ניטרול הגנה של Windows: מדריך מקיף

מדריכים

"למה אתה רוצה להשבית או לכבות את חומת האש של Windows?"

ישנם רבים הסיבות שבהן יש להשבית את חומת האש ב-Windows. כמובן שלא כל הסיבות הן הגיוניות, אך ישנן סיבות תקיפות.

במאמר זה תלמד איך ניתן להשבית את חומת האש ב-Windows בכמה דרכים שונות. בין אם אתה בהגדרה של מחשב יחיד, ברשת ביתית, או בסביבה תאגידית, מאמר זה מיועד לך.

תלמד כיצד לכבות את חומת התוכנה ב-Windows בכמעט כל דרך אפשרית!

  • שימוש בלוח בקרת ניהול חומת האש של Windows
  • השימוש בשורת הפקודה (cmd.exe)
  • PowerShell
  • מדיניות קבוצה
  • אפשר גם בתוסף Azure Custom Script אם אתה על מכונת וירטואלית ב-Azure

בוא נתחיל!

דרישות מוקדמות

מאחר ומדובר במאמר הדרכה, ישנם דרישות שיש למעקב אחריהן במהלך ההוראות. כמה דוגמאות משתלבות בסביבת התחום וסביבה שאינה תחום.

עבור סביבה שאינה תחום

  • אחד או יותר מחשבים הפועלים על Windows 10. ניתן לבצע את הדוגמאות כאן במחשב אחד, אך ישנם הוראות המיועדות למכונות מרוחקות.
  • ואתה חייב לפעול עם הרשאות מנהל על מחשבי Windows 10 אלו.

עבור סביבת התחום

  • A Windows 2019 server that is also a domain controller. A Windows 2016 server should also work.
  • אחד או יותר מחשבי Windows 10 באותה רשת ומצורפים לתחום.

שימוש בממשק הגרפי

אולי הדרך הכי מהירה להשבית את הגדרת האש היא באמצעות כלי ה-GUI הכלולים ב-Windows. שימוש ב-GUI הוא כנראה הדרך הקלה ביותר לכיבוי של חומת האש של Windows למשתמשים ביתיים.

שימוש באפליקציית האבטחה של Windows

הכלי הראשון ב-GUI שאנו יכולים להשתמש בו הוא אפליקציית האבטחה של Windows. האפליקציה זו זמינה ב-Windows 10, גרסה 1703 ואילך.

  1. הפעילו את אפליקציית האבטחה של Windows על ידי לחיצה על כפתור ההתחלה והתחלה בהקלדת אבטחת Windows. תוצאות החיפוש יראו את אפליקציית האבטחה של Windows, לחצו על פתח.
Launching the Windows Security App in Windows 10

2. תראו פריטי תפריט שונים בדף הבית של אפליקציית האבטחה של Windows. חפשו אש והגנת רשת ולחצו לפתיחתו.

The Windows Security App home

3. בדף אש והגנת רשת, אתם אמורים לראות את פרופילי הרשת השונים מפורטים. פרופילי הרשת אלו הם רשת דומיין, רשת פרטית, ו־רשת ציבורית. ניתן לכבות את האש בכל אחד ממקומות החיבור לרשת אלו בנפרד. בדוגמה זו, עליכם לבחור בפרופיל רשת פרטית.

List of Network Profiles in the Windows Security app

4. בדוגמה זו, נבחר בפרופיל רשת פרטית. לאחר כניסה להגדרות רשת הפרטית, לחצו על המתג כדי לכבות את חומת האש של Windows Defender.

Disable Windows Firewall for the network profile

חזרו על אותם השלבים עבור פרופילי הרשת האחרים אם תעדיפו.

ניתן להשבית את חומת האש של Windows באמצעות לוח הבקרה של חומת האש של Windows Defender.

עוד כלי ממשק משתמש נקרא לוח בקרת מנהל הגנה של Windows Defender. להפך מאפליקציית האבטחה של Windows הכוללת ממשק חדשני בסגנון של אפליקציית Windows 10, לוח בקרת מנהל הגנה של Windows Defender מתאפיין במראה קלאסי כמו פריטי לוח הבקרה הקלאסיים.

להלן מספר דרכים להפעיל את לוח בקרת מנהל הגנה של Windows Defender

שיטה 1: עבור אל לוח הבקרה —> מערכת ואבטחה —> Windows Defender Firewall.

Open Windows Defender Firewall from Control Panel

שיטה 2: פתח את תפריט ההתחלה והקלד windows defender firewall. לחץ על הקישור Windows Defender Firewall.

Open Windows Defender Firewall the Start Menu Search

שיטה 3: פתח את תיבת הרץ והקלד את הפקודה control firewall.cpl ולחץ אישור.

Open Windows Defender Firewall the Run Dialog

ב- לוח בקרת מנהל הגנה של Windows Defender, תראה רשימה מוכרת של פרופילי רשת; רשתות דומיין, רשתות פרטיות, ו- רשתות אורח או ציבוריות. בצד שמאל, לחץ על הקישור הפעל או כבה את Windows Defender.

The network profiles list in Windows Defender Firewall

בדף ההגדרות המותאמות, יש לך אפשרות להשבית את חומת האש של Windows עבור כל פרופיל רשת. בדוגמה למטה, חומת האש של Windows מושבתת על כל פרופילי הרשת.

Disable Windows Firewall on each network profile

שימוש בשורת הפקודה

כפי שכבר ידוע לך, רוב הפעולות בממשק המשתמש הגרפי ב- Windows יש להן נגזרת בשורת הפקודה. שימוש בשורת הפקודה לעיתים יכול להיות מהיר יותר, להבחין מבאפשרויות ה-GUI.

בנוסף, אפשרויות שורת הפקודה מאפשרות למשתמשים לכתוב סקריפטים או לאוטומטизציה של המשימה.

כיבוי מנתח הגנה של Windows באמצעות פקודת NETSH

יישום שימושי ידידותי ישן אך שימושי בשם netsh מוכן לשימוש כדי לנהל תצורות רשת על מחשב או, במקרה זה, להשבית את מנתח הגנת Windows.

על ידי שימוש בפקודה netsh advfirewall set ניתן להשבית את מנתח הגנת Windows בנפרד בכל מיקום או בכל פרופילי הרשת.

  • פקודה זו תשבית את מנתח הגנת הגירסה הנוכחית של הרשת שפעילה או מחוברת. לדוגמה, נניח שהפרופיל הרשת הפעיל בפועל הוא רשת מולדת. במקרה זה, הפקודה תשבית את מנתח הגנת הרשת הזו.
  • פקודה זו משביתה את מנתח הגנת הגירסה הנוכחית עבור הפרופיל רשת מולדת בלבד.
  • פקודה זו משביתה את מנתח הגנת הגירסה הנוכחית עבור הפרופיל רשת פרטית בלבד.
  • פקודה זו תשבית את מנתח הגנת הגירסה הנוכחית עבור הפרופיל רשת ציבורית בלבד.
  • פקודה זו תשבית את מנתח הגנת הגירסה הנוכחית עבור כל פרופילי הרשת יחד.

הדגמה להלן מציגה כל אחת מהפקודות לעיל בפעולה.

Disable Windows Firewall using netsh

למידע נוסף על תחביר, הקשר ועיצוב הפקודה Netsh

שימוש בפקודה Set-NetFirewallProfile ב- PowerShell Cmdlet

המודול PowerShell NetSecurity מובנה ב-Windows 10, וכן ב-Windows Server 2012 ומעלה. מודול זה PowerShell מכיל cmdlets הקשורים לתצורת הרשת ואבטחת הרשת. אחד מה-cmdlets הללו הוא Set-NetFirewallProfile שניתן להשתמש בו כדי להשבית את מערכת האש הגנה של Windows.

להלן התחביר של Set-NetFirewallProfile.

# השבת את מערכת האש הגנה של Windows עבור פרופיל הרשת המצוין
Set-NetFirewallProfile -Profile <PROFILE NAME> -Enabled False

# השבת את מערכת האש הגנה של Windows עבור כל פרופילי הרשת
Set-NetFirewallProfile -All -Enabled False

הפקודה הבאה תכבה את מערכת האש הגנה עבור פרופילי הרשת הציבורי, הפרטי ו-הדומיין.

Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled False

הדגמה הבאה מציגה כיצד פקודת Set-NetFirewallProfile עובדת כדי להשבית את מערכת האש הגנה של Windows באמצעות הפקודה שנציינה לעיל.

Disable Windows Firewall on selected network profiles

ללא ציון שמות פרופיל, הדוגמה למטה מציגה כיצד להשבית את מערכת האש הגנה של Windows בכל פרופילי הרשת באמצעות מתג הפרמטר -All.

Disable Windows Firewall on all network profiles

כיבוי מערכת האש הגנה של Windows מרחוק באמצעות PowerShell

כאשר יש צורך להשבית את מערכת האש הגנה במספר מחשבים, יהיה לא יעיל להתחבר באופן ידני לכל מחשב ולהפעיל את הפקודות. במיוחד בסביבת רשת, ניתן להשבית מרחוק באמצעות PowerShell.

הערה: תהליך זה דורש ש-WinRM כבר יהיה מופעל על המחשב היעד. ברוב המקרים, WinRM כבר מוגדר עבור מחשבים המצטרפים לדומיין לצורך ניהול מרחוק.

מידע נוסף: איך להפעיל את הקלטת הפקודות המרחוק של Windows

אם אתה מתכנן לנטרל את מערכת האש של Windows על מחשב רחוק בכל פעם, תוכל להשתמש ב-cmdlet Enter-PsSession כדי להנפיק את הפקודות למחשב הרחוק.

בדוגמה למטה, הפקודה תינתן מהשרת בשם dc, ושם מחשב הרחוק הוא desktop1. הפקודה שתינתן היא מוצגת למטה.

Enter-PsSession -ComputerName desktop1
Set-NetFirewallProfile -All -Enabled False

הרצת הקוד לעיל ב-PowerShell תביא לפלט דומה, כמו בדוגמה למטה.

Disable Windows Firewall remotely using PowerShell (Enter-PsSession)

התהליך לעיל יעיל רק אם אתה עובד על מספר קטן של מחשבים רחוקים. אם יש לך כמות גדולה של מחשבים בהם אתה צריך לנטרל את זה, תצטרך גישה המותאמת יותר לתסריטות. לכך, תוכל להשתמש ב-cmdlet Invoke-Command.

$computers = @('desktop1')
$computers | ForEach-Object {
	Invoke-Command -ComputerName $_ {
		Set-NetFirewallProfile -All -Enabled False
	}
}

כפי שניתן לראות מהקוד לעיל, שמות המחשבים הרחוקים מאוחסנים במשתנה $computers כמערך. לאחר מכן, PowerShell מעבור דרך כל אחד מהמחשבים הרחוקים כדי להריץ את ה-cmdlet Invoke-Command ולהניח את הפקודה Set-NetFirewallProfile -All -Enabled False. נא להתייחס לדוגמה למטה לתוצאה הצפויה.

Disable Windows Firewall remotely using PowerShell (Invoke-Command)

שימוש בקבוצת מדיניות

על ידי פרסום של מדיניות קבוצתית (GPO), מנהלי מערכות יכולים לכבות את מגן הגימל של Windows עבור מחשבים נבחרים או כל המחשבים בדומיין. לאחר הפרסום, הכיבוי של מגן הגימל של Windows יתבצע באופן אוטומטי על ידי הגדרות המדיניות על כל המחשבים שנמצאים בתחום הפעולה.

יצירת ה-GPO

כדי ליצור GPO, עליך להפעיל את קונסולת ניהול המדיניות הקבוצתית (Group Policy Management) על השרת. על מנת לעשות זאת, הפעל את הפקודה gpmc.msc בתיבת הריצה.

gpmc.msc command in the Run dialog

בקונסולת ניהול המדיניות הקבוצתית, הרחב את היער ואז בחר את הדומיין בו תיצור את ה-GPO. בדוגמה למטה, ה-GPO נוצר בדומיין xyz.int. לחץ עם העכבר על הדומיין ולחץ על צור GPO בדומיין זה וקשר אותו כאן…

Create a GPO in this domain, and Link it here…

תיבת דו-שיח New GPO תופיע. הקלד השבת את מגן הגימל של Windows בתיבת שם, ואז לחץ על הכפתור אישור.

Enter the name of the new GPO

לאחר מכן, לחץ עם העכבר על ה-GPO החדש ולחץ על עריכה. ה-GPO ייפתח בעורך ניהול המדיניות הקבוצתית (Group Policy Management Editor). לאחר מכן, הרחב את התיקיות הבאות תצורת מחשב —> מדיניות —> תבניות ניהוליות —> חיבורי רשת —> הגנת Windows —> מגן הגימל —> פרופיל דומיין.

ברשימת ההגדרות בחלק הימני של החלון, עשה קליק פעמיים על מגן הגימל של Windows: הגנה על כל חיבורי הרשת כדי לפתוח את המאפיינים שלו.

Group Policy Management Editor

לאחר שהמאפיינים נפתחים, שנה את הערך על ידי בחירת מנוטרל ואז לחץ על אישור.

Set Windows Firewall setting to Disabled

חזור והחל את האפשרות הזו על ההגדרות של פרופיל סטנדרטי. לאחר מכן, תוכל כעת לצאת מחלון עורך ניהול מדיניות הקבוצה.

פרסום GPO לכל מחשבי הדומיין

עכשיו שיצרת את ה-GPO, עליך כעת לפרסם את ה-GPO למחשבי הדומיין.

כדי להחיל את ה-GPO, ב-ניהול מדיניות הקבוצה, בחר ב-GPO השבת את חומת האש של Windows. לאחר מכן, בכרטיסיית היקף, לחץ על הכפתור הוספה מתחת לסעיף סינון אבטחה.

Add Security Filtering

בתיבת הדו-שיח בחר משתמש, מחשב או קבוצה, חפש מחשבי דומיין ולחץ אישור. בכך תבטיח כי ה-GPO יוחל על כל המחשבים שהם חברי הקבוצה מחשבי דומיין.

Search and choose Domain Computers

וזהו! בפעם הבאה שהמחשבים הלקוח יקבלו את עדכון המדיניות, חומת האש תיכבה על המחשבים הללו.

כעת שנוצר ופורסם ה-GPO, תוכל לבדוק האם ה-GPO עובד על ידי כפילות מדיניות. הפעל את הפקודה gpupdate /force על המחשב הלקוח כדי לבדוק עדכון המדיניות.

Force update the policy

כפי שניתן לראות מהתוצאה לעיל, מיד לאחר שהמדיניות נמצאת בהחלטה במחשב הלקוח, התקבלה ההגדרה לביטול חומת האש של Windows. בנוסף, קיימת תיבת מידע שאומרת שההגדרות מנוהלות על ידי מנהל המערכת.

Information box

שים לב: מרווח העדכון אוטומטי עבור Group Policy הוא כל 90 דקות עבור משתמשים ומחשבים רגילים. בנוסף, Group Policy מתעדכן גם כאשר המחשב מתחיל או משתמש מתחבר.

שימוש בתוסף Custom Script כדי להשבית את מגן האש של Windows במכונות וירטואליות באזור

אם יש לך מכונה וירטואלית באזור של Azure שאינך יכול יותר לגשת אליה מכיוון שמגן האש של Windows מונע תעבורה, כולל RDP. אולי עשית שינויים במגן האש של Windows ובטעות נעלמת ממנו!

אם ניסית את כל הדרכים שצוינו קודם במאמר זה ועדיין אין מזל, יש עוד תקווה. אפשר להשבית את מגן האש של Windows בתוך מערכת ההפעלה של המכונה הווירטואלית ב-Azure באמצעות השימוש בתוסף Azure Custom Script. תוסף Azure Custom Script פועל על ידי ביצוע סקריפט המארח באחסון Azure או ב-GitHub על מערכת ההפעלה של המכונה הווירטואלית ב-Azure שלך.

השלבים העליונים כוללים:

  • יצירת סקריפט PowerShell (*.PS1) המכיל פקודות להשבתת מגן האש של Windows.
  • התקנת תוסף Custom Script על המכונה הווירטואלית באזור Azure שלך באמצעות פורטל Azure.
    • העלאת סקריפט PowerShell אל אחסון Azure.
    • הסקריפט ירוץ באופן אוטומטי במערכת ההפעלה של המכונה הווירטואלית באזור Azure פעם אחת בלבד.

בדוגמה זו, מכונת הבדיקה הווירטואלית נקראת devmachine1 והגנת הגישה ב-Windows מופעלת במצב מופעל.

הערה: לפני שתמשיך, וודא שיש לך את התפקיד המתאים של Azure RBAC בחשבונך.

יצירת סקריפט Disable-Windows-Firewall.ps1

בקטעים הקודמים, למדת על הפקודות הזמינות לניטרול של גנת הגישה בווינדוס. בדוגמה זו, יש להשתמש בתוקף netsh.

באמצעות עורך קוד או טקסט לבחירתך, יש ליצור קובץ חדש בשם Disable-Windows-Firewall.ps1. לערוך את הסקריפט ולהוסיף את השורה הבאה: netsh advfirewall set allprofiles state off. לשמור את הסקריפט כאשר סיימת. להלן כיצד לעשות זאת מהר בפוורשל.

'netsh advfirewall set allprofiles state off' | Out-File .\\Disable-Windows-Firewall.ps1

התקנת ההרחבה המותאמת אישית והעלאת סקריפט הפווורשל

עכשיו שהסקריפט שלך מוכן, השלב הבא הוא להתקין את ההרחבה המותאמת אישית של הסקריפט ולהעלות את הסקריפט למיקום אחסון ב-Azure. וברגע שההרחבה הותקנה, הסקריפט ירוץ אוטומטית נגד מכונת ה-VM של Azure.

  • ראשית, התחבר ל-פורטל Azure ואתר את משאב VM של Azure ופתח אותו. בדוגמה זו, שם מכונת ה-VM ב-Azure הוא devmachine1. לאחר מכן, עבור ללהבה הרחבות ולחץ על הכפתור הוסף.
  • בדף מקור חדש, אתה צריך לאתר וללחוץ על הרחבת סקריפט מותאם אישית. לאחר מכן, לחץ על צור. בדף התקן הרחבה, לחץ על הכפתור עיון ליד תיקיית הסקריפט (נדרשת).
  • בחר את חשבון האחסון מהרשימה. בדוגמה זו, שם חשבון האחסון הוא storagexyz01. לאחר מכן, יוצג רשימה של תופסים; לחץ על התופס שבו יש להעלות את קובץ הסקריפט. בדוגמה זו, שם התופס הוא cont1.

הערה: אם אין לך חשבון אחסון או תופס כרגע ואתה צריך ליצור אחד, עבור אל יצירת חשבון אחסון ב-Azure כדי ללמוד איך.

  • לאחר בחירת התופס, לחץ על העלאה ובחר את קובץ ה- disable-windows-firewall.ps1 שיצרת על המחשב שלך. לאחר בחירת הקובץ, לחץ על הכפתור העלאה.
  • תראה שקובץ disable-windows-firewall.ps1 זמין כעת בתוך התופס. לחץ על disable-windows-firewall.ps1 מהרשימה ולחץ על בחר. תחזור לדף התקן הרחבה, ועליך ללחוץ על אישור כדי להתחיל להתקין את ההרחבה באופן סופי.

בנקודה זו, אתה רק צריך לחכות שההרחבה תופקד, וכך גם תפעיל באופן אוטומטי את הסקריפט שהעלת. הפנה להדגמה למטה כדי לראות את תהליך הפעולה כולו.

Disable Windows Firewall in Azure VM using the Custom Script Extension

סיכום

במאמר זה, למדת כיצד להשבית את חומת האש של Windows באמצעות כלים GUI הזמינים ב-Windows. גם למדת כיצד להשתמש בפקודות באמצעות netsh ו-PowerShell כדי להשבית את חומת האש של Windows מקומית או מרחוק.

בנוסף, למדת כיצד ליצור ולפרסם אובייקט קבוצת מדיניות שיכול להשבית את חומת האש של Windows עבור מחשבים בדומיין. לבסוף, למדת כיצד להשתמש בשלוחה מותאמת אישית של Azure כדי להשבית את חומת האש של Windows במערכת האורח של מכונות וירטואליות ב-Azure.

כמובן שישנם דרכים רבות שונות להשבית את חומת האש של Windows. חלק מהשיטות הללו נדונו במאמר זה. אף על פי כן, עדיין ישנם שיטות אחרות שתוכל לחקור באופן עצמאי, כמו להשתמש ב־PsExec כדי להשבית אותה מרחוק.

קריאה נוספת

Source:
https://adamtheautomator.com/disable-windows-firewall/