Poradnik krok po kroku instalowania zasad dla programu Windows Firewall with Advanced Security, cz. I     Windows Server 2008

Poradnik krok po kroku instalowania zasad dla programu Windows Firewall with Advanced Security, cz. II Udostępnij na: Facebook

Opublikowano: 14 lipca 2008

Zawartość strony
 Tworzenie reguł dopuszczających wymagany ruch przychodzący   Tworzenie reguł dopuszczających wymagany ruch przychodzący
 Tworzenie reguł blokujących niepożądany ruch wyjściowy   Tworzenie reguł blokujących niepożądany ruch wyjściowy
 Wdrożenie podstawowej zasady izolowania domeny   Wdrożenie podstawowej zasady izolowania domeny
 Izolowanie serwera przez wymaganie szyfrowania i członkostwa w grupie   Izolowanie serwera przez wymaganie szyfrowania i członkostwa w grupie
 Tworzenie reguł, które umożliwiają określonym komputerom lub użytkownikom pomijać reguły blokowania zapory   Tworzenie reguł, które umożliwiają określonym komputerom lub użytkownikom pomijać reguły blokowania zapory
 Podsumowanie   Podsumowanie
 Dodatkowe źródła   Dodatkowe źródła

Tworzenie reguł dopuszczających wymagany ruch przychodzący

Zgodnie z ustawieniami domyślnymi zapora Windows Firewall with Advanced Security blokuje cały nieoczekiwany, przychodzący ruch sieci. W celu włączenia programów, których działanie jest zależne od takiego ruchu, należy utworzyć reguły o określonych kryteriach.

Etapy tworzenia reguł dopuszczających wymagany ruch przychodzący

W niniejszym rozdziale poradnika tworzone będą reguły zapory, które przepuszczają przez zaporę określone typy nieoczekiwanego ruchu przychodzącego.

Etap 1: Konfigurowanie wstępnie zdefinowanych reguł przy użyciu zasad grupy

Etap 2: Dopuszczanie nieoczekiwanego ruchu wejściowego dla określonego programu

Etap 3: Dopuszczanie wejściowego ruchu dla określonego portu protokołu TCP lub UDP

Etap 4: Dopuszczanie wejściowego ruchu sieci, wykorzystującego dynamiczne wywołania RPC

Etap 5: Analiza dziennika zapory

Etap 1: Konfigurowanie wstępnie zdefiniowanych reguł przy użyciu zasad grupy

W wielu sytuacjach może zachodzić potrzeba skonfigurowania reguł, które zezwalają na ogólnie wymaganą aktywność sieci. Wiele często używanych typów ruchu sieci jest już określonych w programie Windows Firewall with Advanced Security, jako wstępnie zdefiniowany zestaw reguł. Dzięki temu prostszy jest ich dobór podczas konfigurowania i wdrażania.

W tym etapie przystawka MMC – Group Policy Management będzie używana do konfigurowania grupy reguł zapory. Ustawiane będą reguły będące częścią grupy Core Networking, która powinna być zawsze włączona.

W celu skonfigurowania grupy reguł zapory:

  1. Na komputerze MBRSVR1, w przystawce Group Policy Management kliknij prawym przyciskiem myszy węzeł Firewall Settings for Vista Clients, a następnie kliknij polecenie Edit.

  2. W oknie nawigacji programu Group Policy Management Editor rozwiń kolejno węzły Computer Configuration, Windows Settings, Security Settings, Windows Firewall with Advanced Security, a następnie rozwiń Windows Firewall with Advanced Security - LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com.

  3. Kliknij kontener Inbound Rules.

Domyślnie, w obiekcie GPO nie są zdefiniowane żadne reguły zapory dotyczące połączeń przychodzących.

  4. Kliknij prawym przyciskiem myszy kontener Inbound Rules, a następnie kliknij polecenie New rule.

  5. Na stronie Rule Type kliknij opcję Predefined, na liście zaznacz opcję Core Networking, a następnie kliknij przycisk Next.

  6. Na stronie Predefined Rules przeanalizuj listę reguł, pozostaw je wszystkie zaznaczone, a następnie kliknij przycisk Next.

Uwaga

W środowisku produkcyjnym należy uważnie analizować, które profile stosowane będą do reguł. Używane mogą być reguły dla innych profili w celu kontrolowania działania zapory na komputerach poza siecią, takich jak komputery przenośne zabierane do domu. Stosowane mogą być reguły do wszystkich profilów, aby zapewnić, że komputery organizacji są stale chronione, nawet poza siecią organizacji. Niektóre modyfikacje reguł mogą być wymagane, by zapewnić pożądane działanie programu w domu lub w sieci publicznej, różniącej się od sieci organizacji.

  7. Na stronie Action, ponieważ tworzone mają być wyjątki dla ruchu, który domyślnie jest blokowany, zaznacz opcję Allow the connection , a następnie kliknij przycisk Finish.

Lista włączonych reguł wyświetlona zostaje teraz w oknie informacji szczegółowych dla kontenera Inbound Rules.

Rysunek 11: Lista włączonych reguł.

Przy użyciu aktualnej listy reguł obiektu GPO, obiekt będzie stosowany do komputera klienckiego.

W celu przetestowania reguł na komputerze klienckim:

  1. Na komputerze CLIENT1, w programie Administrator: Command Prompt uruchom polecenie gpupdate /force. Poczekaj na zakończenie wykonywania polecenia.

  2. W oknie nawigacji przystawki Windows Firewall with Advanced Security rozwiń węzeł Monitoring, a następnie kliknij pozycję Firewall.

Zwróć uwagę na listę reguł, która jest teraz aktywna na komputerze lokalnym.

  3. Kliknij menu View, a następnie kliknij polecenie Add/Remove columns.

  4. Jeśli kolumna Rule Source nie jest wyświetlana, kliknij Rule Source na liście Available columns, a następnie kliknij przycisk Add.

  5. Kliknij przycisk Move Up, aby umieścić Rule Source bezpośrednio po kolumnie Name, a następnie kliknij przycisk OK.

Uwaga

Dodanie kolumny Rule Source jest przydatne podczas rozwiązywania problemów, ale może spowolnić odczytywanie reguł. Zaleca się usunięcie kolumny z widoku, jeśli nie jest potrzebna.

  6. Zwróć uwagę, że wszystkie reguły identyfikują obiekt GPO Firewall Settings for Vista Clients jako źródło reguły. Nawet jeśli wyłączone zostaną lokalnie zdefiniowane reguły Core Networking w sekcji Inbound Rules , reguły te, pochodzące z obiektu GPO, nadal stosowane są do komputera.

  7. Zamknij program Group Policy Management Editor dla obiektu GPO klienta.

Etap 2: Dopuszczanie nieoczekiwanego ruchu wejściowego dla określonego programu

Jeśli używany jest program, który musi mieć możliwość odebrania nieoczekiwanego ruchu wejściowego, należy utworzyć regułę, która zezwala na przepuszczenie tego ruchu przez zaporę.

Domyślnie, w systemie WindowsVista, jeśli taki program zostaje uruchomiony i program rejestruje w systemie Windows odbiór na określonych portach protokołu TCP lub UDP, system Windows zablokuje żądanie i wyświetli okno dialogowe pytające o dalsze instrukcje. Jeśli użytkownik dopuści program, system Windows automatycznie utworzy regułę zapory, która dopuści cały ruch sieci dla tego programu. Podobną regułę można również utworzyć ręcznie. Jeśli reguła taka zostanie utworzona i rozprowadzona za pomocą zasad grupy, użytkownicy nie będą musieli oglądać okna dialogowego i podejmować odpowiednich decyzji.

Zgodnie z ustawieniami domyślnymi, na komputerach systemu Windows Server2008 nie jest wyświetlane okno powiadomienia, a program jest blokowany bez powiadamiania użytkownika. Tak więc, w tych systemach administrator dla każdego programu wymagającego nieoczekiwanego ruchu przychodzącego, musi utworzyć odpowiednie reguły. Inną zaletą ręcznego tworzenia reguły jest to, że można ograniczyć regułę tylko do określonego ruchu wymaganego przez program.

W niniejszym rozdziale, jako pierwszy przykład, tworzona będzie reguła zapory dopuszczająca ruch przychodzący dla usługi Telnet, a następnie reguła ta wprowadzona zostanie na komputerze MBRSVR1 za pomocą obiektu Group Policy.

W celu utworzenia reguły zapory, która dla programu dopuszcza ruch przychodzący:

  1. Na komputerze MBRSVR1, w oknie programu Group Policy Management kliknij prawym przyciskiem myszy pozycję Firewall Settings for WS2008 Servers , a następnie kliknij polecenie Edit.

  2. W oknie nawigacji rozwiń kolejno węzły Computer Configuration, Windows Settings, Security Settings, Windows Firewall with Advanced Security i Windows Firewall with Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,dc=com.

  3. Kliknij prawym przyciskiem myszy pozycję Inbound Rules, a następnie kliknij polecenie New rule.

  4. Na stronie Rule Type kliknij opcję Custom, a następnie kliknij przycisk Next.

Uwaga

Zaleca się tworzenie reguł maksymalnie precyzyjnych. Oznacza to, że można zdefiniować zarówno program, aby zapewnić, że reguła dopuszcza tylko ruch, jeśli program jest uruchomiony, jak i port w celu zapewniania odbioru tylko na pożądanym numerze portu. W celu przejrzenia wszystkich opcji kreatora można posłużyć się typem reguły Custom.

  5. W polu tekstowy This program path wpisz %systemroot%\system32\tlntsvr.exe.

  6. Ponieważ programy mogą utrzymywać wiele usług, zaleca się, aby reguła była ograniczona do określonej usługi. Kliknij przycisk Customize (obok Services).

  7. Kliknij polecenie Apply to this service, zaznacz usługę Telnet, kliknij przycisk OK, a następnie kliknij przycisk Next.

Uwaga

Lista usług obejmuje jedynie usługi aktualnie zainstalowane na komputerze, na którym edytowany jest obiekt GPO. Jeśli wymagana usługa nie jest zainstalowana na danym komputerze, można użyć opcji Apply to service with this service short name , a następnie w polu tekstowym wpisać nazwę usługi. W celu uzyskania skrótu nazwy usługi należy skorzystać z przystawki MMC –Services na komputerze, na którym usługa jest zainstalowana.

  8. Na stronie Protocols and Ports kliknij przycisk Next. W następnym rozdziale reguła będzie ograniczona do określonego portu.

  9. Na stronie Scope kliknij przycisk Next.

  10. Na stronie Action kliknij polecenie Allow the Connection , a następnie kliknij przycisk Next.

  11. Na stronie Profile usuń zaznaczenie pola wyboru Private i Public. Sprawdź, czy zaznaczony jest profil Domain, a następnie kliknij przycisk Next.

  12. Na stronie Name wpisz Allow Inbound Telnet, a następnie kliknij przycisk Finish.

Zanim wprowadzony zostanie obiekt GPO, należy skonfigurować inne ustawienia, aby zapewnić, że reguły lokalne nie będą wpływały na reguły wprowadzane przez domenę.

W celu zakończenia konfigurowania reguły zapory dla serwera członkowskiego:

  1. W oknie nawigacji programu Group Policy Management Editor kliknij prawym przyciskiem myszy pozycję Windows Firewall with Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,dc=com, a następnie kliknij polecenie Properties.

  2. Ustaw wartość opcji Firewall state na On (recommended).

  3. Ustaw wartość opcji Inbound connections na Block (default).

  4. Ustaw wartość opcji Outbound connections na Allow (default).

  5. W sekcji Settings kliknij przycisk Customize.

  6. Ustaw wartość opcji Display a notification na No.

  7. Ustaw wartość opcji Apply local firewall rules na No.

  8. Ustaw wartość opcji Apply local connection security rules na No.

  9. Dwa razy kliknij przycisk OK, aby zapisać obiekt GPO.

W tej procedurze obiekt GPO będzie wprowadzany na serwerze członkowskim.

W celu wprowadzenia obiektu GPO na serwerze członkowskim:

  1. Przejdź do przystawki Group Policy Management, kliknij prawym przyciskiem myszy grupę MyMemberServers, a następnie kliknij polecenie Link an existing GPO.

  2. W oknie dialogowym Select GPO kliknij obiekt Firewall Settings for WS2008 Servers, a następnie kliknij przycisk OK.

Obiekt GPO został przypisany.

  3. Otwórz program Administrator: Command Prompt, a następnie uruchom polecenie gpupdate/force. Poczekaj na zakończenie wykonywania polecenia.

  4. Otwórz przystawkę Windows Firewall with Advanced Security.

  5. W oknie nawigacji rozwiń węzeł Monitoring, a następnie kliknij Firewall. Zauważ, że jedyną aktywną regułą jest reguła Allow Inbound Telnet, która utworzona została w obiekcie GPO.

Za pomocą poniższej procedury testowana będzie wprowadzona reguła zapory.

W celu przetestowania reguły zapory dotyczącej usługi Telnet:

  1. Na komputerze CLIENT1, w oknie programu Administrator: Command Prompt wpisz telnet mbrsvr1, a następnie naciśnij ENTER.

Po kilku sekundach wyświetlony zostanie pokazany poniżej ekran, który wskazuje, że dla usługi Telnet działa reguła zapory.

Rysunek 12: Okienko usługi telnet.

  2. Zamknij sesję Telnet, wpisując polecenie exit, a następnie naciskając ENTER.

W następnej procedurze sprawdzane jest, czy nie jest to reguła lokalna utworzona podczas instalowania usługi Telnet Server na komputerze MBRSVR1. Reguła zostanie zablokowana i sprawdzone zostanie, czy usługa Telnet nadal działa, ze względu na to, że reguła stosowana przez obiekt GPO jest aktywna.

W celu sprawdzenia, czy reguła obiektu GPO umożliwia działanie usługi Telnet:

  1. Na komputerze MBRSVR1, w przystawce Windows Firewall with Advanced Security , w oknie nawigacji kliknij kontener Inbound Rules. Zauważ, że bazująca na GPO reguła zapory dotycząca usługi Telnet znajduje się najwyżej na liście.

  2. Przewiń w dół do reguły nazwanej Telnet Server, kliknij ją prawym przyciskiem myszy, a następnie kliknij polecenie Disable rule .

  3. Na komputerze CLIENT1, w wierszu poleceń ponownie uruchom polecenie telnet mbrsvr1, a następnie sprawdź, czy polecenie nadal działa.

  4. Zamknij sesję programu Telnet, wpisując polecenie exit, a następnie naciśnij ENTER.

Na koniec pokazane zostanie, że usługa Telnet może odbierać ruch sieci na dowolnym porcie w sposób, w jaki reguła jest aktualnie skonfigurowana.

W celu zademonstrowania, że reguła zapory dopuszcza ruch sieci usługi Telnet dla określonego portu:

  1. Na komputerze MBRSVR1, w oknie Administrator: Command Prompt wpisz polecenie tlntadmn config port=25, a następnie naciśnij ENTER. Polecenie skonfiguruje serwer Telnet tak, aby odbierał ruch na porcie 25, a nie na domyślnym porcie 23.

  2. Na komputerze CLIENT1, w wierszu poleceń wpisz polecenie telnetmbrsvr125. Polecenie instruuje system kliencki, by dla swoich połączeń korzystał z portu 25, a nie z domyślnego portu 23.

Połączenie zostało nawiązane.

W następnym rozdziale konfigurowana będzie reguła dopuszczająca ruch tylko na wyspecyfikowanym porcie.

Etap 3: Dopuszczenie ruchu przychodzącego do określonego portu protokołu TCP lub UDP

W poprzednim etapie tworzona była reguła, która dopuszczała nieoczekiwany ruch przychodzący do usługi Telnet Server. W praktyce zaleca się jednak ograniczanie ruchu do portów TCP i/lub UDP, które są rzeczywiście potrzebne do działania usługi. W przypadku usługi Telnet wymagany jest tylko port 23 protokołu TCP.

Za pomocą poniższej procedury doprecyzowana zostanie reguła wyjątków usługi Telnet tak, aby dopuszczany był tylko ruch przychodzący na porcie 23 TCP.

W celu skonfigurowania reguły ograniczającej ruch do określonego portu:

  1. Na komputerze MBRSVR1, w programie Group Policy Management Editor dla obiektu GPO serwera kliknij kontener Inbound Rules.

  2. W oknie informacji szczegółowych kliknij prawym przyciskiem myszy pozycję Allow Inbound Telnet, a następnie kliknij polecenie Properties.

  3. Kliknij zakładkę Protocols and Ports.

  4. W polu Protocol type kliknij opcję TCP. Zauważ, że wartość pola Protocol number automatycznie zmieniła się na 6.

  5. Na liście Local port kliknij opcję Specific Ports .

  6. W polu tekstowym bezpośrednio poniżej pola Local Port wpisz 23.

  7. Kliknij przycisk OK, aby zapisać zmiany.

Za pomocą poniższej procedury testowana będzie zmodyfikowana reguła.

W celu przetestowania zmodyfikowanej reguły:

  1. Na komputerze MBRSVR1, w oknie Administrator: Command Prompt uruchom polecenie gpupdate/force. Poczekaj na zakończenie wykonywania polecenia.

Usługa Telnet na komputerze MBRSVR1 nadal jest skonfigurowana do odbioru na porcie 25.

  2. Na komputerze CLIENT1, w wierszu poleceń uruchom polecenie telnetmbrsvr125.

Przekroczony został limit czasu dla operacji polecenia, które nie działa, ponieważ zapora na komputerze MBRSVR1 blokuje teraz ruch do usługi Telnet za wyjątkiem portu 23.

  3. Na komputerze MBRSVR1, w oknie Administrator: Command Prompt uruchom polecenie tlntadmnconfigport=23, aby przywrócić domyślny numer portu usługi.

  4. Na komputerze CLIENT1, w wierszu poleceń wpisz telnetmbrsvr1.

Polecenie działa prawidłowo, ponieważ zapora dopuszcza ruch przychodzący do portu 23 dla usługi Telnet.

  5. Zamknij sesję usługi Telnet, wpisując polecenie exit, a następnie naciskając ENTER.

Etap 4: Dopuszczenie przychodzącego ruchu sieci, który wykorzystuje dynamiczne wywołania RPC

Wiele programów korzysta z protokołu RPC do żądania komunikacji z usługą hosta na dynamicznie przypisywanych portach. W tym celu klient zdalny łączy się z serwerem na porcie 135 TCP (typowy numer portu dla RPC) i wskazuje usługę, z którą ma nastąpić połączenie. Usługa RPC Endpoint Mapper, która odbiera na tym porcie odpowiada przesyłając numer portu, który powinien być używany przez klienta, aby połączyć się z wybraną usługą.

W poprzednich wersjach systemu Windows dynamicznie przypisywane porty były dużym problemem dla administratorów zapory. Mogli oni albo utworzyć reguły otwierające szeroki zakres dynamicznie przypisywanych numerów portów (wszystkie porty większe niż 1024), albo musieli ograniczyć program tak, aby używał mniejszej liczby portów, niż liczba portów, przewidzianych do używania przez program. Tworzenie reguł, które otwierają wiele portów w danym momencie nieaktywnych, zwiększa liczbę możliwych punktów ataku. Z kolei ograniczenie programu tak, by korzystał z mniejszej liczby portów może negatywnie wpływać na wydajność programu. Żadne z tych rozwiązań nie jest dobre.

Uwaga

W celu określenia, czy program musi używać portów dynamicznie przypisywanych przez RPC, należy zapoznać się z dokumentacją producenta programu. Innym sposobem jest analiza ruchu do/z programu przy użyciu analizatorów protokołów sieci, takich jak Microsoft Network Monitor. Program Network Monitor można pobrać z witryny https://go.microsoft.com/fwlink/?LinkID=94770 .

W systemie WindowsVista i Windows Server2008 problem ten został rozwiązany poprzez wprowadzenie reguł, które mogą bezpośrednio dla programu obsługiwać wymagania dotyczące portu RPC. W celu zapewnienia tej obsługi należy utworzyć następujące reguły:

  •  Reguła przychodząca dopuszczająca przychodzący ruch sieci dla usługi RPC Endpoint Mapper. Reguła ta pozwala komputerowi na odbieranie ruchu wysyłanego do portu 135. Reguła musi być skonfigurowana tak, by użyta została akcja dotycząca dopuszczania i ścieżki programu usługi RPC Endpoint Mapper.

  •  Reguła przychodząca, która dla numeru portu określa opcję Dynamic RPC. Kiedy od komputera zdalnego odebrane zostaje żądanie przez usługę RPC Endpoint Mapper na porcie 135 (zob. poprzednią regułę), usługa dynamicznie przypisuje numer portu do żądania i odpowiada komputerowi zdalnemu przesyłając informacje o tym numerze portu. Adres IP komputera zdalnego i dynamicznie przypisany numer portu są przechowywane w wewnętrznej tabeli. Kiedy następnie komputer zdalny wysyła pakiet do nowego numeru portu, reguła ta pozwala systemowi Windows porównać numer portu i adres IP z wpisami przechowywanymi w tabeli. Jeśli są zgodne, reguła dopuszcza ruch przychodzący.

Zaletą rozwiązania jest to, że dowolny port „ulotnego” zakresu RPC może być używany bez konieczności definiowania wprost reguły otwierania tego portu. Port jest używany przez program, tylko jeśli został przypisany przez usługę Endpoint Mapper. Nieużywane porty nie są otwierane, co zmniejsza bezpieczeństwo serwera.

W tym rozdziale tworzone będą reguły dla usługi Remote Event Log, która korzysta z usługi Dynamic RPC. Pomimo, że w systemie WindowsVista i Windows Server2008 są wstępnie zdefiniowane reguły, które zapewniają tę funkcjonalność, będą one tworzone ręcznie, aby zilustrować etapy poszczególnych operacji.

Na początku należy sprawdzić, czy aktualnie usługa Remote Event Log działa zdalnie z systemu klienckiego (zapora na komputerze MBRSVR1 blokuje ten ruch).

W celu sprawdzenia, czy usługa Remote Event Log działa zdalnie:

  1. Na komputerze CLIENT1, kliknij menu Start, wpisz event viewer w polu Start Search, a następnie naciśnij ENTER.

  2. Kliknij menu Action, a następnie kliknij polecenie Connect to another computer.

  3. W polu tekstowym Another computer wpisz MBRSVR1, a następnie kliknij przycisk OK.

  4. Po kilku sekundach wyświetlony zostaje komunikat informujący o niepowodzeniu nawiązania połączenia (rysunek poniżej), ponieważ program Windows Firewall with Advanced Security na komputerze MBRSVR1 zablokował wymagany ruch sieci. Kliknij przycisk OK.

Rysunek 13: Komunikat informujący o niepowodzeniu nawiązania połączenia.

W celu zezwolenia na działanie usługi należy utworzyć regułę, która obsługuje ruch przychodzący do usługi RPC Endpoint Mapper.

W celu utworzenia reguły dopuszczającej ruch przychodzący do usługi RPC Endpoint Mapper:

  1. Na komputerze MBRSVR1, w programie Group Policy Management Editor dla obiektu GPO serwera, w oknie nawigacji kliknij prawym przyciskiem myszy kontener Inbound Rules, a następnie kliknij polecenie New rule.

  2. Na stronie Rule Type kliknij opcję Custom, a następnie kliknij przycisk Next.

  3. W polu tekstowym This program path wpisz %systemroot%\system32\svchost.exe.

  4. Kliknij przycisk Customize ( obok Services).

  5. Kliknij polecenie Apply to this service, zaznacz opcję Remote Procedure Call (RPC) z nazwą skrótową RpcSs, kliknij przycisk OK, a następnie kliknij Next.

  6. W oknie ostrzeżenia dotyczącego konfliktu z regułami zabezpieczania usług systemu Windows (Windows service-hardening) kliknij przycisk Yes.

  7. Na stronie Protocol and Ports, dla funkcji Protocol type wybierz opcję TCP.

  8. Dla funkcji Local Port wybierz opcję RPC Endpoint Mapper , a następnie kliknij przycisk Next.

  9. Na stronie Scope kliknij przycisk Next.

  10. Na stronie Action kliknij przycisk Next.

  11. Na stronie Profile usuń zaznaczenie pól wyboru Private i Public, a następnie kliknij przycisk Next.

  12. Na stronie Name wpisz Allow RPC Endpoint Mapper , a następnie kliknij przycisk Finish.

W następnym kroku tworzona będzie reguła dopuszczająca ruch przychodzący ze zdalnej usługi Event Log klienta. Ponieważ przychodzący numer portu przypisywany jest dynamicznie przez usługę RPC Endpoint Mapper, należy wybrać opcję Dynamic RPC, a nie określać konkretny numer portu.

Uwaga

Program Event Log używany jako przykład usługi jest przechowywany w pliku %systemroot%\system32\svchost.exe. Należy upewnić się, że w środowisku produkcyjnym używana jest ścieżka do pliku wykonywalnego zapewniającego działanie usługi, dla której tworzone są reguły.

W celu utworzenia reguły dopuszczającej ruch przychodzący do usługi korzystającej z RPC:

  1. Na komputerze MBRSVR1, w oknie nawigacji programu Group Policy Management Editor kliknij prawym przyciskiem myszy kontener Inbound Rules, a następnie kliknij polecenie New rule.

  2. Na stronie Rule Type kliknij opcję Custom, a następnie kliknij przycisk Next.

  3. W polu tekstowym This program path wpisz %systemroot%\system32\svchost.exe. Usługa Remote Event Log jest inną usługą utrzymywaną przez ten plik.

  4. Kliknij przycisk Customize ( obok Services).

  5. Kliknij polecenie Apply to this service, wybierz opcję Windows Event Log wraz z nazwą skrótu Eventlog, kliknij przycisk OK, a następnie kliknij Next.

  6. W oknie ostrzeżenia dotyczącego konfliktu z regułami zabezpieczania usług systemu Windows (Windows service-hardening) kliknij przycisk Yes.

  7. Na stronie Protocol and Ports dla funkcji Protocol type wybierz opcję TCP.

  8. Dla funkcji Local Port wybierz opcję Dynamic RPC , a następnie kliknij przycisk Next.

  9. Na stronie Scope kliknij przycisk Next.

  10. Na stronie Action kliknij przycisk Next.

  11. Na stronie Profile usuń zaznaczenie pól wyboru Private i Public, a następnie kliknij przycisk Next.

  12. Na stronie Name wpisz Allow Remote Event Log Service , a następnie kliknij przycisk Finish.

Teraz można zastosować obiekt GPO do komputera MBRSVR1.

  13. W oknie Administrator: Command Prompt uruchom polecenie gpupdate/force. Poczekaj na zakończenie wykonywania polecenia.

  14. Otwórz przystawkę Windows Firewall with Advanced Security, o ile nie była już otwarta wcześniej.

  15. Rozwiń węzeł Monitoring, kliknij pozycję Firewall, a następnie sprawdź, czy nowa reguła jest aktywna na komputerze.

Rysunek 14: Aktywne reguły.

Obecnie można ponownie spróbować podłączyć się do usługi Remote Event Log z systemu klienckiego.

W celu sprawdzenia, czy działa usługa Remote Event Log:

  1. Na komputerze CLIENT1, w programie Event Viewer kliknij menu Action, a następnie kliknij polecenie Connect to another computer.

  2. W polu tekstowym Another computer wpisz MBRSVR1, a następnie kliknij przycisk OK.

  3. Nawiązanie połączenia powiodło się, a dla najwyżej położonego węzła okna nawigacji wyświetlana jest informacja, że program przeglądający został podłączony do komputera MBRSVR1.contoso.com.

Rysunek 15: Okienko programu Event Viewer.

  4. Zamknij program Event Viewer.

Etap 5: Przeglądanie dziennika zapory

Po włączeniu rejestrowania zdarzeń zapory utworzonych zostało kilka połączeń, a także kilka połączeń było zablokowanych przez wprowadzone reguły zapory. W tym etapie analizowany będzie dziennik, który gromadził dane do tego momentu, a następnie funkcja rejestrowania zdarzeń zostanie wyłączona.

W celu przeanalizowania dziennika zapory:

  1. Na komputerze MBRSVR1 otwórz przystawkę Windows Firewall with Advanced Security (o ile nie była wcześniej otwarta).

  2. W oknie nawigacji kliknij węzeł Monitoring. W sekcji Logging Settings kliknij ścieżkę pliku obok pola File name. Program dziennika otworzy edytor Notepad.

  3. W programie Notepad przeanalizuj wpisy. W dzienniku znajduje się znacznie więcej wpisów, niż te, które bezpośrednio dotyczą operacji wykonywanych w poradniku. Są tam wpisy dotyczące zapytań systemu DNS (Domain Name System), połączenia protokołu NetBIOS (Network Basic Input/Output) itp.

  4. Wyszukaj wiersze, które przypominają poniższe przykłady. Można nacisnąć klawisze CTRL-F, aby otworzyć okno dialogowe wyszukiwania i wprowadzić wyrażenie [spacja] 23 [spacja] . Spacje należy wprowadzić, aby nie były znalezione liczby 23 wchodzące w skład innych liczb.

Wartości napisane kursywą w poniższych przykładach mogą różnić się od tych w przeglądanym właśnie dzienniku. Ostatnia kolumna nie jest tutaj pokazana, ale często jest interesująca, ponieważ pokazuje, czy pakiet był pakietem przychodzącym (RECEIVE) bądź wychodzącym (SEND).

  •  Poniższe wpisy reprezentują dopuszczone połączenia usługi Telnet dla portów 23 i 25:

2007-07-18 10:10:48 ALLOW TCP 192.168.0.101 192.168.0.100 52174 23

2007-07-18 10:15:54 ALLOW TCP 192.168.0.101 192.168.0.100 52175 25

  •  Poniższy wpis reprezentuje zablokowaną próbę połączenia do usługi Telnet na porcie 25:

2007-07-18 10:28:28 DROP TCP 192.168.0.101 192.168.0.100 52180 25

  •  Poniższy wpis reprezentuje dopuszczone połączenie usługi Remote Event Log:

2007-07-18 10:49:59 ALLOW TCP 192.168.0.101 192.168.0.100 52191 135

2007-07-18 10:50:00 ALLOW TCP 192.168.0.101 192.168.0.100 52192 49153

  5. Zamknij program Notepad.

Uwaga

W sytuacji rozwiązywania problemów w środowisku produkcyjnym można zaimportować plik dziennika do programu Microsoft Excel w celu ułatwienia wyszukiwania, sortowania i filtrowania wpisów. Podczas importowania pliku dziennika należy posłużyć się znakiem spacji jako separatorem.

Rejestrowanie zdarzeń powinno być włączone tylko, jeśli zachodzi taka potrzeba, na przykład podczas rozwiązywania problemów. Po zakończeniu przeglądania dziennika należy wyłączyć funkcję rejestrowania zdarzeń.

Aby wyłączyć rejestrowanie zdarzeń dotyczących zapory:

  1. Przejdź do okna programu Group Policy Management Editor skonfigurowanego dla obiektu GPO serwera.

  2. W oknie nawigacji kliknij prawym przyciskiem myszy pozycję Windows Firewall with Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com, a następnie kliknij polecenie Properties.

  3. Na zakładce Domain Profile, w sekcji Logging kliknij przycisk Customize.

  4. Zmień wartość opcji Log dropped packets na No (default).

  5. Zmień wartość opcji Log successful connections na No (default).

  6. Dwa razy kliknij przycisk OK, aby zapisać zmiany.

  7. W oknie Administrator: Command Prompt uruchom polecenie gpupdate /force. Poczekaj na zakończenie wykonywania polecenia.

 Do początku strony Do początku strony

Tworzenie reguł blokujących niepożądany ruch wyjściowy

Zgodnie z ustawieniami domyślnymi program Windows Firewall with Advanced Security dopuszcza cały wyjściowy ruch sieci. Jeśli na komputerach danej organizacji zabronione jest uruchamianie określonych programów sieci, wymuszenie tego zakazu można prosto zrealizować blokując ruch, który jest wymagany przez te programy do prawidłowego działania.

Domyślnie blokowany jest ruch przychodzący do komputera, który nie jest zgodny z regułą, ale nic nie uniemożliwia generowania ruchu wychodzącego z komputera. W celu zablokowania ruchu sieci dla zakazanych programów należy utworzyć regułę wychodzącą, która blokuje przejście przez zaporę Windows Firewall with Advanced Security dla ruchu spełniającego określone kryteria.

Etapy tworzenia reguł blokujących zabroniony wychodzący ruch sieci

W niniejszym rozdziale poradnika tworzone będą reguły zapory blokujące na zaporze Windows Firewall with Advanced Security określone typy ruchu wyjściowego. Usługa Telnet będzie używana jako przykład blokowanego programu.

Etap 1: Blokowanie ruchu sieci dla programu przy użyciu reguły wychodzącej

Etap 2: Wprowadzanie i testowanie reguły wychodzącej

Etap 1: Blokowanie ruchu sieci dla programu przy użyciu reguły wychodzącej

W tym etapie tworzona będzie reguła dla komputera CLIENT1 w celu zablokowania całego ruchu wychodzącego na porcie 23 protokołu TCP. Można tworzyć regułę dla określonej ścieżki i nazwy programu, ale ze względu na to, że ograniczenie to można w prosty sposób ominąć, zmieniając nazwę programu, zazwyczaj bardziej efektywne jest blokowanie portów dla ruchu sieci wymaganego do działania programu.

Ostrzeżenie

Blokowanie portów wymaganych przez program uniemożliwia działanie każdego programu, który korzysta z tych portów do komunikacji w sieci. Należy upewnić się, że blokowane porty nie są używane przez programy potrzebne użytkownikom.

W celu utworzenia wychodzącej reguły blokowania:

  1. Na komputerze MBRSVR1 zamknij program Group Policy Management Editor (jeśli był nadal otwarty).

  2. W programie Group Policy Management kliknij prawym przyciskiem myszy pozycję Firewall Settings for Vista Clients, a następnie kliknij polecenie Edit.

  3. Rozwiń kolejno węzły Computer Configuration, Windows Settings, Security Settings, Windows Firewall with Advanced Security, a następnie Windows Firewall with Advanced Security - LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com.

  4. Kliknij pozycję Outbound Rules, a następnie zwróć uwagę, że aktualnie nie jest zdefiniowana żadna reguła.

  5. Kliknij prawym przyciskiem myszy pozycję Outbound Rules, a następnie kliknij polecenie New Rule.

  6. Na stronie Rule Type kliknij opcję Custom, a następnie kliknij przycisk Next.

Uwaga

Jeśli jako typ reguły wybrana będzie opcja Port, będzie można określić tylko numer portu lokalnego, który ma być blokowany. Ponieważ blokowany ma być port zdalny o numerze 23, należy jako typ reguły wybrać opcję Custom.

  7. Na stronie Program kliknij opcję All programs, a następnie kliknij przycisk Next.

  8. Na stronie Protocol and Ports zmień wartość opcji Protocol type na TCP.

  9. Na liście Remote ports kliknij opcję Specific Ports , w polu tekstowym wpisz 23, a następnie kliknij przycisk Next.

Uwaga

Należy upewnić się, że określony został port Remote, a nie Local. W porównaniu do reguł przychodzących jest to różnica, ponieważ reguła ta stosowana jest do systemu klienckiego, a nie do serwera.

  10. Na stronie Scope kliknij przycisk Next.

  11. Na stronie Action kliknij polecenie Block the connection , a następnie kliknij przycisk Next.

  12. Na stronie Profile zaznacz pola wyboru Private i Public, a następnie kliknij przycisk Next.

  13. Na stronie Name wpisz Block Outbound Telnet , a następnie kliknij przycisk Finish.

Etap 2: Wprowadzanie i testowanie reguły wychodzącej

Obecnie po utworzeniu reguły można ją wprowadzić na komputerze CLIENT1 i przetestować jej działanie.

W celu wprowadzenia i przetestowania wychodzącej reguły blokowania:

  1. Na komputerze CLIENT1, w oknie Administrator: Command Prompt uruchom polecenie gpupdate/force. Poczekaj na zakończenie wykonywania polecenia.

  2. Uruchom polecenie telnetmbrsvr1.

  3. Nie powiodło się nawiązanie połączenia, co potwierdza poniższy komunikat:

Connecting to mbrsvr1…Could not open connection to the host, on port 23: Connect failed (Połączenie do mbrsvr1...Nie można otworzyć połączenia do hosta na porcie 23:)

  4. Ponieważ w następnym rozdziale ponownie używana jest usługa Telnet, trzeba wyłączyć regułę. Na komputerze MBRSVR1, w programie Group Policy Management Editor kliknij prawym przyciskiem myszy regułę Block Outbound Telnet , a następnie kliknij polecenie Disable Rule.

  5. Na komputerze CLIENT1 powtórz operacje opisane jako etap 1 i etap 2, aby sprawdzić, czy usługa Telnet znów działa.

  6. Wpisz polecenie exit, a następnie naciśnij ENTER, aby zakończyć sesję programu Telnet.

 Do początku strony Do początku strony

Wdrożenie podstawowej zasady izolowania domeny

Za pomocą programu Windows Firewall with Advanced Security w systemach WindowsVista i Windows Server2008 można tworzyć reguły zabezpieczeń połączenia, które określają, że ruch musi być zabezpieczony przez jedną lub więcej funkcji protokołu IPsec. W konfiguracji izolowania domeny używane jest uwierzytelnienie w celu wymuszenia na każdym komputerze, biorącym udział w połączeniu operacji, określenia tożsamości innego komputera.

Przez tworzenie reguł, które wymagają uwierzytelniania przez członków domeny, następuje skuteczne odizolowanie komputerów należących do domeny od innych komputerów, które do domeny nie należą.

Wiele sieci zawiera komputery, które nie mogą uczestniczyć w izolowaniu domeny, ponieważ nie mogą używać protokołu IPsec ze względu na utrzymywane usługi, używane systemy operacyjne bądź z innych przyczyn. Jeśli zachodzi potrzeba wprowadzenia konfiguracji izolowanej domeny, należy utworzyć przychodzące reguły wykluczeń dla tych komputerów, które nie mogą używać protokołu IPsec, jeśli komputery te mają się komunikować z systemami, które żądają użycia IPsec.

W przypadku połączeń wychodzących większość konfiguracji izolowania domeny korzysta z opcji żądania, ale nie wymagania ochrony IPsec. Dzięki temu ruch jest chroniony, jeśli komunikujące się komputery potrafią obsługiwać IPsec. Jednak po trzech sekundach od próby nawiązania chronionego połączenia komunikacja powraca do przesyłania jawnego tekstu, jeśli komputery nie mogą używać protokołu IPsec. Niektóre usługi mają limity czasu odpowiedzi krótsze, niż trzy sekundy, co powoduje, że programy takie nie funkcjonują poprawnie. W poprzednich wersjach systemu Windows powodowało to konieczność utworzenia (czasami bardzo dużej liczby) reguł wykluczeń dla ruchu wychodzącego, aby obsługiwać te serwery i usługi, których nie można było uwierzytelniać. W celu rozwiązania tego problemu firma Microsoft opracowała aktualizację Simple Policy Update dla systemu WindowsServer2003 i WindowsXP. Aktualizacja ta zmniejsza opóźnienie związane z próbą nawiązania połączenia chronionego IPsec do 1,5 sekundy. Dodatkowe informacje na temat aktualizacji Simple Policy Update dla systemu WindowsServer2003 i WindowsXP znaleźć można w dokumencie Simplifying IPsec Policy with the Simple Policy Update udostępnionym pod adresem https://go.microsoft.com/fwlink/?LinkID=94767.

Podczas używania trybu żądania w systemie WindowsVista i Windows Server2008, system Windows wysyła jednocześnie obie próby nawiązania połączenia. Jeśli host zdalny akceptuje używanie protokołu IPsec, próba nawiązania połączenia nie-IPsec zostaje odrzucona. Jeśli natomiast dla żądania używania IPsec komputer nie otrzymuje odpowiedzi, kontynuowane jest połączenie bez protokołu IPsec.

Dzięki temu zmniejszone zostało opóźnienie powodujące dla większości programów problemy z przekroczeniem limitu czasu. Jednakże w dalszym ciągu mogą zdarzać się sytuacje, kiedy zachodzi potrzeba, aby komputery nie używały protokołu IPsec do komunikowania się z niektórymi hostami w sieci. W takiej sytuacji dla systemów klienckich należy utworzyć reguły wykluczeń, dzięki czemu komputery te nie będą używały protokołu IPsec do komunikowania się z komputerami wymienionymi na liście wykluczeń.

Dodatkowe informacje na temat izolowania domeny znaleźć można w dokumencie Introduction to Server and Domain Isolation udostępnionym pod adresem https://go.microsoft.com/fwlink/?LinkID=94631 i Domain Isolation with Microsoft Windows Explained udostępnionym pod adresem https://go.microsoft.com/fwlink/?LinkID=94632.

Etapy tworzenia reguł zabezpieczeń połączenia w celu wymuszenia izolowania domeny

W niniejszym rozdziale tworzone będą reguły zabezpieczeń połączenia, które określają, że komputery w domenie wymagają uwierzytelniania przychodzącego ruchu sieci i żądają uwierzytelnienia dla ruchu wychodzącego.

Etap 1: Tworzenie reguły zabezpieczenia połączenia, która żąda uwierzytelnienia

Etap 2: Wprowadzenie i testowanie reguł zabezpieczenia połączenia

Etap 3: Zmiana reguły izolowania tak, by uwierzytelnienie było wymagane

Etap 4: Testowanie izolowania za pomocą komputera, do którego nie jest stosowana reguła izolowania domeny

Etap 5: Tworzenie reguł wykluczeń dla komputerów nienależących do domeny

Etap 1: Tworzenie reguły zabezpieczeń połączenia, która żąda uwierzytelnienia

W tym etapie tworzone będą reguły zabezpieczeń połączenia dla domeny contoso.com, które powodują, że wszystkie komputery należące do domeny wymagają uwierzytelnienia dla ruchu przychodzącego i żądają uwierzytelnienia dla ruchu wychodzącego. Tworzenie reguł rozpocznie się od użycia obiektu GPO, który żąda tylko uwierzytelnienia ruchu przychodzącego, a po sprawdzeniu, że reguła działa, zostanie ona skorygowana tak, by wymagała uwierzytelnienia dla ruchu wychodzącego.

W celu utworzenia nowego obiektu GPO dla izolowania domeny:

  1. Na komputerze MBRSV1, w programie Group Policy Management kliknij prawym przyciskiem myszy kontener Group Policy Objects, a następnie kliknij polecenie New.

  2. W polu Name wpisz Domain Isolation, a następnie kliknij przycisk OK.

  3. W oknie nawigacji kliknij prawym przyciskiem myszy nowy obiekt GPO, a następnie kliknij polecenie Edit.

  4. W programie Group Policy Management Editor, w oknie nawigacji kliknij prawym przyciskiem myszy najwyżej położony węzeł dla obiektu GPO Domain Isolation, a następnie kliknij polecenie Properties.

  5. Zaznacz pole wyboru Disable User Configuration settings, ponieważ ten obiekt GPO dotyczy tylko komputera GPO.

  6. W oknie dialogowym Confirm Disable kliknij przycisk Yes, a następnie kliknij przycisk OK.

  7. W oknie nawigacji rozwiń kolejno węzły Computer Configuration, Windows Settings, Security Settings, Windows Firewall with Advanced Security, a następnie Windows Firewall with Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com.

  8. Kliknij prawym przyciskiem myszy pozycję Connection Security Rules, a następnie kliknij polecenie New rule.

  9. Na stronie Rule Type kliknij opcję Isolation, a następnie kliknij przycisk Next.

  10. Na stronie Requirements sprawdź, czy zaznaczona jest opcja Request authentication for inbound and outbound connections, a następnie kliknij przycisk Next.

Ostrzeżenie

W środowisku produkcyjnym zaleca się, żeby najpierw ustalić tryb żądania i zezwolić na pełną propagację obiektu GPO w sieci. Następnie należy sprawdzić, czy wszystkie komputery potrafią komunikować się przy użyciu protokołu IPsec, zanim tryb żądania reguły zostanie zmieniony na tryb wymagania. Ustawienie najpierw trybu wymagania może spowodować, że komputery nie będą mogły komunikować się ze sobą do momentu, aż wszystkie oneodbiorą i zastosują obiekt GPO. W następnym kroku należy zmodyfikować regułę tak, aby wymagane było uwierzytelnienie ruchu przychodzącego.

  11. Na stronie Authentication Method kliknij opcję Computer (KerberosV5), a następnie kliknij przycisk Next.

  12. Na stronie Profile usuń zaznaczenie pól wyboru Private i Public, a następnie kliknij przycisk Next.

  13. Na stronie Name wpisz Request Inbound Request Outbound , a następnie kliknij przycisk Finish.

Etap 2: Wdrożenie i testowanie reguł zabezpieczeń połączenia

W tym etapie wprowadzana i testowana będzie reguła izolowania domeny. Obiekt GPO zawierający regułę zostanie powiązany z jednostkami organizacyjnymi (OU), które zawierają konta komputerów. Następnie przetestowane zostanie połączenie i przejrzane skojarzenia zabezpieczeń (SA) dla protokołu IPsec, które zostały utworzone do obsługi połączenia.

W pierwszym kroku należy powiązać obiekt GPO z jednostkami organizacyjnymi zawierającymi komputery, do których ma być zastosowana reguła.

W celu powiązania obiektu GPO z odpowiednimi jednostkami organizacyjnymi (OU):

  1. Na komputerze MBRSVR1 otwórz przystawkę Group Policy Management.

  2. Kliknij prawym przyciskiem myszy kontener MyClientComputers, a następnie kliknij polecenie Link an Existing GPO.

  3. Na liście Group Policy objects zaznacz opcję Domain Isolation, a następnie kliknij przycisk OK.

  4. Kliknij prawym przyciskiem myszy grupę MyMemberServers, a następnie kliknij polecenie Link an Existing GPO.

  5. Na liście Group Policy objects zaznacz opcję Domain Isolation, a następnie kliknij przycisk OK.

Podczas przeglądania jednostek organizacyjnych lista obiektów będzie przypominała poniższy rysunek:

Rysunek 16: Lista obiektów.

Teraz należy sprawdzić, czy oba komputery odbierają i stosują nowy obiekt GPO.

W celu przetestowania na komputerach nowego obiektu GPO:

  1. Na obu komputerach, MBRSVR1 i CLIENT1, w oknie Administrator: Command Prompt uruchom polecenie gpupdate /force. Poczekaj na zakończenie wykonania polecenia.

  2. Na komputerze CLIENT1, w wierszu poleceń uruchom program telnet mbrsvr1.

Nawiązanie połączenia powiodło się. Nie zamykaj jeszcze sesji programu Telnet.

  3. Otwórz przystawkę Windows Firewall with Advanced Security.

  4. Rozwiń kolejno węzły Monitoring, Security Associations , a następnie kliknij Main Mode.

  5. W oknie Main Mode, dwukrotnie kliknij wyświetlane skojarzenie zabezpieczeń (SA).

  6. Przeanalizuj ustawienia (pokazane na poniższym rysunku), sprawdzając, że komputer lokalny (CLIENT1) jest uwierzytelniony przez komputer zdalny (MBRSVR1).

Rysunek 17: Ustawienia.

  7. Kliknij przycisk OK.

  8. W oknie nawigacji kliknij pozycję Quick Mode, a następnie dwukrotnie kliknij wyświetlone skojarzenie zabezpieczeń (S.A.).

  9. Przeanalizuj ustawienia, które informują, że każdy ruch pomiędzy dwoma komputerami przy użyciu dowolnego protokołu jest chroniony za pomocą algorytmu integracji SHA1 (Secure Hash Algorithm) protokołu ESP (Encapsulating Security Payload). Mechanizm integralności protokołu ESP korzysta z kryptograficznie chronionej sumy kontrolnej w celu zapewnienia, że odebrane pakiety nie były modyfikowane po ich wysłaniu. Każdy pakiet, dla którego nie jest spełniony test integralności, jest odrzucany bez powiadomienia użytkownika.

Uwaga

Skojarzenia zabezpieczeń (SA) mają ograniczony czas istnienia. Z tego względu, jeśli połączenie jest bezczynne odpowiednio długo, skojarzenie zabezpieczeń może stracić ważność i zostanie usunięte z listy. Poprzez przesyłanie w sieci ruchu, skojarzenie jest ponownie negocjowane i ponownie pojawia się na liście.

  10. Wpisz polecenie exit w oknie programu Telnet, aby zakończyć sesję.

Etap 3: Zmiana reguły izolowania tak, by uwierzytelnienie było wymagane

W tym etapie modyfikowana będzie utworzona poprzednio reguła tak, aby uwierzytelnienie było wymagane, a nie tylko żądane. Systemy klienckie, które nie mogą uwierzytelniać lub nie mają reguły zabezpieczeń połączenia umożliwiającej uwierzytelnienie ruchu, nie będą mogły komunikować się z komputerami należącymi do domeny.

W celu zmiany zasady uwierzytelniania z żądania na wymaganie:

  1. Na komputerze MBRSVR1 przejdź do programu Group Policy Management Editor .

  2. W oknie informacji szczegółowych kliknij prawym przyciskiem myszy zasadę Request Inbound Request Outbound, a następnie kliknij polecenie Properties.

  3. W polu tekstowym Name zmień nazwę na Require Inbound Request Outbound tak, aby odzwierciedlała nowe działanie.

  4. Kliknij zakładkę Authentication.

  5. W sekcji Requirements zmień opcję Authentication mode na Require inbound and request outbound, a następnie kliknij przycisk OK.

Uwaga

Pomimo, że reguła Require inbound and outbound może działać dla konfiguracji opisywanej w tym poradniku, w środowisku produkcyjnym zazwyczaj nie ma zastosowania praktycznego wymaganie uwierzytelniania dla ruchu wychodzącego. Komputery należące do domeny muszą często inicjować komunikację z komputerami, które nie należą do domeny, jak na przykład zdalne witryny sieci Web.

Sprawdzenie, czy komputery mogą komunikować się nawet, jeśli uwierzytelnienie jest wymagane.

W celu przetestowania zmodyfikowanego obiektu GPO, który wymaga uwierzytelniania:

  1. Na obu komputerach, MBRSVR1 i CLIENT1, w oknie Administrator: Command Prompt uruchom polecenie gpupdate /force .

  2. Na komputerze CLIENT1, w wierszu poleceń uruchom program telnet mbrsvr1.

Połączenie zostaje nawiązane.

  3. Wpisz polecenie exit, aby zakończyć sesję Telnet.

Etap 4: Testowanie izolowania domeny przy użyciu komputera, do którego nie jest stosowana reguła izolowania domeny

W celu zasymulowania komputera, który nie należy do domeny, trzeba z komputera CLIENT1usunąć obiekt GPO i spróbować ponownie połączyć się.

Aby usunąć obiekt GPO z komputera CLIENT1:

  1. Na komputerze MBRSVR1 przejdź do programu Group Policy Management.

  2. W kontenerze MyClientComputers kliknij prawym przyciskiem myszy pozycję Domain Isolation, a następnie kliknij polecenie Link Enabled, aby wyłączyć powiązanie.

W następnej procedurze odświeżony zostanie obiekt GPO na komputerze CLIENT1 i przeprowadzona zostanie próba skomunikowania się z komputerem MBRSVR1.

W celu przetestowania zmodyfikowanego obiektu GPO na komputerze CLIENT1:

  1. Na komputerze CLIENT1, w oknie Administrator: Command Prompt uruchom polecenie gpupdate /force. Poczekaj na zakończenie wykonywania polecenia.

  2. W wierszu poleceń uruchom program telnet mbrsvr1. Połączenie nie zostaje nawiązane, ponieważ nigdy nie odbierze odpowiedzi na swoje żądanie. Ponieważ komputer MBRSVR wymaga uwierzytelnienia, a komputer CLIENT1 nie potrafi go dostarczyć, wszystkie pakiety przychodzące zostają odrzucone.

  3. Wpisz polecenie exit i naciśnij ENTER, aby zakończyć sesję Telnet.

W kolejnej procedurze przywrócony zostanie obiekt GPO do komputera klienckiego tak, aby do kolejnych operacji stosowana była prawidłowa reguła.

W celu ponownego zastosowania obiektu GPO do komputera CLIENT1:

  1. Na komputerze MBRSVR1, w kontenerze MyClientComputers kliknij prawym przyciskiem myszy pozycję Domain Isolation, a następnie kliknij polecenie Link Enabled.

  2. Dla przetestowania można opcjonalnie powtórzyć poprzednią procedurę „W celu przetestowania zmodyfikowanego obiektu GPO na komputerze CLIENT1”, aby sprawdzić, czy można nawiązać połączenie. Połączenie powinno zostać nawiązane.

Step 5: Tworzenie reguł wykluczeń dla komputerów, które nie należą do domeny

W tym etapie do obiektu GPO izolowania domeny dodawana będzie reguła, która wyklucza wszystkie serwery DNS w sieci z zasady wymagającej uwierzytelnienia związanego z izolowaniem domeny.

Uwaga

Jeśli wszystkie komputery w sieci działają pod kontrolą systemów WindowsVista, Windows Server2008 lub jeśli zastosowana została aktualizacja Simple Policy Update for WindowsServer2003 and WindowsXP (https://go.microsoft.com/fwlink/?LinkID=94767), to prawdopodobnie nie jest potrzebne dodawanie omawianych poniżej reguł wykluczeń. Mniejsza liczba reguł wykluczeń oznacza mniejszą złożoność obiektów reguł zapory i zabezpieczania połączeń.

W celu zmodyfikowania obiektu GPO izolowania domeny poprzez wykluczenie serwerów DNS

  1. Na komputerze MBRSVR1 przejdź do programu Group Policy Management Editor , w którym otwarty jest obiekt GPO Domain Isolation.

  2. W oknie nawigacji kliknij prawym przyciskiem myszy kontener Connection Security Rules , a następnie kliknij polecenie New rule.

  3. Na stronie Rule Type kliknij opcję Authentication exemption , a następnie kliknij przycisk Next.

  4. Na stronie Exempt Computers kliknij przycisk Add.

  5. W oknie dialogowym IP Address kliknij opcję Predefined set of computers.

  6. Kliknij listę, aby ją rozwinąć, wybierz opcję DNS servers, a następnie kliknij przycisk OK.

  7. Na stronie Exempt Computers kliknij przycisk Next.

  8. Na stronie Profile usuń zaznaczenie pól wyboru Private i Public, a następnie kliknij przycisk Next.

  9. Na stronie Name wpisz Exempt DNS servers from domain isolation, a następnie kliknij przyciskFinish.

W obiekcie GPO pojawi się nowa reguła.

Uwaga

Analizator ruchu sieci, taki jak program Microsoft NetworkMonitor, może być używany do przeglądania pakietów sieci przed i po zastosowaniu tej reguły w celu sprawdzenia, czy po zastosowaniu reguły wykluczeń wykonywane są próby nawiązania połączeń IPsec do serwerów DNS. Informacje na temat sposobu pobrania programu Network Monitor znaleźć można w dokumencie Microsoft Network Monitor dostępnym pod adresem https://go.microsoft.com/fwlink/?LinkID=94770.

 Do początku strony Do początku strony

Izolowanie serwera przez wymaganie szyfrowania i członkostwa w grupie

Izolowanie domeny wprowadza ograniczenie powodujące, że komputery należące do domeny mogą komunikować się tylko z innym komputerami, które również należą do domeny. Na niektórych serwerach przechowywane są ważne dane, takie jak dane osobowe, rekordy medyczne czy dane kart kredytowych, które muszą być chronione jeszcze bardziej uważnie. Dodatkowa warstwa zabezpieczeń, nazywana izolowaniem serwera, ogranicza dostęp do tych istotnych danych tylko dla tych użytkowników, którzy muszą mieć do nich dostęp ze względu na wymagania procesu biznesowego. Bardzo często dane takie muszą być również szyfrowane podczas transmisji, by przeciwdziałać szpiegowaniu.

Przy użyciu programu Windows Firewall with Advanced Security w systemie WindowsVista i Windows Server2008 można określać, że wyspecyfikowane połączenia sieci będą dostępne tylko dla określonych użytkowników, bazując na ich członkostwie w grupie. Można również definiować, że dostęp jest możliwy tylko dla określonej grupy komputerów, bazując na członkostwie kont komputerów w grupie. Oba typy ograniczeń opierają się na metodach uwierzytelniania przedstawionych w poprzednim rozdziale. Na koniec można również określać, że te połączenia sieci mają być szyfrowane przy użyciu jednego z kilku algorytmów szyfrowania. Dodatkowe informacje na temat izolowania serwera znaleźć można w dokumentach:

  •   Introduction to Server and Domain Isolation udostępnionym pod adresem https://go.microsoft.com/fwlink/?LinkID=94631

  •   Server Isolation with Microsoft Windows Explained udostępnionym pod adresem https://go.microsoft.com/fwlink/?LinkID=94793

Etapy tworzenia reguł zabezpieczania połączenia w celu wymuszenia izolowania serwera

W tym rozdziale tworzone będą przychodzące reguły zapory, które definiują, że jedynie komputery należące do określonej grupy mogą uzyskać dostęp do komputera MBRSVR1. Ponadto skonfigurowane zostaną reguły, które dla wszystkich połączeń do określonego serwera wymagają szyfrowania.

Etap 1: Tworzenie grupy zabezpieczeń

Etap 2: Modyfikowanie reguły zapory tak, aby wymagała członkostwa w grupie i szyfrowania

Etap 3: Tworzenie reguły zapory w systemie klienckim tak, by obsługiwane było szyfrowanie

Etap 4: Testowanie reguły w przypadku, kiedy CLIENT1 nie należy do grupy

Etap 5: Dodanie komputera CLIENT1 do grupy i ponowne testowanie

Etap 1: Tworzenie grupy zabezpieczeń

W tym etapie tworzona będzie grupa w usłudze Active Directory. W następnych etapach do grupy tej będzie odnosić się reguła zapory, która określa komputery mogące uzyskać dostęp do serwera.

W celu utworzenia grupy zabezpieczeń:

  1. Na komputerze DC1 kliknij menu Start, a następnie kliknij program Server Manager.

  2. W oknie nawigacji rozwiń kolejno węzły Roles, Active Directory Domain Services, Active Directory Users and Computers i contoso.com, kliknij prawym przyciskiem myszy kontener Computers, kliknij polecenie New, a prawym przyciskiem myszy opcję Group.

  3. W oknie dialogowym New Object - Group wpisz Access to MBRSVR1 I prawym przyciskiem myszy kliknij OK.

  4. Pozostaw otwarty program Server Manager przy kontenerze Computers pokazywanym w oknie informacji szczegółowych.

Na tym etapie nie należy dodawać żadnych komputerów do grupy.

Etap 2: Modyfikowanie reguły zapory tak, aby wymagała członkostwa w grupie i szyfrowania

W tym etapie modyfikowana będzie reguła zapory dotycząca usługi Telnet tak, aby dopuszczała ruch do usługi Telnet tylko z komputerów należących do grupy zabezpieczeń utworzonej w poprzednim etapie.

W celu zmodyfikowania reguły Telnet na komputerze MBRSVR1:

  1. Na komputerze MBRSVR1 przejdź do programu Group Policy Management.

  2. W oknie nawigacji, w węźle Group Policy Objects kliknij prawym przyciskiem myszy pozycję Firewall Settings for WS2008 Servers, a następnie kliknij polecenie Edit.

  3. W programie Group Policy Management Editor rozwiń kolejno węzły Windows Settings, Security Settings, Windows Firewall with Advanced Security, Windows Firewall with Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com, a następnie kliknij kontener Inbound Rules.

  4. W oknie informacji szczegółowych kliknij prawym przyciskiem myszy regułę Allow Inbound Telnet, a następnie kliknij polecenie Properties.

  5. Zmień nazwę reguły, wpisując Allow Encrypted Inbound Telnet to Group Members Only .

  6. Kliknij opcję Allow only secure connections, a następnie kliknij Require encryption.

  7. Kliknij zakładkę Users and Computers.

  8. W sekcji Authorized computers kliknij opcję Only allow connections from these computers, a następnie kliknij przycisk Add.

  9. W oknie dialogowym Select Computers or Groups wpisz Access to MBRSVR1, kliknij przycisk Check Names, aby sprawdzić, czy nazwa jest rozpoznawana, a następnie kliknij przycisk OK.

Ważne

Niezależnie od prezentowanego w poradniku sposobu używania grup komputerów, warto pamiętać, że jako wymaganie można również określać członkostwo użytkownika w grupie, o ile używana metoda uwierzytelnienia obejmuje uwierzytelnienie użytkownika, a także uwierzytelnienie komputera. Dzięki temu można określać, że tylko użytkownicy, którzy należą do grupy X mogą uzyskać dostęp do chronionego serwera i tylko wtedy, kiedy posługują się komputerem należącym do określonej grupy Y. Autoryzowany użytkownik, który korzysta z nieautoryzowanego komputera nie może uzyskać dostępu do chronionego komputera, jak również autoryzowany komputer nie może być używany przez nieautoryzowanego użytkownika.

  10. Kliknij przycisk OK, aby zamknąć stronę Allow Inbound Telnet Properties.

  11. Zamknij program Group Policy Management Editor.

Etap 3: Tworzenie reguły zapory w systemie klienckim tak, by obsługiwane było szyfrowanie

W tym etapie tworzona będzie reguła zapory stosowana do komputera klienckiego tak, aby można było zaszyfrować połączenie, jeśli jest to wymagane przez serwer.

W celu zmodyfikowania reguły zapory dotyczącej usługi Telnet dla systemu klienckiego:

  1. Na komputerze MBRSVR1, w programie Group Policy Management, w węźle Group Policy Objects kliknij prawym przyciskiem myszy kontener Firewall Settings for Vista Clients, a prawym przyciskiem myszy polecenie Edit.

  2. W programie Group Policy Management Editor rozwiń kolejno węzły Windows Settings, Security Settings, Windows Firewall with Advanced Security, Windows Firewall with Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com, kliknij prawym przyciskiem myszy kontener Outbound Rules, a następnie kliknij polecenie New Rule.

  3. Na stronie Rule Type kliknij opcję Custom, a następnie kliknij przycisk Next.

  4. Na stronie Program kliknij opcję All Programs, a następnie kliknij przycisk Next.

Uwaga

Ograniczenie reguły przez określenie numeru portu usługi Telnet (w następnym etapie), a nie nazwy programu, umożliwia używanie każdego prawidłowo skonfigurowanego klienta usługi Telnet. Jeśli wyspecyfikowany jest program przez wpisanie ścieżki i nazwy pliku, to działa tylko tak określony program, a inne programy klienckie usługi Telnet nie będą działać. Taka konfiguracja jest zalecana tylko dla reguł wychodzących. W przypadku reguł przychodzących zaleca się używanie ograniczeń dotyczących zarówno portu, jak i programu. W ten sposób port jest otwarty tylko wtedy, gdy działa program. Jeśli program nie zostanie określony, port pozostaje otwarty cały czas.

  5. Na stronie Protocol and Ports zmień wartość opcji Protocol type na TCP.

  6. Zmień opcję Remote port na Specific Ports, w polu tekstowym wpisz 23, a następnie kliknij przycisk Next.

  7. Na stronie Scope, w sekcji Which remote IP addresses does this rule match zaznacz pole wyboru These IP addresses . Upewnij się, że zaznaczona jest opcja remote.

  8. Kliknij przycisk Add po prawej stronie sekcji Remote address.

  9. W oknie dialogowym IP Address w najwyżej położonym polu tekstowym wpisz 192.168.0.100 (adres IP komputera MBRSVR1), kliknij przycisk OK, a następnie kliknij przycisk Next.

  10. Na stronie Action kliknij opcję Allow the connection if it is secure , kliknij opcję Require the connections to be encrypted , a następnie kliknij przycisk Next.

  11. Na stronie Computers kliknij przycisk Next.

  12. Na stronie Profile usuń zaznaczenie pól wyboru Private i Public, a następnie kliknij przycisk Next.

  13. Nazwij regułę Allow only encrypted Telnet to MBRSVR1 , a następnie kliknij przycisk Finish.

  14. W oknie Administrator: Command Prompt uruchom polecenie gpupdate /force. Zaczekaj, aż polecenie zostanie wykonane.

Etap 4: Testowanie reguły w przypadku, kiedy komputer CLIENT1 nie należy do grupy

Na komputerze CLIENT1 stosowane są reguły zapory i zabezpieczenia połączenia, które spełniają wszystkie wymagania związane z komunikowaniem się z komputerem MBRSVR1, ale komputer CLIENT1 nie został jeszcze dodany do grupy komputerów, do której odnosi się reguła zapory dotycząca usługi Telnet dla komputera MBRSVR1. W tym etapie przeprowadzona będzie próba podłączenia się do usługi Remote Event Viewer i usługi Telnet na komputerze MBRSVR1.

W celu przeprowadzenia próby podłączenia się do usługi Remote Event Viewer na komputerze MBRSVR1:

  1. Na komputerze CLIENT1, w oknie programu Administrator: Command Prompt uruchom polecenie gpupdate /force. Zaczekaj, aż polecenie zostanie wykonane.

  2. Kliknij menu Start, w polu Start Search wpisz event viewer, a następnie naciśnij ENTER.

  3. W oknie nawigacji programu Event Viewer kliknij prawym przyciskiem myszy najwyżej położony węzeł Event Viewer (Local), a następnie kliknij polecenie Connect to another computer.

  4. W oknie dialogowym Select Computer wpisz MBRSVR1, a następnie kliknij przycisk OK.

Próba zakończyła się powodzeniem, ponieważ dla usługi Event Viewer utworzone reguły nie wymagają członkostwa w grupie lub szyfrowania.

Obecnie w celu sprawdzenia działania nowych reguł należy spróbować podłączyć się do usługi Telnet na komputerze MBRSVR1.

W celu przeprowadzenia próby podłączenia się do komputera MBRSVR1 przy użyciu usługi Telnet:

  •  Na komputerze CLIENT1, w oknie programu Administrator: Command Prompt uruchom polecenie telnet mbrsvr1 .

Polecenie nie zadziałało, ponieważ komputer nie należy jeszcze do grupy Access to MBRSVR1, a na tym serwerze jedynie członkowie tej grupy mogą wysyłać ruch do portu 23 przez zaporę Windows Firewall with Advanced Security.

Etap 5: Dodanie komputera CLIENT1 do grupy i ponowne testowanie

W tym etapie komputer CLIENT1 dodany zostanie do grupy zabezpieczeń Access to MBRSVR1, a następnie sprawdzone zostanie, czy operacja ta umożliwia klientowi dostęp do usługi Telnet.

W celu dodania komputera do grupy:

  1. Na komputerze DC1, w kontenerze Computers dwukrotnie kliknij grupę Access to MBRSVR1, a następnie kliknij zakładkę Members.

  2. Kliknij przycisk Add.

  3. W oknie dialogowym Select Users, Contacts, Computers, or Groups kliknij przycisk Object Types.

  4. Kliknij opcję Computers, a następnie kliknij przycisk OK.

  5. W polu tekstowym wpisz client1, a następnie kliknij przycisk OK.

  6. Kliknij przycisk OK, aby zamknąć stronę Properties.

W celu przetestowania dostępu do usługi Telnet z komputera CLIENT1 na komputerze MBRSVR1:

  1. Uruchom ponownie komputer CLIENT1, ponieważ członkostwo grupy komputera musi zostać odświeżone.

  2. Po ponownym uruchomieniu komputera zaloguj się jako contoso\admin1.

  3. Otwórz program Administrator: Command Prompt, a następnie uruchom polecenie telnetmbrsvr1.

Polecenie działa, ponieważ teraz spełnione są wszystkie wymagania reguł. Na komputerze MBRSVR1, wyłącznie komputery, które należą do domeny i uwierzytelniają się jako członkowie określonej grupy, mogą uzyskać dostęp do usługi Telnet.

  4. Otwórz przystawkę Windows Firewall with Advanced Security.

  5. Rozwiń węzeł Monitoring, rozwiń węzeł Security Associations, a następnie kliknij pozycję Quick Mode.

  6. Dwukrotnie kliknij skojarzenie zabezpieczeń (SA), aby przejrzeć jego właściwości. Obecnie obok funkcji poufności ESP wymieniony jest tu protokół. Jest to algorytm szyfrowania używany przez to połączenie.

  7. Kliknij przycisk OK, a następnie zamknij przystawkę Windows Firewall with Advanced Security.

  8. W oknie usługi Telnet wpisz polecenie exit, a następnie naciśnij ENTER, aby zamknąć sesję Telnet.

 Do początku strony Do początku strony

Tworzenie reguł, które umożliwiają określonym komputerom lub użytkownikom pomijać reguły blokowania zapory

W typowej sieci najczęściej zachodzi potrzeba blokowania całego ruchu sieci za wyjątkiem ruchu, który jest rzeczywiście potrzebny.

Domyślnie reguły blokujące ruch mają wyższy priorytet, niż reguły dopuszczające ruch. Tak więc, jeśli ruch docierający do (lub wychodzący z) zapory jest zgodny zarówno z regułą dopuszczającą, jak i blokującą, ruch taki zostanie odrzucony.

Zdarzają się jednak sytuacje, kiedy zachodzi potrzeba dopuszczenia ruchu do komputera, który najczęściej jest blokowany. Na przykład zespół rozwiązujący problemy chce skorzystać z analizatora protokołów sieci lub innych urządzeń w sposób, który zazwyczaj nie jest dopuszczony. W takich sytuacjach należy utworzyć wykluczenie specyficzne dla komputera i opcjonalne dla użytkownika, dotyczące niektórych lub wszystkich reguł zapory.

Ponieważ protokoły uwierzytelnienia IPsec wymagają wymiany poświadczeń komputerów lub użytkowników, w celu jeszcze silniejszego ograniczenia ruchu sieci poświadczenia te mogą być sprawdzane z listą komputerów lub użytkowników zamieszczoną w regule. Jeśli w regule zapory włączone zostanie ustawienie Override block rules , to prawidłowo uwierzytelniony ruch zgodny z tą regułą zostaje dopuszczony, nawet jeśli inna reguła blokuje ten ruch. W rezultacie powstaje zestaw reguł, które działają według zasady: „ten ruch jest blokowany, chyba że wygenerowany został z uwierzytelnionego komputera lub zatwierdził go użytkownik".

Etapy tworzenia reguł, które umożliwiają określonym komputerom lub użytkownikom pomijanie reguły blokowania zapory

W tym rozdziale poradnika tworzona będzie reguła zapory, która blokuje cały ruch do usługi Telnet, a następnie reguła ta będzie testowana przy użyciu istniejącej reguły dopuszczania usługi Telnet utworzonej w poprzednim rozdziale. Następnie istniejąca reguła dopuszczania usługi Telnet zostanie zmodyfikowana tak, aby dodać do niej ustawienie Override Block Rules i sprawdzić, czy możliwe jest nawiązanie połączenia z zatwierdzonego komputera.

Etap 1: Dodanie i testowanie reguły zapory blokującej cały ruch do usługi Telnet

Etap 2: Modyfikowanie reguły dopuszczającej ruch do usługi Telnet poprzez dodanie ustawienia Override Block Rules

Etap 1: Dodanie i testowanie reguły zapory blokującej cały ruch do usługi Telnet

Należy utworzyć regułę, która blokuje cały ruch do usługi Telnet, a następnie przetestować ją przy użyciu istniejącej reguły dopuszczania ruchu do usługi Telnet w celu sprawdzenia, czy sumaryczne działanie reguł powoduje zablokowanie ruchu do usługi Telnet.

W celu utworzenia reguły blokującej ruch do usługi Telnet:

  1. Na komputerze MBRSVR1, w programie Group Policy Management kliknij kontener Group Policy Objects, kliknij prawym przyciskiem myszy zasadę Firewall Settings for WS2008 Servers, a następnie kliknij polecenie Edit.

  2. W programie Group Policy Object Editor, w oknie nawigacji rozwiń kolejno węzły Computer Configuration, Windows Settings, Security Settings, Windows Firewall with Advanced Security i Windows Firewall with Advanced Security - LDAP://cn={GUID},cn=policies,cn=system,DC=contoso,DC=com.

  3. Kliknij prawym przyciskiem myszy kontener Inbound Rules, a następnie kliknij polecenie New Rule.

  4. Na stronie Rule Type kliknij opcję Custom, a następnie kliknij przycisk Next.

  5. Na stronie Program kliknij opcję This program path , a następnie w polu tekstowym wpisz %systemroot%\system32\tlntsvr.exe.

  6. Kliknij przycisk Customize, kliknij przycisk Apply to this service, kliknij wiersz dotyczący usługi Telnet o nazwie skróconej TlntSvr, kliknij przycisk OK, a następnie kliknij przycisk Next.

  7. Na stronie Protocol and Ports zmień wartość opcji Protocol type naTCP, zmień wartość opcji Local port na Specific Ports, w polu tekstowym wpisz 23, a następnie kliknij przycisk Next.

  8. Na stronie Scope kliknij przycisk Next.

  9. Na stronie Action kliknij polecenie Block the connection , a następnie kliknij przycisk Next.

  10. Na stronie Profile usuń zaznaczenie pól wyboru Private i Public, a następnie kliknij przycisk Next.

  11. Na stronie Name wpisz Block All Telnet , a następnie kliknij przycisk Finish.

Obecnie istnieją dwie reguły będące ze sobą w konflikcie. Jedna reguła określa, że ruch usługi Telnet jest dopuszczony, o ile jest szyfrowany i wysyłany przez komputer należący do grupy Access to MBRSVR1, a druga reguła określa blokowanie całego ruchu do usługi Telnet. W następnej procedurze sprawdzone będzie, czy dostępne jest połączenie z usługą Telnet, gdy zastosowane zostaną obie reguły.

W celu przetestowania połączenia do usługi Telnet przy zastosowaniu dwóch reguł będących w konflikcie:

  1. Na komputerze MBRSVR1 przejdź do programu Administrator: Command Prompt , uruchom polecenie gpupdate /force. Zaczekaj, aż polecenie zostanie wykonane

  2. Na komputerze CLIENT1, w wierszu poleceń wpisz telnetmbrsvr1.

Polecenie nie zadziałało, ponieważ reguła blokowania ma wyższy priorytet, niż reguła dopuszczania.

Etap 2: Modyfikowanie reguły dopuszczającej ruch do usługi Telnet przez dodanie ustawienia Override Block Rules

W tym etapie modyfikowana będzie istniejąca reguła dopuszczania ruchu do usługi Telnet polegająca na dodaniu ustawienia Override Block Rule, a następnie przetestowane zostanie działanie usługi Telnet przy zastosowaniu zmodyfikowanej reguły.

W celu dodania ustawienia Override Block Rule do reguły:

  1. Na komputerze MBRSVR1, w programie Group Policy Management Editor kliknij kontener Inbound Rules.

  2. Kliknij prawym przyciskiem myszy regułę Allow Encrypted Inbound Telnet to Group Members Only , a następnie kliknij polecenie Properties.

  3. Na zakładce General, w sekcji Action zaznacz pole wyboru Override block rules, a następnie kliknij przycisk OK.

Obecnie przetestowane zostaną obie reguły, będące ze sobą w konflikcie.

W celu przetestowania połączenia do usługi Telnet dla bieżącej konfiguracji:

  1. Na komputerze MBRSVR1, w oknie programu Administrator: Command Prompt uruchom polecenie gpupdate /force. Zaczekaj, aż polecenie zostanie wykonane.

  2. Na komputerze CLIENT1, w wierszu poleceń uruchom telnetmbrsvr1.

Polecenie działa, ponieważ istniejąca reguła dopuszczania ruchu usługi Telnet zastępuje regułę blokowania. Jedyny ruch, który może ominąć regułę blokowania usługi Telnet, to ruch zgodny z istniejącą regułą dopuszczania usługi Telnet przy włączonej opcji Override block rules. Reguła ta określa, że ruch musi być uwierzytelniony i w tym przypadku szyfrowany.

  3. Wpisz polecenie exit i naciśnij ENTER, aby zakończyć sesję programu Telnet.

 Do początku strony Do początku strony

Podsumowanie

Program Windows Firewall with Advanced Security jest ważnym elementem wielowarstwowej strategii zabezpieczeń, nazwanej defense-in-depth, która ułatwia zabezpieczenie komputerów organizacji i ułatwia przeciwdziałanie zagrożeniom, które przedostały się przez zaporę obwodową lub powstały wewnątrz sieci.

W niniejszym poradniku opisane zostały funkcje nowego programu Windows Firewall with Advanced Security, dołączanego do systemów WindowsVista i Windows Server2008:

  •  Program Windows Firewall with Advanced Security używany był do konfigurowania podstawowych reguł zapory dla przychodzącego i wychodzącego ruchu.

  •  Obiekty zasad grupy (GPO) używane były do konfigurowania ustawień zapory na wszystkich komputerach domeny i zapewniają, że użytkownicy nie mogą zastępować tych ustawień.

  •  Tworzony był zestaw podstawowych reguł izolowania domeny, które nie pozwalały komputerom należącym do domeny na akceptowanie ruchu sieci pochodzącego z komputerów nienależących do domeny.

  •  Tworzone były reguły zabezpieczania połączenia, które izolowały serwery przechowujące ważne informacje przez ograniczanie dostępu tylko dla komputerów, które należą do zatwierdzonych grup.

  •  Na koniec tworzone były reguły, które umożliwiały określonym zaufanym komputerom omijanie wymagań zapory.

 Do początku strony Do początku strony

Dodatkowe źródła

Dodatkowe informacje na temat technologii omawianych w tym poradniku znaleźć można w następujących materiałach:

Windows Firewall with Advanced Security

  •  Windows Firewall (https://go.microsoft.com/fwlink/?linkid=95393)

Strona ta zawiera łącza do dokumentacji aktualnie dostępnej dla programu Windows Firewall, zarówno dla wersji dostępnej w systemie WindowsXP z pakietem SP2 (Service Pack2) i systemie Windows Server2003 z pakietem SP2, jak i dla wersji dostępnej w systemach WindowsVista i Windows Server2008.

  •   Windows Firewall with Advanced Security - Diagnostics and Troubleshooting (https://go.microsoft.com/fwlink/?linkid=95372)

Artykuł ten opisuje działanie programu Windows Firewall with Advanced Security, przedstawia typowe sytuacje związane z rozwiązywaniem problemów oraz informuje, które narzędzia mogą być używane podczas rozwiązywania problemów.

IPsec

  •  IPsec (https://go.microsoft.com/fwlink/?linkid=95394)

Strona ta zawiera aktualnie dostępną dokumentację dotyczącą IPSec (Internet Protocol security) dla wersji osiągalnej zarówno w systemach WindowsXP z pakietem SP2 i Windows Server2003 z pakietem SP2, jak i dla wersji dostępnej jako reguły zabezpieczeń połączenia w programie Windows Firewall with Advanced Security w systemie WindowsVista i Windows Server2008.

  •   implifying IPsec Policy with the Simple Policy Update (https://go.microsoft.com/fwlink/?linkid=94767)

Artykuł ten opisuje aktualizacje dostępne dla systemu WindowsXP z pakietem SP2 i Windows Server2003 z pakietem SP1 (aktualizacja ta jest już wbudowana w pakiet Windows Server2003 Service Pack2). Aktualizacja zmienia działanie procesu negocjacji IPsec tak, że reguły zasad IPsec mogą być uproszczone, w niektórych przypadkach istotnie zmniejszona zostaje liczba wymaganych filtrów IP i związany z tym nakład pracy na ich konserwację.

Izolowanie serwera i domeny

  •  Server and Domain Isolation (https://go.microsoft.com/fwlink/?linkid=95395)

Strona ta zawiera łącza do dokumentacji opisującej najpopularniejsze sposoby użycia IPsec: izolacja serwera i domeny. Dokumentacja jest dostępna zarówno dla wersji IPsec występujących w systemach WindowsXP z pakietem SP2 i Windows Server2003 z pakietem SP2, jak i dla wersji stosowanej w systemach WindowsVista i Windows Server2008.

Group Policy

  •  Group Policy (https://go.microsoft.com/fwlink/?linkid=93542)

Strona ta zawiera łącza do aktualnie dostępnej dokumentacji zasad grupy, zarówno dla wersji zawartej w systemie WindowsXP z pakietem SP2 i Windows Server2003 z pakietem SP2, jak i dla wersji występującej w systemach WindowsVista i Windows Server2008.

  •   HOWTO: Leverage Group Policies with WMI Filters (https://go.microsoft.com/fwlink/?linkid=93760)

Artykuł ten opisuje sposoby tworzenia filtra WMI w celu zdefiniowania zakresu obiektu GPO w oparciu o atrybuty komputera, takie jak numer wersji systemu operacyjnego.

 Do początku strony Do początku strony

Poradnik krok po kroku instalowania zasad dla programu Windows Firewall with Advanced Security, cz. I     Windows Server 2008