Создание правил, позволяющих отдельным компьютерам или пользователям обходить запрещающие правила брандмауэра
В типовой сети обычно требуется запрещать весь трафик, кроме необходимого.
По умолчанию запрещающие правила имеют больший приоритет, чем разрешающие. Если входящий или исходящий трафик подпадает и под разрешающее, и под запрещающее правило, он запрещается.
Однако бывают случаи, когда требуется разрешить для компьютера трафик, который обычно блокируется. К примеру, группе устранения сетевых неполадок может потребоваться использовать анализаторы сетевых протоколов или иные средства поиска и устранения сетевых проблем, способ действия которых оказывается под запретом брандмауэра. В этом случае можно создать привязанное к компьютеру и, возможно, к пользователю исключение из некоторых или из всех правил брандмауэра.
Поскольку протоколы проверки подлинности протокола IPsec требуют обмена учетными данными пользователя или компьютера, то их можно сопоставлять со списком компьютеров или пользователей, более полно ограничивая сетевой трафик. Включив у правила параметр Override block rules (переопределить правила блокировки), мы добьемся того, что прошедший проверку подлинности трафик, удовлетворяющий условиям правила, будет разрешен, даже если другое правило блокирует его. В результате получится набор правил, как бы говорящий: «Трафик блокируется, если только не исходит от компьютера или пользователя, прошедшего проверку подлинности».
Шаги по созданию правил, разрешающих отдельным пользователям или компьютерам обходить брандмауэр
В этом разделе руководства мы создадим правило брандмауэра, блокирующее весь трафик службы Telnet, а потом протестируем его вместе с разрешающим правилом, созданном в предыдущем разделе. Затем мы изменим существующее правило для службы Telnet и включим в него настройку Override Block Rules, после чего убедимся в возможности установления подключения.
Шаг 1. Добавление и тестирование правила брандмауэра, блокирующего весь трафик службы Telnet
Шаг 2. Включение в разрешающее правило службы Telnet параметра Override Block Rules
Шаг 1. Добавление и тестирование правила брандмауэра, блокирующего весь трафик службы Telnet
Создадим правило, блокирующее весь трафик службы Telnet, и убедимся в том, что суммарный эффект от него и уже существующего разрешающего правила — блокировка.
 Создание запрещающего правила службы Telnet
-
|
1. На компьютере MBRSVR1 в оснастке Group Policy Management щелкните пункт Group Policy Objects, щелкните правой кнопкой мыши пункт Firewall Settings for WS2008 Servers и выберите команду Edit.
2. В редакторе Group Policy Object Editor в области переходов последовательно разверните узлы Computer Configuration, Windows Settings, Security Settings, Windows Firewall with Advanced Security и Windows Firewall with Advanced Security - LDAP://{GUID},cn=policies,cn=system,DC=contoso,DC=com.
3. Щелкните правой кнопкой мыши пункт Inbound Rules и выберите команду New rule.
4. На странице Rule Type выберите пункт Custom и нажмите кнопку Next.
5. На странице Program укажите This program path и введите команду %systemroot%\system32\tlntsvr.exe.
6. Нажмите кнопку Customize, выберите вариант Apply to this service, укажите строку Telnet с кратким именем TlntSvr, нажмите кнопку OK и затем кнопку Next.
7. На странице Protocol and Ports выберите вариант TCP для типа протокола Protocol type, смените значение Local port на Specific Ports, введите в текстовое поле число 23 и нажмите кнопку Next.
8. На странице Scope нажмите кнопку Next.
9. На странице Action выберите вариант Block the connection и нажмите кнопку Next.
10. На странице Profile снимите флажки Private и Public и нажмите кнопку Next.
11. На странице Name введите команду Block All Telnet и нажмите кнопку Finish.
|
Теперь у нас есть два конфликтующих правила. Одно предписывает разрешить трафик службы Telnet, если он зашифрован и исходит от компьютеров группы Access to MBRSVR1. Другое предписывает запретить весь трафик службы Telnet. Сейчас мы увидим, можно ли создать подключение к этой службе, когда активны об этих правила.
Проверка доступности службы Telnet при двух конфликтующих правилах
-
|
1. На компьютере MBRSVR1 в командной строке от имени администратора выполните команду gpupdate /force. Дождитесь завершения работы команды.
2. На компьютере CLIENT1 в командной строке выполните команду telnet mbrsvr1.
Попытка завершается неудачей. По умолчанию у запрещающего правила больший приоритет, чем у разрешающего.
|
Шаг 2. Включение в разрешающее правило службы Telnet параметра Override Block Rules
На этом шаге мы изменим существующее разрешающее правило службы Telnet, включив в него параметр Override Block Rule, а потом проверим поведение службы с этим новым правилом.
Добавление параметра Override Block Rule к правилу
-
|
1. На компьютере MBRSVR1 в редакторе Group Policy Management Editor щелкните узел Inbound Rules.
2. Щелкните правой кнопкой мыши пункт Allow Encrypted Inbound Telnet to Group Members Only и выберите пункт Properties.
3. На вкладке General в разделе Action установите флажок Override block rules и нажмите кнопку OK.
|
Снова протестируем два конфликтующих правила.
Проверка доступности службы Telnet при текущем состоянии правил
-
|
1. На компьютере MBRSVR1 в командной строке от имени администратора выполните команду gpupdate /force. Дождитесь завершения работы команды.
2. На компьютере CLIENT1 в командной строке выполните команду telnet mbrsvr1.
Попытка завершается успехом, поскольку теперь разрешающее правило службы Telnet перекрывает запрещающее. Обойти запрещающее правило теперь может только трафик, удовлетворяющий условиям разрешающего правила с включенным параметром Override block rule. Это правило предписывает, что трафик должен пройти проверку подлинности и, в нашем случае, быть зашифрованным.
3. Введите команду exit и нажмите клавишу ввода для завершения сеанса Telnet.
|
Заключение
Брандмауэр ОС Windows в режиме повышенной безопасности — важный элемент стратегии глубокой обороны, помогающий обезопасить компьютеры предприятия и противостоять угрозам, способным обойти брандмауэр сетевого периметра, или исходящим изнутри организации.
В этом руководстве мы познакомились с возможностями нового брандмауэра в режиме повышенной безопасности, входящего в состав ОС Windows Vista и Windows Server 2008:
• мы использовали брандмауэр ОС Windows в режиме повышенной безопасности для создания основных правил входящего и исходящего трафика;
• мы создали объекты групповой политики, устанавливающие параметры всех компьютеров домена, и обеспечили невозможность их изменения пользователями;
• мы создали набор основных правил изоляции домена, благодаря которому компьютеры-участники домена были ограничены в приеме трафика от компьютеров вне его;
• мы создали правило безопасности подключения, изолирующее сервер с конфиденциальной информацией, разрешая доступ к нему только компьютерам, входящим в доверенные группы;
• наконец, мы создали правила, благодаря которым доверенные компьютеры смогли обойти ограничения брандмауэра.
Дополнительные источники
Дополнительную информацию о технологиях, рассмотренных в этом руководстве, можно узнать из следующих источников.
Брандмауэр ОС Windows в режиме повышенной безопасности
• Брандмауэр ОС Windows (http://go.microsoft.com/fwlink/?linkid=95393)
Здесь содержатся ссылки на документацию, доступную в настоящий момент для брандмауэра ОС Windows — как для версии, включенной в операционные системы Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 2 (SP2), так и для версии, входящей в ОС Windows Vista и Windows Server 2008.
• Брандмауэр ОС Windows в режиме повышенной безопасности – диагностика и устранение неполадок (http://go.microsoft.com/fwlink/?linkid=95372)
Статья описывает работу брандмауэра ОС Windows в режиме повышенной безопасности, основные пути устранения неполадок и используемые при этом средства.
Протокол IPsec
• Протокол IPsec (http://go.microsoft.com/fwlink/?linkid=95394)
Здесь содержатся ссылки на документацию, доступную в настоящий момент для протокола IPsec — как для версии, включенной в ОС Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 2 (SP2), так и для версии, входящей в операционные системы Windows Vista и Windows Server 2008 в виде правил безопасности подключения брандмауэра ОС Windows в режиме повышенной безопасности.
• Обновление Simple Policy Update, упрощающее политики протокола IPsec (http://go.microsoft.com/fwlink/?linkid=94767)
Статья описывает загружаемое обновление, доступное для ОС Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 1 (SP1). (В ОС Windows Server 2003 с пакетом обновления 2 это обновление уже устроено.) Обновление изменяет поведение согласования протокола IPsec так, что правила политик этого протокола становится возможным упростить, иногда весьма значительно, сократив число требуемых IP-фильтров и объем их поддержки.
Изоляция серверов и доменов
• Изоляция серверов и доменов (http://go.microsoft.com/fwlink/?linkid=95395)
Здесь содержатся ссылки на документацию о наиболее распространенном использовании протокола IPsec — изоляции серверов и доменов. Доступна документация для обеих версий протокола IPsec, доступных в ОС Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 2 (SP2).
Групповая политика
• Групповая политика (http://go.microsoft.com/fwlink/?linkid=93542)
Здесь содержатся ссылки на документацию, доступную в настоящий момент по групповой политике — как для версии, включенной в операционные системы Windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 2 (SP2), так и для версии, входящей в ОС Windows Vista и Windows Server 2008.
• Инструкции по распространению групповых политик с помощью фильтров WMI (http://go.microsoft.com/fwlink/?linkid=93760)
Статья описывает создание фильтров WMI для указания области действия объектов GPO в зависимости от характеристик компьютера, например версии операционной системы.
|
