Брандмауэр Windows заблокировал hms exe от входящих подключений из сети

Обновлено: 21.11.2024

В этом уроке из Учебного комплекта для самостоятельного обучения MCTS (экзамен 70-642): Настройка сетевой инфраструктуры Windows Server 2008, 2-е издание описано, как спланировать и внедрить брандмауэр Windows и NAP с помощью Windows Server 2008 R2. .

Сети по своей природе могут позволить исправным компьютерам обмениваться данными с неработоспособными компьютерами и вредоносными инструментами для атаки на законные приложения. Это может привести к дорогостоящим нарушениям безопасности, например к червю, который быстро распространяется по внутренней сети, или к изощренному злоумышленнику, который крадет конфиденциальные данные по сети.

Windows Server 2008 R2 поддерживает две технологии, полезные для повышения безопасности сети: брандмауэр Windows и защиту доступа к сети (NAP). Брандмауэр Windows может фильтровать входящий и исходящий трафик, используя сложные критерии, чтобы различать законные и потенциально вредоносные сообщения. NAP требует, чтобы компьютеры прошли проверку работоспособности, прежде чем разрешать неограниченный доступ к вашей сети, и облегчает решение проблем с компьютерами, которые не соответствуют требованиям к работоспособности.

В этом уроке описывается, как спланировать и внедрить брандмауэр Windows и NAP с помощью Windows Server 2008 R2.

Цели экзамена в этой главе:

Настройте брандмауэр Windows в режиме повышенной безопасности.

Настроить защиту доступа к сети (NAP).

Уроки этой главы:

Урок 1. Настройка брандмауэра Windows

Урок 2. Настройка защиты доступа к сети

Прежде чем начать

Чтобы выполнить уроки в этой главе, вы должны быть знакомы с сетью Windows и уметь выполнять следующие задачи:

Добавление ролей на компьютер под управлением Windows Server 2008 R2

Настройка контроллеров домена Active Directory и присоединение компьютеров к домену

Настройка базовой сети, включая настройку параметров IP

Вам также потребуется следующее непроизводственное оборудование, подключенное к тестовым сетям:

Компьютер с именем Dcsrv1, который является контроллером домена в домене Nwtraders.msft. Этот компьютер должен иметь хотя бы один сетевой интерфейс, который можно подключить к Интернету или частной сети.

ПРИМЕЧАНИЕ. Имена компьютеров и доменов

Используемые вами имена компьютеров и доменов не повлияют на эти упражнения. Однако в этой главе для простоты используются имена этих компьютеров.

Компьютер с именем Hartford, работающий под управлением Windows 7 Professional, Enterprise или Ultimate и являющийся членом домена Nwtraders.msft. Вы должны использовать Windows 7, так как Windows Server 2008 R2 не поддерживает средство проверки работоспособности Windows Security.

Вместо абсолютных значений безопасность можно измерять только степенью риска. Хотя NAP не может помешать решительному и опытному злоумышленнику подключиться к вашей сети, NAP может повысить безопасность вашей сети, помогая поддерживать компьютеры в актуальном состоянии и предотвращая случайное подключение законных пользователей к вашей внутренней сети без соблюдения ваших требований безопасности.< /p>

При оценке NAP как способа защиты от злоумышленников помните, что NAP доверяет агенту работоспособности системы (SHA) отчет о работоспособности клиента. SHA также работает на клиентском компьютере. Так что это немного похоже на то, как служба безопасности аэропорта просто спрашивает людей, есть ли у них какие-либо запрещенные вещества — люди без каких-либо злонамеренных намерений с радостью добровольно отдадут все, что они случайно принесли. Люди со злым умыслом будут просто лгать.

Это совсем не так просто, как просто солгать, потому что SHA подписывает Заявление о состоянии здоровья (SoH), чтобы подтвердить подлинность отчета о состоянии здоровья. Дополнительные меры безопасности, такие как требование безопасности подключения IPsec, могут помочь еще больше уменьшить возможности для злоумышленников. Тем не менее, потратив некоторое время и усилия, вполне возможно, что кто-то создаст вредоносный SHA, который выдает себя за законный SHA.

Dravion Senior user
Сообщений: 1740 Присоединился: 26.09.2015 11:50 Местоположение: Германия Контактное лицо:

Брандмауэр Windows: настройка портов hMailServer, инструкции

Это небольшое руководство предназначено для того, чтобы убедиться, что все порты, необходимые для hMailServer, открыты, если у вас есть какие-либо проблемы с подключением, связанные с брандмауэром Windows. Настройки сетевого доступа к вашему компьютеру. Если вы выберете, например, «Домашний», ничего не будет заблокировано, но если вы выберете, например, «Общий», все порты будут закрыты по умолчанию.

Начнем:
Откройте командную строку Windows от имени администратора и введите следующие команды Netshell, чтобы открыть необходимые порты для hMailServer
PS: Мы обсуждаем только официально рекомендуемые зашифрованные порты для Mailtransport.

  • SMTP (требуется для hMailserver для отправки и получения электронной почты из и в Интернет)
    брандмауэр netsh advfirewall add rule name="SMTP" dir=in action=allow protocol=TCP localport=25
    netsh Брандмауэр advfirewall добавить правило name="SMTP" dir=out action=allow protocol=TCP localport=25
  • Отправка (требуется, если ваш hMailServer сконфигурирован для отправленного доступа STARTTLS MailApp)
    брандмауэр netsh advfirewall add rule name="Submission" dir=in action=allow protocol=TCP localport=587
    брандмауэр netsh advfirewall добавить правило name="Submission" dir=out action=allow protocol=TCP localport=587
  • SMTPS (требуется, если ваш hMailServer настроен для доступа SSL/TLS к отправке MailApp — может потребоваться, например: MS-Outlook)
    брандмауэр netsh advfirewall add rule name="SMTPS" dir=in action=allow protocol =TCP localport=465
    брандмауэр netsh advfirewall add rule name="SMTPS" dir=out action=allow protocol=TCP localport=465
  • IMAPS (требуется, если вы хотите использовать MailApp для просмотра электронной почты через SSL/TLS с вашего hMailServer)
    брандмауэр netsh advfirewall add rule name="IMAP" dir=in action=allow protocol=TCP localport=993
    брандмауэр netsh advfirewall добавить правило name="IMAP" dir=out action=allow protocol=TCP localport=993
  • POP3S (требуется, если вы хотите использовать MailApp для загрузки и удаления электронной почты на стороне сервера через SSL/TLS с hMailServer)
    брандмауэр netsh advfirewall add rule name="POP3S" dir=in action=allow protocol=TCP localport =995
    брандмауэр netsh advfirewall add rule name="POP3S" dir=out action=allow protocol=TCP localport=995

tunis Senior user
Сообщений: 303 Присоединился: 05.01.2015, 20:22 Местоположение: Швеция

Я открываю порты программой.

брандмауэр netsh advfirewall добавить правило name="hMailServer" dir=in program="c:\pathtohmailserver\bin\hmailserver.exe" action=allow

HMS 5.6.8 B2534.28 на виртуальной машине Windows Server 2019 Core.
HMS 5.6.8 B2538.30 на виртуальной машине Windows Server 2016 Core.
HMS 5.6.7 B2425.16 на виртуальной машине Windows Server 2012 R2 Core.

mattg Moderator
Сообщений: 21791 Присоединился: 14.06.2007, 05:12 Местоположение: 'The Outback' Australia

Открытие по портам намного безопаснее. В некоторых случаях «программа» может отвечать на команды удаленного администратора.

Оба выглядят красиво, но оба не работают .

<р>. после сброса правил брандмауэра в Windows 8.1 на значения по умолчанию (то, что было необходимо по какой-либо причине).

а) при проверке почты от клиента возникает ошибка 0x800ccc0e примерно через 10-15 секунд

б) при применении вышеуказанных правил (как IP, так и программы) проверка почты от клиента сразу приводит к ошибке 0x800ccc0f

кстати: нет никакой разницы, применяете ли вы указанные выше правила или добавляете hmailserver.exe в папку /bin через настройки из дополнительных настроек брандмауэра.

работает только полное отключение брандмауэра . но это не решение. так как (и какими средствами) настроить брандмауэр Windows?

palinka Senior user
Сообщений: 3418 Присоединился: 12.09.2017, 17:57

Оба выглядят красиво, но оба не работают .

<р>. после сброса правил брандмауэра в Windows 8.1 на значения по умолчанию (то, что было необходимо по какой-либо причине).

а) при проверке почты от клиента возникает ошибка 0x800ccc0e примерно через 10-15 секунд

б) при применении вышеуказанных правил (как IP, так и программы) проверка почты от клиента сразу приводит к ошибке 0x800ccc0f

кстати: нет никакой разницы, применяете ли вы указанные выше правила или добавляете hmailserver.exe в папку /bin через настройки из дополнительных настроек брандмауэра.

работает только полное отключение брандмауэра . но это не решение. так как (и какими средствами) настроить брандмауэр Windows?

Возможно, у вас есть ограничение групповой политики. Или любое количество других сетевых ошибок, таких как опечатка или другой брандмауэр, блокирующий соединение, или неправильная настройка маршрутизатора или.

jimimaseye Moderator
Сообщений: 9464 Присоединился: 08.09.2011, 17:48

Поэтому это ваш брандмауэр. Вы что-то упустили. Проверяйте и перепроверяйте.

[Введено с мобильного. Извините за орфографию.]

katip Старший пользователь
Сообщений: 1015 Присоединился: 22.12.2006, 07:58 Место: Стамбул

У меня никогда не было опыта работы с брандмауэрами Windows. никогда не использовал его. Моим первым делом после установки новой серверной ОС всегда было отключение FW.
Несколько месяцев назад один клиент за границей заключил сделку с интернет-провайдером на выделенную облачную виртуальную машину 2016 года + 1 Гбит WAN, «прямое подключение» со статическим IP-номером.
Они попросили меня настроить полнофункциональный почтовый сервер со сквозными SMTP, POP, IMAP, AV, AS, сертификатами, доменным именем, DNS и т. д. — все в порядке.
Потом возник вопрос, что теперь? как мне сделать это, чтобы говорить с Интернетом? Я думал, что наконец-то встречу эту знаменитую микропрограмму MS Windows.

У меня ушло меньше получаса. первые 15-20 минут, чтобы увидеть, что это вообще за хрень, остальные, чтобы настроить необходимые переадресации портов и некоторые общие вещи безопасности.
работа сделана. сдача под ключ.
Я не думаю, что это атомная наука. мой совет: сделайте глубокий вдох и начните сначала.

до прошлой недели он работал без изменений в течение нескольких лет без сбоев. hMailServer используется только для локальной сети. ПК имеет динамически распределяемый выделенный IP (всегда один и тот же, но не статический)

На прошлой неделе кабель Ethernet пришлось отключить на короткое время (примерно на 10–20 минут)

Была создана новая "сеть" (ethernet 4), сначала заданная как "общедоступная сеть", а затем измененная на "частная сеть"

доступ к почтовым учетным записям hMailServer с помощью почтового клиента с другого ПК в локальной сети возможен только при отключенном брандмауэре Windows на ПК, на котором работает hMailServer

Кстати: настройки брандмауэра не отличаются от других ПК с (работающим) hMailserver и той же ОС в локальной сети

как заставить брандмауэр Windows автоматически распознавать уже установленное приложение/программу и запрашивать разрешение на его прохождение через брандмауэр (как это делается после новой установки)?

jimimaseye Moderator
Сообщений: 9464 Присоединился: 08.09.2011, 17:48

Может быть, у вас неправильный IP-адрес назначения для переадресации портов, когда у вас есть новый сетевой адаптер?

[Введено с мобильного. Извините за орфографию.]

IP-адрес остался прежним, и единственная разница, чтобы заставить его работать или нет, заключается в включении/выключении брандмауэра Windows. Кстати: Windows создавала новое сетевое соединение — все аппаратное обеспечение (сетевой адаптер) осталось прежним.

jimimaseye Moderator
Сообщений: 9464 Присоединился: 08.09.2011, 17:48

Ваша подсказка там. (Частный? Общедоступный?)

Кому-то довольно сложно дать вам совет по этому поводу. Речь идет об изменении брандмауэра Windows для адаптации к последним изменениям, внесенным в вашу систему. (В некотором смысле это не имеет ничего общего с hmailserver — hmailserver — это просто инструмент, чтобы увидеть, правильно ли вы это сделали).

Возможно, обратитесь за советом на форумы сообщества Майкрософт — просто убедитесь, что переадресация портов выполняется по номеру порта (а не по приложению).

Читайте также: