none
win10及winserver2016防火墙访问控制咨询 RRS feed

  • 问题

  • 场景描述:

    生产环境需要使用445口,出于安全考虑尝试在系统防火墙作用域上限制IP访问,但并未生效,所有IP均能访问本机445口

    疑问确认:

    1.如何实现该生产场景需求

    2.防火墙上默认放行哪些端口,如对这些端口新建策略,系统如何执行,优先级如何判定

    3.除了防火墙,系统还有哪些访问控制手段

    2020年6月24日 1:52

答案

  • 您好,

    1、请尝试在windows server 防火墙→高级防火墙→入站规则→新建规则设置下,根据向导窗口设置入站规则,仅允许需要的IP访问或者禁止IP访问445端口。

    2、在命令窗口下使用netstat -na命令,可以查看当前已开放的端口。
    根据微软官方文档,Windows防火墙的顺序如下:
    Windows服务强化>连接安全规则>认证旁路规则>封锁规则>允许规则>默认规则

    可以参考这个链接:
    https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc755191(v=ws.10)?redirectedfrom=MSDN

    3、可以使用访问控制列表或者更改路由来控制访问。

    祝好

    Cherry


    如果认为回帖者的回答有所帮助,请将之标记为答复,这样可以帮助更多的用户获取有效信息。

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年6月24日 8:03
  • 您好:

    只想确认当前情况。
    如果您需要进一步的帮助,请随时告诉我们。

    祝好
    Cherry

    如果认为回帖者的回答有所帮助,请将之标记为答复,这样可以帮助更多的用户获取有效信息。

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年6月29日 1:36
  • 您好:

    只是查看所提供的信息是否有帮助。 如果您需要进一步的帮助,请告诉我们。

    祝好

    Cherry


    如果认为回帖者的回答有所帮助,请将之标记为答复,这样可以帮助更多的用户获取有效信息。

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年7月1日 2:36

全部回复

  • 您好,

    1、请尝试在windows server 防火墙→高级防火墙→入站规则→新建规则设置下,根据向导窗口设置入站规则,仅允许需要的IP访问或者禁止IP访问445端口。

    2、在命令窗口下使用netstat -na命令,可以查看当前已开放的端口。
    根据微软官方文档,Windows防火墙的顺序如下:
    Windows服务强化>连接安全规则>认证旁路规则>封锁规则>允许规则>默认规则

    可以参考这个链接:
    https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc755191(v=ws.10)?redirectedfrom=MSDN

    3、可以使用访问控制列表或者更改路由来控制访问。

    祝好

    Cherry


    如果认为回帖者的回答有所帮助,请将之标记为答复,这样可以帮助更多的用户获取有效信息。

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年6月24日 8:03
  • 您好:

    只想确认当前情况。
    如果您需要进一步的帮助,请随时告诉我们。

    祝好
    Cherry

    如果认为回帖者的回答有所帮助,请将之标记为答复,这样可以帮助更多的用户获取有效信息。

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年6月29日 1:36
  • 您好:

    只是查看所提供的信息是否有帮助。 如果您需要进一步的帮助,请告诉我们。

    祝好

    Cherry


    如果认为回帖者的回答有所帮助,请将之标记为答复,这样可以帮助更多的用户获取有效信息。

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年7月1日 2:36
  • 请问有关于server2016访问控制方面的资料吗 方便提供一下链接吗

    目的为精细化控制用户对操作系统的访问

    2020年7月1日 6:11
  • 您好,

    请参考以下文章,这些文章叙述了适用于Windows server 2016的访问控制:

    https://docs.microsoft.com/zh-cn/windows/security/identity-protection/access-control/access-control

    https://docs.microsoft.com/zh-cn/windows/security/identity-protection/access-control/dynamic-access-control

    祝好

    Cherry


    如果认为回帖者的回答有所帮助,请将之标记为答复,这样可以帮助更多的用户获取有效信息。

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年7月1日 6:43
  • 您好 还希望请教您几个问题:

    1.Windows server 2016防火墙上是否有策略默认放行445端口,防火墙上没有配置445端口相关策略启用防火墙也不影响其通信;

    2.防火墙上默认放行哪些端口、文件、协议,如果禁用默认策略,最小化策略该如何建立;

    3.防火墙上策略执行优先级如何判定,譬如有445端口放行的策略,还有445阻止的策略,系统执行哪一条

    2020年7月1日 8:56
  • 您好:

    如图所示,在一台新的Server 2016虚拟机上测试了一下,默认445端口是在侦听的。

    图上所列端口就是默认开放的端口,如果要查看防火墙的默认配置,请打开控制面板→防火墙→高级设置,查看入站和出站的具体规则。由于每个生产环境的要求都不同,您可以根据自身需求具体配置。

    系统策略优先级为封锁规则>允许规则,在又阻止又放行的情况下,执行阻止。

    祝好

    Cherry


    如果认为回帖者的回答有所帮助,请将之标记为答复,这样可以帮助更多的用户获取有效信息。

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年7月1日 9:34