Как повторно включить брандмауэр Windows, когда служба была остановлена и отключена, не порезавшись?
Как должен знать каждый системный администратор Windows в 2019 году, служба "Брандмауэр Windows" является критическим компонентом сетевого стека Windows, и ее никогда не следует останавливать и отключать; правильный способ пропустить любой трафик на / с сервера Windows - это настроить брандмауэр, чтобы он пропускал что-либо, но фактически не останавливая службу брандмауэра Windows; На самом деле, Microsoft не только не поддерживает это, но и может привести к любым странным сетевым проблемам.
Это даже (несколько) явно упоминается в документации:
Не отключайте брандмауэр Windows, остановив службу. Вместо этого используйте одну из предыдущих процедур (или эквивалентный параметр групповой политики), чтобы отключить брандмауэр. [...] Остановка службы, связанной с брандмауэром Windows в режиме повышенной безопасности, не поддерживается Microsoft.
Теперь у меня есть несколько серверов, на которых предыдущие системные администраторы считали отключение службы брандмауэра Windows хорошей идеей, и они это сделали. Мне нужно активировать его, но как только я это сделаю, я сразу же потеряю сетевое подключение к системам (потому что, конечно, никто не удосужился на самом деле настроить брандмауэр Windows, чтобы разрешить такие вещи, как RDP); Я также не могу вручную изменить конфигурацию брандмауэра Windows перед перезапуском службы, либо через графический интерфейс, либо через netshпотому что оба инструмента жалуются на то, что служба брандмауэра Windows остановлена и поэтому не позволяет мне ничего настраивать.
До сих пор единственным жизнеспособным подходом было использование физической (нормально, виртуальной) консоли этих серверов для повторного включения службы брандмауэра Windows, а затем для установки соответствующих исключений брандмауэра (или для разрешения всего трафика в целом); однако это невозможно для большого числа систем или если у вас нет консольного доступа.
Как настроить брандмауэр Windows на прием всех (или некоторых) входящих подключений, когда служба не работает и до ее перезапуска?
3 ответа
Это может быть очень глупой идеей, но, если вы знаете, какое правило нужно создать через netsh после перезапуска службы, почему бы не написать его? Напишите скрипт, который запустит службу брандмауэра Windows, затем следующей командой будет netsh, который разрешает все (или, по крайней мере, RDP, так что вы можете удаленно подключиться и выполнить настройки впоследствии)
Другой альтернативой может быть предварительная настройка необходимых параметров брандмауэра с использованием групповой политики. Даже если сервер не является членом домена, вы все равно можете использовать локальную групповую политику.
Однако я не уверен, что настройки вступят в силу немедленно в этом сценарии. Они могут вступить в силу только при следующем обновлении групповой политики. Конечно, вы можете написать скрипт, который запускает брандмауэр, а затем обновляет групповую политику.
Всякий раз, когда я удаленно связываюсь с брандмауэрами, я проверяю, что настроил бэкдор. Я был укушен этим несколько раз, поэтому всегда делаю это первым.
Вы можете сделать это, установив hamachi (или ваше любимое программное обеспечение vpn) на сервер, а сжатый компьютер (или ваше любимое программное обеспечение для удаленного администрирования) на сервер и рабочую станцию, с которой вы выполняете всю работу. Hamachi чрезвычайно прост в настройке, а бесплатная учетная запись позволяет разместить до 5 узлов.
Прежде чем вносить какие-либо изменения в брандмауэр, убедитесь, что вы можете получить доступ к серверу через только что созданный бэкдор.
Закончив настройку правил брандмауэра, вы можете удалить hamachi и ightvnc или все, что вы установили до этого.
Другой вариант - посмотреть, можете ли вы получить доступ к апплету служб рассматриваемого сервера через другой компьютер в той же сети (например, подключиться удаленно к другому компьютеру и посмотреть, можно ли с него выполнять административную работу). Так что, если даже hamachi заблокирован брандмауэром Windows, вы можете остановить его через рабочую станцию.
Сказав все это, я думаю, что вы можете настроить правила брандмауэра с выключенным брандмауэром, а затем включить его. Но "вещи" случаются, поэтому у меня все равно есть альтернатива для взаимодействия с сервером на случай, если что-то не сработает, как вы ожидали.
Alex