Назад | Перейти на главную страницу

Брандмауэр определяет исключения программы. Групповая политика не применяется

Я обновил политику по умолчанию для своего домена, добавив исключения в брандмауэр Windows в разделе

Административные шаблоны <Сеть <Сетевое подключение <Брандмауэр Windows <Профиль домена

Я изменил брандмауэр Windows: определите исключения программы и добавил эти 2 записи:

%system32%\lsass.exe:*:enabled:lsass
%system32%\svchost.exe:*:enabled:svchost

Однако, когда я запускаю GPupdate / force со своей клиентской машины и запускаю

netsh firewall show allowedprogram

Я не вижу ни одной из этих добавленных мной записей в моих исключениях. Прошло, наверное, полчаса с тех пор, как я обновил объект GP, поэтому я предполагаю, что это не должно быть из-за того, что я недостаточно долго ждал, чтобы запустить gpupdate. Я что-то упускаю? Я пробовал запустить rsop.msc, но когда я раскрываю административные шаблоны в rsop, он просто перестает отвечать через некоторое время, или это занимает некоторое время, и мне нужно оставить его в покое?

Редактировать: После запуска GPupdate / force я получаю информацию о событии «Политика безопасности в объектах групповой политики успешно применена».

После более длительного ожидания с RSOP я могу просмотреть административные шаблоны, он показывает мои настройки, которые разрешают исключение удаленного администрирования и исключение удаленного рабочего стола включено. Однако я не вижу никаких записей для них в брандмауэре, когда запускаю команду netsh. Кроме того, я все еще получаю сообщения о сбоях безопасности, когда lsass и svchost ищут подключения, поэтому дело не в том, что просто работает правильно и по какой-то причине не отображается из команды netsh.

Я не могу открыть \\ domain \ sysvol, однако я могу открыть \\ DomainControllerName \ sysvol и увидеть 1 узел.

Редактировать:

Аудит сбоев безопасности средства просмотра событий

Брандмауэр Windows обнаружил приложение, ожидающее входящего трафика.

Имя: - Путь: C: \ WINDOWS \ system32 \ svchost.exe 

C:\>netsh firewall show config

Domain profile configuration (current):
-------------------------------------------------------------------
Operational mode                  = Enable
Exception mode                    = Enable
Multicast/broadcast response mode = Enable
Notification mode                 = Enable

Service configuration for Domain profile:
Mode     Customized  Name
-------------------------------------------------------------------
Enable   No          Remote Desktop
Enable   No          Remote Administration

Allowed programs configuration for Domain profile:
Mode     Name / Program
-------------------------------------------------------------------
Enable   Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Enable   Remote Assistance / C:\WINDOWS\system32\sessmgr.exe
Enable   Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe
Enable   Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe
Enable   Adobe CSI CS4 / C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe
Enable   AOL Instant Messenger / C:\Program Files\AIM\aim.exe
Enable   Microsoft Office Outlook / C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
Enable   Microsoft Office Groove / C:\Program Files\Microsoft Office\Office12\GROOVE.EXE
Enable   Microsoft Office OneNote / C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE
Enable   spiceworks / C:\Program Files\Spiceworks\bin\spiceworks.exe
Enable   spiceworks-finder / C:\Program Files\Spiceworks\bin\spiceworks-finder.exe
Enable   Yahoo! Messenger / C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
Enable   Microsoft Visual Studio 2008 / C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\devenv.exe
Enable   firefox / C:\Program Files\Mozilla Firefox\firefox.exe

Port configuration for Domain profile:
Port   Protocol  Mode     Name
-------------------------------------------------------------------
5353   TCP       Enable   Adobe CSI CS4
3389   TCP       Enable   Remote Desktop

Standard profile configuration:
-------------------------------------------------------------------
Operational mode                  = Enable
Exception mode                    = Enable
Multicast/broadcast response mode = Enable
Notification mode                 = Enable

Service configuration for Standard profile:
Mode     Customized  Name
-------------------------------------------------------------------
Enable   No          Remote Desktop

Allowed programs configuration for Standard profile:
Mode     Name / Program
-------------------------------------------------------------------
Enable   Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Enable   Remote Assistance / C:\WINDOWS\system32\sessmgr.exe
Enable   Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe
Enable   Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe

Port configuration for Standard profile:
Port   Protocol  Mode     Name
-------------------------------------------------------------------
3389   TCP       Enable   Remote Desktop

Log configuration:
-------------------------------------------------------------------
File location   = C:\WINDOWS\pfirewall.log
Max file size   = 4096 KB
Dropped packets = Disable
Connections     = Disable

Local Area Connection firewall configuration:
-------------------------------------------------------------------
Operational mode                  = Enable

У кого-нибудь есть предложения? Это приводит к тому, что мой журнал безопасности в средстве просмотра событий заполняется и на других рабочих станциях в моей сети мне приходится вручную очищать журналы, чтобы обычные пользователи могли войти в свою систему.

Редактировать 8/4/2009 - При дальнейшем осмотре мой журнал безопасности заполняется не удаленным рабочим столом / администратором, а svchost, загружающим кеш DNS: C: \ WINDOWS \ system32 \ svchost.exe -k NetworkService с DLL c: \ windows \ system32 \ dnsrslvr.dll

Я попытался добавить саму dll в список разрешенных программ, но это, похоже, не помогло, и не позволяет добавлять svchost непосредственно в список исключений.

Все, что я нахожу в Интернете, указывает на этот пост: Код события 861 Безопасность источника что просто не является решением, поскольку включает svchost.

Эта почта Идентификатор события 861 Определите, какие службы работают как svchost это точно такая же ситуация, как и у меня, однако в нем упоминается, что решение состоит в том, чтобы отключить dnsclient, что, очевидно, не является вариантом в среде домена.

В соответствии с Microsoft

Брандмауэр Windows: dnscache

Информация обновлена: 2 марта 2005 г.

Для использования этой службы не требуется настройка брандмауэра Windows.

Если это так, почему он все еще заполняет мою программу просмотра событий. Похоже, что многие люди, затронутые этой проблемой, заполняли свои журналы безопасности, будь то специально для dnscache или других служб, все, что я находил, люди просто автоматически хотят сказать о вирусах / вредоносных программах и т. Д., И никто не предложил другого решения. чем просто отключить отслеживание аудита или отключить службу брандмауэра.

Я не могу открыть \ domain \ sysvol, но могу открыть \ DomainControllerName \ sysvol и увидеть 1 узел.

Похоже, это подтверждает теорию Эвана о более общих проблемах с AD. Могу я предложить вам ненадолго отказаться от конкретной задачи брандмауэра (там слишком много переменных) и попробовать установить другие групповые политики, а затем посмотреть, возьмут ли они? Это не решит вашу конкретную проблему, но поможет подтвердить правильность теории.

Можете ли вы также убедиться, что и служба репликации файлов, и служба DFS работают на всех ваших контроллерах домена? Кроме того, каждый из них может преобразовывать имя в IP и IP в имя как для себя, так и для всех других контроллеров домена, каждый из которых имеет правильно заданное полное доменное имя и каждый может преобразовывать ваше доменное имя в IP-адреса ваших контроллеров домена с помощью nslookup.

Наконец, вы должны использовать replmon, чтобы определить, что ваша репликация AD работоспособна, и решить любые проблемы, которые возникают, прежде чем продолжить что-либо еще.

Мне кажется, что у вас общая проблема с применением групповой политики. Обычно это вызвано:

  • Неверные настройки DNS на клиентском компьютере
  • Связывание GPO в неправильном месте, чтобы делать то, что вы собираетесь
  • Проблемы репликации файловой части объекта групповой политики между компьютерами контроллеров домена

Что вы видите в журнале событий приложений на клиентском компьютере после попытки принудительного обновления политики?

RSoP может занять некоторое время, чтобы развернуть узел «Административные шаблоны», но если он никогда не вернется, я подозреваю, что ваш клиентский компьютер испытывает трудности с доступом к домену SYSVOL. Вы можете диагностировать это, попытавшись открыть \ domain \ sysvol в "Пуск / Выполнить". Вы должны увидеть там один каталог с DNS-именем вашего домена. Если вы получаете какие-либо ошибки, вероятно, у вас плохие настройки DNS на клиентском компьютере.

Если вы измените эту часть политики:

Брандмауэр Windows: разрешить исключение удаленного администрирования

это автоматически добавит lsass и svchost в качестве исключений.