Меню

Настройку исключения для службы удаленного управления windows в брандмауэре



Настройка брандмауэра в Server Core и удаленное управление

Как вы знаете Server Core в Windows Server 2008 не включает в себя традиционный полный графический интерфейс пользователя (GUI).

Как и в стандартной (полной) установке Windows Server 2008, брандмауэр Windows включен по умолчанию, и большинство сетевых портов сразу после установки блокируются. Однако, поскольку основной задачей севера является предоставление некой услуги (будь то некая служба, файл, или что-то другое, что должно быть доступно по сети), вам необходимо разрешить определенный сетевой трафик на брандмауэре.

Одной из причин для открытия входящего трафика на брандмауэре – необходимость дистанционного управления сервером. Как уже упоминалось в предыдущих статьях, вы можете управлять Server Core с помощью локальной командной строки, дистанционно с помощью обычной MMC оснастки, через WinRM и WinRS, и даже через удаленный рабочий стол (хотя вы все равно получите обычное окно командной строки …)

В большинстве случаев после начальной конфигурации сервера, у Вас возникнет необходимость управления ролями и функциями, установленными на сервере, и вероятно, вы захотите использовать MMC-оснастку Administration tools. Есть три сценария удаленного управления через MMC:

  1. Роль сервера — когда роль сервера установлена на Вашем сервере, соответствующие порты открываются автоматически, позволяя вам удаленно управлять им. Никаких дополнительных настроек не требуется. Установив необходимые оснастки из Remote Server Administration Tools (RSAT) на вашей полноценной рабочей станции(сервере), вы сможете удаленно управлять сервером с Server Core.
  2. Сервер член домена — после того как сервер включен в домен, брандмауэр использует преднастроенный доменный профиль, который разрешает удаленное управление. Опять же, никаких дополнительных настроек не требуется.
  3. Сервер в рабочей группе — это сценарий, в котором потребуется внести изменения в конфигурацию брандмауэра. Если вы просто хотите задействовать все функции удаленного управления, можно использовать следующую команду:

Эта команда разрешает использование большинства методик удаленного управления и разрешает доступ к большинству оснасток MMC. Однако есть оснастки, удаленный доступ к которым настраивается дополнительно:

Диспетчер устройств (Device Manager)

Чтобы разрешить подключаться к диспетчеру устройств, нужно включить параметр политики «Allow remote access to the PnP interface».

Управление дисками (Disk Management)

Для этого на Server Core нужно запустить службы виртуальных дисков (Virtual Disk Service -VDS)

IPSec Management

Вы должны сначала установить удаленное управление для IPSec. Это можно сделать с помощью скрипта scregedit.wsf (он лежит в папке system32):

Таким образом, доступ к большинству MMC оснасток удаленного администрирования, включается одним правилом на брандмауэре — Remote Administration firewall rules. Однако зачастую бывает необходимость предоставить доступ только ограниченному числу MMC-оснасток.

В брандмауэре существуют правила не для всех оснасток, в таблице перечислены существующие правила:

Чтобы включить любую из этих групп, нужно набрать команду:

Где — имя из приведенной таблицы.

Вы также можете удаленно включить их из брандмауэра Windows, запущенного в режиме Advanced Security. Для просмотра всех правил, просто сделайте сортировку по столбцу “Enable”:

Источник

Создание исключения в брандмауэре Windows 7

С учетом того, что выше было сказано о том, насколько важным является брандмауэр для безопасности компьютера, предлагаемое далее описание того, как можно “затыкать дыры” в этом брандмауэре, может показаться, мягко говоря, немного странным. На самом деле ничего необычного в этом нет, по крайней мере “за кулисами”, поскольку в программах вроде Microsoft Office Outlook и iTunes брандмауэр Windows часто конфигурируется так, чтобы он позволял им получать доступ к Интернету.

Все это замечательно, но зачем самому пользователю может понадобиться делать нечто подобное? Причин существует много, но все они по большей части сводятся просто к потребности обеспечения возможности прохождения через брандмауэр определенных данных. Например, если необходимо выполнять какие-то административные операции на компьютере в сети, брандмауэр на этом компьютере необходимо конфигу рировать так, чтобы он пропускал службу “Удаленный помощник”, а если нужно активизировать встроенный в Windows 7 веб-сервер, то так, чтобы он разрешал передачу данных через порт 80. Ниже приведены примеры исключений, которые можно настраивать для брандмауэра и которые, по сути, представляют собой три типа исключений, которые брандмауэр Windows поддерживает.

  • Разрешение существующего исключения. В Windows 7 поставляется список программ и служб, которые часто используются в качестве исключений и которые просто сразу можно включать и отключать.
  • Добавление программы в качестве нового исключения. Если нужной программы в упомянутом списке нет, ее можно добавить в этот список самостоятельно.
  • Добавление порта в качестве нового исключения. Еще в качестве исключения можно указывать и порт, и тогда брандмауэр будет разрешать пересылку данных туда и обратно через этот порт.

Далее показано, как создавать исключения этих трех типов.

Читайте также:  Windows 7 настройка системы под многоразрядный процессор

Активизация существующего исключения

В брандмауэре Windows предлагается список программ, служб и иногда портов, которые в текущий момент активизированы как исключения или которые часто активизируются как таковые, но на данном компьютере пока это еще не делалось. Он представляет собой простейший способ для настройки исключения, поскольку предусматривает просто установку одной или двух отметок. Ниже перечислены шаги, необходимые для настройки исключений.

  1. Щелкните на кнопке Пуск, введите в поле поиска слово брандмауэр и затем выберите в списке результатов вариант Разрешение запуска программы через брандмауэр Windows. Появится окно Разрешенные программы.
  2. Щелкните на кнопке Изменить параметры. Это сделает предлагаемый в брандмауэре список исключений доступным, как показано на рисунке.
  3. Установите в столбце Домашняя или рабочая (частная) отметку напротив исключений, которые требуется активизировать.
  4. При наличии подключений к каким-то публичным сетям (вроде беспроводных точек доступа) и желании, чтобы исключение действовало и в этих сетях, установите отметку напротив требуемого исключения в столбце Публичные.
  5. Щелкните на кнопке ОК, чтобы выбранные исключения вступили в силу.

Добавление программы в качестве нового исключения

Если нужные программы или порты в предлагаемом списке исключений отсутствуют, их можно добавить вручную. Необходимые для этого шаги выглядят следующим образом.

  1. Щелкните на кнопке Пуск, введите в поле поиска слово брандмауэр и затем выберите в списке результатов вариант Разрешение запуска программы через брандмауэр Windows. Появится окно Разрешенные программы.
  2. Щелкните на кнопке Изменить параметры. Это сделает предлагаемый в брандмауэре список исключений доступным.
  3. Щелкните на кнопке Разрешить другую программу. Появится диалоговое окно Добавление программы.
  4. Если нужная программа присутствует в списке, щелкните на ней, а если нет — щелкните на кнопке Обзор и отыщите ее исполняемый файл в диалоговом окне Обзор, после чего выделите его и щелкните на кнопке Открыть.
  5. Щелкните на кнопке Добавить. Брандмауэр Windows добавит выбранную программу в список исключений.
  6. Установите напротив нее отметку в столбце Домашняя или рабочая (частная).
  7. При наличии подключений к каким-то публичным сетям (вроде беспроводных точек доступа) и желании, чтобы исключение действовало и в этих сетях, установите отметку напротив этой программы и в столбце Публичные.
  8. Щелкните на кнопке ОК, чтобы исключение вступило в силу.

Добавление порта в качестве нового исключения

Открыть на компьютере какой-то порт с помощью окна Разрешенные программы невозможно. Вместо этого необходимо использовать поставляемую в составе консоли ММС оснастку под названием “Брандмауэр Windows в режиме повышенной безопасности”. Для ее загрузки выполните щелчок на кнопке Пуск, введите в поле поиска wf .msc, нажмите клавишу и введите свои учетные данные в окне Контроль учетных записей пользователей. Показано открывшееся после этого окно оснастки Брандмауэр Windows в режиме повышенной безопасности.

На домашней странице этой оснастки предлагается обзор текущих настроек брандмауэра, а также несколько ссылок для конфигу рирования и получения справочной информации о самой оснастке. Эта оснастка конфигурирует брандмауэр путем настройки политик и сохранения их в грех профилях. В случае подключения компьютера к сетевому домену используется профиль домена; при подключении компьютера к частной сети применяется частный профиль, а в случае подключения компьютера к общедоступной сети — общий профиль. Для изменения параметров этих профилей щелкните на ссылке Свойства брандмауэра Windows и затем модифицируйте необходимые параметры на вкладках Профиль домена, Частный профиль и Общий профиль (хотя параметры, предлагаемые по умолчанию, в принципе подходят в большинстве случаев). В панели справа содержится четыре следующих важных подраздела.

  • Правила для входящих подключений. В этом разделе отображается список всех определенных правил для входящих подключений. В большинстве случаев эти правила неактивны. Для включения правила необходимо выполнить на нем щелчок правой кнопкой мыши и выбрать в контекстном меню команду Включить правило (или же выделить его и щелкнуть на ссылке Включить правило в панели Действия). Также можно создать свое собственное правило (как будет показано чуть позже), щелкнув правой кнопкой мыши на разделе Правила для входящих подключений и выбрав в контекстном меню команду Создать правило (или же щелкнув на ссылке Создать правило в панели Действия). Это приводит к запуску мастера создания правила для нового входящего подключения.
  • Правила для исходящего подключения. В этом разделе отображается список всех определенных правил для исходящих подключений. Как и в случае входящих подключений, здесь можно как включать существующее правило, так и создавать свое собственное. Важно обратить внимание на то, что в этом разделе любое правило можно также настраивать. Для этого выполните на нем двойной щелчок для отображения его ведомости свойств и укажите, на какую программу должно распространяться его действие, разрешите или запретите подключения, настройте авторизацию компьютера и пользователя, измените порты и протоколы, а также укажите типов интерфейсов и служб.
  • Правила безопасности подключения. Этот раздел предназначен для создания и управления правилами аутентификации, отвечающими за ограничения и требования, которые должны распространяться на подключения к удаленным компьютерам. Щелчок правой кнопкой мыши на этом разделе и выбор в контекстном меню пункта Создать правило (или щелчок на ссылке Создать правило в панели Действия) приводит к запуск)’ средства Мастер создания правила для нового безопасного подключения.
  • Наблюдение. В этом разделе отображаются активные параметры брандмауэра. Например, в подразделе Брандмауэр отображаются активные правила для входящих и исходящих подключений, а в подразделе Правила безопасности подключения — активные правила аутентификации.
Читайте также:  Настройка сервер сертификатов windows 2008

Ниже перечислены шаги, с помощью которых в оснастке Брандмауэр Windows в режиме повышенной безопасности можно добавить порт в качестве нового исключения.

  1. Щелкните на разделе Правила для входящих подключений.
  2. Щелкните в панели Действия на ссылке Создать правило, чтобы запустить Мастер создания правила для нового входящего подключения.
  3. Выберите переключать Для порта и щелкните на кнопке Далее. Появится диалоговое окно Протокол и порты.
  4. Укажите протокол данных, к которому должно применяться данное правило, выбрав либо переключатель Протокол TCP, либо переключатель Протокол UDP. (Если нет уверенности, лучше выбирать протокол TCP.)
  5. Установите переключатель Определенные локальные порты и в расположенном напротив него текстовом поле введите порт, который требуется настроить как исключение.
  6. Щелкните на кнопке Далее. Появится диалоговое окно Действие.
  7. Выберите переключатель Разрешить подключение и затем щелкните на кнопке Далее. Появится диалоговое окно Профиль.
  8. Установите отметку рядом с каждым из профилей, на которые должно распространяться действие данного правила (т.е. рядом с Доменный, Частный и Публичный) и щелкните на кнопке Далее. Появится диалоговое окно Имя.
  9. Введите в текстовом поле Имя желаемое имя для исключения. Именно это имя и будет отображаться на вкладке Исключения, поэтому лучше, чтобы оно было как можно более описательным (например, Порт 80 для веб-сервера).
  10. Щелкните на кнопке Готово, чтобы исключение вступило в силу.

Источник

Настройка правил брандмауэра Windows групповыми политиками

Брандмауэр Windows позволяет ограничить исходящий / входящий сетевой трафик для определенного приложения или TCP/IP порта, и является популярным средством ограничения сетевого доступа к (от) рабочим станциям пользователей или серверам. Правила Windows Firewall можно настроить индивидуально на каждом компьютере, или, если компьютер пользователя включен в домен Windows, администратор может управлять настройками и правилами брандмауэра Windows с помощью групповых политик.

В крупных организация правила фильтрации портов обычно выносятся на уровень маршрутизатором, L3 коммутаторов или выделенных межсетевых экранах. Однако ничего не мешает вам распространить ваши правила ограничения сетевого доступа Windows Firewall к рабочим станциям или серверам Windows.

Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows

С помощью редактора доменной групповой политики (group Policy Management Console – gpmc.msc) создайте новую политику с именем Firewall-Policy и перейдите в режим редактирования (Edit).

В консоли групповой политики есть две секции, в которых можно управлять настройками брандмауэра:

  • Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall – эта секция GPO использовалась для настройки правил брандмауэра для ОС Vista / Windows Server 2008 и ниже. Если у вас в домене нет компьютеров со старыми ОС, для настройки файервола используется следующая секция.
    Network -> Network Connections -> Windows Firewall » width=»609″ height=»276″ srcset=»https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con.png 968w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-300×136.png 300w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-768×348.png 768w» sizes=»(max-width: 609px) 100vw, 609px»/>
  • Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security – это актуальный раздел для настройки Брандмауэра Windows в современных версиях ОС и по интерфейсу он напоминает интерфейс локальной консоли управления Брандмауэра.

Включаем Windows Firewall с помощью GPO

Чтобы пользователи (даже с правами локального админа) не могли выключить службу брандмауэра, желательно настроить автоматический запуск службы Windows Firewall через GPO. Для этого перейдите в раздел Computer Configuration- > Windows Settings -> Security Settings -> System Services. Найдите в списке служб Windows Firewall и измените тип запуск службы на автоматический (Define this policy setting -> Service startup mode Automatic). Убедитесь, что у пользователей нет прав на остановку службы.

Перейдите в раздел консоли GPO Computer Configuration -> Windows Settings -> Security Settings. Щелкните ПКМ по Windows Firewall with Advanced Security и откройте свойства.

На всех трех вкладках Domain Profile, Private Profile и Public Profile (что такое профиль сети) измените состояние Firewall state на On (recommended). В зависимости от политик безопасности в вашей организации вы можете указать, что все входящие подключения по умолчанию запрещены(Inbound connections -> Block), а исходящие разрешены (Outbound connections -> Allow) и сохраните изменения.

Читайте также:  Настройка удаленный рабочий стол windows 7 professional

Создаем правило файервола с помощью групповой политики

Теперь попробуем создать разрешающее входящее правило файервола для всех. Например, мы хотим разрешить подключение к компьютерам по RDP (порт TCP 3389). Щелкните ПКМ по разделу Inbound Rules и выберите пункт меню New Rule.

Мастер создания правила брандмауэра очень похож на интерфейс локального Windows Firewall на обычном компьютере.

Выберите тип правила. Можно разрешить доступ для:

  • Программы (Program) – можно выбрать исполняемый exe программы;
  • Порта (Port) – выбрать TCP/UDP порт или диапазон портов;
  • Преднастроенное правило (Predefined) – выбрать одно из стандартных правил Windows, в которых уже имеются правила доступа (описаны как исполняемые файлы, так и порты) к типовым службам (например, AD, Http, DFS, BranchCache, удаленная перезагрузка, SNMP, KMS и т.д.);
  • Собственное правило (Custom) – здесь можно указать программу, протокол (другие протоколы помимо TCP и UDP, например, ICMP, GRE, L2TP, IGMP и т.д.), IP адреса клиентов или целые IP подсети.

В нашем случае мы выберем правило Port. В качестве протокола укажем TCP, в качестве порта – порт 3389 (RDP порт по-умолчанию, можно изменить).

Далее нужно выбрать что нужно сделать с таким сетевым соединением: разрешить (Allow the connection), разрешить если оно безопасное или заблокировать (Block the connection).

Осталось выбрать профили файервола, которым нужно применить правило. Можно оставить все профили (Domain, Private и Public).

На последнем шаге нужно указать имя правило и его описание. Нажмите кнопку Finish и оно появится в списке правил брандмауэра.

Аналогичным образом вы можете настроить другие правила для входящего трафика, которые должны применятся к вашим клиентам Windows.

Не забываете, что нужно создать правила для входящего и исходящего трафика.

Теперь осталось назначить политику Firewall-Policy на OU с компьютерами пользователей

Проверка политик брандмаэера Windows на клиентах

Обновите политики на клиентах (gpupdate /force). Проверьте, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или утилиту Portqry).

На ПК пользователя откройте Панель управления\Система и безопасность\Брандмауэр Защитника Windows и убедитесь, что появилась надпись: Для обеспечения безопасности, некоторые параметры управляются групповой политикой (For your security, some settings are controlled by Group Policy), и используются заданные вами настройки брандмаэера.

Пользователь теперь не может изменить настройки брандмауэра, а в списке Inbound Rules должны быть указаны все созданные вами правила.

Также вы можете вывести настройки файервола с помощью команды:

netsh firewall show state

Импорт / экспорт правил Брандмауэра Windows в GPO

Конечно, процесс создания правил для брандмауэра Windows – очень кропотливое и долгое занятие (но результате того стоит). Для упрощения свое задачи можно воспользоваться возможностью импорт и экспорта настроек брандмауэра Windows. Для этого вам достаточно нужным образом настроить локальные правила брандмауэра на обычном рабочей станции. Затем встаньте на корень оснастки брандмауэра (Монитор Брандмауэра Защитника Windows в режиме повышенной безопасности) и выберите пункт Действие -> Экспорт политики.

Политика выгружается в WFW файл, который можно импортировать в редакторе Group Policy Management Editor, выбрав пункт Import Policy и указав путь к файлу wfw (текущие настройки будут перезаписаны).

Доменные и локальные правила брандмауэра

В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать на своих компьютерах собственные правила брандмауэра и эти должны быть объединены с правилами, полученными с помощью групповой политики. в групповой политике вы можете выбрать режим объединения правил. Откройте свойства политики и обратите внимание на настройки в разделе Rule merging. По умолчанию режим объединения правил включен. Вы можете принудительно указать, что локальный администратор может создавать собственные правила брандмауэра: в параметре Apply local firewall rules выберите Yes (default).

Несколько советов об управлении брандмауэром Windows через GPO

Конечно, для серверов и рабочих станций нужно создавать отдельные политики управления правилами брандмауэра (для каждой группы одинаковых серверов возможно придется создать собственные политики в зависимости от их роли). Т.е. правила файервола для контроллера домена, почтового Exchange сервера и сервера SQL будут отличаться.

Какие порты нужно открыть для той или иной службы нужно искать в документации на сайте разработчика. Процесс довольно кропотливый и на первый взгляд сложный. Но постепенно вполне реальной придти к работоспособной конфигурации Windows файервола, который разрешает только одобренные подключения и блокирует все остальное. По опыту хочу отметить, что на ПО Microsoft можно довольно быстро найти список используемых TCP/UDP портов.

Источник

Adblock
detector