Как повторно включить брандмауэр Windows, когда служба была остановлена и отключена без отключения?
Как должен знать каждый системный администратор Windows в 2019 году, служба «Брандмауэр Windows» является критическим компонентом сетевого стека Windows, и ее никогда нельзя останавливать и отключать ; правильный способ позволить любому трафику входить и исходить от сервера Windows - это настроить брандмауэр так, чтобы он пропускал что-либо, но без остановки службы брандмауэра Windows; на самом деле, это не только не поддерживается Microsoft, но и может привести к каким-либо странным сетевым проблемам.
Это даже (в некоторой степени)явно упомянуто в документации :
Не отключайте брандмауэр Windows, останавливая службу. Вместо этого используйте одна из предыдущих процедур (или эквивалентная групповая политика настройка), чтобы выключить брандмауэр. [...] Остановка службы связанный с брандмауэром Windows в режиме повышенной безопасности, не поддерживается Microsoft.
Теперь у меня есть несколько серверов, на которых предыдущие системные администраторы считали, что отключение службы Windows Firewall было хорошей идеей, и они так и поступили. Мне нужно повторно активировать его, но как только я это сделаю, я сразу потеряю сетевое подключение к системам (потому что, конечно, никто не потрудился на самом деле настроить брандмауэр Windows, чтобы позволить такие вещи, как RDP); Я также не могу вручную изменить конфигурацию брандмауэра Windows перед перезапуском службы ни через графический интерфейс, ни через netsh , потому что оба инструмента жалуются на остановку службы брандмауэра Windows и поэтому не позволяют мне ничего настраивать.
До сих пор единственным жизнеспособным подходом было использование физической (нормально, виртуальной) консоли этих серверов для повторного включения службы брандмауэра Windows и затем установки соответствующих исключений брандмауэра (или разрешения всего трафика в целом); однако это невозможно для большого количества систем или если у вас фактически нет доступа к консоли.
Как я могу настроить брандмауэр Windows для приема всех (или некоторых) входящих подключений , когда служба не работает и раньше перезапустить его ?
Это может быть действительно глупая идея, но если вы знаете, какое правило вам нужно создать через netsh после перезапуска службы, почему бы не написать его сценарий?Напишите сценарий, который запустит службу брандмауэра Windows, затем следующей командой будет netsh, который разрешает все в (или, по крайней мере, RDP, чтобы вы могли удаленно войти и впоследствии внести изменения)
Другой альтернативой может быть предварительная настройка необходимых параметров брандмауэра с помощью групповой политики. Даже если сервер не является членом домена, вы все равно можете использовать локальную групповую политику.
Однако я не уверен, сразу ли сработают настройки в этом сценарии. Они могут вступить в силу только при следующем обновлении групповой политики. Конечно, вы можете написать сценарий, который запускает брандмауэр и затем обновляет групповую политику.
Всякий раз, когда я удаленно вмешиваюсь в брандмауэры, я убеждаюсь, что установил бэкдор. Меня это несколько раз укусило, поэтому я всегда делаю это первым.
Вы можете сделать это, установив hamachi (или ваше любимое программное обеспечение vpn) на сервер, а tightvnc (или ваше любимое программное обеспечение для удаленного администрирования) на сервере сервер и рабочая станция, с которой вы выполняете всю работу. Hamachi чрезвычайно прост в настройке, а бесплатная учетная запись позволяет использовать до 5.
Прежде чем вносить ЛЮБЫЕ изменения в свой брандмауэр, убедитесь, что у вас есть доступ к серверу через только что созданный бэкдор.
1246] Когда вы закончите настройку правил брандмауэра, вы можете удалить hamachi и tightvnc или все, что вы установили до этого.
Другой вариант - проверить, можете ли вы получить доступ к сервисному апплету данного сервера через другой компьютер в в той же сети (например, подключитесь удаленно к другому компьютеру и посмотрите, сможете ли вы выполнять с него административную работу). Так что, если даже хамачи заблокирован брандмауэром Windows, вы можете остановить его через рабочую станцию.
Сказав все это, я думаю , что вы можете настроить правила своего брандмауэра с выключенным брандмауэром, а затем включить Это. Но кое-что случается, поэтому у меня все равно будет альтернатива для взаимодействия с сервером на случай, если что-то пойдет не так, как вы ожидали.
Alex