Skip Navigation LinksALVAO 11.1ALVAO Asset ManagementImplementace systému v organizaciDetekce hardware a softwareNastavení brány firewall Skip Navigation Links.


Přepnout verzi Alvao
Změnit jazyk

Nastavení brány firewall

Nastavení brány Windows Firewall pomocí příkazového řádku

Při instalaci systému Windows XP SP2 a vyšší je aktivována brána Windows Firewall, která ve výchozím nastavení nepovoluje vzdálený přístup. K nastavení brány firewall systému Windows se používá příkaz Netsh. Příkaz Netsh je skriptovací nástroj příkazového řádku, který komunikuje s ostatními součástmi operačního systému prostřednictvím souborů DLL (dynamic-link library). Jak upravit konfiguraci služeb brány firewall pomocí příkazu Netsh je vysvětleno níže

  • Bez agenta - Povolení vzdálené správy. Pro komunikaci mezi Kolektorem a detekovaným počítačem musí být povolena vzdálená správa, která je ve výchozím nastavení brány firewall systému Windows zakázána.

    Postup pro povolení vzdálené správy pomocí příkazového řádku (Cmd.exe) na místní stanici

    netsh firewall set service RemoteAdmin enable subnet

    Chcete-li vzdáleně povolit vzdálenou správu, můžete použít freewarový nástroj PsExec a příkazový řádek Cmd.exe. Základní syntaxe příkazu PsExec:

    psexec [\\computer[,computer[,...]] [-u user] [-p pswd]] cmd

    Parametry:

    • \\computer - počítač, na kterém se cmd spustí. Pokud použijete \\*, cmd se spustí na všech počítačích v aktuální doméně.
    • -u - účet, pod kterým bude příkaz spuštěn.
    • -p - heslo pro výše uvedený účet.
    • cmd - program, který se má spustit.

    Příklad 2. PsExec - příklad povolení vzdálené správy

    Chceme povolit vzdálenou správu na počítači se síťovým názvem PCOFFICE. Vzdálená správa bude povolena z celé místní sítě.

    psexec\\pcoffice -u administrator_account_name-p administrator_account_name
netsh firewall set service remoteadmin enable subnet

    Příklad 3. PsExec - příklad povolení vzdálené správy

    Chceme povolit vzdálenou správu na všech počítačích v aktuální doméně. Vzdálená správa bude povolena z celé místní sítě.

    psexec\* -u domain_administrator_account_name
-p domain_administrator_account_name
netsh firewall set service remoteadmin enable subnet

    Příklad 4. PsExec - příklad povolení vzdálené správy

    Chceme povolit vzdálenou správu na všech počítačích v aktuální doméně. Použije se účet, ze kterého byl spuštěn PsExec. Vzdálená správa bude povolena pouze z počítače 192.168.10.21.

    psexec \\* netsh firewall set service remoteadmin enable custom 192.168.10.21
  • Agent přes TCP/IP - povolit port - agentovi je třeba povolit přístup přes port brány firewall systému Windows, aby mohl komunikovat s Collector. Výchozím portem pro agenta je port 760

    Příklad 5. Příklad otevření portu

    Chceme povolit port 760 prostřednictvím příkazového řádku (Cmd) na místní stanici. Vzdálená správa bude povolena z celé místní sítě.

    netsh firewall set porttopening TCP 760 ALC_EP enable subnet

    Příklad 6. PsExec - příklad otevření portu

    Pomocí nástroje PsExec chceme vzdáleně povolit port 760 na všech počítačích v aktuální doméně. Vzdálená správa bude povolena z celé místní sítě.

    psexec \* -u administrator_account_name-p administrator_account_name
netsh firewall set portopening TCP 760 ALC_EP enable subnet

Nastavení brány firewall systému Winows pomocí zásad skupiny ve službě Active Directory

Při instalaci systému Windows XP SP2 a vyšší je brána firewall systému Windows aktivována a ve výchozím nastavení nepovoluje vzdálený přístup. K nastavení brány firewall systému Windows se používají zásady skupiny.

Nastavení brány Windows Firewall pomocí zásad skupiny v adresáři Active Directory lze provést pouze v sítích s doménovým serverem Windows Server 2008 R2 nebo vyšším.

  • Bez agenta - Povolit vzdálenou správu - postup pro povolení vzdálené správy pomocí zásad skupiny v adresáři Active Directory.
    1. Otevřete Start - Spustit - mmc
    2. Ve stromu vyberte položku Místní počítač - -Zásady - - Konfigurace počítače - - Šablony pro správu - - Síť - - Síťová připojení - - Brána Windows Firewall - - Profil domény
    3. V seznamu vyberte možnost Brána firewall systému Windows - -Povolit výjimky pro vzdálenou správuPřepněte do stavu Povoleno. Pokud potřebujete větší zabezpečení, zadejte do pole Junk Message Sources Allowed. IP adresu nebo podsíť, ze které bude povoleno přijímat zprávy.
  • Agent přes TCP/IP - Povolení portu - Postup pro povolení portu 760 pomocí zásad skupiny v Active Directory. Vzdálená správa bude povolena z celé místní sítě.
    1. Otevřít Start - Spustit - mmc
    2. Ve stromu vyberte Místní počítač - -Zásady- - Konfigurace počítače- - Šablony pro správu- - Síť- - Síťová připojení- - Brána firewall systému Windows- - Profil domény
    3. V seznamu vyberte možnost Windows Firewall- -Set Port Exceptions a přepněte ji do stavu Enabled. Tím se aktivuje tlačítko Zobrazit, na které klikněte. V následujícím okně klikněte na tlačítko Přidat a zadejte následující hodnotu: "760:TCP:Localsubnet:enabled:ALC_EP".
Upozornění: V případě, že se jedná o síťovou síť, která je součástí sítě, je třeba zadat následující údaje: "Upozornění:
Pokud jste provedli nastavení prostřednictvím zásad skupiny v Active Directory, nemůžete již tato nastavení měnit prostřednictvím příkazového řádku, ale opět pouze v zásadách skupiny!

 

Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.