Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Dejte si pozor na GPO pravidla pro Windows Firewall
srpen 16
Dejte si pozor na GPO pravidla pro Windows Firewall

S příchodem Windows 2012 máme již třetí operační systém, který obsahuje ten úžasný Windows Firewall with Advanced Security. Parádně se to konfiguruje centrálně přes Group Policy a já to hojně využívám. Jen pozor. Nastavení v GPO vypadá stejně pro všechny Windows Vista/2008/R2/8/2012, ale ve skutečnosti to má občas nějaké rozdíly, které zmíním za chviličku. Zvláště pokud používáte taková ta předdefinovaná pravidla.

Rozhodně to znamená, že nakonec budete mít pro každou verzi operačního systému některé GPO samostatné. Abyste to rozlišili, vřele doporučuju svoje oblíbené WMI filtry, pomocí kterých to krásně rozlišíte podle verze (Win32_OperatingSystem, Version):

Operating system Win32_OperatinSystem.Version
Windows XP 32bit 5.1
Windows XP 64bit 5.2
Windows 2003 5.2
Windows Vista, Windows 2008 6.0
Windows 7, Windows 2008 R2 6.1
Windows 8, Windows 2012 6.2

Zajímavé rozdíly a poznámečky ve firewall pravidlech

  1. Některá (ale jen opravdu některá) předdefinovaná pravidla a celková konfigurace z Windows 2008/Vista a novějších se promítají i do Domain profilu pro Windows XP a Windows 2003. Starší Windows obsahovaly úplně jiný firewall, s mnohem omezenějšími možnostmi konfigurace. Také se to nastavovalo v GPO jinde - Administrative Templates / Network. Takže nastavíte v zásadách pro Windows Firewall with Advanced Security hromadu pravidel a jen některá z nich se vám promítnou a jen do Domain profilu. Rozhodně tedy neaplikujte novější GPO na starší Windows XP a Windows 2003. Pro obě skupiny systémů musíte mít dvě různé sady GPO objektů, jednu pro Windows 5.2 a starší, druhou pro Windows 6.0 a novější, jinak to bude dělat pekla.
  2. Povolovací předdefinované pravidlo Remote Desktop (TCP-In) - předdefinované pravidlo z Windows 2008/R2, které povoluje přístup na port TCP 3389 je nastavené tak, že ještě navíc omezuje proces na System. Ve Windows 8/2012 ale běží vzdálená plácha v procesu SVCHOST, takže je potřeba jiné pravidlo. To předdefinované z Windows 2008/R2 prostě nebude mít na Windows 8/2012 efekt.
  3. Zakazovací předdefinované pravidlo Network Discovery (UPnP-Out) - raději ho nezapínejte. Toto pravidlo totiž zakazuje veškerá TCP spojení bez ohledu na číslo portu pro proces System. Když si to zapnete, uvidíte divy :-) Stejně tak ho raději nepoužívám ani pro povolení příchozích komunikací, protože to prostě otevře komplet proces System. Nesmysl.
  4. Zakazovací předdefinované pravidlo Core Networking - IPHTTPS (TCP-In) - tohle je novinka na Windows 2008 R2, která nefunguje vůbec na Windows 2008. On tam je totiž přímo port nazvaný IPHTTPS. Takže když tohle pravidlo aplikujete na starší Windows 2008 a Windows Vista, opět zablokujete procesu System veškerá TCP spojení. Starší Windows prostě nerozumí "portu" IPHTTPS. Na Windows 2008 R2/7 a novějších to ale funguje v pořádku.
  5. Stejná předdefinovaná pravidla nelze kombinovat ani z více různých GPO. Například byste rádi povolili v jednom GPO přístup na inbound WMI z jednoho IP rozsahu, a současně udělali další GPO, které by povolovalo inbound WMI z jiného IP rozsahu. Prostě dvě samostatná GPO, každá by zapínala stejná předdefinovaná pravidla, ale pokaždé pro jiný IP rozsah. Že by se to jako sečetlo. Nesečetlo. Překvapivě se vám aplikuje to stejné předdefinované pravidlo jen jednou. Prostě to, které se aplikuje poslední úplně zruší tu předchozí definici z jiného GPO objektu. Pokud to tedy chcete takto kumulovat, nesmíte používat předdefinovaná pravidla, ale musíte si to naklikat sami pomocí vlastních pravidel. Pak to fungovat bude.

Comments

Diky

Diky za super tipy! Na bod 5 uz jsem taky narazil a nechapal...
Andrews on 2.9.2013 10:49

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments