Nastavení brány firewall
Nastavení brány firewall systému Windows pomocí příkazového řádku
Po nainstalování systému Windows XP SP2 a vyšší se aktivuje brána
firewall systému Windows, která ve výchozím nastavení nepovoluje
vzdálený přístup. Pro nastavení brány firewall systému Windows se
používá příkaz Netsh. Příkaz Netsh představuje skriptovací nástroj
příkazového řádku, který spolupracuje s jinými součástmi operačního
systému prostřednictvím souborů dynamické knihovny (DLL). Jak
upravit konfiguraci služeb brány firewall pomocí příkazu Netsh je
vysvětleno níže.
- Bez Agenta - povolení vzdálené správy. Pro komunikaci mezi Collectorem a detekovaným
počítačem musí být povolena Vzdálená správa (remote admin),
která je ve výchozím nastavení brány firewall systému
Windows zakázána.
Postup povolení vzdálené správy (remote admin) přes
příkazový řádek (Cmd.exe) na lokální stanici
netsh firewall set service RemoteAdmin enable subnet
Pokud chcete povolit vzdálenou správu vzdáleně, můžete
použít freewarovou utilitu PsExec a příkazový řádek Cmd.exe.
Základní syntaxe PsExec:
psexec [\\computer[,computer[,...]] [-u user] [-p
pswd]] cmd
Parametry:
- \\computer - počítač, na kterém bude cmd spuštěn. Pokud
použijete \\* bude cmd spuštěn na všech počítačích v
aktuální doméně.
- -u - účet, pod kterým se daný příkaz vykoná.
- -p - heslo k výše uvedenému účtu.
- cmd - program, který se spustí.
Příklad 2. PsExec - příklad povolení vzdálené správy
Chceme povolit vzdálenou správu u počítače se
síťovým jménem PCOFFICE. Vzdálená správa bude povolena z
celé lokální sítě.
psexec \\pcoffice -u jméno_účtu_administrátora -p heslo_účtu_administrátora
netsh firewall set service remoteadmin enable subnet
Příklad 3. PsExec - příklad povolení vzdálené správy
Chceme povolit vzdálenou správu na všech počítačích
v aktuální doméně. Vzdálená správa bude povolena z celé
lokální sítě.
psexec \\* -u jméno_účtu_doménového_administrátora
-p heslo_účtu_doménového_administrátora
netsh firewall set service remoteadmin enable subnet
Příklad 4. PsExec - příklad povolení vzdálené správy
Chceme povolit vzdálenou správu na všech počítačích
v aktuální doméně. Použije se účet, z kterého byl PsExec
spuštěn. Vzdálená správa bude povolena pouze z počítače
192.168.10.21.
psexec \\* netsh firewall set service remoteadmin enable custom 192.168.10.21
- Agent přes TCP/IP - povolení portu - agent potřebuje pro komunikaci s Collectorem povolený
přístup přes port brány firewall systému Windows. Výchozím
portem pro Agenta je port 760.
Příklad 5. Příklad otevření portu
Chceme povolit port 760 přes příkazový řádek (Cmd)
na lokální stanici. Vzdálená správa bude povolena z celé
lokální sítě.
netsh firewall set portopening TCP 760 ALC_EP enable subnet
Příklad 6. PsExec - příklad otevření portu
Pomocí utility PsExec chceme vzdáleně na všech
počítačích v aktuální doméně povolit port 760. Vzdálená
správa bude povolena z celé lokální sítě.
psexec \\* –u jméno_účtu_administrátora -p heslo_účtu_administrátora
netsh firewall set portopening TCP 760 ALC_EP enable subnet
Nastavení brány firewall systému Winows pomocí Zásad skupiny v Active Directory
Po nainstalování systému Windows XP SP2 a vyšší se aktivuje brána
firewall systému Windows, která ve výchozím nastavení nepovoluje
vzdálený přístup. Pro nastavení brány firewall systému Windows se
používají Zásady skupiny.
Nastavení brány firewall systému Windows pomocí Zásad skupiny
v Active Directory lze provést pouze v sítích s doménovým serverem
Windows 2003 Server SP1 (SBS 2003) a vyšší.
- Bez agenta - povolení vzdálené správy - postup povolení vzdálené správy (remote admin) pomocí
Zásad skupiny v Active Directory.
- Otevřete Start
- Spustit
- mmc
- Ve stromu vyberte položku Místní počítač - -Zásady
- -Konfigurace
počítače
- -Šablony pro
správu
- -Síť
- -Síťová
připojení
- -Brána firewall
systému Windows
- -Doménový
profil
- V seznamu vyberte položku Brána firewall systému
windows
- -Povolit výjimky pro
vzdálenou
správu
přepněte do stavu Povoleno. Pokud
potřebujete vyšší zabezpečení, zadejte do pole
Povolené zdroje nevyžádaných zpráv
adresu IP nebo podsítě, ze které bude povoleno přijímat
zprávy.
- Agent přes TCP/IP - povolení portu - postup povolení portu 760 pomocí Zásad skupiny v Active
Directory. Vzdálená správa bude povolena z celé lokální
sítě.
- Otevřete Start
- Spustit
- mmc
- Ve stromu vyberte položku Místní počítač - -Zásady- - Konfigurace počítače- - Šablony pro správu- - Síť - -Síťová připojení- - Brána firewall systému Windows- - Doménový profil
- V seznamu vyberte položku Brána firewall systému windows- -Nastavit výjimky portů přepněte do stavu Povoleno. Tím se zaktivuje tlačítko Zobrazit, na které
klikněte. V následujícím okně klikněte na tlačítko Přidat a zadejte tuto hodnotu:
"760:TCP:Localsubnet:enabled:ALC_EP"
Upozornění:
Pokud jste provedli nastavení přes Zásady skupiny v Active Directory, nelze již toto nastavení měnit přes příkazový řádek, ale opět jen v Zásadách skupiny!
Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.
|