Tuesday, July 25th, 2017

Управление правилами исключения рисков с помощью Netsh

Published on Март 10, 2009 by   ·   Комментариев нет

Служба Windows Firewall — это персональный брандмауэр для каждого узла, включенный в операционные системы Windows Server 2003 и Windows XP Service Pack 2 (SP2). Вы можете применять средство Netsh для аудита настроек службы Windows Firewall посредством перечисления настроенных исключений (правил брандмауэра) на компьютерах пользователей. Но прежде чем я покажу, как выполняется такой аудит, давайте рассмотрим ситуации, в которых он может пригодиться.

Специальные правила для отдельных пользователей

Служба Windows Firewall популярна благодаря тому, что является бесплатной, и ею можно управлять централизованно с помощью политики Group Policy. Служба Windows Firewall поддерживает два профиля. Операционная система использует профиль домена, если компьютер подключен к сети компании (предполагается, что компания имеет домены), и стандартный профиль, если компьютер подключен к любой другой сети. Обычно администраторы создают для профиля домена большой набор правил доступа и блокируют стандартный профиль.

Некоторые привилегированные пользователи или пользователи, которые регулярно подключаются к внешним сетям, могут потребовать индивидуальных уровней доступа, что в общем случае подразумевает большее количество открытых портов или разрешенных приложений. У вас может быть возможность создать объект Group Policy Object (GPO), разрешающий эти индивидуальные уровни доступа, если у вас небольшая компания или если дополнительные уровни требуются сравнительно небольшому количеству пользователей. Однако у многих компаний нет технических или стратегических возможностей поддерживать каждый удаленный компьютер в закрытом состоянии, используя централизованно задаваемые правила, и им приходится выделять определенным пользователям права администратора, чтобы эти пользователи могли создавать собственные исключения. Например, некоторым разработчикам необходимо продемонстрировать web-проекты или другие сетевые услуги на сайтах клиентов. Можно выделить таким разработчиком права, необходимые для создания собственных правил, чтобы они могли позволить клиентам подключиться к Web-службе, размещенной на компьютерах разработчиков. Такая ситуация возникает гораздо чаще, чем может показаться. Если подобная гибкость необходима для вашего бизнеса, можно использовать службу Netsh для настройки процессов службы безопасности, чтобы согласовывать данное отклонение и выполнять аудит правил брандмауэра, созданные этими пользователями.

Начало работы

How To Get Your Ex Boyfriend Back For Good

Служба Netsh — средство командной строки, которое можно использовать для выполнения различных задач по настройке сети. Доступ к основным функциям осуществляется через окружение. Окружение — группа команд, определенная для сетевого компонента, такого как DHCP, RAS или WINS. В системах Windows 2003 SP1 и XP SP2 служба Netsh добавляет окружение брандмауэра для настройки и анализа службы Windows Firewall.

Для запуска службы Netsh в диалоговом режиме введите
Netsh
в командную строку. Для входа в окружение брандмауэра введите
firewall

Отсюда можно исполнять команды брандмауэра. Например, можно ввести
show state
для просмотра статуса брандмауэра данного компьютера. В любой момент можно ввести
/?

Для вызова справки
или ввести
..
для возврата на предыдущий уровень. Средство использует иерархический принцип организации команд.

Ввод по одной команде прекрасно подходит для изучения возможностей средства или в случае, если нужно вручную получить из компьютера данные по настройке сети. Однако при автоматизации службы Netsh с помощью сценария или запланированной задачи целесообразно объединить команды. Например, в командной строке можно ввести:
netsh firewall show state

Эта комбинация запустит службу Netsh и выведет в консоль состояние брандмауэра. Однако вы вернетесь из интерфейса службы Netsh в режим командной строки.

Служба Netsh запускает окружение брандмауэра локально, то есть необходимо запустить команду Netsh на том компьютере, аудит которого требуется провести. Если вы хотите настроить окружение брандмауэра для удаленного компьютера, следует включить удаленный протокол удаленного доступа (например, RDP) для сеанса служб рабочей станции или сеанса Telnet и специально запустить эти команды. С другой стороны, вы можете добавить эти команды в сценарий загрузки компьютера или сценарий авторизации пользователя, так, чтобы они выполнялись при каждом запуске компьютера или при каждой авторизации пользователя. Далее я покажу, как использовать сценарий авторизации для проверки настройки и сохранения информации в центральном хранилище. Если вы используете программные средства управления, такие как Microsoft Systems Management Server (SMS) или LANDesk от LANDesk Software, вы можете настроить задачу регулярного запуска службы Netsh на удаленных компьютерах.

Поиск исключений

Правила службы Windows Firewall, известные как исключения, классифицируются приложением (например, Windows Messenger) и портом (напр

zp8497586rq











Смотрите также:

Tags:

Readers Comments (Комментариев нет)

Comments are closed.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]