Как должен знать каждый системный администратор Windows в 2019 году, Служба «Брандмауэр Windows» является важным компонентом сетевого стека Windows, и ее никогда нельзя останавливать и отключать.; Правильный способ разрешить потоку любого трафика на сервер Windows и от него - настроить брандмауэр так, чтобы он пропускал что-либо, но без фактической остановки службы брандмауэра Windows; Фактически, это не только не поддерживается Microsoft, но может привести к каким-либо странным сетевым проблемам.
Это даже (отчасти) явно упоминается в документация:
Не отключайте брандмауэр Windows, останавливая службу. Вместо этого используйте одну из предыдущих процедур (или эквивалентный параметр групповой политики), чтобы выключить брандмауэр. [...] Остановка службы, связанной с брандмауэром Windows в режиме повышенной безопасности, не поддерживается Microsoft.
Теперь у меня есть несколько серверов, на которых предыдущие системные администраторы считали, что отключение службы брандмауэра Windows было хорошей идеей, и они так и поступили. Мне нужно повторно активировать его, но как только я это сделаю, я сразу теряю сетевое подключение к системам (потому что, конечно, никто не потрудился настроить брандмауэр Windows, чтобы позволить такие вещи, как RDP); Я также не могу вручную изменить конфигурацию брандмауэра Windows перед перезапуском службы через графический интерфейс или через netsh, потому что оба инструмента жалуются на остановку службы брандмауэра Windows и поэтому не позволяют мне ничего настраивать.
До сих пор единственным жизнеспособным подходом было использование физической (нормально, виртуальной) консоли этих серверов для повторного включения службы брандмауэра Windows, а затем установки соответствующих исключений брандмауэра (или разрешения всего трафика в целом); однако это невозможно для большого количества систем или если у вас фактически нет доступа к консоли.
Как настроить брандмауэр Windows на прием всех (или некоторых) входящих подключений когда служба не работает и перед ее перезапуском?
Это может быть действительно глупая идея, но если вы знаете, какое правило вам нужно создать через netsh после перезапуска службы, почему бы не написать его сценарий? Напишите сценарий, который запустит службу брандмауэра Windows, затем следующей командой будет netsh, который разрешает все (или, по крайней мере, RDP, чтобы вы могли удаленно войти и впоследствии внести корректировки)
Другой альтернативой может быть предварительная настройка необходимых параметров брандмауэра с помощью групповой политики. Даже если сервер не является членом домена, вы все равно можете использовать локальную групповую политику.
Однако я не уверен, сразу ли сработают настройки в этом сценарии. Они могут вступить в силу только при следующем обновлении групповой политики. Конечно, вы можете написать сценарий, который запускает брандмауэр, а затем обновляет групповую политику.
Всякий раз, когда я удаленно вмешиваюсь в брандмауэры, я обязательно устанавливаю бэкдор. Меня это укусило несколько раз, поэтому я всегда делаю это первым.
Вы можете сделать это, установив hamachi (или ваше любимое программное обеспечение vpn) на сервер и tightvnc (или ваше любимое программное обеспечение для удаленного администрирования) на сервере и на рабочей станции, с которой вы выполняете всю работу. Hamachi чрезвычайно прост в настройке, а бесплатная учетная запись позволяет использовать до 5 узлов.
Прежде чем вы сделаете ЛЮБОЙ изменения вашего брандмауэра, убедитесь, что вы можете получить доступ к серверу через только что созданный бэкдор.
Когда вы закончите настройку правил брандмауэра, вы можете удалить hamachi и tightvnc или все, что вы установили до этого.
Другой вариант - проверить, можете ли вы получить доступ к апплету служб рассматриваемого сервера через другой компьютер в той же сети (например, подключитесь удаленно к другому компьютеру и посмотрите, можете ли вы выполнять с него административную работу). Поэтому, если даже хамачи заблокирован брандмауэром Windows, вы можете остановить его с помощью рабочей станции.
Сказав все это, я считать что вы можете настроить правила своего брандмауэра с выключенным брандмауэром, а затем включить его. Но «всякие штуки» случаются, поэтому у меня все равно будет альтернатива для взаимодействия с сервером, если что-то не сработает так, как вы ожидали.
Alex