Nastavení brány firewall
Nastavení brány firewall systému Windows pomocí příkazového řádku
Po nainstalování systému Windows XP SP2 a vyšší se aktivuje brána firewall
systému Windows, která ve výchozím nastavení nepovoluje vzdálený přístup. Pro
nastavení brány firewall systému Windows se používá příkaz Netsh. Příkaz Netsh
představuje skriptovací nástroj příkazového řádku, který spolupracuje s jinými
součástmi operačního systému prostřednictvím souborů dynamické knihovny (DLL).
Jak upravit konfiguraci služeb brány firewall pomocí příkazu Netsh je vysvětleno
níže.
- Bez Agenta - povolení vzdálené správy. Pro
komunikaci mezi Collectorem a detekovaným počítačem musí být povolena
Vzdálená správa (remote admin), která je ve výchozím nastavení brány
firewall systému Windows zakázána.
Postup povolení vzdálené správy (remote admin) přes příkazový
řádek (Cmd.exe) na lokální stanici
netsh firewall set service RemoteAdmin enable subnet
Pokud chcete povolit vzdálenou správu vzdáleně, můžete použít freewarovou
utilitu PsExec a příkazový řádek Cmd.exe. Základní syntaxe PsExec:
psexec [\\computer[,computer[,...]] [-u user] [-p pswd]] cmd
Parametry:
- \\computer - počítač, na kterém bude
cmd spuštěn. Pokud použijete \\* bude cmd spuštěn na všech
počítačích v aktuální doméně.
- -u - účet, pod kterým se daný příkaz
vykoná.
- -p - heslo k výše uvedenému účtu.
- cmd - program, který se spustí.
Příklad 2. PsExec - příklad povolení vzdálené správy
Chceme povolit vzdálenou správu u počítače se síťovým jménem PCOFFICE.
Vzdálená správa bude povolena z celé lokální sítě.
psexec \\pcoffice -u jméno_účtu_administrátora -p heslo_účtu_administrátora
netsh firewall set service remoteadmin enable subnet
Příklad 3. PsExec - příklad povolení vzdálené správy
Chceme povolit vzdálenou správu na všech počítačích v aktuální doméně.
Vzdálená správa bude povolena z celé lokální sítě.
psexec \\* -u jméno_účtu_doménového_administrátora
-p heslo_účtu_doménového_administrátora
netsh firewall set service remoteadmin enable subnet
Příklad 4. PsExec - příklad povolení vzdálené správy
Chceme povolit vzdálenou správu na všech počítačích v aktuální doméně.
Použije se účet, z kterého byl PsExec spuštěn. Vzdálená správa bude povolena
pouze z počítače 192.168.10.21.
psexec \\* netsh firewall set service remoteadmin enable custom 192.168.10.21
- Agent přes TCP/IP - povolení portu - agent
potřebuje pro komunikaci s Collectorem povolený přístup přes port brány
firewall systému Windows. Výchozím portem pro Agenta je port 760.
Příklad 5. Příklad otevření portu
Chceme povolit port 760 přes příkazový řádek (Cmd) na lokální stanici.
Vzdálená správa bude povolena z celé lokální sítě.
netsh firewall set portopening TCP 760 ALC_EP enable subnet
Příklad 6. PsExec - příklad otevření portu
Pomocí utility PsExec chceme vzdáleně na všech počítačích v aktuální doméně
povolit port 760. Vzdálená správa bude povolena z celé lokální sítě.
psexec \\* –u jméno_účtu_administrátora -p heslo_účtu_administrátora
netsh firewall set portopening TCP 760 ALC_EP enable subnet
Nastavení brány firewall systému Winows pomocí Zásad skupiny v Active
Directory
Po nainstalování systému Windows XP SP2 a vyšší se aktivuje brána firewall
systému Windows, která ve výchozím nastavení nepovoluje vzdálený přístup. Pro
nastavení brány firewall systému Windows se používají Zásady skupiny.
Nastavení brány firewall systému Windows pomocí Zásad skupiny v Active
Directory lze provést pouze v sítích s doménovým serverem Windows Server 2008 R2
a vyšším.
- Bez agenta - povolení vzdálené správy -
postup povolení vzdálené správy (remote admin) pomocí Zásad skupiny v
Active Directory.
- Otevřete Start - Spustit - mmc
- Ve stromu vyberte položku Místní počítač - -Zásady - -Konfigurace
počítače - -Šablony pro správu - -Síť - -Síťová připojení - -Brána firewall
systému Windows - -Doménový profil
- V seznamu vyberte položku Brána firewall systému windows - -Povolit
výjimky pro vzdálenou správu
přepněte do stavu Povoleno. Pokud
potřebujete vyšší zabezpečení, zadejte do pole
Povolené zdroje nevyžádaných zpráv
adresu IP nebo podsítě, ze které bude povoleno přijímat
zprávy.
- Agent přes TCP/IP - povolení portu - postup povolení
portu 760 pomocí Zásad skupiny v Active Directory. Vzdálená správa bude povolena
z celé lokální sítě.
- Otevřete Start - Spustit - mmc
- Ve stromu vyberte položku Místní počítač - -Zásady- -
Konfigurace počítače- - Šablony pro správu- - Síť - -Síťová připojení- - Brána
firewall systému Windows- - Doménový profil
- V seznamu vyberte položku Brána firewall systému windows- -Nastavit
výjimky portů přepněte do stavu Povoleno. Tím se
zaktivuje tlačítko Zobrazit, na které klikněte. V
následujícím okně klikněte na tlačítko Přidat a zadejte
tuto hodnotu:
"760:TCP:Localsubnet:enabled:ALC_EP"
Upozornění:
Pokud jste provedli nastavení přes Zásady skupiny v Active Directory, nelze již
toto nastavení měnit přes příkazový řádek, ale opět jen v Zásadách skupiny!
Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.