Назад | Перейти на главную страницу

Как настроить брандмауэр Windows для разрешения MSRPC?

Я пытаюсь настроить конечные компьютеры с брандмауэром, который разрешает только трафик из белого списка, а все остальные подключения блокируются.

Клиентские машины - это настольные и портативные компьютеры под управлением Windows 7 (как x86, так и x64), использующие встроенный брандмауэр Windows в режиме повышенной безопасности. Каждая машина является частью домена Windows Server 2008, и я настраиваю брандмауэр с помощью групповой политики. Я тестирую эту конфигурацию брандмауэра на небольшом подмножестве машин.

Прямо сейчас у меня есть брандмауэр Windows, настроенный на блокировку всего входящего и исходящего трафика, который не соответствует явному разрешающему правилу. Вот основные средства связи, которые в настоящее время включены:

DNS (UDP 53 Out)
LDAP (TCP 389 Out, UDP 389 Out)
Удаленный рабочий стол (TCP 3389 Out)
Просмотр веб-страниц (TCP 80 Out)
Предварительная установка: Core Networking
Предустановка: координатор распределенных транзакций
Предустановка: общий доступ к файлам и принтерам
Предварительная установка: обнаружение сети
Предварительная установка: удаленный помощник

Кроме того, у меня есть несколько правил, определенных для используемых нами бизнес-приложений. Это работало довольно хорошо, но сегодня я столкнулся с некоторыми проблемами с MSRPC (удаленный вызов процедур Microsoft).

я открываю mmc.exe и загрузите оснастку управления компьютером, чтобы изменить группу локальных администраторов. В окне «Выбор пользователей, компьютеров ...» я ввожу имя пользователя, затем нажимаю «Проверить имена». Это дает мне следующую ошибку:

Windows cannot process the object with the name "Foo Bar" because of the following error:

Access is denied.

Когда я снимаю ограничения брандмауэра, он работает нормально. Блокируемый трафик - это MSRPC, и он использует случайно выбранный порт в диапазоне [49100 ... 65535].

Как я могу создать правило для брандмауэра Windows, которое разрешает трафик MSRPC, не создавая слишком широкое правило, такое как разрешение трафика TCP на всех портах?

Я создал правило брандмауэра Windows, которое разрешает весь TCP-трафик для %SystemRoot%\System32\mmc.exe и это полностью решило проблему.

Кроме того, я заметил две другие программы, которым также необходимо разрешить весь TCP-трафик:

% SystemRoot% \ System32 \ spoolsv.exe
% ProgramFiles% \ Hyper-V \ vmconnect.exe

KB154596 «Как настроить динамическое выделение портов RPC для работы с межсетевыми экранами»

Короче говоря, похоже, что вы собираетесь развертывать множество изменений реестра через GPO. Обязательно документируйте все, что вы делаете, и почему вы это сделали. Если кому-то еще придется курировать там системы, будет большим шоком увидеть такую простую вещь, как RPC, подключенную к определенным портам. Не то чтобы это плохой, заметьте. Просто другой.