Windows server 2019 отключить брандмауэр

Обновлено: 22.11.2024

Windows Server 2019 содержит программу брандмауэра под названием Брандмауэр Защитника Windows в режиме повышенной безопасности. Брандмауэр фильтрует входящий и исходящий трафик вашего экземпляра Windows Server 2019, чтобы защитить его от распространенных сетевых атак. По умолчанию брандмауэр разрешает доступ ко всем предустановленным системным программам.

Однако некоторые программы могут использовать для работы несколько разных портов, и они будут автоматически заблокированы, поскольку не соответствуют правилам конфигурации вашего брандмауэра. В этом случае вам нужно открыть определенный порт на Windows Server.

Предпосылки

  • Развертывание экземпляра Windows Server 2019 на Vultr
  • Приложение для подключения к удаленному рабочему столу

Установите соединение с вашим сервером, войдя в систему через любое приложение для удаленного рабочего стола, или щелкните консоль на панели инструментов Vultr, чтобы получить доступ к вашему серверу. После подключения вы можете приступить к настройке правил брандмауэра Windows Server 2019.

Включить брандмауэр Windows

По умолчанию брандмауэр Защитника Windows включен, но в любом случае вам следует подтвердить текущий статус и включить брандмауэр. Для этого щелкните узел инструментов в диспетчере серверов и выберите Брандмауэр Защитника Windows в режиме повышенной безопасности в раскрывающемся списке.

В открытом окне управления групповыми политиками проверьте текущее состояние профилей брандмауэра Windows, если для него установлено значение ВКЛ.; в противном случае щелкните параметр свойств брандмауэра Защитника Windows и включите службу для каждого профиля.

Правила брандмауэра

Правила брандмауэра Windows позволяют разрешать или блокировать определенные входящие и исходящие сетевые пакеты на вашем сервере. Вы можете выбрать несколько параметров для каждого входящего или исходящего правила. Правило может состоять из порта TCP или UDP, имени программы, службы или протокола для фильтрации для каждого профиля сервера.

Профили сервера Windows группируются в доменные, частные и общедоступные. Домен представляет собой подключение вашего сервера к корпоративной доменной сети, Частный относится к вашему домашнему или рабочему сетевому подключению, а Общедоступный представляет незащищенные общедоступные сетевые расположения.

Открыть входящий порт (входящие соединения)

Запустите брандмауэр Защитника Windows из подменю инструментов диспетчера серверов. Затем выберите Правила для входящих подключений на левой панели консоли брандмауэра.

Отобразится список текущих правил. Теперь в левом подменю «Правила для входящих подключений» в разделе «Действия» нажмите «Новое правило».

Выберите Порт в качестве типа правила в мастере правил и нажмите Далее.

Теперь выберите, будет ли новое правило применяться к порту TCP или UDP на вашем сервере. Затем выберите определенные порты и введите номер целевого порта, вы можете ввести диапазон портов или несколько портов, разделенных символами - и , соответственно, затем нажмите «Далее».

Определите правило порта TCP или UDP.

В этом случае выберите Разрешить подключение, чтобы открыть порт.

Нажмите «Далее», чтобы назначить новое правило одному или нескольким профилям. Вы можете выбрать между Доменом, Частным и Общедоступным или выбрать все, чтобы применить правило брандмауэра к нескольким профилям.

Затем присвойте новому правилу брандмауэра собственное имя и описание, чтобы упростить идентификацию. Затем нажмите «Готово», чтобы включить новое правило. Ваше новое правило для входящего (входящего) порта будет включено, и все соединения с сервером, соответствующие этому порту, будут приниматься.

Открыть исходящий порт (исходящее соединение)

В консоли брандмауэра Защитника Windows нажмите "Правила для исходящих подключений" на левой панели, после чего отобразится список доступных правил для исходящих подключений.

Теперь нажмите Новое правило на правой панели под узлом исходящих правил.

В мастере нового правила для исходящего трафика выберите Порт в качестве типа правила и нажмите Далее.

Теперь давайте выберем, применяется ли новое правило к порту TCP или UDP. Затем выберите конкретные удаленные порты и введите номер порта целевого сервера; вы можете ввести диапазон портов, один порт или несколько разных портов, которые вы собираетесь открыть.

Далее на странице "Действие" выберите "Разрешить подключение", затем нажмите "Далее", чтобы выбрать профиль сервера, для которого должно быть включено правило.

Дайте новому правилу исходящего трафика имя и описание, которое однозначно его описывает. Затем нажмите «Готово», чтобы правило исходящего трафика для целевого порта было открыто во всех выбранных профилях сервера.

Откройте порт через Windows PowerShell

В меню "Пуск" Windows откройте PowerShell. Затем отредактируйте следующую команду и замените ее своими настройками.

  • New-NetFirewallRule Создает новое правило брандмауэра.
  • Enabled. Это включает новое правило, по умолчанию для него будет установлено значение True.
  • LocalPort Номер целевого порта.
  • Протокол Указывает протокол, связанный с вашим номером порта.
  • Направление Устанавливает целевое направление: Входящее (входящее) или Исходящее (исходящее).
  • Профиль Назначает новое правило профилю сервера; вы можете выбрать домен, частный или общедоступный.
  • Действие определяет состояние нового правила брандмауэра, введите "разрешить".
  • DisplayName устанавливает пользовательское имя для нового правила брандмауэра.

Ваш вывод должен быть похож на приведенный ниже.

Поздравляем, вы только что открыли сетевой порт на своем Windows Server 2019. Сервер будет принимать входящие и исходящие подключения через выбранные порты, но брандмауэр будет блокировать подключения из профиля, который не соответствует правилу порта.

Если вам нужно установить на сервер Windows 2019 некоторые сторонние приложения, для которых требуется подключение между другими клиентами и серверами, вам необходимо проверить состояние встроенного брандмауэра. В некоторых случаях вы можете открыть/разрешить определенные порты в политике брандмауэра, но в других случаях вам необходимо отключить брандмауэр, чтобы приложение работало должным образом.

Отключение брандмауэра Windows раньше было простым вариантом в более ранних операционных системах, просто отключив службу «Брандмауэр Windows» в управлении компьютером. К сожалению, вы не найдете ту же службу «Брандмауэр Windows» на сервере Windows 2019. Поскольку Защитник Windows управляет сетевым брандмауэром на сервере Windows 2019, мы не видим отдельной службы для его отключения.

Это не означает, что мы не можем отключить брандмауэр Windows на сервере 2019. Есть много способов сделать это из GUI, CMD и Powershell. Я не буду описывать эти шаги здесь. В основном я ориентируюсь на шаги, которые вам, возможно, придется выполнить, если политика брандмауэра Windows управляется вашим администратором (через политику домена). В этом случае любые действия, которые вы выполняете на локальном компьютере для отключения брандмауэра, не будут работать, если сервер является частью доменной сети.

Служба брандмауэра Windows в Windows 2019:

Как показано ниже, он был заменен брандмауэром Защитника Windows, и у нас не будет возможности остановить его и изменить состояние на Отключено/Вручную.

Тем временем вот состояние сервера Windows 2012 R2, в котором мы можем остановить службу и отключить ее. Таким образом, брандмауэр Windows будет постоянно отключен на сервере для любого типа сетевого профиля.

Хитрость по отключению брандмауэра в Windows 2019 Server — когда им управляет ваш администратор

    Узнайте правильный подключенный сервер сетевого профиля.

Если вы присоединились к домену и политики домена применяются правильно, я уверен, что сетевой профиль вашего сервера будет «Доменная сеть».

Откройте «Локальную политику безопасности» на сервере и выберите параметр «Брандмауэр Защитника Windows…», как показано ниже. Затем нажмите на свойства настроек.

Тем не менее, Защитник Windows покажет, что "Брандмауэр включен" для доменной сети. Если щелкнуть доменную сеть в настройках Защитника Windows, вы не сможете отключить брандмауэр, поскольку он управляется политикой организации.

Как упоминалось ранее, это можно сделать путем модификации реестра. Откройте реестр и войдите в указанное ниже место.

Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall
Прежде чем что-либо делать, рекомендуется экспортировать настройки реестра.

У нас есть два варианта достижения нашей цели (используйте только любой из них).

Нажмите Профиль домена и измените значение с 1 на 0 для EnableFirewall. Перезапустите сервер, чтобы изменения вступили в силу.

Это единственный известный мне простой и работающий метод отключения брандмауэра Windows на сервере Windows 2019, когда он управляется организацией/администратором в доменной среде. Нам не нужно изменять общую групповую политику или делать исключение для этого сервера в политике, что может потребовать дополнительных действий и последствий на уровне домена.

Динеш

Динеш является основателем Sysprobs и написал более 400 статей. Энтузиаст Microsoft и облачных технологий с более чем 15-летним опытом работы в сфере ИТ.

Как отключить брандмауэр Windows с помощью PowerShell в Windows Server 2012/2016/2019? Я не рекомендую отключать брандмауэр Windows с помощью PowerShell. Но если у вас есть тестовая лаборатория и вы хотите отключить ее для тестирования, вперед. Не забудьте включить брандмауэр, когда закончите тестирование. В этой статье вы узнаете, как отключить брандмауэр Windows с помощью PowerShell.

Оглавление

Информация о профилях брандмауэра Windows

Брандмауэр Windows предлагает три профиля брандмауэра:

  • Профиль домена: применяется к сетям, в которых хост-система может аутентифицироваться на контроллере домена.
  • Частный профиль: назначаемый пользователем профиль, который используется для обозначения частных или домашних сетей.
  • Общедоступный профиль: это профиль по умолчанию. Он используется для обозначения общедоступных сетей, таких как точки доступа Wi-Fi в кафе, аэропортах и ​​других местах.

Получить статус брандмауэра Windows с помощью PowerShell

Во-первых, давайте получим текущий статус брандмауэра Windows. Мы будем использовать командлет Get-NetFirewallProfile.

У нас есть три профиля: Домен, Имя и Общедоступный. Брандмауэр Windows включен во всех трех профилях.

На следующем этапе мы отключим брандмауэр Windows.

Отключить брандмауэр Windows в Windows Server 2012/2016/2019

Отключите брандмауэр Windows во всех трех профилях.

Проверка состояния брандмауэра Windows

Проверьте состояние после отключения брандмауэра во всех трех профилях. Запустите командлет Get-NetFirewallProfile.

Брандмауэр Windows отключен во всех трех профилях Windows Server. Получайте удовольствие от тестирования. Не забудьте включить брандмауэр Windows после устранения неполадок или тестирования. Важно, чтобы брандмауэр Windows был включен.

Заключение

Вы узнали, как отключить брандмауэр в Windows Server 2012/2016/2019/2022. Во-первых, получите текущее состояние брандмауэра Windows. После этого отключите брандмауэр Windows с помощью PowerShell. В завершение убедитесь, что брандмауэр Windows отключен.

Понравилась ли вам эта статья? Если это так, вам может понравиться конфигурация Windows Server после установки. Не забудьте подписаться на нас и поделиться этой статьей.

АЛИ ТАДЖРАН

Что читают другие

Нам нравится удалять Azure AD Connect. Организация не будет использовать Azure AD Connect…

После установки Windows Server вы еще не готовы добавлять на него программное обеспечение. Поэтому…

Есть два способа добавить альтернативный суффикс имени участника-пользователя в Active Directory (AD): один…

  • Windows 10, версия 2004 (20H1)
  • Windows 10, версия 1909 (19H2, сборка 18363)
  • Windows 10, версия 1903 (19H1, сборка 18362)
  • Windows Server 2019
  • Windows 10 Корпоративная 2019 LTSC
  • Windows 10, версия 1809 (Redstone 5, RS5, сборка 17763)
  • Windows 10, версия 1803 (Redstone 4, RS4, сборка 17134)
  • Windows 10, версия 1709 (Redstone 3, RS3, обновление Fall Creators, сборка 16299)
  • Windows 10, версия 1703 (Redstone 2, RS2, обновление Creators, сборка 15063)
  • Windows Server 2016
  • Windows 10, версия 1607 (Redstone 1, RS1, юбилейное обновление, сборка 14393)
  • Windows 10 Корпоративная 2016 LTSC
  • Windows 10, версия 1511
  • Windows 10 Корпоративная 2015 LTSC (ранее LTSB)
  • Windows 10, версия 1507
  • Windows Server 2012 R2
  • Windows 8.1
  • Windows Server 2012
  • Windows 8
  • Windows Server 2008 R2 с пакетом обновления 1 (SP1)
  • Windows 7 с пакетом обновления 1 (SP1)

Одной из частых вещей, которые я видел во время развертывания Windows и Windows Servers, был элемент, который я видел в 99,999 % случаев, а именно отключение службы «Брандмауэр Защитника Windows».

Можете пойти, служба «Брандмауэр Защитника Windows»? Да, раньше она называлась службой «Брандмауэр Windows».

Брандмауэр Защитника Windows Начиная с Windows 10 версии 1709 и новее.
Брандмауэр Windows С Windows 10 версии 1703 или новее. старше.

Отключение службы брандмауэра Защитника Windows не поддерживается. Если вы позвоните в службу поддержки клиентов и поддержки Майкрософт (CSS), вам может быть предложено повторно включить службу «Брандмауэр Защитника Windows», чтобы продолжить устранение неполадок, связанных с сетью.

В приведенной ниже таблице показано, можете ли вы остановить службу «Брандмауэр Защитника Windows» при работе в качестве локального администратора.

У вас есть более серьезные проблемы, чем возможность остановить службу брандмауэра Защитника Windows, если ваши конечные пользователи работают в качестве локального администратора. См. мою предыдущую запись в блоге:

Сетевой запуск MPSSvc

Вы можете получить следующую информацию:

(Windows не удалось остановить службу брандмауэра Windows на локальном компьютере. Служба не вернула ошибку. Это может быть внутренняя ошибка Windows или внутренняя ошибка службы. Если проблема не устранена, обратитесь к системному администратору.)

Вы можете получить следующую информацию:

(Запрошенная пауза, продолжение или остановка недействительны для этой службы.)

Как можно отслеживать остановку «службы брандмауэра Windows»?

С какими проблемами вы можете столкнуться:

  • Windows и Windows Server не будут отвечать на эхо-запросы.
    • "Время ожидания запроса истекло".
    • «Служба брандмауэра Windows не запущена
    • Windows не может автоматически включать или отключать удаленный рабочий стол, поскольку служба брандмауэра Windows не запущена».
    • "Проверьте правильность написания имени. В противном случае могут возникнуть проблемы с вашей сетью. Чтобы попытаться выявить и устранить сетевые проблемы, нажмите "Диагностика".

    Как насчет следующего документа:

    Рекомендация Нет указаний

    // Это говорит мне о том, что документ нуждается в обновлении.

    1) Узнайте, какой объект групповой политики уровня домена может отключать службу «Брандмауэр Защитника Windows».

    Пуск, CMD (Запуск от имени администратора)

    gpresult.exe /h c:\gpresult_output.html

    Один из симптомов:

    Настройки брандмауэра Защитника Windows выделены серым цветом.

    «Конфигурация компьютера» —> «Политики» —> «Параметры Windows» —> «Параметры безопасности» —> «Системные службы» —> «Брандмауэр Windows»

    Убедитесь, что для параметра "Определить параметры этой политики" не установлено значение "Отключено".

    2) Найдите локальную групповую политику (либо MEMCM (ранее известная как SCCM), либо LGPO)

    Пуск, CMD (Запуск от имени администратора)

    Один из симптомов:

    Настройки брандмауэра Защитника Windows выделены серым цветом.

    4) Если вы находитесь в рабочей группе, попробуйте повторно включить с помощью:

    После того как служба «Брандмауэр Защитника Windows» запущена и работает, пришло время настроить ведение журнала, чтобы помочь вам:

    СОВЕТ. Гораздо проще читать журнал брандмауэра Защитника Windows, чем трассировку пакетов Netmon 3.4 или Wireshark.

    Исследование проблемы на одном или нескольких серверах Windows или Windows Server для отслеживания навигационных цепочек.

    1A) Домен

    Пуск, CMD (Запуск от имени администратора)

    Щелкните правой кнопкой мыши «Объекты групповой политики»

    Под новым «Новым объектом групповой политики»

    Щелкните правой кнопкой мыши на только что созданном

    Нажмите «Конфигурация компьютера» —> «Политики» —> «Параметры Windows» —> «Параметры безопасности» —> «Брандмауэр Windows в режиме повышенной безопасности» —> Щелкните правой кнопкой мыши «Брандмауэр Windows в режиме повышенной безопасности»

    Нажмите "Свойства"

    1B) Локально

    Пуск, CMD (Запуск от имени администратора)

    Щелкните правой кнопкой мыши «Брандмауэр Защитника Windows в режиме повышенной безопасности на локальном компьютере».

    Нажмите "Свойства"

    2) Настройте ведение журнала брандмауэра WD

    Вкладка "Профиль домена".

    Ограничение размера: 20 480

    Журналировать отброшенные пакеты: Да

    Записывать успешное подключение: Да

    Вкладка "Частный профиль".

    Ограничение размера: 20 480

    Журналировать отброшенные пакеты: Да

    Записывать успешное подключение: Да

    Вкладка "Профиль профиля".

    Ограничение размера: 20 480

    Журналировать отброшенные пакеты: Да

    Записывать успешное подключение: Да

    В следующем сообщении блога я расскажу об аудите Windows Filtering Platform (WFP) и о том, как он может помочь вам в дальнейшей реализации брандмауэра Защитника Windows, чтобы повысить уровень безопасности.

    Читайте также: