none
Как настроить Firewall используя GPO RRS feed

  • Вопрос

  • Ребят привет!

    Входные данные:
    Сервер AD: Windows Server 2016, лес AD 2016 уровня.
    Клиентские сервера: все Windows Server 2016, лес AD 2016 уровня.


    Столкнулся тут с интересной проблемой, не могу понять как ещё решить. Возникла потребность мониторить Windows 2016 сервера сервером Zabbix. Всё хорошо шло до шага, когда серверам нужно открыть 10050 TCP порт. А так как все сервера находятся в домене, то задачка казалось очень простой. Но не тут то было.

    В общем создаю я политику 
    Мой компьютер - Политики - Конфигурация Windows - Параметры безопасности - Брандмауэр Windows в режиме повышенной безопасности - Брандмауэр Windows - Правило для входящих соединений
    создаю там правило, применяю на компьютерах, ожидая что на компьютерах в настройках Firewall появиться правило. Я ожидаю штатного поведения Windows.

    А по факту, политика разлетелась по компьютерам и примирилась так: появился раздел (Вывод программы "rsop.msc")
    Конфигурация компьютера - Административные шаблоны - дополнительные параметры реестра

    Появились значения системного реестра для Windows Firewall. А рядом с ними написано:

    Этот параметр реестра не соответствует политике административных шаблонов. Например он не задан файлом .adm или .admx. Возможно он был определён другой оснасткой.

    Вот так. А настройки Firewall на клиентских серверах не поменялась. То есть политика применилась, но настройки Firewall не изменила. И так происходит с любыми настройками для Firewall. Остальные gpo отрабатывают штатно.


    Ребят подскажите что это? Нападение инопланетян или заговор коммунистов?

    • Изменено Andrei IW 27 апреля 2020 г. 11:25
    27 апреля 2020 г. 11:23

Ответы

Все ответы

  • Русскоязычные сервера это довольно стандартный путь к страданиям по поводу корявой документации и корявого перевода самой ОС. Если вас не пытают строительными инструментами, то не устанавливайте на сервера ничего кроме оригинальной aнглоязычной OC.

    В англоязычной ОС фаервол настраивается так, и при этом работает на всех ОС начиная с Win7\2008 и выше:

    https://www.rootusers.com/configure-firewall-rules-for-multiple-profiles-using-group-policy/

    http://woshub.com/windows-firewall-settings-group-policy/


    The opinion expressed by me is not an official position of Microsoft


    27 апреля 2020 г. 11:38
    Модератор
  • https://www.rootusers.com/configure-firewall-rules-for-multiple-profiles-using-group-policy/

    http://woshub.com/windows-firewall-settings-group-policy/

    Да, как в статьях написано так я и делал. По сути... по другому и не сделать. Но как так получается, что только для Firewall настройки gpo так работают - так работают что не работают. А для всего остального gpo работает исправно.

    Что такого есть в GPO Windows Firewall ?  Что значит выражение

    Этот параметр реестра не соответствует политике административных шаблонов. Например он не задан файлом .adm или .admx. Возможно он был определён другой оснасткой.

    Может за это можно зацепиться?
    • Изменено Andrei IW 27 апреля 2020 г. 11:49
    27 апреля 2020 г. 11:47
  • Приветствую.

    Посмотрите:

    https://docs.microsoft.com/ru-ru/security-updates/security/20212692

    и

    https://winitpro.ru/index.php/2018/12/06/nastrojka-pravil-windows-firewall-gpo/


    Я не волшебник, только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub, Facebook, TechNet Forum Team.

    27 апреля 2020 г. 12:54
    Модератор
  • Александр, первый линк про несопровождаемые ос, а второй является практически дословным переводом одного из линков в первом ответе

    Причем из-за того что использованы теже картинки настройки политики имеют оригинальные англоязычные названия :)

    Андрей, покажите пожалуйста скрины настройки политики и ошибки

    Вы проверяли gpresult или только rsop? 


    The opinion expressed by me is not an official position of Microsoft

    27 апреля 2020 г. 13:20
    Модератор
  • Посмотрите:

    https://docs.microsoft.com/ru-ru/security-updates/security/20212692

    и

    https://winitpro.ru/index.php/2018/12/06/nastrojka-pravil-windows-firewall-gpo/


    Посмотрел эти статьи, они такие же как и верхние две. Во всех статьях говорится о одном и том же. Идите Мой компьютер - Политики - Конфигурация Windows - Параметры безопасности - Брандмауэр Windows в режиме повышенной безопасности - Брандмауэр Windows

    и там создавайте правила. И эти правила разойдутся по компьютерам. Собственно я так и делаю, но на компьютерах (Windows server 2016) вместо правил в FireWall появляется

    Конфигурация компьютера - Административные шаблоны - дополнительные параметры реестра

    А там написано:

    Этот параметр реестра не соответствует политике административных шаблонов. Например он не задан файлом .adm или .admx. Возможно он был определён другой оснасткой.

    И далее ключи системного реестра от правил Firewall. Тогда как в самом firewall нечего не поменялось.

    27 апреля 2020 г. 13:21
  • Андрей, есть 2 сценария настройки - gpo и gpp о чем если не ошибаюсь написано во втором линке первого ответа

    Я так понимаю что вы настраиваете gpo, и я бы предложил попробовать перенастроить политику через gpp

    тут об этом прямо написано


    The opinion expressed by me is not an official position of Microsoft


    27 апреля 2020 г. 13:28
    Модератор
  • Вооо, спасибо. Я сделал по этой статье и всё заработало. Хотя утилита rsop по прежнему показывает что 

    Этот параметр реестра не соответствует политике административных шаблонов. Например он не задан файлом .adm или .admx. Возможно он был определён другой оснасткой.

    но всё заработало. Не подскажите в чём секрет. Не как не могу понять почему раньше не получалось, а сейчас получилось. 

    28 апреля 2020 г. 10:28

  • но всё заработало. Не подскажите в чём секрет. Не как не могу понять почему раньше не получалось, а сейчас получилось. 

    предположу что параметр реестра это не про эту политику а про какую-то другую

    возможно в gpresult вы найдете больше инфы по этому поводу

    GPO и GPP это 2 разных подтипа груповых политик, где GPO работает на любых диназаврах по типу 2003 серверов и ХР, а GPP это "новый" инструмент 10+ летнней давности которая динозаврами не поддерживается. У них есть и другие технические особенности но об этом лучше почитать в официальных доках или вики.

    Почему у вас не отработало GPO стоит смотреть в логах, gpresult`ax rsop`ax итд, у меня ответа на этот вопрос нет


    The opinion expressed by me is not an official position of Microsoft

    28 апреля 2020 г. 10:55
    Модератор