Создайте запрещающее правило для получения IP-адреса DHCP-сервером Windows Server 2019
Обновлено: 21.11.2024
Последнее обновление: 31 марта 2021 г.
Автор: Трэвис Джентри
В этой статье описывается, как заблокировать IP-адрес на сервере Windows с помощью брандмауэра Windows.
Ограничения
На сервере должен быть запущен брандмауэр Windows. Чтобы убедиться, что брандмауэр Windows работает, выполните следующие действия:
- Нажмите "Пуск", введите панель управления и нажмите "Ввод".
- Нажмите "Брандмауэр Защитника Windows" > "Включить или отключить брандмауэр Защитника Windows".
Примечание. У вас должны быть права администратора, чтобы сервер мог изменять брандмауэр Windows.
Создайте правило брандмауэра Windows для блокировки IP-адреса
Войдите на сервер, на котором нужно заблокировать IP-адрес.
Нажмите "Пуск", введите Брандмауэр Windows в режиме повышенной безопасности и нажмите Enter.
На левой панели нажмите Правила для входящих подключений, чтобы отобразить текущие настроенные правила на средней панели.
На правой панели нажмите Действия >Новое правило….
- В поле "Тип правила" выберите "Пользовательский" и нажмите "Далее".
- В разделе "Программа" выберите "Все программы" и нажмите "Далее".
- В поле "Протокол и порты" выберите "Любой" в раскрывающемся списке "Тип протокола" и нажмите "Далее".
- Для области применения:
- В разделе "К каким удаленным IP-адресам применяется это правило?" выберите круговой вариант: Эти IP-адреса:.
- Нажмите "Добавить...".
- Введите IP-адрес, который вы хотите заблокировать от сервера, и нажмите OK. Вы также можете заблокировать диапазон IP-адресов, выбрав параметр Этот диапазон IP-адресов: радиальный.
После того, как вы закончите добавлять IP-адреса, нажмите «Далее».
В разделе "Действие" выберите "Блокировать подключение" и нажмите "Далее".
Для профиля оставьте отмеченными все параметры и нажмите "Далее".
В поле «Имя» дайте правилу описательное имя, например IP-адреса из черного списка. Вы также можете ввести дополнительное описание правила.
Нажмите "Готово".
Вновь созданное правило с заданным именем теперь отображается на средней панели «Правила для входящих подключений». Чтобы упорядочить правила в алфавитном порядке по имени, щелкните заголовок столбца «Имя».
Если вам нужно отключить правило, щелкните его правой кнопкой мыши в списке и выберите "Отключить правило".
Если вам нужно изменить диапазон IP-адресов для правила, щелкните правой кнопкой мыши правило в списке и выберите Свойства. Затем перейдите на вкладку "Область", внесите необходимые изменения и нажмите "Применить".
Служба DHCP-сервера выполняет настройку TCP/IP для DHCP-клиентов, включая динамическое назначение IP-адресов, указание DNS-серверов и имен DNS для конкретных подключений. Контроллеры домена не требуют службы DHCP-сервера для работы, и для повышения безопасности и защиты серверов рекомендуется не устанавливать роль DHCP-сервера на контроллерах домена.
Посмотрите, как специалист по работе с клиентами объясняет проблему
Контекст и рекомендации
Протокол динамической конфигурации хоста (DHCP) — это клиент-серверный протокол, который автоматически предоставляет хосту интернет-протокола (IP) его IP-адрес и другую связанную информацию о конфигурации, такую как маска подсети и шлюз по умолчанию. DHCP позволяет узлам получать необходимую информацию о конфигурации TCP/IP с DHCP-сервера. DHCP также может обновлять записи DNS от имени своих клиентов.
Для работы контроллеров домена не требуется служба DHCP-сервера, а для повышения безопасности и защиты серверов рекомендуется не устанавливать роль DHCP-сервера на контроллерах домена, а вместо этого устанавливать роль DHCP-сервера на рядовых серверах. р>
Предлагаемые действия
Чтобы решить эту проблему, выполните следующие действия:
- Остановите службу DHCP-сервера и отключите ее на всех затронутых контроллерах домена.
- Нажмите "Пуск", введите "Выполнить", введите services.msc и нажмите "ОК".
- В списке служб найдите службу DHCP-сервер.
- Если он существует, дважды щелкните DHCP-сервер.
- На вкладке "Общие" в разделе "Тип запуска" выберите "Отключено".
- Если в статусе службы указано "Работает", нажмите "Остановить".
- Нажмите "ОК".
- Повторите эти шаги для всех затронутых контроллеров домена. ол>
- В диспетчере сервера нажмите "Управление", а затем нажмите "Удалить роли и компоненты".
- Нажмите "Далее".
- Выберите локальный сервер и нажмите "Далее".
- На странице "Удалить роли сервера" снимите флажок "DHCP-сервер".
- Нажмите «Удалить компоненты», затем нажмите «Далее».
- На странице "Удалить компоненты" нажмите "Далее".
- Нажмите "Удалить".
- После завершения удаления нажмите "Закрыть".
- Повторите эти шаги для всех затронутых контроллеров домена.
- Если разрешенный список включен, DHCP-сервер автоматически предоставляет IP-адреса только клиентам из этого списка, отклоняя все остальные. Если у клиентов уже был IP-адрес перед фильтрацией, их IP-адрес не будет автоматически обновляться по истечении срока аренды.
- Если включен список запрещенных, DHCP-сервер отбрасывает всех клиентов из этого списка. Если у клиентов уже был IP-адрес, и теперь они находятся в списке запрещенных, их аренда не будет продлена после истечения срока их действия.
- При объединении двух параметров, Разрешить и Запретить, список Запретить имеет приоритет. Это означает, что если клиент находится в списке запрещенных, он будет запрещен в любом случае, даже если он находится в списке разрешенных.
Примечание. При удалении роли DHCP-сервера служба DHCP-сервера также удаляется из списка служб.
Чтобы получить общий отзыв о Центре ресурсов или контенте, отправьте свой ответ на UserVoice.Для конкретных запросов и обновлений контента, касающихся Services Hub, свяжитесь с нашей службой поддержки, чтобы отправить запрос.
Фильтры DHCP в основном используются для дополнительной защиты инфраструктуры, разрешая или запрещая определенным клиентам на основе их MAC-адресов. Настройка фильтров DHCP довольно проста и работает на уровне сервера, а не на уровне области.
Короче говоря, с помощью DHCP-фильтрации вы можете фильтровать клиентов по их MAC-адресам, чтобы либо разрешить им получать адреса от DHCP-сервера, либо предотвратить (запретить) это.
Прежде чем приступить к реализации DHCP-фильтров, вам необходимо узнать, как эти фильтры применяются.
Теперь давайте посмотрим, как настроить фильтры DHCP.
Настройка фильтров в DHCP Server 2016
В консоли DHCP разверните сервер и объекты IPv4 и перейдите к объекту «Фильтры». Здесь вы увидите две подпапки (списки): Разрешить и Запретить. По умолчанию два списка деактивированы, и вы можете увидеть это по красной стрелке вниз, как показано на рисунке ниже.
Чтобы добавить DHCP-клиент в список разрешенных, щелкните правой кнопкой мыши и выберите Новый фильтр. Затем введите MAC-адрес клиента и описание (необязательно) и нажмите кнопку «Добавить», чтобы завершить процесс.
Вводимый вами MAC-адрес может быть с пунктиром (например, AA-BB-CC-DD-EE-FF) или без него (например, AABBCCDDEEFF). Вы также можете использовать звездочку (*) в качестве подстановочного знака для объявления диапазона MAC-адресов. Например, AA-BB-*-DD-EE-FF, AA-BB-CC-*-*-*, AA-BB-*.
Соответственно, выполните ту же процедуру, чтобы добавить клиентов в список запрещенных.
Важно знать, что список запретов имеет преимущество перед любым другим параметром. Итак, если клиент не получает IP-адрес от DHCP-сервера, а фильтры включены, то вашим первым действием будет проверка, есть ли он в списках запрещенных, а затем в списках разрешенных.
Кроме того, вы можете переместить одного или нескольких клиентов из одного списка в другой, щелкнув правой кнопкой мыши и выбрав соответствующую опцию.
То же самое можно сделать для клиентов, уже находящихся в аренде адресов, конечно, без необходимости вводить MAC-адрес.
Наконец, не забудьте включить или отключить списки разрешенных и запрещенных, щелкнув правой кнопкой мыши и выбрав соответствующий параметр.
Если клиенты DHCP являются виртуальными машинами сервера Hyper-V, вы можете предпочесть установить статический MAC-адрес вместо динамических MAC-адресов, которые назначаются по умолчанию.
У меня есть пара сотрудников, которые постоянно подключают свои личные ноутбуки к сети, я хочу запретить этим машинам адрес DHCP, можно ли это сделать в Windows 2000 DHCP?
Если нет, можно ли это сделать на другом сетевом уровне?
Призрачный пес
Популярные темы DHCP и IPAM
akp982 — поставщик ИТ-услуг.
Если вы знаете MAC-адрес компьютера-нарушителя, вы можете использовать MAC-адрес, чтобы настроить резервирование для машины с неверным IP-адресом, возможно, даже настроить «плохой» суперскоп и иметь неверный DNS и шлюз. в?
18 ответов
akp982 — поставщик ИТ-услуг.
Если вы знаете MAC-адрес компьютера-нарушителя, вы можете использовать MAC-адрес, чтобы настроить резервирование для машины с неверным IP-адресом, возможно, даже настроить «плохой» суперскоп и иметь неверный DNS и шлюз. в?
Наилучшим способом на сегодняшний день является отказ агента в доступе к порту, где CSA работает хорошо. Даже если вы их заблокируете, если на ноутбуке есть вирус, многие из них достаточно умны, чтобы начать трансляцию и злоупотреблять вашей сетью.
Если вы не можете позволить себе решение в стиле CSA, вы всегда можете сделать то, к чему привык я. Резервирование DHCP по всем направлениям для каждого ПК. Или статический IP для всех развернутых ПК. Патчируйте только те порты, которые используются ПК, оставляя остальные мертвыми в воде до тех пор, пока они не потребуются. Немного больше времени уходит, но не так уж плохо, когда система работает.
Конечно, ничто не сравнится со старым добрым страхом Божьим, который внушают девиантам из вашей администрации. Простой демонстрации финансового бремени частных ноутбуков должно быть достаточно. Просто укажите цену агентов CSA для локальной сети вместе с оборудованием. Затем покажите администрации стоимость очистки от вирусов или утечки данных. Вы увидите, что ваша проблема исчезнет довольно быстро.
О, и последнее, что вы можете сделать, это установить беспроводную точку доступа, отделенную от локальной сети, возможно, в вашей демилитаризованной зоне, и позволить людям использовать ее для частного использования. Не забудьте заглушить его.
Да, это можно сделать через MAC-адрес. Однако это может быть проблемой, если в вашей сети много компьютеров.
Как фильтровать MAC-адреса с помощью библиотеки вызовов DHCP-сервера Windows Server 2003/2008
Как мы все знаем, DHCP-серверы используются для назначения IP-адресов и другой информации о конфигурации клиентским компьютерам, работающим практически под управлением любой операционной системы, начиная от обычных настольных компьютеров и заканчивая портативными компьютерами, тонкими клиентами и мобильными устройствами. Все они требуют DHCP-сервера для получения настроек конфигурации TCP/IP (если только вы не настроите их вручную). Одной из основных проблем, связанных с использованием DHCP-серверов, был тот факт, что в тот момент, когда компьютер подключается к вашей сети, он будет запрашивать и получать IP-адрес от любого доступного DHCP. Это произойдет как с доверенными, так и с ненадежными компьютерами, что создаст для нас, администраторов, потенциальную угрозу безопасности.
Вы никогда не хотели использовать DHCP-сервер на базе Windows для фильтрации нежелательных MAC-адресов? До этого момента единственным вариантом, который у вас был, было либо вручную настроить резервирование для всех ваших известных DHCP-клиентов, либо использовать стороннее оборудование для фильтрации.
Ну, теперь можно!
Некоторое время назад Раунак Пандья из группы DHCP Server опубликовал библиотеку DLL, которую можно установить на DHCP-серверы Windows Server 2003 и Windows Server 2008 и которая помогает администраторам отфильтровывать DHCP-запросы к DHCP-серверу на основе MAC-адреса. . Эта библиотека DLL называется «DLL вызова DHCP-сервера».
Примечание. MAC-адрес или адрес управления доступом к среде — это уникальный аппаратный идентификатор сетевой карты (или сетевой карты) в формате 02-00-54-55-4E-01.
Как это работает?
Когда устройство или компьютер пытается подключиться к сети, оно сначала попытается получить IP-адрес с любого доступного DHCP-сервера. После установки DLL DHCP Server Callout проверяет, присутствует ли MAC-адрес этого устройства в известном списке MAC-адресов, настроенном администраторами. Если он присутствует, устройству будет разрешено получить IP-адрес от DHCP. В противном случае запросы устройств будут игнорироваться в зависимости от действий, настроенных администратором.
Фильтрация на основе MAC-адресов позволит сетевому администратору гарантировать, что только известный набор устройств в системе сможет получить IP-адрес от DHCP. Эта библиотека DLL поможет администраторам усилить безопасность своей сети.
Проблемы, решаемые с помощью DLL DHCP Server Callout
DLL DHCP Server Callout поможет сетевым администраторам решить одну из следующих проблем:
-
Разрешить только определенному набору известных MAC-адресов получать IP-адрес от DHCP-сервера. Этот список можно легко составить с помощью документации вашего сервера/клиентского компьютера, с помощью хорошего программного обеспечения для мониторинга, такого как SMS 2003, или с помощью сценариев на основе WMI.
К сожалению, DHCP Server Callout DLL в настоящее время может выполнять только одно действие. Либо разрешить, либо запретить определенные MAC-адреса. Он не может делать и то, и другое.
DLL DHCP Server Callout работает на DHCP-серверах Windows Server 2003 и Windows Server 2008.
Читайте также: