.png "Windows Server 2008")
.png "Poradnik krok po kroku instalowania zasad dla programu Windows Firewall with Advanced Security, cz. II"){kind=icon}
Poradnik krok po kroku instalowania zasad dla programu Windows Firewall with Advanced Security, cz. I .png "Udostępnij na: Facebook")
Opublikowano: 14 lipca 2008
Zawartość strony
.gif){kind=icon} |
Przegląd scenariuszy |
|
Przegląd technologii instalowania programu Windows Firewall with Advanced Security |
|
Wymagania związane z wykonywaniem scenariuszy |
|
Wprowadzanie ustawień podstawowych za pomocą zasad grupy |
Niniejszy poradnik krok po kroku ilustruje sposoby instalowania obiektów zasad grupy (GPO) usługi Active Directory® w celu skonfigurowania programu Windows Firewall with Advanced Security w systemach WindowsVista® i WindowsServer®2008. Pomimo, że pojedynczy serwer może być konfigurowany lokalnie za pomocą narzędzi zarządzania Group Policy Management bezpośrednio na serwerze, metoda ta nie jest spójna i wydajna, jeśli zachodzi potrzeba konfigurowania wielu komputerów. W przypadku zarządzania wieloma komputerami, należy tworzyć i modyfikować obiekty GPO, a następnie stosować je do komputerów w przedsiębiorstwie.
Celem konfiguracji programu Windows Firewall with Advanced Security w organizacji jest zwiększenie bezpieczeństwa każdego komputera przez blokowanie niepożądanego ruchu sieci. Ruch sieci, który nie jest zgodny z regułami zapory Windows Firewall with Advanced Security, zostaje odrzucony. Ponadto można wymagać, aby dopuszczony ruch sieci był chroniony przy użyciu uwierzytelniania lub szyfrowania. Możliwość zarządzania zaporą Windows Firewall with Advanced Security za pomocą zasad grupy (Group Policy) pozwala administratorowi na stosowanie w całej organizacji spójnych ustawień w sposób, którego nie jest łatwo ominąć użytkownikowi.
Dzięki poradnikowi można zdobyć praktyczne doświadczenia w środowisku testowym przy użyciu narzędzi zarządzania Group Policy w celu utworzenia i modyfikowania obiektów GPO, które instalują typowe ustawienia zapory. Obiektów GPO można używać również do implementowania najczęściej używanych schematów izolowania serwera i domeny oraz do zapoznania się z efektami tych ustawień.
Przegląd scenariuszy
Niniejszy poradnik zapoznaje ze sposobami tworzenia i instalowania ustawień zapory Windows Firewall with Advanced Security przez szczegółowe opisanie procedur ilustrujących najczęściej spotykane zadania wykonywane w typowych sytuacjach.
W szczególności konfigurowane będą ustawienia obiektów GPO, które kontrolują następujące opcje zapory Windows Firewall with Advanced Security:
• Włączanie lub wyłączanie programu Windows Firewall i konfigurowanie jego podstawowego sposobu działania.
• Określanie, które programy i porty sieci są dopuszczone do odbierania przychodzącego ruchu sieci.
• Określanie, który wyjściowy ruch sieci jest dopuszczony lub zablokowany.
• Obsługa ruchu sieci, który korzysta z wielu portów lub z portów dynamicznych, takiego jak ruch stosujący wywołania RPC (Remote Procedure Call) lub protokół FTP (File Transfer Protocol).
• Wymaganie, aby cały ruch sieci dochodzący do określonych serwerów był chroniony przez uwierzytelnienie IPsec (Internet Protocol security) i opcjonalnie był szyfrowany.
Używanych będzie kilka komputerów spełniających najczęściej spotykane role w typowym środowisku sieci. Role te obejmują kontroler domeny, serwer członkowski i komputer kliencki, co ilustruje poniższy rysunek.
.gif)
Rysunek 1: Kontroler domeny, serwer członkowski i komputer kliencki.
Sytuacja opisywana w tym poradniku dotyczy przeglądania i konfigurowania ustawień zapory oraz konfigurowania środowiska izolowania domeny. Ponadto, zamieszczone opisy dotyczą izolowania serwera, uzyskania dostępu, do którego wymagane jest członkostwo w grupie, a także opcjonalnych wymagań szyfrowania całego ruchu do. Na koniec w poradniku opisane zostały mechanizmy pozwalające zaufanym urządzeniom sieci pomijać reguły zapory, co jest przydatne podczas rozwiązywania problemów.
Każdy etap tego scenariusza opisany został w kolejnych rozdziałach.
Sprawdzenie ustawień domyślnych systemów klienckich i serwerów
W tym rozdziale ustawienia programu Windows Firewall dostępne w programie Control Panel, narzędzie wiersza poleceń netsh oraz przystawka konsoli MMC (Microsoft Management Console) – Windows Firewall with Advanced Security, używane będą do analizy domyślnych ustawień zapory Windows Firewall with Advanced Security na komputerach CLIENT1 i MBRSVR1. Bezpośrednie używanie narzędzi na komputerze lokalnym jest przydatne do przeglądania bieżącej konfiguracji oraz reguł zabezpieczeń zapory i połączeń, które są aktywne w komputerze.
Instalowanie ustawień podstawowych przy użyciu Group Policy (zasady grupy)
W niniejszym rozdziale tworzony jest obiekt Group Policy (GPO) zawierający podstawowe ustawienia zapory, a następnie ten obiekt GPO jest przypisywany do jednostki organizacyjnej (OU), do której należy komputer kliencki. Aby zapewnić, że tylko do odpowiednich komputerów stosowane są ustawienia GPO, można korzystać z usług WMI (Windows Management Instrumentation) i filtrowania grup zabezpieczeń w celu ograniczenia stosowania obiektu GPO tylko do komputerów, które działają pod kontrolą właściwej wersji systemu Windows.
Konfigurowany obiekt GPO zawiera niektóre podstawowe ustawienia zapory Windows Firewall with Advanced Security, będące częścią typowych ustawień GPO obiektu przedsiębiorstwa, takich jak:
• Ignorowanie dowolnych lokalnych ustawień zapory utworzonych przez użytkownika, nawet przez administratora lokalnego.
• Zapewnienie, że zapora jest włączona przy określonej obsłudze ruchu sieci i nie może być wyłączona.
• Niewyświetlanie przez komputer powiadomienia, jeśli dla danego programu zapora Windows Firewall with Advanced Security zablokowała odbiór na porcie sieci.
Utworzenie reguł, które dopuszczają wymagany ruch sieci
W rozdziale tym tworzone są przychodzące reguły zapory, które:
• Używają wstępnie zdefiniowanych grup reguł do obsługi typowych usług sieci.
• Dopuszczają program do odbioru dowolnego ruchu sieci, który jest potrzebny do działania programu.
• Dopuszczają program do odbioru ruchu sieci tylko na określonych portach TCP lub UDP.
• Dopuszczają usługę sieci nasłuchiwania ruchu sieci.
• Ograniczają ruch sieci do odbioru tylko z określonych adresów IP i określonych typów sieci.
• Dopuszczają inne działanie zapory w zależności od typu lokalizacji sieci, do której komputer zostaje podłączony.
• Obsługują programy, które korzystają z funkcji RPC dynamicznego przypisywania portów.
Tworzenie reguł blokujących niepożądany wyjściowy ruch sieci
W rozdziale tym konfigurowane są wychodzące reguły zapory uniemożliwiające niezatwierdzonym programom wysyłanie ruchu wychodzącego z komputera.
Instalowanie ustawień izolowania domeny
W rozdziale tym włączane są ustawienia obiektu GPO dla komputerów członkowskich w domenie, które wymuszają akceptowanie połączeń sieci pochodzących wyłącznie od innych komputerów członkowskich tej domeny.
Izolowanie serwera przez wymaganie szyfrowania i członkostwa w grupie
W rozdziale tym tworzone są reguły zapory i zabezpieczeń połączenia wymagające, aby serwer lub grupa serwerów dopuszczała ruch sieci pochodzący wyłącznie od komputerów, które należą do autoryzowanej grupy. Reguły określają również, że ruch do lub od tych serwerów musi być szyfrowany.
Tworzenie reguł umożliwiających określonym komputerom lub użytkownikom omijanie reguł zapory
W rozdziale tym konfigurowane są reguły zapory i zabezpieczeń połączenia, które umożliwiają omijanie zapory autoryzowanym użytkownikom lub komputerom, takim jak skanery portów sieci używane przez zespoły rozwiązujące problemy i zabezpieczające sieć.
.gif){kind=icon}
Do początku strony
Przegląd technologii instalowania programu Windows Firewall with Advanced Security
Program Windows Firewall with Advanced Security łączy w sobie zaporę bazującą na hoście i implementację protokołu IPsec (Internet Protocol security) zgodną ze specyfikacjami IETF (Internet Engineering Task Force).
Program Windows Firewall with Advanced Security jako zapora przeznaczona dla hosta, uruchamiany jest na każdym komputerze systemu WindowsServer®2008 lub WindowsVista® w celu zapewnienia ochrony lokalnej przed atakami sieciowymi, które mogą przedostać się przez zaporę sieci obwodowej lub które generowane są wewnątrz organizacji.
Program Windows Firewall with Advanced Security umożliwia również bezpieczne połączenia pomiędzy komputerami oparte na IPsec, co pozwala chronić dane sieci poprzez definiowanie reguł wymagających uwierzytelnienia, sprawdzania integralności lub szyfrowania podczas wymiany danych pomiędzy komputerami.
Zapora Windows Firewall with Advanced Security działa zarówno dla ruchu protokołu IPv4 (Internet Protocol version4), jak i IPv6.
W tym rozdziale poradnika zaprezentowano skrótowy przegląd wymienionych funkcji w celu ułatwienia zrozumienia scenariuszy analizowanych w dalszej części poradnika.
• NLA (Network Location Awareness)
• Zapora hosta
• Bezpieczne połączenie i IPsec
• Group Policy
Network Location Awareness (NLA)
Systemy WindowsVista® i WindowsServer®2008 obsługują funkcję rozpoznawania lokalizacji sieci (NLA), która umożliwia programom obsługującym NLA zmieniać swoje działanie w zależności od sposobu podłączenia komputera do sieci. W przypadku programu Windows Firewall with Advanced Security, można tworzyć reguły, które są stosowane jedynie wtedy, kiedy aktywny jest na komputerze profil skojarzony z określonym typem lokalizacji sieci.
Działanie NLA (Network Location Awareness)
Na poniższym rysunku przedstawiono typy lokalizacji sieci rozpoznawane przez system Windows.
.gif)
Rysunek 2: Typy lokalizacji sieci rozpoznawane przez system Windows.
System Windows wykrywa następujące typy lokalizacji sieci:
• Public. Zgodnie z ustawieniami domyślnymi typ lokalizacji public (sieć publiczna) jest przypisywany do wszystkich sieci, kiedy podłączane są po raz pierwszy. Sieć publiczna jest traktowana jako udostępniana publicznie, bez ochrony pomiędzy komputerem lokalnym a innym komputerem.
• Private. Typ lokalizacji sieci private (sieć prywatna) może być wybrany ręcznie przez administratora lokalnego dla połączenia z siecią, która nie jest bezpośrednio dostępna publicznie. Połączenie to może być na przykład siecią domową lub siecią w biurze, która jest izolowana od sieci dostępnych publicznie za pomocą urządzeń typu zapora lub urządzeń realizujących funkcję translacji adresów sieci (NAT). Sieci bezprzewodowe powinny być chronione przy użyciu protokołu szyfrowania, takiego jak WPA (Wi-Fi Protected Access) czy WPAv2. Do sieci nigdy nie jest automatycznie przypisywany typ lokalizacji sieci prywatnej; typ ten musi być przypisany przez administratora. System Windows pamięta sieć i przy następnym podłączeniu tej sieci, automatycznie ponownie przypisze sieci typ lokalizacji dotyczący sieci prywatnej.
• Domain. Typ lokalizacji sieci domain (domena) jest wykrywany, kiedy komputer lokalny jest członkiem domeny usługi Active Directory i może uwierzytelnić się na kontrolerze domeny przez jedno ze swoich połączeń sieciowych. Jeśli te warunki zostają spełnione, automatycznie do sieci przypisywany jest typ lokalizacji – domain network (sieć domeny). Administrator nie może ręcznie przypisywać tego typu lokalizacji sieci.
Zapora Windows Firewall with Advanced Security przechowuje swoje ustawienia i reguły w profilach i obsługuje jeden profil dla każdego typu lokalizacji sieci. Profil skojarzony z aktualnie wykrytym typem lokalizacji sieci jest stosowany do komputera. Jeśli typ lokalizacji sieci zmienia się, to automatycznie stosowane są reguły profilu skojarzonego z nowym typem lokalizacji sieci.
Jeśli w komputerze zainstalowanych jest kilka kart sieciowych, mogą być podłączone do różnych typów sieci. Systemy WindowsVista i Windows Server2008 w danym momencie obsługują tylko jeden typ lokalizacji sieci. System Windows automatycznie wybiera typ lokalizacji sieci dla sieci najmniej bezpiecznej. Przykładowo, jeśli komputer ma dwa aktywne połączenia, jedno do sieci publicznej, a drugie do sieci prywatnej, system Windows wybierze typ sieci publicznej, aby w profilu komputera włączyć bardziej rygorystyczne reguły zabezpieczeń.
Systemy WindowsXP i Windows Server2003 obsługują profil domeny, który jest identyczny z przedstawioną powyżej koncepcją. Jednakże, zamiast obsługi obu profilów, prywatnego i publicznego, poprzednie wersje systemów Windows obsługują jedynie profil „standard”. Tak więc, jeśli tworzone są reguły przy użyciu węzła Windows Firewall w sekcji Administrative Templates edytora Group Policy, to można tylko określać, że reguły stosowane są do profilu domeny i profilu standardowego. Jeśli określony zostaje profil standardowy, a następnie reguły te zostają zastosowane do komputera systemu WindowsVista bądź Windows Server2008. Stanie się to wtedy, gdy profil lokalizacji sieci komputera określony zostanie jako prywatny lub publiczny. Reguły profilu domeny są stosowane, jeśli profil lokalizacji sieci komputera określony jest jako domena.
Dodatkowe informacje na temat funkcji rozpoznawania lokalizacji sieci i jej użycia w programie Windows Firewall with Advanced Security znaleźć można w rozdziale „Network location-aware host firewall" dokumentu Getting Started with Windows Firewall with Advanced Security udostępnionego pod adresem https://go.microsoft.com/fwlink/?linkid=64343.
Zapora hosta
Program Windows Firewall with Advanced Security zawiera składnik zapory hosta, który stanowi ochronną warstwę komputera lokalnego, monitorującą i ograniczającą informacje przesyłane pomiędzy komputerem a przyłączonymi do niego sieciami lub Internetem. Zapora jest ważną linią obrony przed osobami, które mogłyby próbować uzyskać dostęp do komputera bez zgody jego użytkownika.
Zgodnie z ustawieniami domyślnymi, w systemie WindowsVista i Windows Server2008 zapora hosta w programie Windows Firewall with Advanced Security jest włączona oraz blokuje niepożądany przychodzący ruch sieci i dopuszcza ruch wychodzący.
Działanie zapory hosta
Ruch sieci przychodzący do komputera i z niego wychodzący może być podzielony na kategorie zgodnie z poniższym schematem.
.gif)
Rysunek 3: Ruch przychodzący i wychodzący.
Ruch sieci składa się z pakietów lub strumieni pakietów, które są wysyłane z portu jednego komputera do portu docelowego innego komputera. W pakiecie sieci port to liczba całkowita identyfikująca program na końcu (wysyłającym lub odbierającym) połączenia. Ogólnie mówiąc, w danym momencie tylko jeden program odbiera na porcie. W tym celu program rejestruje w systemie operacyjnym sam siebie i numery portów, na których musi odbierać. Jeśli pakiet dochodzi do komputera lokalnego, system operacyjny sprawdza numer portu docelowego, a następnie udostępnia zawartość pakietu programowi zarejestrowanemu, jako program używający tego portu. Podczas korzystania z protokołu TCP/IP komputer może odbierać ruch sieci adresowany przy użyciu określonych protokołów transportu, jak na przykład TCP lub UDP i dowolnych numerów portów z zakresu od 1 do 65535. Szereg niższych numerów portów jest zarezerwowanych dla znanych usług, jak serwer sieci Web protokołu HTTP (Hyper Text Transport Protocol), który używa portu 80 protokołu TCP, usługa zdalnego terminala Telnet posługująca się portem 23 TCP czy usługa SMTP (Simple Mail Transfer Protocol) na porcie 25.
Program Windows Firewall with Advanced Security analizuje w pakiecie docelowe i źródłowe adresy, docelowe i źródłowe porty oraz numery protokołów, a następnie porównuje je z regułami zdefiniowanymi przez administratora. Jeśli reguła jest zgodna z pakietem sieci, wykonywana jest operacja określona przez regułę (dopuszczenie lub zablokowanie pakietu). W systemie WindowsVista i Windows Server2008 funkcje w programie Windows Firewall with Advanced Security zostały rozszerzone o możliwość dopuszczania lub blokowania pakietów sieci w zależności od tego, czy są chronione przez uwierzytelnienie IPsec lub szyfrowanie.
Dodatkowe informacje na temat działania i nowych funkcji zapory hosta programu Windows Firewall with Advanced Security w systemie WindowsVista i Windows Server2008 znaleźć można w dokumencie Getting Started with Windows Firewall with Advanced Security udostępnionym pod adresem https://go.microsoft.com/fwlink/?linkid=64343 oraz w dokumencie Windows Firewall w witrynie TechNet pod adresem https://go.microsoft.com/fwlink/?linkid=95393.
Bezpieczne połączenie i IPsec
Internet Protocol Security (IPsec) to szkielet otwartych standardów dotyczących ochrony komunikacji w sieciach TCP/IP przy użyciu kryptograficznych usług zabezpieczeń. IPsec obsługuje uwierzytelnienie partnerów na poziomie warstwy sieci, uwierzytelnienie pochodzenia danych, integralność danych, poufność danych (szyfrowanie) i ochronę przed powtórzeniami. Implementacja IPsec firmy Microsoft opiera się na standardach opracowanych przez zespół Internet Engineering Task Force (IETF) .
Implementacja IPsec dołączona do systemu WindowsVista i Windows Server2008 jest w pełni zintegrowana w warstwie Network (warstwa 3) modelu odniesienia OSI (Open Systems Interconnection). Dzięki temu udostępniana jest ochrona dla dowolnego protokołu bazującego na IP w taki sposób, że jest ona przezroczysta dla programów uruchamianych na komputerze.
IPsec jest istotną warstwą strategii „defense-in-depth” ochrony zasobów organizacji dostępnych w sieci.
Działanie IPsec
IPsec udostępnia szereg usług zabezpieczeń połączenia dla ruchu sieci. Każda usługa może być konfigurowana tak, aby była stosowana do określonego ruchu sieci poprzez utworzenie w programie Windows Firewall with Advanced Security reguły zabezpieczeń połączenia. Reguła ta określa charakterystyki ruchu sieci, który ma być chroniony oraz charakter stosowanych zabezpieczeń.
• Uwierzytelnienie źródła. Mechanizm uwierzytelnienia źródła zapewnia, że każdy komputer uczestniczący w połączeniu odbiera dowód, że inny komputer (i opcjonalnie użytkownik innego komputera) jest rzeczywiście tym, za kogo się podaje.
Uwierzytelnienie wymusza na każdym komputerze dostarczanie do innego komputera pewnej formy poświadczeń, których pochodzenie może być zatwierdzane. Tokeny protokołu Kerberos, które mogą być sprawdzane w kontrolerze domeny lub certyfikat komputera bądź użytkownika, które mogą być kryptograficznie sprawdzane w odniesieniu do ich zaufanego certyfikatu głównego, to najczęściej używane metody uwierzytelniania.
• Integralność danych. Integralność danych zapewnia, że odebrany pakiet jest identyczny z wysłanym i że nie został uszkodzony bądź zmodyfikowany podczas przesyłania.
Pakiet sieci, który jest częścią połączenia sieci zawiera kryptograficzne wyrażenie (hash). Hash jest obliczany przez komputer wysyłający pakiet, szyfrowany i dołączany do pakietu. Komputer odbierający oblicza swoje własne wyrażenie hash dotyczące odebranego pakietu, a po deszyfracji dołączonego wyrażenia hash, porównuje obie wartości. Jeśli wartości są zgodne, pakiet jest akceptowany i przetwarzany. Jeśli natomiast wyrażenia hash nie są zgodne, oznacza to, że pakiet był uszkodzony lub modyfikowany podczas przesyłania i zostaje odrzucony.
• Poufność danych. Funkcja ta zapewnia, że do informacji przesyłanych przez połączenie sieci nie można uzyskać dostępu lub że informacje te nie mogą być odczytywane przez nieautoryzowany komputer bądź użytkownika.
Jeśli funkcja zostaje włączona, dla każdego pakietu sieci będącego częścią połączenia, przesyłane w pakiecie dane zostaną zaszyfrowane. W tym celu używane są protokoły o różnej sile szyfrowania.
Dodatkowe informacje na temat IPsec znaleźć można w dokumencie:
• Getting Started with Windows Firewall with Advanced Security udostępnionym pod adresem https://go.microsoft.com/fwlink/?linkid=64343
• Introduction to Server and Domain Isolation udostępnionym pod adresem https://go.microsoft.com/fwlink/?linkid=94631
Dodatkowe informacje na temat funkcjonalności IPsec w programie Windows Firewall with Advanced Security i jej wykorzystanie w zadaniach związanych z izolowaniem serwera czy domeny znaleźć można na stronie:
• IPsec w witrynie TechNet pod adresem https://go.microsoft.com/fwlink/?linkid=95394
• Server and Domain Isolation w witrynie TechNet pod adresem https://go.microsoft.com/fwlink/?linkid=95395
Zasady grupy
Group Policy (zasady grupy) umożliwiają bardziej wydajne wykonywanie zadań administracyjnych, ponieważ pozwalają na scentralizowane zarządzanie komputerami i użytkownikami. Centralne zarządzanie ustawieniami konfiguracji komputerów i użytkowników w sieci zmniejsza całkowity koszt posiadania infrastruktury IT.
Działanie zasad grupy
Group Policy jest technologią dostępną jako część implementacji usług domeny Active Directory. Kiedy komputer członkowski łączy się z domeną usługi Active Directory, automatycznie pobiera z kontrolera domeny i stosuje obiekty zasad grupy (GPO).
Obiekt GPO jest zbiorem ustawień utworzonych przez administratora domeny, a następnie stosowanych do grup komputerów lub użytkowników organizacji.
System WindowsVista umożliwia używanie zasad grupy do centralnego zarządzania większą liczbą funkcji, składników i ustawień zabezpieczeń, niż było to możliwe w poprzednich wersjach systemu Windows. Na przykład, liczba ustawień zasad grupy została zwiększona z około 1800 w systemie Windows Server2003 z pakietem SP1 do około 2500 w systemie WindowsVista i Windows Server2008. Te nowe ustawienia ułatwiają zarządzanie stacjami, serwerami, ustawieniami zabezpieczeń i wieloma innymi aspektami sieci.
Ustawienia konfiguracji i reguły, które mają być stosowane do komputerów w organizacji, są przechowywane w obiektach Group Policy (GPO) utrzymywanych na kontrolerach domen usługi Active Directory. Obiekty GPO są automatycznie pobierane do wszystkich przypisanych komputerów, jeśli komputery te łączą się z domeną. Następnie obiekty te są łączone z lokalnym obiektem GPO przechowywanym na komputerze i stosowane jako aktywna konfiguracja komputera. Zasady grupy zapewniają proste, scentralizowane zarządzanie oraz szczegółową kontrolę obiektów GPO odbieranych przez poszczególne komputery.
Ze względu na to, że możliwości reguł zapory i implementacji protokołu IPsec zostały istotnie zwiększone w systemie WindowsVista i Windows Server2008, zaleca się, aby administratorzy pozostawili bez zmian istniejące ustawienia obiektów GPO dla poprzednich wersji systemu Windows i utworzyli nowe obiekty GPO dla komputerów systemów WindowsVista i Windows Server2008. Stosując nowe obiekty GPO do tego samego zestawu kontenerów, jak w ustawieniach starych obiektów GPO i korzystając z filtrów WMI dla każdego obiektu GPO, można zapewnić, że dla każdego komputera w organizacji stosowane będą najbardziej odpowiednie ustawienia.
Dodatkowe informacje na temat zasad grupy znaleźć można w dokumencie Windows Server Group Policy udostępnionym pod adresem https://go.microsoft.com/fwlink/?linkid=93542.
Do początku strony
Wymagania związane z wykonywaniem scenariuszy
W niniejszym rozdziale opisano sposoby konfigurowania komputerów w celu wypróbowania scenariuszy opracowanych dla programu Windows Firewall with Advanced Security w środowisku testowym. Poradniki krok po kroku nie są przeznaczone do instalowania funkcji systemu Windows Server bez dokumentacji tego produktu (wymienionej w rozdziale Additional References). Poradnik ten powinien być używany jako oddzielny dokument.
Ostrzeżenie
Jeśli ustawienia programu Windows Firewall with Advanced Security zostaną przypadkowo zastosowane do obiektu GPO odnoszącego się do komputerów produkcyjnych, może to mieć wpływ na możliwości komunikowania się z innymi komputerami.
Poniżej opisane zostały komputery potrzebne do przeprowadzania testów omawianych w poradniku:
1. DC1 jest komputerem systemu Windows Server2008, Standard lub Enterprise Edition, którego konfiguracja umożliwia wykonywanie następujących funkcji:
• Podstawowy kontroler domeny dla domeny usługi Active Directory nazwanej Contoso.com
• Serwer DNS (Domain Name System), który potrafi rozpoznawać nazwy strefy DNS Contoso.com
2. MBRSVR1 jest komputerem systemu Windows Server2008, Standard lub Enterprise Edition, którego konfiguracja umożliwia wykonywanie następujących funkcji:
• Członek domeny Contoso.com
• Menedżer i edytor obiektów Group Policy w domenie Contoso.com
• Serwer Telnet
3. CLIENT1 jest komputerem systemu Windows Server2008, Standard lub Enterprise Edition, WindowsVista, Business, Enterprise lub Ultimate Edition, który skonfigurowany jest jako:
• Członek domeny Contoso.com
Wymagania sprzętowe
W celu skonfigurowania laboratorium należy spełnić następujące wymagania sprzętowe:
• Trzy komputery, na których uruchomione są systemy operacyjne potrzebne dla ról używanych w poradniku (zob. rozdział „Wymagania programowe " w dalszej części poradnika).
• Komputery muszą być połączone ze sobą w sieci, ale zaleca się korzystanie z autonomicznej, izolowanej sieci, która zawiera tylko komputery używane w tym poradniku. Komputery te mogą być komputerami fizycznymi podłączonymi do sieci fizycznej lub komputerami wirtualnymi działającymi w środowisku oprogramowania Microsoft®VirtualServer lub VirtualPC i podłączonymi do izolowanej sieci wirtualnej.
Ostrzeżenie
Jeśli sieć testowa podłączona zostanie do środowiska produkcyjnego lub do Internetu, bardzo istotne będzie, aby wszystkie komputery miały zainstalowane najnowsze aktualizacje zabezpieczeń i żeby na tych komputerach uruchomione było odpowiednie oprogramowanie antywirusowe.
Uwaga
Opracowując instrukcje tego poradnika założono, że komputery znajdują się w izolowanej sieci testowej, a nazwy, adresy IP itp. nie kolidują z działaniem innych komputerów środowiska produkcyjnego.
Wymagania programowe
• Dla DC1: Windows Server2008, Standard lub Enterprise Edition.
• Dla MBRSVR1: Windows Server2008, Standard lub Enterprise Edition.
• Dla CLIENT1: WindowsVista, Business, Enterprise lub Ultimate Edition.
Wymagane wspólne procedury
Wymienione poniżej procedury powtarzają się często w poradniku, a ich instrukcje nie mieszczą się w jednym wierszu. Instrukcje te można przypominać sobie, ilekroć trzeba się do nich odwołać.
• Okno dialogowe User Account Control wyświetlane jest, ilekroć przeprowadzana jest próba wykonania zadania administracyjnego. Jeśli konto zalogowanego użytkownika należy do lokalnej grupy Administrators, w odpowiednim monicie należy kliknąć przycisk Continue. Jeśli konto użytkownika nie należy do tej grupy, należy wprowadzić poświadczenia (nazwa użytkownika i hasło) konta, które ma wymagane uprawnienia.
Poniższa procedura jest używana do otwarcia wiersza poleceń w oparciu o konto administratora.
Aby otworzyć wiersz poleceń dla administratora:
1. Kliknij kolejno menu Start, All Programs, a następnie kliknij Accessories.
2. Kliknij prawym przyciskiem myszy program Command Prompt, a następnie kliknij polecenie Run as administrator.
Innym sposobem realizacji tego samego zadania jest użycie odpowiedniego skrótu do wiersza polecenia, umieszczonego w menu Start, w pasku Quick Launch lub na pulpicie.
• Poniższa procedura jest używana do otwarcia przystawki MMC – Windows Firewall with Advanced Security.
Aby otworzyć przystawkę MMC – Windows Firewall with Advanced Security:
• Kliknij menu Start, następnie w polu Start Search wpisz wf.msc i naciśnij ENTER.
Inny sposób:
• W systemie Windows Server2008 kliknij kolejno menu Start, Administrative Tools, a następnie kliknij program Windows Firewall with Advanced Security.
• W systemie WindowsVista kliknij kolejno menu Start, All Programs, Administrative Tools , a następnie kliknij program Windows Firewall with Advanced Security .
Konfigurowanie komputerów testowych
Najpierw należy skonfigurować kontroler domeny i utworzyć domenę, w której założone będą wymagane konta użytkowników.
W celu zainstalowania i skonfigurowania kontrolera domeny DC1:
1. Zainstaluj system Windows Server2008 przy użyciu następujących ustawień:
2. Ustaw hasło lokalnego konta Administrator: Pass@word1.
3. Skonfiguruj sieć przy użyciu następujących ustawień:
• IP address: 192.168.0.1
• Subnet mask: 255.255.255.0
• Default Gateway: pozostaw puste pole
• DNS Server address: 192.168.0.1
4. Nazwij komputer DC1. Po odpowiednim monicie uruchom ponownie komputer.
5. Zainstaluj usługę Active Directory przy użyciu następujących ustawień:
• Dołącz DNS jako część instalacji.
• Utwórz nową domenę w nowym lesie i nazwij domenę: contoso.com.
• Użyj hasła Pass@word1 dla wszystkich kont użytkowników.
6. Po zainstalowaniu usługi Active Directory (w odpowiednim monicie) uruchom ponownie komputer.
7. Utwórz nowe konto użytkownika w domenie Contoso nazwane Admin1 o haśle Pass@word1.
8. Dodaj użytkownika Admin1 do grupy Domain Administrators.
Na tym etapie należy zainstalować serwer członkowski, następnie skonfigurować wymagane usługi.
W celu zainstalowania i skonfigurowania serwera członkowskiego MBRSVR1:
1. Zainstaluj system Windows Server2008 przy użyciu następujących ustawień:
2. Ustaw hasło lokalnego konta Administrator: Pass@word1.
3. Skonfiguruj sieć przy użyciu następujących ustawień:
• IP address: 192.168.0.100
• Subnet mask: 255.255.255.0
• Default Gateway: pozostaw puste pole
• DNS Server address: 192.168.0.1
4. Nazwij komputer MBRSVR1. Po odpowiednim monicie uruchom ponownie komputer.
5. Dołącz komputer do domeny contoso.com, a następnie uruchom komputer ponownie.
6. Przy użyciu programu Server Manager zainstaluj na komputerze funkcje Group Policy Management i Telnet Server.
7. Skonfiguruj usługę Telnet Server tak, aby uruchamiana była automatycznie, przy każdorazowym uruchamianiu komputera.
Na koniec należy zainstalować i skonfigurować kliencką stację roboczą.
W celu zainstalowania i skonfigurowania klienckiego komputera CLIENT1:
1. Zainstaluj system Windows Vista przy użyciu następujących ustawień:
2. W trakcie instalacji, w monicie dotyczącym nazwy administratora lokalnego, nadaj nazwę localadmin, a następnie dla tego konta ustaw hasło Pass@word1.
3. Nazwij komputer CLIENT1.
4. Określ typ lokalizacji sieci jako Work.
5. Skonfiguruj sieć przy użyciu następujących ustawień:
• IP address: 192.168.0.101
• Subnet mask: 255.255.255.0
• Default Gateway: pozostaw puste pole
• DNS Server address: 192.168.0.1
6. Nazwij komputer CLIENT1. Uruchom ponownie komputer.
7. W panelu sterowania, w programie Program and Features, zainstaluj na komputerze program Telnet Client przy użyciu opcji Turn Windows features on and off.
8. Dołącz komputer do domeny contoso.com, a następnie ponownie uruchom komputer.
Sprawdzenie ustawień domyślnych systemów klienckich i serwerów
Dostęp do funkcji programu Windows Firewall with Advanced Security w systemie WindowsVista i Windows Server2008 można uzyskać za pomocą trzech różnych interfejsów użytkownika:
• Ikona zapory Windows Firewall w programie Control Panel . Interfejs ten umożliwia dostęp tylko do podstawowych ustawień zapory i został opracowany dla klientów w środowiskach, które nie są zarządzane. Program ten ma ograniczoną funkcjonalność i przeznaczony jest do kontroli pojedynczego komputera, a nie dla administratora w przedsiębiorstwie zarządzającego dużą liczbą komputerów.
• Narzędzie wiersza poleceń Netsh Advfirewall. Polecenie netsh umożliwia modyfikowanie wielu aspektów konfiguracji sieci komputerów, takich jak możliwość konfigurowania ustawień i reguł programu Windows Firewall with Advanced Security dla pojedynczego komputera lub obiektu GPO, który może być stosowany do dużej liczby komputerów w środowisku przedsiębiorstwa.
• Przystawka konsoli MMC (Microsoft Management Console) – Windows Firewall with Advanced Security . Interfejs ten umożliwia dostęp do zapory i funkcji dotyczących IPsec, a głównie przeznaczony jest dla administratora do zarządzania poszczególnymi komputerami i obiektami GPO.
Etapy sprawdzania ustawień domyślnych systemów klienckich i serwerów
Rozdział ten zawiera informacje wstępne umożliwiające rozpoczęcie korzystania z narzędzi konfigurowania i przeglądania ustawień. Przy użyciu tych narzędzi można przeglądać domyślną i bieżącą konfigurację w programie Windows Firewall with Advanced Security dla komputerów systemu WindowsVista i Windows Server2008.
Etap 1: Uruchomienie zapory Windows Firewall w programie Control Panel
Etap 2: Analiza opcji podstawowych dostępnych przy użyciu insterfejsu programu Control Panel
Etap 3: Analiza opcji podstawowych przy użyciu narzędzia wiersza poleceń Netsh
Etap 4: Analiza opcji podstawowych dostępnych przy użyciu przystawki MMC – Windows Firewall with Advanced Security
Etap 1: Uruchomienie zapory Windows Firewall w programie Control Panel
W tym etapie otwierana jest ikona zapory Windows Firewall w programie Control Panel na każdym komputerze członkowskim domeny.
Aby otworzyć ikonę Windows Firewall w programie Control Panel na komputerze CLIENT1:
1. Na komputerze CLIENT1 zaloguj się jako contoso\admin1 przy użyciu hasła Pass@word1.
2. Kliknij menu Start, a następnie kliknij program Control Panel.
W systemie WindowsVista domyślnym widokiem programu Control Panel jest Control Panel Home.
3. Kliknij grupę Security, a następnie kliknij ikonę Windows Firewall.
4. Na stronie Windows Firewall zanotuj następujące ustawienia domyślne, które są definiowane podczas typowej instalacji systemu WindowsVista, co ilustruje poniższy rysunek:
• Zapora Windows Firewall jest włączona.
• Niepożądane połączenia przychodzące są blokowane, o ile nie są dla nich skonfigurowane wykluczenia.
• Jeśli program próbuje odbierać połączenia przychodzące, a czynność ta jest zablokowana dla programu, użytkownikowi wyświetlane jest powiadomienie.
• Ustawieniami bieżącymi są te ustawienia, które są przypisane do profilu lokalizacji Domain network, ponieważ komputer został dołączony i uwierzytelniony w domenie usługi Active Directory.
.gif)
Rysunek 4: Windows Firewall w domenie usługi Active Directory.
5. Pozostaw otwarte okno programu Windows Firewall.
Obecnie przeanalizowany zostanie ten sam interfejs w systemie Windows Server2008.
Aby otworzyć ikonę zapory Windows Firewall w programie Control Panel na komputerze MBRSVR1
1. Na komputerze MBRSVR1 zaloguj się jako contoso\admin1 przy użyciu hasła Pass@word1.
2. Kliknij menu Start, a następnie program Control Panel.
W systemie Windows Server2008 domyślnym widokiem programu Control Panel jest Classic View.
3. Kliknij program Windows Firewall.
4. Na stronie Windows Firewall zanotuj następujące ustawienia domyślne, które są definiowane podczas typowej instalacji systemu Windows Server2008:
• Zapora Windows Firewall jest włączona.
Uwaga
Jeśli komputer systemu Windows Server był aktualizowany z poprzedniej wersji systemu Windows Server, która zawierała program Windows Firewall, to pozostawiony będzie stan On/Off.
• Niepożądane połączenia przychodzące, dla których nie zostały określone wykluczenia są zablokowane.
• Jeśli program próbuje odbierać połączenia przychodzące, a czynność ta jest zablokowana dla programu, użytkownikowi nie jest wyświetlane powiadomienie.
Uwaga
W porównaniu do systemu WindowsVista jest to różnica w ustawieniach domyślnych.
• Ustawieniami bieżącymi są te ustawienia, które są przypisane do profilu lokalizacji Domain network, ponieważ komputer został dołączony i uwierzytelniony w domenie usługi Active Directory.
.gif)
Rysunek 5: Windows Firewall w domenie usługi Active Directory.
5. Pozostaw otwarte okno programu Windows Firewall.
Etap 2: Analiza opcji podstawowych dostępnych przy użyciu interfejsu programu Control Panel
W etapie sprawdzane będą opcje, które można konfigurować przy użyciu ikony Windows Firewall w programie Control Panel i porównywane będą różnice pomiędzy systemami WindowsVista i Windows Server2008.
W celu przeanalizowania opcji dostępnych w programie Windows Firewall (w programie Control Panel)
1. Na komputerze CLIENT1 i MBRSVR1 kliknij przycisk Change settings (na stronie Windows Firewall).
2. Sprawdź zakładki dotyczące kilku ustawień konfigurowanych za pomocą tego interfejsu. Zmiany, które można tutaj przeprowadzać dotyczą tylko aktualnie skonfigurowanego profilu lokalizacji sieci (Domain network). Porównaj różnice pomiędzy ustawieniami domyślnymi na komputerze MBRSVR1 i CLIENT1.
• Zakładka General. Na tej zakładce można włączać i wyłączać zaporę. Oprócz tego można wybrać opcję włączającą blokowanie wszystkich połączeń przychodzących, nawet jeśli istnieją wyjątki, które zezwalają na takie połączenie.
Ostrzeżenie
Nie należy wyłączać zapory przez zatrzymanie usługi Windows Firewall (MpsSvc). Usługa Windows Firewall implementuje również usługę Windows Service Hardening, która umożliwia dodatkową ochronę innych usług systemu Windows. Firma Microsoft nie obsługuje wyłączania usługi Windows Firewall. Zamiast tego należy korzystać z interfejsu w programie Windows Firewall (Control Panel) lub z przystawki MMC –Windows Firewall with Advanced Security. Dodatkowe informacje na temat usług Windows Service Hardening znaleźć można w dokumencie Windows Vista Security and Data Protection Improvements udostępnionym pod adresem https://go.microsoft.com/fwlink/?linkid=98656.
Uwaga
Wyłączenie zapory przy użyciu ustawienia Off na stronie Windows Firewall Settings nie zatrzymuje usługi Windows Firewall (MpsSvc). Zatrzymywane jest filtrowanie zapory Windows Firewall dotyczące całego ruchu przychodzącego bądź wychodzącego zgodnie z regułami konfiguracji.
Na komputerze MBRSVR1, w porównaniu do komputera systemu Windows Vista, brak różnic na zakładce General, chyba że system operacyjny był aktualizowany z poprzedniej wersji systemu WindowsServer, na którym zainstalowana była zapora Windows Firewall, ale została wyłączona. Jeśli komputer systemu WindowsServer jest aktualizowany do nowszej wersji systemu WindowsServer, obsługiwany jest stan On/Off zapory Windows Firewall.
• Zakładka Exceptions. Na tej zakładce wyświetlane są wyjątki zdefiniowane w celu dopuszczenia określonych połączeń sieci. Zaznaczone wyjątki są włączone. Większość wyświetlanych tu wpisów reprezentuje wcześniej zdefiniowany zestaw reguł dołączonych do systemu Windows. Jeśli kliknięta zostanie nazwa wyjątku, a następnie wybrane polecenie Properties, wyświetlony zostaje opis wyjątku. Użytkownik może na tej stronie utworzyć swoje własne niestandardowe wyjątki bazujące na programach lub portach. Istnieje możliwość wyspecyfikowania zakresu wyjątków: dowolny komputer, lokalna podsieć lub niestandardowa lista adresów lub podsieci.
Komputer systemu Windows Server2008 skonfigurowany tak, by spełniać rolę serwera sieci, taką jak kontroler domeny, w porównaniu do innych komputerów ma zazwyczaj zdefiniowanych znacznie więcej wyjątków, które umożliwiają dostęp do jego usług. Na przykład komputer MBRSVR1 ma włączoną regułę wyjątku **Telnet,**ponieważ usługa ta została zainstalowana jako część instalacji. Reguła była utworzona i automatycznie włączona podczas instalowania usługi Telnet.
Domyślnie na komputerach systemu Windows Server2008 nie jest zaznaczona opcja Notify me when Windows Firewall blocks a new program.
• Zakładka Advanced. Na tej zakładce można określać, które połączenia sieci, zdefiniowane w programie Network and Sharing Center, są chronione przez zaporę Windows Firewall. Domyślnie wszystkie połączenia są chronione. Przycisk Restore Defaults umożliwia usunięcie całej niestandardowej konfiguracji, zastosowanej do zapory.
3. Na komputerach CLIENT1 i MBRSVR1 kliknij przycisk OK (na stronie Windows Firewall Settings) , zamknij zaporę Windows Firewall, a następnie zamknij program Control Panel.
Etap 3: Analiza podstawowych opcji przy użyciu narzędzia wiersza poleceń Netsh
W tym etapie prezentowana jest alternatywna metoda przeglądania podstawowych opcji konfiguracji zapory przy użyciu narzędzia wiersza poleceń Netsh.
W celu sprawdzenia podstawowych opcji zapory przy użyciu programu Netsh:
1. Na komputerze MBRSVR1 otwórz wiersz poleceń (dla uprawnień administratora).
2. W wierszu poleceń uruchom netsh advfirewall show currentprofile.
Ważne
Należy używać kontekstu advfirewall, a nie starych kontekstów firewall lub ipsec. Kontekst Advfirewall jest nowym kontekstem dla polecenia netsh w tej wersji systemu Windows. Konteksty firewall i ipsec w dalszym ciągu istnieją, ale są udostępniane jedynie dla zapewnienia kompatybilności z ustawieniami zasad grupy utworzonymi przy użyciu poprzednich wersji systemu Windows.
3. Przeanalizuj dane wyjściowe i porównaj z informacjami widzianymi poprzednio w programie Windows Firewall (w programie Control Panel). Na poniższym rysunku zaprezentowane są omawiane dane wyjściowe.
.jpg)
Rysunek 6: Dane wyjściowe.
Wartości State, Firewall Policy i InboundUserNotification odnoszą się do ustawień podstawowych analizowanych w programie Windows Firewall (w programie Control Panel) w poprzednim etapie. Pozostałych ustawień prezentowanych w danych wyjściowych polecenia netsh nie można konfigurować przy użyciu ikony Windows Firewall w programie Control Panel. Można je konfigurować za pomocą narzędzia wiersza poleceń netsh i przystawki MMC – Windows Firewall with Advanced Security MMC.
4. Zamknij wiersz poleceń.
Etap 4: Analiza podstawowych opcji dostępnych przy użyciu przystawki MMC – Windows Firewall with Advanced Security
W tym kroku używana będzie przystawka MMC – Windows Firewall with Advanced Security do przeglądania dostępnych opcji podstawowych.
W celu przeanalizowania opcji podstawowych przy użyciu przystawki MMC – Windows Firewall with Advanced Security:
1. Na komputerze MBRSVR1 otwórz przystawkę Windows Firewall with Advanced Security .
2. Przeanalizuj trzy okna przystawki Windows Firewall with Advanced Security.
• Okno nawigacji umożliwia wybranie głównych obszarów funkcjonalnych.
• W oknie informacji szczegółowych wyświetlane są dane dotyczące aktualnie wybranego obszaru funkcjonalnego.
• W oknie akcji wyświetlane są skróty do dostępnych zadań, które dotyczą aktualnie wybranego obszaru funkcjonalnego.
3. W oknie nawigacji zaznacz węzeł oznaczony Windows Firewall with Advanced Security .
W oknie informacji szczegółowych wyświetlone zostają dane o stanie podstawowym każdego profilu lokalizacji sieci. Ponieważ komputer MBRSVR1 jest podłączony do domeny, wpis dla tego profilu lokalizacji sieci w sekcji Overview informuje o aktywności profilu domeny: Domain Profile is Active.
4. W oknie nawigacji kliknij prawym przyciskiem myszy węzeł Windows Firewall with Advanced Security , a następnie kliknij polecenie Properties.
5. Zwróć uwagę, że w wyświetlonym oknie znajdują się cztery zakładki, jedna dla każdego profilu lokalizacji sieci i jedna dla ustawień IPsec. Zmiany wykonywane w zakładkach profilu stosowane są tylko do komputera, jeśli aktywny jest określony profil lokalizacji sieci. Na zakładce IPsec Settings można konfigurować domyślne parametry protokołu IPsec używane, jeśli reguły zabezpieczeń połączenia nie specyfikują tych parametrów.
6. Jako przykład kliknij zakładkę Private Profile. Zwróć uwagę, że dla każdego profilu można włączyć lub wyłączyć zaporę, skonfigurować domyślne działanie zapory dla obsługi niepożądanych połączeń przychodzących i wychodzących oraz można definiować opcje dotyczące rejestrowania zdarzeń.
7. W sekcji Settings kliknij polecenie Customize. Zwróć uwagę, że dla każdego profilu można skonfigurować powiadomienia i sposób odpowiedzi komputera na przychodzący ruch multiemisji lub rozgłoszeń.
W sekcji Rule merging można przeprowadzać konfiguracje tylko, jeśli zarządzane są ustawienia obiektu Group Policy (GPO). Ustawienia w tej sekcji wskazują, czy administrator zasad grupy dopuszcza, by w oparciu o lokalne konto Administrator można było stosować swoje własne, lokalnie utworzone reguły zabezpieczeń zapory i połączenia. Jeśli opcja ustawiona jest na **No,**do komputera stosowane są tylko reguły dostarczane przez obiekt GPO, a ignorowane są wszystkie reguły zdefiniowane lokalnie.
8. Kliknij przycisk Cancel, aby powrócić do głównej strony Properties.
9. W sekcji Logging kliknij przycisk Customize, aby przeanalizować dostępne opcje pozwalające tworzyć plik dziennika, do którego przechwytywane są informacje szczegółowe o operacjach zapory. Nawet jeśli określona została nazwa pliku dziennika, do pliku nie są zapisywane żadne informacje, dopóki nie zostanie wybrana opcja Yes na jednej z dwóch list.
10. Ustaw wartość No w obu listach, aby wyłączyć rejestrowanie. Opcja będzie używana w dalszej części poradnika.
11. Kliknij dwa razy przycisk Cancel, aby powrócić do przystawki Windows Firewall with Advanced Security.
12. Można przejrzeć pozostałe obszary funkcjonalne, by zapoznać się z aktualnie skonfigurowanymi regułami Inbound Rules, Outbound Rules i Connection Security Rules, ale na tym etapie nie należy zmieniać ich ustawień.
Do początku strony
Wprowadzanie ustawień podstawowych za pomocą zasad grupy
Zasady grupy używane są do definiowania i instalowania określonych konfiguracji dla grup komputerów i użytkowników. Konfiguracje te są tworzone przy użyciu programu Group Policy Object Editor i są umieszczane w jednym lub kilku obiektach Group Policy (GPO) przechowywanych w usłudze Active Directory. W celu zastosowania ustawień obiekt GPO zostaje powiązany z jednym lub kilkoma kontenerami usługi Active Directory, takimi jak witryna, domena czy jednostka organizacyjna (OU). Ustawienia w obiekcie GPO są następnie automatycznie stosowane do użytkowników i komputerów, których obiekty przechowywane są w tych kontenerach usługi Active Directory. Administrator tylko raz konfiguruje środowisko pracy dla użytkowników, a potem polega na zasadach grupy w celu wymuszenia działania wprowadzonych ustawień.
Ogólny opis technologii zasad grupy zamieszczony został w tym poradniku w rozdziale Group Policy. Dodatkowe informacje na ten temat znaleźć można w dokumencie Windows Server Group Policy udostępnionym pod adresem https://go.microsoft.com/fwlink/?linkid=93542.
Etapy wprowadzania ustawień podstawowych przy użyciu zasad grupy
W niniejszym rozdziale tworzony jest zestaw jednostek organizacyjnych, w których umieszczone będą konta komputerów testowych. Następnie utworzone zostaną obiekty GPO zawierające ustawienia przeznaczone dla określonego zestawu komputerów. Program Group Policy Management Editor używany jest do konfigurowania obiektu GPO zawierającego podstawowe ustawienia zapory. Następnie obiekt ten jest przypisywany do jednostki organizacyjnej zawierającej komputer testowy. Na koniec tworzony jest i stosowany filtr usługi WMI (Windows Management Instrumentation), który powoduje, że obiekt GPO jest aplikowany na komputerach działających pod kontrolą określonego systemu operacyjnego. Dzięki temu można posiadać wiele grup komputerów w pojedynczym kontenerze usługi Active Directory (OU, witryna lub domena), które wymagają różnych ustawień i zapewnić, że każda z grup odbierze właściwy obiekt GPO.
Konfigurowany obiekt GPO obejmuje niektóre ustawienia podstawowe zapory Windows Firewall with Advanced Security, które są częścią typowych ustawień zapory przedsiębiorstwa.
Etap 1: Tworzenie jednostek organizacyjnych (OU) i umieszczanie w nich kont komputerów
Etap 2: Tworzenie obiektów GPO przechowujących ustawienia
Etap 3: Dodawanie ustawienia GPO właczającego zaporę na klienckich komputerach członkowskich
Etap 4: Wprowadzanie początkowego obiektu GPO wraz z testowymi ustawieniami zapory
Etap 5: Dodawanie ustawienia, które uniemożliwia administratorom lokalnym stosowanie reguł powodujących konflikty
Etap 6: Konfigurowanie pozostałych ustawień zapory komputera klienckiego
Etap 7: Tworzenie filtrów WMI i grup
Etap 8: Włączanie rejestrowania zdarzeń dotyczących zapory
Etap 1: Tworzenie jednostek organizacyjnych (OU) i umieszczanie w nich kont komputerów
Na tym etapie przy użyciu przystawki MMC – Active Directory Users and Computers tworzone są dwie jednostki organizacyjne w hierarchii domeny: jedna dla serwerów członkowskich i druga dla członkowskich komputerów klienckich. Następnie każde konto komputera zostanie przeniesione do odpowiedniej nowej jednostki organizacyjnej.
W celu utworzenia jednostek organizacyjnych i umieszczenia w nich kont komputerów:
1. Na komputerze DC1 kliknij kolejno menu Start, Administrative Tools, a następnie przystawkę Active Directory Users and Computers .
2. W oknie nawigacji kliknij prawym przyciskiem myszy domenę contoso.com, kliknij polecenie New, a następnie kliknij opcję Organizational Unit.
3. W polu Name wpisz MyMemberServers, a następnie kliknij przycisk OK.
4. Kliknij ponownie prawym przyciskiem myszy domenę contoso.com, a następnie kliknij polecenie New i wybierz opcję Organizational Unit.
5. W polu Name wpisz MyClientComputers, a następnie kliknij przycisk OK.
6. W oknie nawigacji kliknij węzeł Computers.
7. W oknie informacji szczegółowych kliknij prawym przyciskiem myszy komputer CLIENT1, a następnie kliknij polecenie Move.
8. W oknie dialogowym Move kliknij jednostkę MyClientComputers, a następnie kliknij przycisk OK.
9. W oknie informacji szczegółowych kliknij prawym przyciskiem myszy komputer MBRSVR1, a następnie kliknij przycisk Move.
10. W oknie dialogowym Move kliknij jednostkę MyMemberServers, a następnie kliknij przycisk OK.
Po zakończeniu okno programu będzie wyglądało podobnie, jak na poniższym rysunku.
.gif)
Rysunek 7: Okno wyświetlające użytkowników domeny.
11. Zamknij przystawkę Active Directory Users and Computers.
Etap 2: Tworzenie obiektów GPO przechowujących ustawienia
W tym etapie tworzony jest nowy obiekt GPO. Ponieważ obiekt nie jest powiązany z żadną jednostką organizacyjną, konfigurowane ustawienia nie są jeszcze stosowane do żadnego komputera.
W celu utworzenia obiektów GPO:
1. Na komputerze MBRSVR1 kliknij kolejno menu Start, Administrative Tools, a następnie kliknij program Group Policy Management.
2. W oknie nawigacji rozwiń las Forest: contoso.com, rozwiń węzeł Domains, a następnie rozwiń contoso.com.
3. W oknie nawigacji kliknij prawym przyciskiem myszy węzeł Group Policy Objects , a następnie kliknij polecenie New.
4. W polu Name wpisz Firewall Settings for WS2008 Servers , a następnie kliknij przycisk OK.
5. W oknie nawigacji kliknij prawym przyciskiem myszy węzeł Group Policy Objects , a następnie kliknij polecenie New.
6. W polu Name wpisz Firewall Settings for Vista Clients , a następnie kliknij przycisk OK.
7. Zaznacz węzeł Group Policy Objects, a wyświetlane okno będzie przypominało ekran przedstawiony na poniższym rysunku.
.jpg)
Rysunek 8: Group Policy Objects.
Etap 3: Dodawanie ustawienia GPO włączającego zaporę na klienckich komputerach członkowskich
W tym etapie konfigurowany będzie obiekt GPO klienta w celu dołączenia ustawienia, które powoduje włączenie programu Windows Firewall na wszystkich komputerach klienckich systemu WindowsVista, do których stosowany jest obiekt GPO.
W celu dodania ustawienia obiektu GPO włączającego zaporę na klienckich komputerach członkowskich:
1. Na komputerze MBRSVR1, w programie Group Policy Management kliknij węzeł Group Policy Objects, kliknij prawym przyciskiem myszy pozycję Firewall Settings for Vista Clients, a następnie kliknij polecenie Edit.
2. W programie Group Policy Management Editor kliknij prawym przyciskiem myszy najwyżej położony węzeł Firewall Settings for Vista Clients [DC1.contoso.com] Policy , a następnie kliknij polecenie Properties.
3. Zaznacz pole wyboru Disable User Configuration settings, a następnie kliknij przycisk OK.
Uwaga
Jedna z sekcji – sekcja komputera lub sekcja użytkownika – może być usunięta, ilekroć nie jest potrzebna. Dzięki temu zwiększona zostaje wydajność komputera klienckiego podczas stosowania obiektu GPO.
4. W oknie dialogowym Confirm Disable kliknij przycisk Yes, a następnie kliknij przycisk OK.
5. W węźle Computer Configuration, rozwiń kolejno pozycje Windows Settings, Security Settings, a następnie Windows Firewall with Advanced Security.
6. Kliknij węzeł Windows Firewall with Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com, gdzie GUID jest unikalnym numerem przypisanym do domeny.
7. W oknie informacji szczegółowych, w ramce Overview zwróć uwagę, że dla każdego profilu lokalizacji sieci określono stan zapory jako nieskonfigurowany: Windows Firewall state is not configured, a następnie kliknij odnośnik Windows Firewall Properties.
8. Na zakładce Domain Profile kliknij listę rozwijaną znajdującą się obok opcji Firewall state, a następnie kliknij polecenie On (recommended).
Uwaga
Operacja ta może okazać się niepotrzebnym krokiem, ponieważ domyślnie zapora jest włączona na komputerach klienckich. Jednakże administrator lokalny może wyłączyć zaporę, jeśli dla tego ustawienia pozostawiona zostanie opcja Not configured . Skonfigurowanie obiektu GPO tak, jak pokazano to w tym etapie, załącza zaporę i uniemożliwia administratorom lokalnym jej wyłączanie.
9. Kliknij przycisk OK, aby zapisać zmiany. Zwróć uwagę, że obecnie w odniesieniu do profilu domeny – Domain Profile – wyświetlana jest opcja Windows Firewall is on.
.gif)
Rysunek 9: Profil domeny.
10. Zamknij program Group Policy Management Editor.
Etap 4: Wprowadzanie początkowego obiektu GPO wraz z testowymi ustawieniami zapory
W tym etapie obiekt GPO zostanie powiązany z jednostką organizacyjną w celu zastosowania obiektu do klienckich komputerów członkowskich.
W celu wprowadzenia ustawień zapory:
1. Na komputerze MBRSVR1, w programie Group Policy Management, w oknie nawigacji kliknij prawym przyciskiem myszy kontener MyClientComputers, a następnie kliknij polecenie Link an Existing GPO.
2. Na liście Group Policy objects kliknij pozycję Firewall Settings for Vista Clients, a następnie kliknij przycisk OK.
W kolejnej procedurze potwierdzane będzie, że komputer kliencki odbiera i stosuje ustawienia nowego obiektu GPO.
W celu przetestowania nowego obiektu GPO:
1. Na komputerze CLIENT1 otwórz wiersz poleceń (przy uprawnieniach administratora).
2. W oknie wiersza poleceń wpisz gpupdate /force, a następnie naciśnij ENTER. Poczekaj na zakończenie wykonywania polecenia, zanim przejdziesz do następnych instrukcji.
3. W celu sprawdzenia tego, że obiekt GPO został prawidłowo zastosowany, uruchom polecenie gpresult /r /scope computer. W danych wyjściowych poszukaj sekcji Applied Group Policy Objects. Sprawdź, czy sekcja zawiera wpisy zarówno dla Firewall Settings for Vista Clients , jak i dla Default Domain Policy.
4. Otwórz przystawkę Windows Firewall with Advanced Security.
5. Kliknij prawym przyciskiem myszy najwyżej położony węzeł Windows Firewall with Advanced Security on Local Computer , a następnie kliknij polecenie Properties.
6. Zwróć uwagę, że ustawienie Firewall State ma wartość On i że kontrolka listy jest wyłączona. Lista jest teraz kontrolowana przez zasady grupy i nie może być zmieniana lokalnie, nawet przez administratora.
7. Zamknij okno dialogowe Properties i przystawkę Windows Firewall with Advanced Security.
Etap 5: Dodawanie ustawienia uniemożliwiającego administratorom lokalnym stosowanie reguł powodujących konflikty
Na tym etapie konfigurowane i testowane będzie ustawienie, które uniemożliwia stosowanie do komputerów reguł zapory utworzonych przez administratorów lokalnych, co potencjalnie może powodować konflikty z regułami wprowadzanymi przez obiekt GPO.
Domyślnie członkowie lokalnej grupy Administrators na komputerze mogą posługiwać się programem Windows Firewall with Advanced Security do tworzenia i włączania reguł zapory i zabezpieczeń połączenia. Te reguły lokalne są łączone z regułami odebranymi od obiektu zasad grupy i są stosowane jako aktywna konfiguracja komputera. Ustawienie opisane w tym rozdziale uniemożliwia łączenie reguł zdefiniowanych lokalnie z regułami zawartymi we wprowadzanych obiektach GPO.
Ważne
Ustawienie to uniemożliwia administratorowi lokalnemu stosowanie reguł, ale także uniemożliwia programowi Windows Firewall with Advanced Security wysyłanie do użytkownika monitów dotyczących nowych programów i tworzenie reguł dotyczących ruchu przychodzącego, jeśli użytkownik zatwierdza taką operację. Jeśli ustawienie to zostanie włączone, należy zapewnić, że każdy program, który wymaga reguł zapory, ma prawidłowo zdefiniowane reguły w obiektach GPO.
W celu sprawdzenia, czy administrator lokalny może tworzyć reguły powodujące konflikty:
1. Na komputerze CLIENT1, w wierszu poleceń przy uprawnieniach administratora uruchom polecenie ping dc1.
Polecenie ping działa, co oznacza, że komputer może komunikować się z komputerem DC1.
2. Uruchom przystawkę Windows Firewall with Advanced Security.
3. W węźle Windows Firewall with Advanced Security kliknij prawym przyciskiem myszy pozycję Outbound Rules, a następnie kliknij polecenie New Rule.
4. Na stronie Rule Type programu New Outbound Rule Wizard kliknij opcję Custom, a następnie kliknij przycisk Next.
5. Na stronie Program zaznacz opcję All programs, a następnie kliknij przycisk Next.
6. Na stronie Protocol and Ports zastosuj ustawienia domyślne, a następnie kliknij przycisk Next.
7. Na stronie Scope zastosuj ustawienia domyślne, a następnie kliknij przycisk Next.
8. Na stronie Action zastosuj ustawienia domyślne, a następnie kliknij przycisk Next.
9. Na stronie Profile usuń zaznaczenie pól wyboru dla profilów Private i Public, ale pozostaw zaznaczony profil Domain, a następnie kliknij przycisk Next.
10. Na stronie Name wpisz nazwę A Test Rule (użyj litery „A” jako pierwszego znaku, aby zapewnić, że reguła będzie pierwsza na liście), a następnie kliknij przycisk Finish.
Operacja ta tworzy regułę zapory, która blokuje cały ruch sieci, skutecznie uniemożliwiając komunikację z komputerem.
11. Powróć do okna wiersza poleceń i ponownie uruchom polecenie ping dc1.
Wykonanie polecenia ping nie powiodło się (rysunek poniżej), ponieważ lokalna reguła zapory blokuje wyjściową komunikację.
.jpg)
Rysunek 10: Polecenie ping.
12. W przystawce Windows Firewall with Advanced Security, w oknie nawigacji kliknij węzeł Outbound Rules, kliknij prawym przyciskiem myszy pozycję A Test Rule, a następnie kliknij polecenie Disable Rule. Reguła musi zostać wyłączona, aby ponownie włączyć komunikację potrzebną w następnych etapach.
13. Pozostaw otwarte okno Administrator: Command Prompt i przystawkę Windows Firewall with Advanced Security.
W następnej procedurze modyfikowany będzie obiekt GPO przypisany do komputera klienckiego w celu uniemożliwienia, aby lokalnie zdefiniowane reguły były łączone i stosowane jako aktywna konfiguracja zapory. Ponadto wyłączone zostaną monity pytające użytkownika, czy dopuszcza program, dla którego nie były zdefiniowane reguły.
W celu uniemożliwienia komputerowi używania reguł i ustawień zdefiniowanych przez administratorów lokalnych:
1. Na komputerze MBRSVR1, w programie Group Policy Management kliknij węzeł Group Policy Objects, kliknij prawym przyciskiem myszy pozycję Firewall Settings for Vista Clients, a następnie polecenie Edit.
2. W programie Group Policy Management Editor rozwiń kolejno węzły Computer Configuration, Windows Settings, Security Settings, a następnie Windows Firewall with Advanced Security .
3. Kliknij prawym przyciskiem myszy pozycję Windows Firewall with Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com, a następnie kliknij polecenie Properties.
4. Na zakładce Domain Profile, w sekcji Settings kliknij przycisk Customize.
5. Zmień wartość ustawienia Display a notification na No. Dzięki temu system Windows nie będzie wyświetlał powiadomień, kiedy program zostanie zablokowany.
6. W sekcji Rule merging zmień wartość listy Apply local firewall rules na No.
7. W sekcji Rule merging zmień wartość listy Apply local connection security rules na No.
8. Kliknij dwa razy przycisk OK, aby powrócić do programu Group Policy Management Editor.
W następnym etapie odświeżane będą zasady grupy na komputerze CLIENT1, a następnie sprawdzone zostanie, czy lokalnie zdefiniowane reguły mogą blokować komunikację sieci.
W celu przetestowania nowych ograniczeń dotyczących administratorów lokalnych:
1. Na komputerze CLIENT1, w oknie programu Administrator: Command Prompt uruchom polecenie gpupdate /force. Zaczekaj, aż zakończy się wykonywanie polecenia.
2. W przystawce Windows Firewall with Advanced Security, na liście Outbound Rules kliknij prawym przyciskiem myszy pozycję A Test Rule, a następnie kliknij polecenie Enable Rule.
3. W oknie programu Administrator: Command Prompt uruchom polecenie ping dc1.
Polecenie ping działa, nawet jeśli wygląda, że reguła A Test Rule jest włączona. Reguła jest wymieniona na komputerze lokalnym, jako reguła włączona, ale ponieważ w poprzedniej procedurze dla obiektu GPO wartość ustawienia Apply local firewall rules określona została jako No, zablokowane zostało łączenie reguł lokalnych z regułami wprowadzanymi przez GPO.
4. W oknie nawigacji przystawki Windows Firewall with Advanced Security rozwiń węzeł Monitoring, a następnie kliknij pozycję Firewall, aby wyświetlić listę aktywnych reguł komputera lokalnego.
Żadna reguła nie zostaje wyświetlona. W obiekcie GPO nie została utworzona żadna reguła i nie jest aktywna żadna reguła lokalna, dzięki działaniu ustawienia dołączonego do obiektu GPO.
5. Przed kontynuacją wykonywania instrukcji usuń regułę. W oknie nawigacji kliknij węzeł Outbound Rules. W oknie informacji szczegółowych kliknij prawym przyciskiem myszy regułę A Test Rule, kliknij polecenie Delete, a następnie w oknie dialogowym potwierdzenia kliknij przycisk Yes.
6. Pozostaw otwarte okno Administrator: Command Prompt i przystawkę Windows Firewall with Advanced Security.
Etap 6: Konfigurowanie pozostałych ustawień zapory komputerów klienckich
Na tym etapie zapora jest włączona, a administrator lokalny nie może jej wyłączyć. Następne operacje dotyczą dokończenia konfiguracji obiektu GPO komputera klienckiego poprzez dodanie innych, często używanych ustawień, które dokładniej kontrolują działanie zapory komputera systemu WindowsVista.
Dowolne ustawienie obiektu GPO, dla którego pozostawiono domyślną wartość „Not configured" (Nie skonfigurowane), może być konfigurowane przez administratora lokalnego. Z tego względu nie należy polegać na ustawieniach domyślnych, a powinny być skonfigurowane dokładnie te wartości, które mają być stosowane. Za pomocą procedur zamieszczonych w tym rozdziale zilustrowano sposób konfigurowania innych, często używanych ustawień, dla których nie jest zalecane, aby administrator lokalny mógł je zmieniać.
W celu sprawdzenia, czy administrator lokalny może modyfikować ustawienia, które nie są wymuszane przez obiekt GPO:
1. Na komputerze CLIENT1, w przystawce Windows Firewall with Advanced Security , w oknie nawigacji kliknij prawym przyciskiem myszy najwyżej położony węzeł Windows Firewall with Advanced Security, a następnie kliknij polecenie Properties.
2. Na zakładce Domain Profile ustaw wartość opcji Outbound connections na Block, a następnie kliknij przycisk OK.
3. W oknie Administrator: Command Prompt wpisz polecenie ping dc1, a następnie naciśnij ENTER.
Zwróć uwagę, że wykonanie polecenia nie powiodło się, ponieważ cały wyjściowy ruch sieci jest blokowany przez zaporę Windows Firewall with Advanced Security.
4. W przystawce Windows Firewall with Advanced Security kliknij prawym przyciskiem myszy najwyżej położony węzeł Windows Firewall with Advanced Security , a następnie kliknij polecenie Properties.
5. Ponownie ustaw wartość opcji Outbound connections na Allow (default), aby przywrócić zwykłe działanie, a następnie kliknij przycisk OK.
W kolejnej procedurze konfigurowane będą ustawienia zasad grupy tak, aby administrator lokalny nie mógł ich zmieniać bądź wyłączać.
W celu skonfigurowania innych, często używanych ustawień zapory w obiekcie Group Policy:
1. Na komputerze MBRSVR1,w programie Group Policy Management Editor kliknij prawym przyciskiem myszy pozycję Windows Firewall with Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com, a następnie kliknij polecenie Properties.
2. Na zakładce Domain Profile, w sekcji State dla ruchu Inbound connections ustaw wartość Block (default), a dla ruchu Outbound connections ustaw wartość Allow (default). Jest to, oczywiście takie samo działanie, jakie już jest zdefiniowane dla klienta, ale zdefiniowanie tych ustawień w obiekcie GPO uniemożliwia administratorom lokalnym ich zmianę.
3. Kliknij przycisk OK, aby zapisać ustawienia i powrócić do programu Group Policy Management Editor.
W kolejnej procedurze odświeżone będą zasady grupy na komputerze klienckim i sprawdzone zostanie, czy lokalnie zdefiniowane reguły i ustawienia mogą zablokować komunikację sieci.
W celu przetestowania nowych ograniczeń dotyczących administratorów lokalnych:
1. Na komputerze CLIENT1, w oknie programu Administrator: Command Prompt wpisz polecenie gpupdate /force, a następnie naciśnij ENTER. Poczekaj, aż zakończy się wykonywanie polecenia.
2. W oknie nawigacji przystawki Windows Firewall with Advanced Security kliknij prawym przyciskiem myszy najwyżej położony węzeł Windows Firewall with Advanced Security , a następnie kliknij polecenie Properties.
3. Na zakładce Domain Profile, zauważ, że obecne ograniczenia uniemożliwiają użytkownikowi lokalnemu (nawet administratorowi) modyfikowanie ustawień.
Uwaga
Ustawienie Inbound connection umożliwia blokowanie wszystkich połączeń (Block all connections). Jest to funkcja zabezpieczeń, która umożliwia szybkie usuwanie zagrożeń ze strony złośliwego oprogramowania i nie może być blokowana przez zasady grupy.
4. W sekcji Settings kliknij przycisk Customize, a następnie zwróć uwagę, że ustawienia skonfigurowane w obiekcie Group Policy nie mogą być zmieniane lokalnie.
5. Kliknij dwa razy przycisk Cancel, aby powrócić do przystawki Windows Firewall with Advanced Security.
6. Zamknij przystawkę Windows Firewall with Advanced Security.
Etap 7: Tworzenie filtrów WMI i grup
Jeśli w sieci używane są komputery klienckie działające pod kontrolą różnych systemów operacyjnych Windows, dwa komputery w tej samej jednostce organizacyjnej mogą wymagać różnych ustawień, aby uzyskać tę samą konfigurację. Na przykład, komputer systemu WindowsXP może wymagać innego ustawienia, niż komputer systemu WindowsVista. W takim przypadku potrzebne będą dwa obiekty GPO, jeden dla komputerów systemu WindowsXP i drugi dla komputerów systemu WindowsVista. Istnieją dwie najczęściej używane metody zapewnienia, że obiekty GPO są stosowane do odpowiednich komputerów:
• Dodanie do obiektu GPO filtra usługi WMI (Windows Management Instrumentation). Filtr WMI umożliwia definiowane kryteriów, które muszą być spełnione, zanim powiązany obiekt zostanie zastosowany do komputera. Dzięki filtrowaniu komputerów, do których mogą być stosowane ustawienia, znika konieczność dalszego podziału jednostek organizacyjnych w usłudze Active Directory.
• Przydzielanie lub odmowa uprawnienia zabezpieczeń Apply Policy w liście kontroli dostępu (ACL) dla obiektu GPO. Jeśli komputery zostaną umieszczone w grupach zabezpieczeń, to dla grup, które nie powinny używać danego obiektu GPO, można odmawiać uprawnienia Apply Policy.
Ważne
W porównaniu do programu Windows Firewall with Advanced Security dołączonego do systemu WindowsVista i Windows Server2008, w systemach WindowsXP i WindowsServer2003 używane są różne narzędzia i generowane są różne ustawienia dla zapory i protokołu IPsec. Łączenie tych ustawień na jednym komputerze może powodować nieoczekiwane problemy z połączeniami, które bardzo trudno usunąć. Zaleca się używanie przystawki Windows Firewall with Advanced Security do tworzenia obiektów GPO dla komputerów systemu WindowsVista lub Windows Server2008 i używanie narzędzi przewidzianych dla systemu WindowsXP lub WindowsServer2003 do tworzenia obiektów GPO przeznaczonych dla tych systemów operacyjnych.
W tym etapie używany i testowany będzie filtr WMI, który ogranicza stosowanie obiektu GPO tylko do komputerów systemu WindowsVista.
W celu utworzenia filtra WMI, który nie jest stosowany do systemu klienckiego:
1. Na komputerze MBRSVR1 przejdź do programu Group Policy Management.
2. W oknie nawigacji kliknij prawym przyciskiem myszy węzeł WMI Filters, a następnie kliknij polecenie New.
3. W polu Name wpisz Apply only to WindowsXP.
4. Kliknij przycisk Add.
5. W polu Query wpisz:
select * from Win32_OperatingSystem where Version like "5.1%"
6. Kliknij przycisk OK, a następnie kliknij przycisk Save.
7. W węźle Group Policy Objects kliknij pozycję Firewall Settings for Vista Clients.
8. Na zakładce Scope w ramce WMI Filtering wybierz filtr z listy Apply Only to WindowsXP.
9. W oknie dialogowym potwierdzenia kliknij przycisk Yes.
Obecnie zasada stosowana będzie tylko do komputerów systemów operacyjnych Windows, dla których numer wersji rozpoczyna się znakami „5.1". Ponieważ wersja systemu WindowsVista ma numer 6.0, zasada nie będzie stosowana do tego systemu operacyjnego.
10. Pozostaw otwartą przystawkę Group Policy Management.
W następnej procedurze instalowany będzie obiekt GPO, aby przekonać się, że nie jest już stosowany do komputerów klienckich systemu WindowsVista.
W celu zainstalowania i przetestowania „nieodpowiedniego” filtra WMI:
1. Na komputerze CLIENT1, w oknie programu Administrator: Command Prompt uruchom polecenie gpupdate /force. Poczekaj na zakończenie wykonywania polecenia.
2. Jeśli przystawka Windows Firewall with Advanced Security jest w dalszym ciągu otwarta, zamknij ją i ponownie uruchom.
3. W oknie nawigacji kliknij prawym przyciskiem myszy węzeł Windows Firewall with Advanced Security on Local Computer , a następnie kliknij polecenie Properties.
4. Zwróć uwagę, że wszystkie funkcje kontroli są obecnie włączone i nie są już blokowane przez zasadę, ponieważ obiekt GPO nie jest już stosowany do tego komputera.
5. Kliknij przycisk OK.
6. Zamknij przystawkę Windows Firewall with Advanced Security. Pozostaw otwarte okno Administrator: Command Prompt.
W kolejnej procedurze naprawiany będzie filtr WMI tak, aby obiekt GPO był prawidłowo używany do systemu WindowsVista.
W celu naprawy obiektu GPO:
1. Na komputerze MBRSVR1, w programie Group Policy Management, w oknie nawigacji rozwiń węzeł WMI Filters.
2. Kliknij prawym przyciskiem myszy filtr Apply Only to WindowsXP, a następnie kliknij polecenie Rename.
3. Zmień XP na Vista, a następnie naciśnij ENTER.
4. Kliknij prawym przyciskiem myszy filtr Apply Only to WindowsVista, a następnie kliknij polecenie Edit.
5. Zaznacz kwerendę, a następnie kliknij przycisk Edit, aby wyświetlić okno dialogowe WMI Query.
6. Zmień numer wersji tak, aby kwerenda miała postać:
select * from Win32_OperatingSystem where Version like "6.0%"
7. Kliknij przycisk OK, a następnie Save.
Obecnie ustawienie stosuje się tylko do komputerów systemów operacyjnych Windows, których numer wersji rozpoczyna się od 6.0, takich jak system WindowsVista lub Windows Server2008.
8. Pozostaw otwartą przystawkę Group Policy Management.
W następnej procedurze sprawdzimy, czy zasada będzie obecnie stosowana do komputerów systemu WindowsVista.
W celu wprowadzenia i przetestowania poprawionego filtra WMI:
1. Na komputerze CLIENT1, w programie Administrator: Command Prompt uruchom polecenie gpupdate /force. Poczekaj na zakończenie wykonywania polecenia.
2. Otwórz przystawkę Windows Firewall with Advanced Security.
3. W oknie nawigacji kliknij prawym przyciskiem myszy węzeł Windows Firewall with Advanced Security on Local Computer , a następnie kliknij polecenie Properties.
Zauważ, że wiele funkcji kontrolnych interfejsu użytkownika jest teraz zablokowanych, ponieważ obiekt GPO został ponownie zastosowany do tego komputera.
4. Kliknij przycisk OK.
5. Pozostaw otwarte program Administrator: Command Prompt i przystawkę Windows Firewall with Advanced Security.
W następnych kilku procedurach testowane będzie filtrowanie grup za pomocą list ACL.
W celu utworzenia grupy komputerów:
1. Na komputerze DC1 otwórz przystawkę Active Directory Users and Computers , jeśli jeszcze nie jest otwarta. Kliknij kolejno menu Start, Administrative Tools, a następnie kliknij program Active Directory Users and Computers.
2. W oknie nawigacji kliknij prawym przyciskiem myszy węzeł Computers, kliknij polecenie New, a następnie kliknij opcję Group.
3. W polu Group name wpisz Windows Vista Computers , a następnie kliknij przycisk OK.
W kolejnej procedurze definiowane będą uprawnienia dla obiektu GPO w celu przydzielania uprawnienia stosowania zasady tylko do członków nowej grupy komputerów.
W celu ustawienia uprawnienia ACL dla obiektu GPO:
1. Na komputerze MBRSVR1, w programie Group Policy Management rozwiń węzeł Group Policy Objects, a następnie kliknij pozycję Firewall Settings for Vista Clients.
2. Na zakładce Scope, w sekcji Security Filtering kliknij opcję Authenticated Users, a następnie kliknij polecenie Remove.
3. Kliknij przycisk Add, wpisz Windows Vista Computers, a następnie kliknij przycisk OK.
Komputer jeszcze nie jest członkiem nowej grupy. Należy sprawdzić, czy nie jest stosowany obiekt GPO.
W celu sprawdzenia, czy obiekt GPO przestał być stosowany do komputera CLIENT1:
1. Na komputerze CLIENT1, otwórz program Administrator: Command Prompt, a następnie uruchom polecenie gpupdate /force. Poczekaj na zakończenie wykonywania polecenia.
2. Wpisz gpresult /r /scope computer. Przeanalizuj sekcję Applied Group Policy Objects i sprawdź, czy jedynym wymienionym obiektem GPO jest Default Domain Policy.
3. Przejdź niżej kilka wierszy dalej do sekcji The following GPOs were not applied because they were filtered out, wyszukując wpisu dotyczącego ustawień zapory dla klientów systemu Vista – Firewall Settings for Vista Clients .
4. Jeśli przystawka Windows Firewall with Advanced Security jest nadal otwarta zamknij ją, a następnie ponownie uruchom.
5. W oknie nawigacji kliknij prawym przyciskiem myszy węzeł Windows Firewall with Advanced Security on Local Computer , a następnie kliknij polecenie Properties.
6. Sprawdź, czy wszystkie funkcje kontrolne są ponownie włączone ze względu na to, że obiekt GPO nie jest już stosowany.
7. Kliknij przycisk Cancel, aby zamknąć stronę Properties.
W kolejnej procedurze komputer będzie dodawany do nowej grupy.
W celu dodania komputera CLIENT1 do grupy:
1. Na komputerze DC1,w przystawce Active Directory Users and Computers zaznacz kontener Computers, a następnie w oknie informacji szczegółowych dwukrotnie kliknij grupę Windows Vista Computers.
2. Zaznacz zakładkę Members, a następnie kliknij przycisk Add.
3. Kliknij przycisk Object Types.
4. Usuń zaznaczenie wszystkich pól wyboru za wyjątkiem Computers, a następnie kliknij przycisk OK.
5. W polu tekstowym wpisz CLIENT1, a następnie dwa razy kliknij przycisk OK, aby zapisać zmiany.
Na koniec obiekt GPO zostanie zastosowany do komputera w celu zaobserwowania wyników jego działania.
Aby zastosować obiekt GPO do komputera:
1. Ponownie uruchom komputer CLIENT1. Zmiany członkostwa grupy muszą zostać odświeżone w tokenach zabezpieczeń komputera lokalnego. Operacja taka jest wykonywana podczas uruchamiania komputera.
2. Zaloguj się jako contoso/admin1.
3. Otwórz program Administrator: Command Prompt i uruchom polecenie gpresult /r /scope computer.
4. Przeanalizuj dane wyjściowe sprawdzając, czy obiekt GPO został ponownie zastosowany do komputera.
5. Otwórz przystawkę Windows Firewall with Advanced Security.
6. W oknie nawigacji kliknij prawym przyciskiem myszy węzeł Windows Firewall with Advanced Security on Local Computer , a następnie kliknij polecenie Properties.
7. Sprawdź, czy niektóre funkcje kontrolne zostały zablokowane przez zasady grupy.
8. Kliknij przycisk Cancel, aby zamknąć stronę Properties.
Dodatkowe informacje na temat sposobów użycia filtrów WMI i zasad grupy znaleźć można w następujących materiałach:
• HOWTO: Leverage Group Policies with WMI Filters udostępnionych pod adresem https://go.microsoft.com/fwlink/?linkid=93760
• Windows Server Group Policy udostępnionych pod adresem https://go.microsoft.com/fwlink/?linkid=93542
Etap 8: Włączanie rejestrowania zdarzeń dotyczących zapory
Podczas tworzenia lub modyfikowania reguł zapory można czasami napotkać zestaw reguł dopuszczających ruch, który nie powinien być dopuszczony lub reguł blokujących ruch, który jest potrzebny. W celu ułatwienia rozwiązywania tego typów problemów, program Windows Firewall with Advanced Security może tworzyć plik dziennika zawierający wpisy dotyczące zablokowanych i dopuszczonych połączeń sieci.
W tym etapie konfigurowany będzie obiekt GPO serwera w celu utworzenia pliku dziennika i zarejestrowania zarówno dopuszczonych, jak i odrzuconych pakietów. W następnym rozdziale, po utworzeniu i przetestowaniu pewnych reguł zapory, analizowany będzie plik dziennika w celu poznania rodzajów wpisów zapisywanych w tym pliku.
Aby skonfigurować plik dziennika zapory w obiekcie GPO serwera:
1. Na komputerze MBRSVR1, w programie Group Policy Management, w oknie nawigacji kliknij prawym przyciskiem myszy węzeł Firewall Settings for WS2008 Servers , a następnie kliknij polecenie Edit.
2. W programie Group Policy Management Editor kliknij prawym przyciskiem myszy węzeł położony najwyżej w oknie nawigacji, a następnie kliknij polecenie Properties.
3. Zaznacz pole wyboru Disable User Configuration settings.
4. W oknie dialogowym potwierdzenia kliknij przycisk Yes, a następnie kliknij przycisk OK.
5. W oknie nawigacji rozwiń kolejno węzły Computer Configuration, Windows Settings, Security Settings i Windows Firewall with Advanced Security.
6. Kliknij prawym przyciskiem myszy pozycję Windows Firewall with Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com, a następnie kliknij polecenie Properties.
7. Na zakładce Domain Profile, w sekcji Logging kliknij przycisk Customize.
8. Usuń zaznaczenie obu pól wyboru Not configured. Można używać wartości domyślnych dotyczących ścieżki i maksymalnego rozmiaru.
9. Zmień wartość opcji Log dropped packets na Yes.
10. Zmień wartość opcji Log successful connections na Yes.
11. Dwa razy kliknij przycisk OK, aby zapisać obiekt GPO.
12. Zamknij program Group Policy Management Editor.
Po zastosowaniu tego obiektu GPO do komputera MBRSVR1 zapora rozpoczyna rejestrowanie odrzuconych pakietów i prawidłowych połączeń. Dziennik analizowany będzie w kolejnym rozdziale.
| Do początku strony |