Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] Настройка брандмауэра (Firewall) на контроллере домена Windows 2003 (http://forum.oszone.net/showthread.php?t=54965)

PRUHA 10-10-2005 11:59 362994
[решено] Настройка брандмауэра (Firewall) на контроллере домена Windows 2003
 
Win2003 standart, AD, станции 95...XP , как только включаю Windows firewall пользователи не могут подключиться к шарингам. В firewall разрешен File and printing sharing, чего еще не хватает?

Fighter 10-10-2005 12:16 363001
Цитата:
Win2003 standart, AD
domain controller значит
Цитата:
В firewall разрешен File and printing sharing, чего еще не хватает?
этого недостаточно
How to configure Windows 2003 SP1 firewall for a Domain Controller

SkyF 11-10-2005 03:51 363189
PRUHA
После установки на Windows Server 2003 Пакета исправлений SP1 - появляется возможность установки на систему дополнительного компанента - Мастера настройки безопасности (scw.exe)
Специальный файл справки по этому компоненту появляется даже на рабочем столе.

Кроме множества действий по конфигурации безопасности он также выполняет настройку брандмауэра для сетевой карты. Даже если ваша система является контроллером домена.

вот пример его настроек брандмауэра для контроллера домена (примерная конфигурация):
Цитата:
...
Конфигурация профиля Domain:
-------------------------------------------------------------------
Рабочий режим = Enable
Режим исключения = Enable
Режим многоадресных и широковещательных ответов = Enable
Режим уведомления = Enable

Конфигурация службы для профиля Domain:
Режим Настройка Имя
-------------------------------------------------------------------
Enable Нет Общий доступ к файлам и принтерам
Enable Нет Дистанционное управление рабочим столом

Конфигурация разрешенных программ для профиля Domain:
Режим Имя / Программа
-------------------------------------------------------------------
Enable C:\WINDOWS\system32\lsass.exe / C:\WINDOWS\system32\lsass.exe
Enable C:\WINDOWS\system32\ntfrs.exe / C:\WINDOWS\system32\ntfrs.exe
Enable C:\WINDOWS\system32\scshost.exe / C:\WINDOWS\system32\scshost.exe

Конфигурация порта для профиля Domain:
Порт Протокол Режим Имя
-------------------------------------------------------------------
53 TCP Enable Порт 53 TCP
88 TCP Enable Порт 88 TCP
135 TCP Enable Порт 135 TCP
137 TCP Enable Порт 137 TCP
389 TCP Enable Порт 389 TCP
464 TCP Enable Порт 464 TCP
636 TCP Enable Порт 636 TCP
3268 TCP Enable Порт 3268 TCP
3269 TCP Enable Порт 3269 TCP
53 UDP Enable Порт 53 UDP
67 UDP Enable Порт 67 UDP
88 UDP Enable Порт 88 UDP
123 UDP Enable Порт 123 UDP
389 UDP Enable Порт 389 UDP
464 UDP Enable Порт 464 UDP
139 TCP Enable Порт 139 TCP
445 TCP Enable Порт 445 TCP
137 UDP Enable Порт 137 UDP
138 UDP Enable Порт 138 UDP
3389 TCP Enable Порт 3389 TCP

Конфигурация ICMP для профиля Domain:
Режим Тип Описание
-------------------------------------------------------------------
Enable 8 Разрешать запрос входящего эха

...

Конфигурация журнала:
-------------------------------------------------------------------
Размещение файла = C:\WINDOWS\pfirewall.log
Наибольший размер файла = 4096 КБ
Пропущенные пакеты = Disable
Подключения = Disable

Конфигурация брандмауэра Подключение по локальной сети:
-------------------------------------------------------------------
Рабочий режим = Enable
PS
Рекомендую воспользоваться именно им.
Однако, перед всяким изменением конфигурации рабочих сисстем необоходимо вначале протестировать эти изменения! Вот вы включили брандмауэр на вашем контроллере и получили проблемы - этого и следовало ожидать - даже если вспомнить что одна из основных задач его - блокировать входящие подключения к системе - что клиенты домена непременно должны делать - хотябы для обращениям к объектам Active Directory

Max2k 22-10-2005 08:03 366712
Контроллер домана windows server 2003 sp1 и брандмауэр windows
 
Доброго времени суток всем. У меня возникла такая проблемка. Использую в качестве контроллера домена windows server 2003 sp1, когда включаю встроенный брандмауэр windows то не могу подключить к домену ни один компьютер, выскакивает предупреждение, что не удаётся соединиться с dns сервером по указанному IP, а когда брандмауэр отключаю, то всё становится на свои места, и компьютеры к домену можно спокойно подключать. В брандмауэре разрешал исключения для службы доступа к файлам и принтерам и запрос входящего эха. Поскажите как настроить правильно брандмауэр windows чтобы он не мешал подключениям компьютеров к домену и вообще работе контроллера домена? Заранее благодарен. :cool:

SkyF 22-10-2005 09:19 366715
Max2k
Приветствуем на нашем форуме!

Дело в том что так уж изревно повелось что людям нравится придумывать разные правила и ограничения.
Раз уж мы у нас новичок (чему мы рады), то прочитайте наши правила и требования.

ваша тема уже обсуждалась и имеет решение. fix! Настройка брандмауэра (Firewall) на контроллере домена Windows 2003
спасибо за вопрос.

тему склеиваю.

Max2k 23-10-2005 09:50 366897
Спасибо большое за подсказки, я обязательно попробу. приведённую конфигурацию, да и хотел ещё спросить, а какой firewall выможете порекомендовать (крове встроенного конечно) для контроллера домена windows server 2003? Очень благодарен за ответ.

monkkey 24-10-2005 08:01 367089
Max2k
Всё зависит от того, чего Вы хотите добиться с помощью файерволла. В корпоративных сетях для защиты атак извне принято ставить отдельные серверы с файерволлами типа MS ISA.

XPurple 24-10-2005 09:23 367100
monkkey
Вы ничего не путаете ? MS ISA -прокси сервер, насколько я помню.

RaZZoRRo 24-10-2005 10:07 367107
2 XPurple
у MS ISA может быть 3 режима работы (выбираются при установке)

1. Firewall mode
2.Integrated mode
3. Caсhe mode


;)

Fighter 24-10-2005 10:42 367117
Max2k & All
для обсуждения ПО ака Firewall,
в т.ч. и касательно серверных ОС
в разделе "Информационная безопасность"
существует топик
FAQ | Firewalls (AKA Файеры, AKA брандмауэры, АКА МЭ или ПСЭ)

Max2k 18-08-2009 10:58 1196439
По поводу настройки брандмауэра, вопрос, а зачем разрешать доступ вот этому процессу C:\WINDOWS\system32\scshost.exe? Я перерыл весь интернет, не могу найти что это за процесс?

monkkey 18-08-2009 16:06 1196714
Max2k,
Вирус это.

Max2k 18-08-2009 21:11 1196958
monkkey, какой же это вирус? Вы внимательно посмотрите в рекомендации настройки брандмауэра на контроллере домена, и увидите, что нужно разрешить в брандмауэре доступ к процессу C:\WINDOWS\system32\scshost.exe, на форуме же утвердили эту конфигурацию, да и это не может быть вирус, этот файл присутствует в оригинальной сборке windows server, и антивирус не показывает что это вирус. Это не может быть вирус. да и если бы это был вирус, зачем его разрешать то в брандмауэре? Сами то подумайте. :)

monkkey 19-08-2009 08:28 1197219
Неправ я, ладно.
File name: scshost.exe
Program name: Computer Driver - Dynamic RPC, End Point RPC Mapper
Просто пошел по первым ссылкам ). И этот файл часто подвергается атакам вирусов, т.к. ему разрешается соединение с сетью по динамическим портам.

Max2k 19-08-2009 12:58 1197403
Спасибо, я почему-то упустил это из виду... А где-нибудь можно почитать более подробное описание этого драйвера?

monkkey 20-08-2009 09:28 1198088
Цитата:
Цитата Max2k
А где-нибудь можно почитать более подробное описание этого драйвера? »
Можно ))) Если найдете. Я не нашел.


Время: 07:12.

Время: 07:12.
© OSzone.net 2001-