Metoda skenování bez Agenta – nastavení Windows Firewallu (zastaralé)
Metoda skenování bez Agenta byla od verze Alvao 25.2 vyřazena.
K aktivaci metody skenování bez Agenta je nutné následující nastavení.
Nastavení brány Windows Firewall pomocí příkazového řádku
Po instalaci Windows XP SP2 a novějších je Windows Firewall aktivován a ve výchozím nastavení neumožňuje vzdálený přístup. K nastavení Windows Firewallu se používá příkaz Netsh. Příkaz Netsh je skriptovací nástroj příkazového řádku, který komunikuje s dalšími součástmi operačního systému prostřednictvím knihoven DLL. Postup, jak upravit konfiguraci služeb firewallu pomocí příkazu Netsh, je popsán níže.
- No Agent – povolení vzdálené správy. Pro komunikaci mezi Collectorem a skenovaným počítačem musí být povolena funkce Remote Admin, která je ve Windows Firewallu ve výchozím nastavení zakázána.
Postup povolení vzdálené správy pomocí příkazového řádku (Cmd.exe) na místní stanici
netsh firewall set service RemoteAdmin enable subnet
Pokud chcete povolit vzdálenou správu vzdáleně, použijte bezplatný nástroj PsExec a příkazový řádek Cmd.exe. Základní syntaxe příkazu PsExec:
psexec [\\computer[,computer[,...]] [-u user] [-p pswd]] cmd
Parametry:
- \\computer – počítač, na kterém se příkaz cmd spustí. Pokud použijete \\*, příkaz cmd se spustí na všech počítačích v aktuální doméně.
- -u – účet, pod kterým bude příkaz proveden.
- -p – heslo k výše uvedenému účtu.
- cmd – program, který má být spuštěn.
Příklad 2. PsExec – příklad povolení vzdálené správy
Chceme povolit vzdálenou správu na počítači s názvem sítě PCOFFICE. Vzdálená správa bude povolena z celé místní sítě.
psexec \\pcoffice -u administrator_account_name -p administrator_account_name
netsh firewall set service remoteadmin enable subnet
Příklad 3. PsExec – příklad povolení vzdálené správy
Chceme povolit vzdálenou správu na všech počítačích v aktuální doméně. Vzdálená správa bude povolena z celé místní sítě.
psexec \\* -u domain_administrator_account_name -p domain_administrator_account_name
netsh firewall set service remoteadmin enable subnet
Příklad 4. PsExec – příklad povolení vzdálené správy
Chceme povolit vzdálenou správu na všech počítačích v aktuální doméně. Použije se účet, ze kterého byl spuštěn PsExec. Vzdálená správa bude povolena pouze z počítače 192.168.10.21.
psexec \\* netsh firewall set service remoteadmin enable custom 192.168.10.21
Nastavení Windows Firewallu pomocí Zásad skupiny v Active Directory
Po instalaci Windows XP SP2 a novějších je Windows Firewall aktivován a ve výchozím nastavení neumožňuje vzdálený přístup. K nastavení Windows Firewallu se používají Zásady skupiny.
Nastavení Windows Firewallu pomocí Zásad skupiny v Active Directory lze provést pouze v sítích s doménovým serverem Windows Server 2008 R2 nebo vyšším.
- No Agent - Enable Remote Management – postup pro povolení vzdálené správy pomocí Zásad skupiny v Active Directory.
- Otevřete Start – Spustit – mmc
- Ve stromu vyberte Local Computer – Policies – Computer Configuration – Administrative Templates – Network – Network Connections – Windows Firewall – Domain Profile
- Ze seznamu vyberte Windows Firewall – Enable remote management exceptions. Přepněte do stavu Enabled. Pokud potřebujete vyšší zabezpečení, vyplňte pole Junk Message Sources Allowed. IP adresa nebo podsíť, ze které bude povoleno přijímat zprávy.
Pokud jste provedli nastavení prostřednictvím Zásad skupin v Active Directory, nemůžete tato nastavení nadále měnit pomocí příkazového řádku, ale opět pouze v Zásadách skupin!
V režimu "bez agenta", pokud jsou skenovány počítače, které jsou na síti odděleny interním firewallem a přesto se nacházejí ve stejné doméně, je třeba na firewallu povolit následující porty.
- WMI – port 135 + <náhodný port z dynamického rozsahu TCP>, liší se podle OS:
- 1024–5000 (Windows 2000, Windows XP a Windows Server 2003)
- 49152–65535 (Windows Vista a vyšší, Windows Server 2008 a vyšší)
- Vzdálený registr – port 445
- Sdílení administrativních disků – porty 135–139 a 445.
Viz další články: