Настройка и управление брандмауэром Windows для вашего сервера Windows

Учебники
Windows

Настройка и управление брандмауэром Windows для вашего сервера Windows. В области надежного управления сервером брандмауэр Windows выступает как ключевое средство, неизменно защищая наш сервер Windows от различных потенциальных уязвимостей, при этом обеспечивая точное регулирование потоков связи. Как элементарный компонент операционной системы Windows Server, умелая настройка и профессиональное управление брандмауэром Windows требует тонкого понимания его функциональности. Этот статья предпринимает тщательное и исчерпывающее изучение многоаспектных аспектов, лежащих в основе настройки и управления брандмауэром Windows в нашей среде Windows Server, предоставляя бесценные понимания для укрепления защиты нашего сервера и настройки его операционной эффективности.

Также читайте Защитите свои данные с помощью шифрования и BitLocker в Windows Server

Настройка и управление брандмауэром Windows для вашего сервера Windows

Брандмауэр Windows – встроенная функция безопасности в операционной системе Windows, которая действует как барьер между компьютером или сетью и потенциальными угрозами из Интернета или локальной сети. Он отслеживает и контролирует входящий и исходящий сетевой трафик, помогая защитить систему от несанкционированного доступа и злонамеренной деятельности. Следующий раздел статьи расскажет нам о том, как отключить брандмауэр Windows.

Также читайте Управление обновлениями Windows Server: как обеспечить безопасность и актуальность Windows Server

Настройка брандмауэра Windows с использованием графического интерфейса

Графические инструменты пользовательского интерфейса (GUI) в Windows – самый быстрый способ управления брандмауэром для домашних и рабочих пользователей. Примером GUI-инструмента является панель управления брандмауэром Windows Defender.

Использование панели управления брандмауэром Windows Defender

Панель управления брандмауэром Windows Defender, являющаяся неотъемлемой частью операционной системы Windows, позволяет пользователям организовать надежную линию защиты для своих систем. Через этот доступный интерфейс пользователи тщательно контролируют входящий и исходящий трафик, укрепляя свою сетевую безопасность, при этом поддерживая безупречную целостность коммуникации. Ниже приведены несколько способов запуска панели управления брандмауэром Windows Defender:

Метод 1

Перейти к Панель управленияСистема и безопасностьБрандмауэр Windows Defender.
Метод 2

 Нажмите «Пуск» и введите Брандмауэр Windows Defender. Нажмите на ссылку Брандмауэр Windows Defender.
Метод 3

Откройте диалоговое окно Выполнить, введите firewall.cpl и нажмите ОК.

Мы должны признать список сетевых профилей – Домен, частный, и Гостевая или общедоступные сети в панели управления Windows Defender Firewall.クリック ссылки Включить или выключить Windows Defender слева.

Мы отключаем Windows Firewall для каждого сетевого профиля на странице Настройка пользовательских настроек. Windows Firewall отключен для всех сетевых профилей в примере ниже.

также читайте Windows Server Hardening: Configure Security Settings & Policies for Windows Server

Использование консоли управления групповыми политиками

При развертывании групповой политики (GPO) системные администраторы отключают Windows Firewall для выбранных или всех компьютеров в домене. После развертывания отключение Windows Firewall автоматизируется, так как конфигурация ее применяет политику на всех компьютерах в сфере действия.

В этом случае мы используем Управление групповыми политиками Консоль (GPMC) на сервере для создания GPO. Для этого выполните команду gpmc.msc в диалоговом окне “Run”.

Разверните дерево в Управлении групповыми политиками и выберите домен, в котором мы создаем GPO. После создания GPO в домене щелкните правой кнопкой мыши и выберите Создать GPO в этом домене и связать его здесь…

Откроется диалоговое окно Новый GPO. Введите имя для создаваемого GPO.Щелкните правой кнопкой мыши новый GPO и выберите “Правка”. GPO откроется в Редакторе управления групповыми политиками. Затем разверните эти папки:

  • Конфигурация компьютера
  • Политики
  • Административные шаблоны
  • Сеть
  • Сетевые подключения
  • Windows Defender
  • Брандмауэр
  • Профиль домена

Здесь мы видим список всех профилей брандмауэра Windows, которые мы реализуем в нашем домене. Например, в списке настроек в правой панели дважды щелкните Брандмауэр Windows Defender: Защита всех сетевых подключений, чтобы открыть его свойства.

Как только свойства настроек откроются, измените значение, выбрав Отключено, затем нажмите OK.


Примените тот же вариант еще раз к настройкам для Стандартного профиля. Теперь, когда мы создали GPO, нам нужно развернуть GPO на компьютерах домена.Выберите Отключить брандмауэр Windows GPO в управлении групповыми политиками, чтобы применить GPO. Затем нажмите кнопку Добавить в разделе Фильтрация безопасности на вкладке Область.

Найдите в диалоговом окне Выбор пользователя, компьютера или группы компьютеры домена, затем нажмите ОК. Таким образом, мы применяем GPO ко всем компьютерам, являющимся членами Группы компьютеров домена.

Система отключает брандмауэр при следующем обновлении политики клиентских компьютеров.

Теперь, когда GPO создана и развернута, мы проверяем, работает ли GPO, принудительно обновив политику. Запустите gpupdate /force на клиентском компьютере, чтобы протестировать обновление политики.

Также читайте Лучшие практики безопасности сервера Windows: обеспечьте безопасность вашей среды сервера Windows

Также читайте Попробуйте инструмент отчетов InfraSOS Active Directory GPO

Настройка брандмауэра Windows с использованием интерфейса командной строки

Большинство, если не все, функции графического интерфейса Windows имеют эквиваленты командной строки. Иногда использование интерфейса командной строки (CLI) бывает быстрее, чем перемещение по различным местам Windows с помощью вариантов графического интерфейса. Кроме того, опции командной строки позволяют пользователям создавать сценарии или автоматизировать задачу. Вот несколько примеров:

Управление брандмауэром Windows с помощью команды Netsh

A legacy but valuable handy utility called netsh is useful to manage network configurations on a computer or, in this case, disable the Windows Firewall. Using netsh advfirewall set, we manage Windows Firewall individually on each location or all network profiles.

  • netsh advfirewall set currentprofile state – эта команда управляет брандмауэром текущего активного профиля сети.
  • netsh advfirewall set domainprofile state – управляет брандмауэром только в профиле Домен сети.
  • netsh advfirewall set privateprofile state – управляет брандмауэром только в профиле Частной сети.
  • netsh advfirewall set publicprofile state – этой командой можно управлять только брандмауэром в профиле сети Публичная.
  • netsh advfirewall set all profiles state – этой командой можно управлять всеми профилями сети одновременно.

Интеграция команд netsh увеличивает возможность точной настройки брандмауэра и управления им для опытных пользователей, желающих получить детальный контроль, что в конечном итоге укрепляет стойкость сервера к изменяющимся киберугрозам.

Использование командлета PowerShell Set-NetFirewallProfile

Модуль NetSecurity PowerShell содержит cmdlet’ы, связанные с настройкой сети и сетевой безопасностью. Упомянутый модуль PowerShell встроен в Windows Server 2012 и выше. Один из этих cmdlet’ов – Set-NetFirewallProfile, который мы используем для управления Windows Firewall.

Set-NetFirewallProfile -All -Enabled True
Set-NetFirewallProfile -Profile  -Enabled False

Ниже приведена команда для отключения брандмауэра на профилях сети Public, Private и Domain :

Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled False

Не указывая имена профилей, приведенный ниже пример показывает, как отключить Windows Firewall на всех профилях сети, используя параметр-переключатель –All.

Удаленное управление Windows Firewall с помощью PowerShell

Когда нам нужно управлять брандмауэрами на многих компьютерах, неэффективно входить в каждый компьютер и выполнять команды вручную. Особенно в сетевой среде мы отключаем их удаленно с помощью PowerShell.

Примечание: Для выполнения этой процедуры требуется включить удаленное управление Windows или WinRM на целевом компьютере. В большинстве случаев WinRM доступен для компьютеров, присоединенных к домену, для целей удаленного управления.

Если мы планируем отключать брандмауэр Windows на одном удаленном компьютере за раз, мы используем cmdlet Enter-PsSession для отправки команд на удаленный компьютер.

Enter-PsSession -ComputerName WINSRV01
Set-NetFirewallProfile -All -Enabled False

Вышеуказанный процесс подходит только в случае работы с несколькими удаленными компьютерами. Но если у нас есть много компьютеров, которые нужно выключить, нам нужен подход, более приспособленный для скриптов. Для этого мы используем командлет Invoke-Command. 

$computers = @('WINSRV01','WINSRV02')
$computers | ForEach-Object {
	Invoke-Command -ComputerName $_ {
		Set-NetFirewallProfile -All -Enabled False
	}
}

Как мы видим из вышеуказанного фрагмента кода, мы сохраняем имена удаленных компьютеров в переменной $computers как массив. Затем PowerShell выполняет цикл по каждому удаленному компьютеру, чтобы запустить командлет Invoke-Command и выполнить команду Set-NetFirewallProfile -All -Enabled False.

Также читайте: Обеспечение безопасности сети Azure с помощью брандмауэра Azure и групп безопасности

Брандмауэр Windows с расширенными возможностями безопасности

Различие между Windows Firewall и Windows Firewall с расширенными функциями безопасности заключается в их сложности и возможностях. Windows Firewall функционирует как основной, удобный для пользователя брандмауэр, регулируя входящий и исходящий сетевой трафик с использованием заранее определенных правил, в то время как Windows Firewall с расширенными функциями безопасности предоставляет опытным пользователям и администраторам более сложный набор инструментов, позволяя создавать высоко настраиваемые конфигурации, охватывающие критерии, такие как IP-адреса, протоколы, пользователи и службы, что делает его особенно подходящим для сложных сетевых сред.

Во всех трех версиях Windows, самым простым способом запуска Windows Defender Firewall с расширенными функциями безопасности является поиск исполняемого файла. Windows Defender Firewall с расширенными функциями безопасности. Щелкните или нажмите на результат после ввода wf.msc в строку поиска Windows.

В Панели управления, мы получаем доступ к Windows Defender Firewall с расширенными функциями безопасности, щелкнув по Система и безопасность -> Windows Defender Firewall и щелкнув или коснувшись Дополнительные настройки.

В операционной системе Windows ярлык для доступа к Windows Defender Firewall с расширенными функциями безопасности удобно расположен в Меню Пуск, следуя этому пути: Меню ПускАдминистративные инструменты WindowsWindows Defender Firewall с расширенными функциями безопасности.

Также прочтите Попробуйте нашу утилиту InfraSOS Office 365 для отчетности

Преимущества брандмауэра Windows с расширенной безопасностью

Этот инструмент дает нам доступ ко всем функциям брандмауэра Windows Defender. Вот несколько преимуществ его использования:

  • Снижает уязвимость к сетевым атакам. Хотя брандмауэр Windows Defender не является полноценным средством безопасности, он сокращает вероятность успешной сетевой атаки.
  • Обеспечивает защиту доступа к нашему устройству с использованием IPsec (Интернет-протокол безопасности) для обеспечения целостности и конфиденциальности данных.
  • Предоставляет возможности брандмауэра без дополнительных затрат. В качестве встроенного компонента Windows, брандмауэр Windows Defender предоставляет функциональность брандмауэра без необходимости дополнительной установки программного обеспечения.

Благодаря своим функциональным механизмам, брандмауэр Windows Defender с расширенной безопасностью предоставляет эти преимущества:

  • Входящие и исходящие правила: Эти правила обеспечивают точный контроль над входящим и исходящим сетевым трафиком, позволяя настраивать его на основе номеров портов, программ и IP-адресов.
  • Правила безопасности соединения: Определяя параметры шифрования и методы аутентификации, эти правила устанавливают защищенные каналы связи, повышая безопасность сети.
  • Мониторинг: Брандмауэр предоставляет комплексные инструменты мониторинга, отслеживающие события, такие как соответствие правилам и попытки соединения, способствуя своевременному обнаружению угроз и реагированию.

Спасибо за прочтение руководства по настройке и управлению брандмауэром Windows для вашего сервера Windows. Мы заключим, 

Также читайте Как реализовать политики соответствия и управления в Azure

Заключение по настройке и управлению брандмауэром Windows для вашего сервера Windows

В заключение, владение настройкой и управлением брандмауэра Windows на нашем сервере Windows является важным условием для поддержания безопасной и оптимально работающей среды сервера. Панель управления брандмауэром Windows Defender предоставляет доступный инструмент для обеспечения целостности коммуникации и предотвращения потенциальных уязвимостей. Кроме того, для тех, кто стремится к повышенному уровню контроля, интеграция команд netsh предлагает продвинутый способ настройки параметров брандмауэра, что приводит к комплексному подходу, укрепляющему защиту нашего сервера от изменчивого цифрового ландшафта.

Source:
https://infrasos.com/configure-and-manage-windows-firewall-for-your-windows-server/