- Профиль домена: управляет трафиком в сети, которая использует тот же контроллер домена, что и администрируемый сервер.
- Частный профиль. Он управляет трафиком с локальным сервером или сетью, которая обычно находится за устройством NAT, например в домашних сетях или сетях малого бизнеса.
- Общедоступный профиль. Он контролирует входящий и исходящий трафик всех сетей, кроме сетей домена. На практике это влияет на все прямые подключения к общедоступному Интернету.
Обычно профиль домена имеет меньше правил, чем общедоступный, поскольку предполагается, что все компьютеры в сети аутентифицированы.
Правила
Существует два набора правил, которые можно применить: «Входящие» и «Исходящие». При первой установке уже будут присутствовать некоторые правила. Правила могут присутствовать, но не обязательно включены. Рядом со всеми активными (включенными) правилами стоит зеленая галочка.
Включение и отключение
Нажатие правой кнопкой мыши на правиле позволит включить или отключить его (в зависимости от того, включено оно уже или отключено).
Новое правило
Чтобы создать новое правило, нажмите «Новое правило» на панели «Действия» в правой части приложения брандмауэра. После выбора пользователь может создать правило для нескольких ситуаций:
- Правило программы, которое применяется только к определенной программе
- Правило порта, которое применяется только к порту TCP или UDP
- Предопределенное правило, представляющее собой раскрывающееся меню встроенных правил.
- Пользовательские, которые позволяют комбинировать программу, порт и IP-адрес в правиле
Любое правило может быть применено к любой комбинации доменных, частных или общедоступных профилей.
Правила редактирования
Любое правило, независимо от того, включено оно или нет, можно изменить. Щелчок правой кнопкой мыши по правилу позволит изменить его свойства. Откроется диалоговое окно, аналогичное тому, которое доступно при создании нового правила. Обратите внимание, что нельзя изменить все свойства предопределенных правил.
Копировать, вставлять, удалять
Щелкнув правило правой кнопкой мыши, можно сделать следующее:
- Любое правило, независимо от того, включено оно или нет, можно скопировать, а затем вставить.
- Любое правило, независимо от того, включено оно или нет, можно удалить.
Резюме урока
Брандмауэр Windows в режиме повышенной безопасности установлен и включен в новой установке Windows Server 2016. Он имеет три профиля домена: домен, частный и общедоступный.
Правила можно применять к каждому профилю для входящего и исходящего трафика в сети. Правила можно включать, редактировать и копировать. Каждое правило может применяться в нескольких ситуациях. Можно использовать программу, порт и предопределенные правила, а также пользовательскую опцию, позволяющую создать комбинацию правил программы, порта или IP-адреса.
Руководства, учебные пособия, обзоры и новости для системных администраторов.
Настройка брандмауэра Windows в режиме повышенной безопасности
В Windows Server 2016 брандмауэр Windows включен по умолчанию. Это разрешает весь исходящий трафик в любой пункт назначения или порт, но ограничивает входящий трафик на основе определенных правил. Мы расскажем, как настроить брандмауэр Windows в режиме повышенной безопасности, показав, как открыть его через графический интерфейс и PowerShell, а затем продемонстрируем, как создать пользовательское правило брандмауэра.
Этот пост является частью нашей серии руководств по подготовке к экзамену Microsoft 70-744 Securing Windows Server 2016. Для получения дополнительных сообщений и информации по теме ознакомьтесь с нашим полным учебным пособием 70-744.
Брандмауэр Windows — панель управления
Основные настройки брандмауэра Windows можно изменить, выбрав «Панель управления» > «Система и безопасность» > «Брандмауэр Windows», как показано ниже. Доступ к этому интерфейсу также можно получить через PowerShell или командную строку, введя «firewall.cpl».
Здесь мы можем графически просмотреть состояние брандмауэра для доменного, частного и общедоступного профилей. Эти разные профили используются в зависимости от вашего текущего сетевого подключения.Например, если вы присоединены к домену Active Directory, будут использоваться правила, применяемые в профиле домена, а если вы подключены к общедоступной беспроводной сети, будут использоваться настройки общедоступного профиля.
Задачи, которые можно здесь выполнить, показаны в меню слева, мы не будем вдаваться в подробности, так как в основном будем иметь дело с расширенными настройками. Чтобы получить доступ к дополнительным параметрам, вы можете выбрать ссылку дополнительных параметров в этом меню слева в брандмауэре Windows.
Брандмауэр Windows в режиме повышенной безопасности
Как упоминалось выше, мы можем открыть брандмауэр Windows в режиме повышенной безопасности, нажав кнопку дополнительных настроек в брандмауэре Windows. Мы также можем запустить «wf.msc» либо в PowerShell, либо в командной строке, чтобы напрямую открыть расширенный интерфейс безопасности. На изображении ниже показан расширенный интерфейс безопасности после открытия.
В этом окне мы видим обзор доменного, частного и общедоступного профилей, которые по умолчанию должны быть включены и блокировать входящий трафик и разрешать исходящий трафик.
В меню слева мы можем выбрать входящие или исходящие правила. Поскольку все исходящие сообщения разрешены по умолчанию, здесь мы сосредоточимся на правилах для входящих. Правила безопасности подключения также можно настроить для настройки подключений IPSec, а мониторинг можно использовать для регистрации различных событий брандмауэра.
В разделе правил для входящего и исходящего трафика мы можем просмотреть правила, которые существуют и включены в данный момент. Эти правила доступны по умолчанию, правила со значком зеленой галочки слева включены и пропускают трафик, в то время как правила без значка отключены.
Отключенное правило можно включить, просто щелкнув его правой кнопкой мыши и выбрав «Включить». Точно так же мы можем щелкнуть правой кнопкой мыши включенное правило и изменить его на отключенное. Мы также можем просмотреть свойства правила, щелкнув его правой кнопкой мыши и выбрав свойства. Это позволит вам увидеть, что на самом деле делает правило, в том числе порты, которые разрешены через брандмауэр для определенных программ, мы увидим это более подробно позже, когда будем создавать собственное правило.
Создайте правило брандмауэра
Выберите «Правила для входящих подключений» в меню слева, а затем выберите «Новое правило» на панели действий справа. Откроется мастер нового входящего правила. Отсюда мы можем выбрать, хотим ли мы создать правило для конкретной программы, для определенного порта или на основе существующего правила. В этом случае мы выберем пользовательский, так как это дает нам наибольший выбор.
На следующем экране мы можем выбрать конкретную программу или службу, для которых брандмауэр должен разрешать трафик. В этом случае мы просто выберем все программы, однако обратите внимание, что это можно использовать для дальнейшей блокировки правила, а не только для разрешения на основе порта/IP-адреса, мы также можем разрешить трафик только для определенной программы.
Далее мы можем выбрать порт и протокол, к которым должно применяться правило. В раскрывающемся списке можно выбрать множество различных протоколов, в этом примере мы указываем, что локальный TCP-порт 9000 должен быть разрешен через брандмауэр. Здесь мы используем локальный порт, так как порт 9000 доступен локально на этом сервере и прослушивает подключения.
Теперь мы можем выбрать IP-адрес или диапазон адресов, которые разрешены нашим правилом брандмауэра. В этом случае я разрешаю удаленный диапазон адресов 192.168.0.0/24 через брандмауэр, поэтому только этот диапазон IP-адресов будет разрешен для подключения к серверу через TCP-порт 9000.
На этом этапе мы указываем, хотим ли мы разрешить или запретить правило, которое мы создаем, мы оставим его на разрешении, так как мы хотим разрешить 192.168.0.0/24 на TCP-порту 9000, однако мы могли бы по желанию вместо этого явно заблокируйте это. Мы также могли бы разрешить подключение только в том случае, если оно безопасно, что зависит от настройки IPSec.
Мы можем выбрать, к каким профилям брандмауэра будет применяться наше новое правило. По умолчанию выбраны все профили, однако вы можете изменить это в соответствии с вашими требованиями.
Наконец, мы можем указать имя и необязательное описание для идентификации нашего правила. После завершения нажмите «Готово», отметив, что как только вы это сделаете, правило будет действовать в соответствии с тем, как вы его настроили.
Наше новое правило теперь будет отображаться в верхней части списка правил для входящего трафика над всеми правилами по умолчанию. Мы можем идентифицировать его по имени и кратко посмотреть, что он делает, он разрешает диапазон удаленных адресов 192.168.0.0/24 в локальный порт 9000 с протоколом TCP во всех профилях и включен.
Создав настраиваемые правила брандмауэра, подобные этому, мы можем успешно настроить брандмауэр Windows с повышенной безопасностью.
Обзор
Мы можем настроить очень простые правила брандмауэра с помощью брандмауэра Windows, однако брандмауэр Windows в режиме повышенной безопасности используется для создания гораздо более настраиваемых и детализированных правил, как мы видели здесь.
Этот пост является частью нашей серии руководств по подготовке к экзамену Microsoft 70-744 Securing Windows Server 2016. Для получения дополнительных сообщений и информации по теме ознакомьтесь с нашим полным учебным пособием 70-744.
Брандмауэр Windows позволяет ограничивать входящий/исходящий сетевой трафик для определенного приложения, протокола или порта TCP/IP. Это простой способ ограничить сетевой доступ к/от пользовательских рабочих станций или серверов. Вы можете настроить правила брандмауэра Windows индивидуально на каждом компьютере или, если пользовательский компьютер присоединен к домену Active Directory, администратор может управлять настройками и правилами брандмауэра Защитника Windows с помощью GPO.
На крупных предприятиях правила фильтрации портов обычно устанавливаются на уровне маршрутизаторов, коммутаторов L3 или выделенных устройств брандмауэра. Однако ничто не мешает вам развернуть правила ограничения сетевого доступа брандмауэра Windows на рабочие станции или серверы Windows.
Параметры групповой политики для управления правилами брандмауэра Защитника Windows
С помощью редактора групповой политики домена (консоль управления групповыми политиками — gpmc.msc) создайте новый объект групповой политики (политику) с именем Firewall-Policy и перейдите в режим редактирования. р>
В консоли управления групповыми политиками есть два раздела, которые позволяют управлять настройками брандмауэра:
- Конфигурация компьютера -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр Windows — этот раздел объекта групповой политики использовался для настройки правил брандмауэра в ОС Vista/Windows Server 2008 или более ранних версиях. Если у вас нет компьютеров с этими старыми версиями ОС, используйте следующий раздел политики для настройки брандмауэра;
- Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Брандмауэр Windows в режиме повышенной безопасности — фактический раздел для настройки брандмауэра Windows в современных версиях ОС Windows, интерфейс которого аналогичен интерфейсу локальной консоли управления брандмауэра Defender.
ол>р>
Как включить брандмауэр Windows с помощью GPO?
Чтобы пользователи (даже с правами локального администратора) не могли остановить службу брандмауэра, рекомендуется настроить автоматический запуск брандмауэра Windows с помощью GPO. Для этого перейдите в «Конфигурация компьютера» -> «Параметры Windows» -> «Параметры безопасности» -> «Системные службы». Найдите Брандмауэр Windows в списке служб и измените режим запуска на автоматический (Определите этот параметр политики -> Режим запуска службы Автоматический). Убедитесь, что у ваших пользователей нет прав на остановку службы.
Перейдите в раздел Конфигурация компьютера -> Параметры Windows -> Параметры безопасности в консоли GPO.Щелкните правой кнопкой мыши Брандмауэр Windows в режиме повышенной безопасности и откройте свойства.
Измените состояние брандмауэра на «Вкл.» (рекомендуется) на всех трех вкладках: «Профиль домена», «Частный профиль» и «Общий профиль» (Что такое сетевые расположения в Windows?). В зависимости от политик безопасности в вашей компании вы можете указать, что все входящие подключения по умолчанию блокируются (Входящие подключения -> Блокировать), а исходящие подключения разрешены (Исходящие подключения -> Разрешить). Сохраните изменения.
Как создать правило брандмауэра с помощью GPO?
Попробуем создать разрешающее правило брандмауэра Windows для входящего трафика. Например, мы хотим разрешить входящее RDP-подключение ко всем компьютерам (порт TCP 3389). Щелкните правой кнопкой мыши раздел "Правила для входящих подключений" и выберите "Новое правило".
Мастер правил брандмауэра имеет интерфейс, аналогичный интерфейсу локального брандмауэра Windows на настольном компьютере пользователя.
Выберите тип правила. Вы можете разрешить доступ к:
В нашем случае мы выберем правило порта. В качестве протокола укажем TCP, а в качестве порта — порт 3389 (это порт RDP по умолчанию, но вы можете изменить его через реестр).
Затем вы должны выбрать, что делать с таким сетевым подключением: разрешить подключение, разрешить, если оно защищено, или заблокировать подключение.
Затем выберите профили брандмауэра, к которым нужно применить правило. Вы можете оставить все профили включенными (доменные, частные и общедоступные).
На последнем шаге укажите имя и описание правила. Нажмите «Готово», и оно появится в списке правил брандмауэра.
Таким же образом вы можете настроить другие правила для входящего трафика, которые будут применяться к вашим клиентам Windows. Не забудьте создать правила для входящего и исходящего трафика.
Теперь просто назначьте политику брандмауэра организационной единице с пользовательскими компьютерами.
Важно. Прежде чем применять политику брандмауэра к OU с продуктивными компьютерами, настоятельно рекомендуется опробовать ее на нескольких тестовых компьютерах. В противном случае из-за неправильных настроек брандмауэра вы можете парализовать корпоративную сеть. Чтобы диагностировать, как применяется ваша групповая политика, используйте инструмент gpresult.
Тестирование политик брандмауэра Windows на клиентах
Обновите параметры групповой политики на своих клиентах (gpupdate /force). Убедитесь, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или инструмент Portqry).
На пользовательском ПК откройте Панель управления -> Система и безопасность -> Брандмауэр Защитника Windows и убедитесь, что есть сообщение Для вашей безопасности некоторые параметры контролируются групповой политикой и вашими настройками брандмауэра. используются.
Теперь пользователь не может изменять настройки брандмауэра, и все созданные вами правила должны отображаться в списке правил для входящих подключений.
Вы также можете отобразить настройки брандмауэра с помощью этой команды:
показать состояние брандмауэра netsh
Как импортировать/экспортировать правила брандмауэра Windows в/из объекта групповой политики?
Конечно, процесс создания правил брандмауэра Windows — кропотливая и трудоемкая задача (однако она того стоит). Чтобы упростить задачу, вы можете импортировать/экспортировать настройки брандмауэра Windows.Для этого достаточно настроить локальный брандмауэр на эталонной рабочей станции так, как вам нужно. Затем перейдите в корень оснастки брандмауэра Windows (брандмауэр Windows в режиме повышенной безопасности) и выберите «Действие» -> «Экспортировать политику».
Политика будет экспортирована в файл WFW, который можно импортировать в редактор управления групповыми политиками, выбрав параметр «Импортировать политику» и указав путь к файлу .wfw (текущие параметры политики будут перезаписаны).
Доменные и локальные правила брандмауэра Защитника Windows
В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать свои собственные правила брандмауэра на своих компьютерах для объединения с правилами, полученными из групповой политики, вы можете выбрать параметр объединения правил. Откройте свойства политики и просмотрите параметры в разделе Объединение правил. По умолчанию слияние правил включено. Вы можете разрешить локальному администратору создавать свои собственные правила брандмауэра: выберите Да (по умолчанию) в параметре Применить локальные правила брандмауэра.
Совет. Блокирующие правила брандмауэра имеют более высокий приоритет, чем разрешающие. Это означает, что пользователь не может создать разрешающее правило доступа, если оно противоречит блокирующему правилу, настроенному администратором с помощью GPO. Однако пользователь сможет создать локальное правило блокировки, даже если доступ разрешен в политике администратором.
Советы: управление брандмауэром Windows с помощью объектов групповой политики
Конечно, вам следует создать отдельные политики для управления правилами брандмауэра Windows для серверов и рабочих станций (возможно, вам придется создать отдельные политики для каждой группы похожих серверов в зависимости от их роли). Это означает, что правила брандмауэра для контроллера домена, почтового сервера Exchange и SQL-сервера будут отличаться.
Вы можете узнать, какие порты должны быть открыты для каждой службы, на веб-сайте поставщика. Процесс довольно кропотливый и сложный на первый взгляд. Однако вы, наконец, можете получить работающую конфигурацию брандмауэра Windows, которая разрешает только разрешенные сетевые подключения и блокирует другие. Из своего опыта хочу отметить, что вы можете быстро найти список используемых портов TCP/UDP для программного обеспечения Microsoft.
Читайте также:
|