Skip Navigation LinksALVAO 11.0ALVAO Asset ManagementImplementace systému v organizaciDetekce hardware a softwareNastavení brány firewall Skip Navigation Links.


Nastavení brány firewall

Nastavení brány firewall systému Windows pomocí příkazového řádku

Po nainstalování systému Windows XP SP2 a vyšší se aktivuje brána firewall systému Windows, která ve výchozím nastavení nepovoluje vzdálený přístup. Pro nastavení brány firewall systému Windows se používá příkaz Netsh. Příkaz Netsh představuje skriptovací nástroj příkazového řádku, který spolupracuje s jinými součástmi operačního systému prostřednictvím souborů dynamické knihovny (DLL). Jak upravit konfiguraci služeb brány firewall pomocí příkazu Netsh je vysvětleno níže.

  • Bez Agenta - povolení vzdálené správy. Pro komunikaci mezi Collectorem a detekovaným počítačem musí být povolena Vzdálená správa (remote admin), která je ve výchozím nastavení brány firewall systému Windows zakázána.

    Postup povolení vzdálené správy (remote admin) přes příkazový řádek (Cmd.exe) na lokální stanici

    netsh firewall set service RemoteAdmin enable subnet

    Pokud chcete povolit vzdálenou správu vzdáleně, můžete použít freewarovou utilitu PsExec a příkazový řádek Cmd.exe. Základní syntaxe PsExec:

    psexec [\\computer[,computer[,...]] [-u user] [-p pswd]] cmd

    Parametry:

    • \\computer - počítač, na kterém bude cmd spuštěn. Pokud použijete \\* bude cmd spuštěn na všech počítačích v aktuální doméně.
    • -u - účet, pod kterým se daný příkaz vykoná.
    • -p - heslo k výše uvedenému účtu.
    • cmd - program, který se spustí.

    Příklad 2. PsExec - příklad povolení vzdálené správy

    Chceme povolit vzdálenou správu u počítače se síťovým jménem PCOFFICE. Vzdálená správa bude povolena z celé lokální sítě.

    psexec \\pcoffice -u jméno_účtu_administrátora -p heslo_účtu_administrátora 
    netsh firewall set service remoteadmin enable subnet 

    Příklad 3. PsExec - příklad povolení vzdálené správy

    Chceme povolit vzdálenou správu na všech počítačích v aktuální doméně. Vzdálená správa bude povolena z celé lokální sítě.

    psexec \\* -u jméno_účtu_doménového_administrátora 
    -p heslo_účtu_doménového_administrátora 
    netsh firewall set service remoteadmin enable subnet 

    Příklad 4. PsExec - příklad povolení vzdálené správy

    Chceme povolit vzdálenou správu na všech počítačích v aktuální doméně. Použije se účet, z kterého byl PsExec spuštěn. Vzdálená správa bude povolena pouze z počítače 192.168.10.21.

    psexec \\* netsh firewall set service remoteadmin enable custom 192.168.10.21
  • Agent přes TCP/IP - povolení portu - agent potřebuje pro komunikaci s Collectorem povolený přístup přes port brány firewall systému Windows. Výchozím portem pro Agenta je port 760.

    Příklad 5. Příklad otevření portu

    Chceme povolit port 760 přes příkazový řádek (Cmd) na lokální stanici. Vzdálená správa bude povolena z celé lokální sítě.

    netsh firewall set portopening TCP 760 ALC_EP enable subnet

    Příklad 6. PsExec - příklad otevření portu

    Pomocí utility PsExec chceme vzdáleně na všech počítačích v aktuální doméně povolit port 760. Vzdálená správa bude povolena z celé lokální sítě.

    psexec \\* –u jméno_účtu_administrátora -p heslo_účtu_administrátora 
    netsh firewall set portopening TCP 760 ALC_EP enable subnet

Nastavení brány firewall systému Winows pomocí Zásad skupiny v Active Directory

Po nainstalování systému Windows XP SP2 a vyšší se aktivuje brána firewall systému Windows, která ve výchozím nastavení nepovoluje vzdálený přístup. Pro nastavení brány firewall systému Windows se používají Zásady skupiny.

Nastavení brány firewall systému Windows pomocí Zásad skupiny v Active Directory lze provést pouze v sítích s doménovým serverem Windows Server 2008 R2 a vyšším.

  • Bez agenta - povolení vzdálené správy - postup povolení vzdálené správy (remote admin) pomocí Zásad skupiny v Active Directory.
    1. Otevřete Start - Spustit - mmc
    2. Ve stromu vyberte položku Místní počítač - -Zásady - -Konfigurace počítače - -Šablony pro správu - -Síť - -Síťová připojení - -Brána firewall systému Windows - -Doménový profil
    3. V seznamu vyberte položku Brána firewall systému windows - -Povolit výjimky pro vzdálenou správu přepněte do stavu Povoleno. Pokud potřebujete vyšší zabezpečení, zadejte do pole Povolené zdroje nevyžádaných zpráv adresu IP nebo podsítě, ze které bude povoleno přijímat zprávy.
  • Agent přes TCP/IP - povolení portu - postup povolení portu 760 pomocí Zásad skupiny v Active Directory. Vzdálená správa bude povolena z celé lokální sítě.
    1. Otevřete Start - Spustit - mmc
    2. Ve stromu vyberte položku Místní počítač - -Zásady- - Konfigurace počítače- - Šablony pro správu- - Síť - -Síťová připojení- - Brána firewall systému Windows- - Doménový profil
    3. V seznamu vyberte položku Brána firewall systému windows- -Nastavit výjimky portů přepněte do stavu Povoleno. Tím se zaktivuje tlačítko Zobrazit, na které klikněte. V následujícím okně klikněte na tlačítko Přidat a zadejte tuto hodnotu: "760:TCP:Localsubnet:enabled:ALC_EP"
Upozornění:
Pokud jste provedli nastavení přes Zásady skupiny v Active Directory, nelze již toto nastavení měnit přes příkazový řádek, ale opět jen v Zásadách skupiny!

 

Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.