Skip Navigation LinksALVAO 11.2 / Průvodce administrátora / Asset Management / Detekce hardwaru a softwaru / Nastavení firewallu
Nastavení firewallu
Nastavení brány Windows Firewall pomocí příkazového řádku
Při instalaci systému Windows XP SP2 a vyšší je aktivována brána Windows Firewall, která ve výchozím nastavení nepovoluje vzdálený přístup. K nastavení brány firewall systému Windows se používá příkaz Netsh. Příkaz Netsh je skriptovací nástroj příkazového řádku, který komunikuje s ostatními součástmi operačního systému prostřednictvím souborů DLL (dynamic-link library). Jak upravit konfiguraci služeb brány firewall pomocí příkazu Netsh je vysvětleno níže.
- Bez agenta - Povolení vzdálené správy. Pro komunikaci mezi Kolektorem a detekovaným počítačem musí být povolena vzdálená správa, která je ve výchozím nastavení brány firewall systému Windows zakázána.
Postup pro povolení vzdálené správy pomocí příkazového řádku (Cmd.exe) na místní stanici
netsh firewall set service RemoteAdmin enable subnet
Chcete-li vzdáleně povolit vzdálenou správu, můžete použít freewarový nástroj PsExec a příkazový řádek Cmd.exe. Základní syntaxe příkazu PsExec:
psexec [\\computer[,computer[,...]] [-u user] [-p pswd]] cmd
Parametry:
- \\computer - počítač, na kterém se cmd spustí. Pokud použijete \\*, cmd se spustí na všech počítačích v aktuální doméně.
- -u - účet, pod kterým bude příkaz spuštěn.
- -p - heslo pro výše uvedený účet.
- cmd - program, který se má spustit.
Příklad 2. PsExec - příklad povolení vzdálené správy
Chceme povolit vzdálenou správu na počítači se síťovým názvem PCOFFICE. Vzdálená správa bude povolena z celé místní sítě.
psexec\\pcoffice -u administrator_account_name -p administrator_account_name
netsh firewall set service remoteadmin enable subnet
Příklad 3. PsExec - příklad povolení vzdálené správy
Chceme povolit vzdálenou správu na všech počítačích v aktuální doméně. Vzdálená správa bude povolena z celé místní sítě.
psexec\* -u domain_administrator_account_name
-p domain_administrator_account_name
netsh firewall set service remoteadmin enable subnet
Příklad 4. PsExec - příklad povolení vzdálené správy
Chceme povolit vzdálenou správu na všech počítačích v aktuální doméně. Použije se účet, ze kterého byl spuštěn PsExec. Vzdálená správa bude povolena pouze z počítače 192.168.10.21.
psexec \\* netsh firewall set service remoteadmin enable custom 192.168.10.21
- Agent přes TCP/IP - povolit port - agentovi je třeba povolit přístup přes port brány firewall systému Windows, aby mohl komunikovat s Collector. Výchozím portem pro agenta je port 760
Příklad 5. Příklad otevření portu
Chceme povolit port 760 prostřednictvím příkazového řádku (Cmd) na místní stanici. Vzdálená správa bude povolena z celé místní sítě.
netsh firewall set porttopening TCP 760 ALC_EP enable subnet
Příklad 6. PsExec - příklad otevření portu
Pomocí nástroje PsExec chceme vzdáleně povolit port 760 na všech počítačích v aktuální doméně. Vzdálená správa bude povolena z celé místní sítě.
psexec \* -u administrator_account_name -p administrator_account_name
netsh firewall set portopening TCP 760 ALC_EP enable subnet
Nastavení brány firewall systému Winows pomocí zásad skupiny ve službě Active Directory
Při instalaci systému Windows XP SP2 a vyšší je brána firewall systému Windows aktivována a ve výchozím nastavení nepovoluje vzdálený přístup. K nastavení brány firewall systému Windows se používají zásady skupiny.
Nastavení brány Windows Firewall pomocí zásad skupiny v adresáři Active Directory lze provést pouze v sítích s doménovým serverem Windows Server 2008 R2 nebo vyšším.
- Bez agenta - Povolit vzdálenou správu - postup pro povolení vzdálené správy pomocí zásad skupiny v adresáři Active Directory.
- Otevřete Start - Spustit - mmc
- Ve stromu vyberte Místní počítač - Zásady - Konfigurace počítače - Šablony pro správu - Síť - Síťová připojení - Brána firewall systému Windows - Profil domény
- V seznamu vyberte položku Brána firewall systému Windows - Povolit výjimky vzdálené správyPřepněte do stavu Povoleno. Pokud potřebujete větší zabezpečení, zadejte do pole Junk Message Sources Allowed. IP adresu nebo podsíť, ze které bude povoleno přijímat zprávy.
- Agent přes TCP/IP - Povolení portu - Postup pro povolení portu 760 pomocí zásad skupiny v Active Directory. Vzdálená správa bude povolena z celé místní sítě.
- Otevřít Start - Spustit - mmc
- Ve stromu vyberte Místní počítač - Zásady - Konfigurace počítače - Šablony pro správu - Síť - Síťová připojení - Brána firewall systému Windows - Profil domény
- V seznamu vyberte možnost Brána firewall systému Windows - Nastavit výjimky portů a přepněte ji do stavu Povoleno. Tím se aktivuje tlačítko Zobrazit, na které klikněte. V následujícím okně klikněte na tlačítko Přidat a zadejte následující hodnotu: "760:TCP:Localsubnet:enabled:ALC_EP".
Upozornění:
V případě, že se jedná o síťovou kartu, která je součástí sítě, je nutné, abyste ji zadali do seznamu:
Pokud jste provedli nastavení prostřednictvím zásad skupiny v Active Directory, nemůžete již tato nastavení měnit prostřednictvím příkazového řádku, ale opět pouze v zásadách skupiny!
Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.