена, учитывайте следующее поведение:

  • Windows NT 4,0 пытается разрешить ввод имен вручную, обратившись к PDC для домена удаленного пользователя (UDP 138). В случае сбоя связи компьютер под управлением Windows NT 4,0 обращается к собственному контроллеру домена и запрашивает разрешение имени.
  • Windows 2000 и Windows Server 2003 также пытаются связаться с контроллером домена удаленного пользователя для разрешения через UDP-138. Однако они не зависят от использования собственного основного контроллера домена. Убедитесь, что все серверы-участники под управлением Windows 2000 и рядовые серверы под управлением Windows Server 2003, которые будут предоставлять доступ к ресурсам, имеют подключение по протоколу UDP 138 к удаленному контроллеру домена.

Справочные материалы

Общие сведения о службах и требованиях к сетевым портам для Windows — это ценный ресурс, описывающий необходимые сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами, серверными программами и их компонентами в системе Microsoft Windows Server. Администраторы и специалисты службы технической поддержки могут использовать эту статью в качестве плана, чтобы определить, какие порты и протоколы Microsoft используются операционными системами и программами, которые необходимы для подключения к сети в сегментированной сети.

Не следует использовать сведения о портах в обзоре служб и требованиях к сетевым портам для настройки брандмауэра Windows в Windows. Сведения о настройке брандмауэра Windows можно найти в разделе Брандмауэр Windows в повышенной безопасности.

Источник

Настройка правил брандмауэра Windows групповыми политиками

Брандмауэр Windows позволяет ограничить исходящий / входящий сетевой трафик для определенного приложения или TCP/IP порта, и является популярным средством ограничения сетевого доступа к (от) рабочим станциям пользователей или серверам. Правила Windows Firewall можно настроить индивидуально на каждом компьютере, или, если компьютер пользователя включен в домен Windows, администратор может управлять настройками и правилами брандмауэра Windows с помощью групповых политик.

В крупных организация правила фильтрации портов обычно выносятся на уровень маршрутизатором, L3 коммутаторов или выделенных межсетевых экранах. Однако ничего не мешает вам распространить ваши правила ограничения сетевого доступа Windows Firewall к рабочим станциям или серверам Windows.

Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows

С помощью редактора доменной групповой политики (group Policy Management Console – gpmc.msc) создайте новую политику с именем Firewall-Policy и перейдите в режим редактирования (Edit).

В консоли групповой политики есть две секции, в которых можно управлять настройками брандмауэра:

  • Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall – эта секция GPO использовалась для настройки правил брандмауэра для ОС Vista / Windows Server 2008 и ниже. Если у вас в домене нет компьютеров со старыми ОС, для настройки файервола используется следующая секция.
    Network -> Network Connections -> Windows Firewall » width=»609″ height=»276″ srcset=»https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con.png 968w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-300×136.png 300w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-768×348.png 768w» sizes=»(max-width: 609px) 100vw, 609px»/>
  • Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security – это актуальный раздел для настройки Брандмауэра Windows в современных версиях ОС и по интерфейсу он напоминает интерфейс локальной консоли управления Брандмауэра.

Включаем Windows Firewall с помощью GPO

Чтобы пользователи (даже с правами локального админа) не могли выключить службу брандмауэра, желательно настроить автоматический запуск службы Windows Firewall через GPO. Для этого перейдите в раздел Computer Configuration- > Windows Settings -> Security Settings -> System Services. Найдите в списке служб Windows Firewall и измените тип запуск службы на автоматический (Define this policy setting -> Service startup mode Automatic). Убедитесь, что у пользователей нет прав на остановку службы.

Перейдите в раздел консоли GPO Computer Configuration -> Windows Settings -> Security Settings. Щелкните ПКМ по Windows Firewall with Advanced Security и откройте свойства.

На всех трех вкладках Domain Profile, Private Profile и Public Profile (что такое профиль сети) измените состояние Firewall state на On (recommended). В зависимости от политик безопасности в вашей организации вы можете указать, что все входящие подключения по умолчанию запрещены(Inbound connections -> Block), а исходящие разрешены (Outbound connections -> Allow) и сохраните изменения.

Создаем правило файервола с помощью групповой политики

Теперь попробуем создать разрешающее входящее правило файервола для всех. Например, мы хотим разрешить подключение к компьютерам по RDP (порт TCP 3389). Щелкните ПКМ по разделу Inbound Rules и выберите пункт меню New Rule.

Мастер создания правила брандмауэра очень похож на интерфейс локального Windows Firewall на обычном компьютере.

Выберите тип правила. Можно разрешить доступ для:

  • Программы (Program) – можно выбрать исполняемый exe программы;
  • Порта (Port) – выбрать TCP/UDP порт или диапазон портов;
  • Преднастроенное правило (Predefined) – выбрать одно из стандартных правил Windows, в которых уже имеются правила доступа (описаны как исполняемые файлы, так и порты) к типовым службам (например, AD, Http, DFS, BranchCache, удаленная перезагрузка, SNMP, KMS и т.д.);
  • Собственное правило (Custom) – здесь можно указать программу, протокол (другие протоколы помимо TCP и UDP, например, ICMP, GRE, L2TP, IGMP и т.д.), IP адреса клиентов или целые IP подсети.

В нашем случае мы выберем правило Port. В качестве протокола укажем TCP, в качестве порта – порт 3389 (RDP порт по-умолчанию, можно изменить).

Далее нужно выбрать что нужно сделать с таким сетевым соединением: разрешить (Allow the connection), разрешить если оно безопасное или заблокировать (Block the connection).

Осталось выбрать профили файервола, которым нужно применить правило. Можно оставить все профили (Domain, Private и Public).

На последнем шаге нужно указать имя правило и его описание. Нажмите кнопку Finish и оно появится в списке правил брандмауэра.

Аналогичным образом вы можете настроить другие правила для входящего трафика, которые должны применятся к вашим клиентам Windows.

Не забываете, что нужно создать правила для входящего и исходящего трафика.

Теперь осталось назначить политику Firewall-Policy на OU с компьютерами пользователей

Проверка политик брандмаэера Windows на клиентах

Обновите политики на клиентах (gpupdate /force). Проверьте, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или утилиту Portqry).

На ПК пользователя откройте Панель управления\Система и безопасность\Брандмауэр Защитника Windows и убедитесь, что появилась надпись: Для обеспечения безопасности, некоторые параметры управляются групповой политикой (For your security, some settings are controlled by Group Policy), и используются заданные вами настройки брандмаэера.

Пользователь теперь не может изменить настройки брандмауэра, а в списке Inbound Rules должны быть указаны все созданные вами правила.

Также вы можете вывести настройки файервола с помощью команды:

netsh firewall show state

Импорт / экспорт правил Брандмауэра Windows в GPO

Конечно, процесс создания правил для брандмауэра Windows – очень кропотливое и долгое занятие (но результате того стоит). Для упрощения свое задачи можно воспользоваться возможностью импорт и экспорта настроек брандмауэра Windows. Для этого вам достаточно нужным образом настроить локальные правила брандмауэра на обычном рабочей станции. Затем встаньте на корень оснастки брандмауэра (Монитор Брандмауэра Защитника Windows в режиме повышенной безопасности) и выберите пункт Действие -> Экспорт политики.

Политика выгружается в WFW файл, который можно импортировать в редакторе Group Policy Management Editor, выбрав пункт Import Policy и указав путь к файлу wfw (текущие настройки будут перезаписаны).

Доменные и локальные правила брандмауэра

В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать на своих компьютерах собственные правила брандмауэра и эти должны быть объединены с правилами, полученными с помощью групповой политики. в групповой политике вы можете выбрать режим объединения правил. Откройте свойства политики и обратите внимание на настройки в разделе Rule merging. По умолчанию режим объединения правил включен. Вы можете принудительно указать, что локальный администратор может создавать собственные правила брандмауэра: в параметре Apply local firewall rules выберите Yes (default).

Несколько советов об управлении брандмауэром Windows через GPO

Конечно, для серверов и рабочих станций нужно создавать отдельные политики управления правилами брандмауэра (для каждой группы одинаковых серверов возможно придется создать собственные политики в зависимости от их роли). Т.е. правила файервола для контроллера домена, почтового Exchange сервера и сервера SQL будут отличаться.

Какие порты нужно открыть для той или иной службы нужно искать в документации на сайте разработчика. Процесс довольно кропотливый и на первый взгляд сложный. Но постепенно вполне реальной придти к работоспособной конфигурации Windows файервола, который разрешает только одобренные подключения и блокирует все остальное. По опыту хочу отметить, что на ПО Microsoft можно довольно быстро найти список используемых TCP/UDP портов.

Источник

Читайте также:  Настройка факс сервер windows server 2008
Adblock
detector