none
GPO Windows Server 2012 R2 RRS feed

  • Вопрос

  • Здравствуйте!

    Есть несколько серверов входящих в один домен.  

    Столкнулся с необходимость настроить Firewall на этих серверах через GPO. При этом необходимо сделать так чтобы все порты кроме стандартных (445, 80 .....) были заблокированы через GPO.

    А порты используемые сервисами на этих серверах открыть в ручную (через оснастку Брандмауэр Windows).

    т.е. закрыть порты которые сервер использовать не будет, открыть на всех серверах порты которые будут использоваться всеми серверами (через GPO) и открыть порты которые будет использовать только этот сервер (вручную).

    Не подскажете как это сделать? Политикой GPO Фаервола заблокировал все порты, а стандартные порты поставил в исключения (15000:TCP:Enabled:<KS>), но не могу открыть спецефичные порты на серверах (как пример порт TCP 1433 для SQL Server).

     

    5 октября 2017 г. 21:15

Ответы

  • Если политика жёстко блокирует порт (disabled), то поменяйте приоритет их применения, чтобы разрешающие применялись самыми последними.

    Кстати, Каспер сейчас рекомендует использовать на серверах Endpoint Security, и вот там как раз есть сетевой модуль.

    11 октября 2017 г. 11:37

Все ответы

  • Думаю в таком случае вам потребуется создать дополнительные GPO, которые открывают специфичные порты. Например сделать политику Firewall_ADDS (открыть 139, 445, 53 и т.п.), прилинковать её к OU с контроллерами домена. Отдельную политику Firewall_SQL, прилинковать её к OU с серверами и в Security Filtering указать  что политика будет применяться к группе серверов SQL. Аналогично сделать соответствующие политики и создать группы безопасности для серверов SharePoint, Exchange и т.п.

    Можно кстати эту задачу решить и с помощью функционала антивируса, настроив соответствующим образом "Сетевой экран".

       
    6 октября 2017 г. 6:38
  • политики же вроде либо суммируются либо затираются, если создать две политики на одну OU то ниже расположенная (по уровню домен, OU.....) получается затрёт выше расположенную и либо будут открыты стандартные порты либо специфичные (в зависимости от уровня применения политики)

    если я правильно понимаю

    на серверах стоит KS 10 for Windows Server  10.0.486 у него как такого нет сетевого экрана, поэтому нет возможности это сделать

    Пробовал искать программные фаерволы с централизованным управлением, но ничего подходящего для реализации задачи не нашёл

    6 октября 2017 г. 6:53
  • Если политика жёстко блокирует порт (disabled), то поменяйте приоритет их применения, чтобы разрешающие применялись самыми последними.

    Кстати, Каспер сейчас рекомендует использовать на серверах Endpoint Security, и вот там как раз есть сетевой модуль.

    11 октября 2017 г. 11:37