Настройка правил брандмауэра Windows групповыми политиками

Брандмауэр Windows позволяет ограничить исходящий / входящий сетевой трафик для определенного приложения или TCP/IP порта, и является популярным средством ограничения сетевого доступа к (от) рабочим станциям пользователей или серверам. Правила Windows Firewall можно настроить индивидуально на каждом компьютере, или, если компьютер пользователя включен в домен Windows, администратор может управлять настройками и правилами брандмауэра Windows с помощью групповых политик.

В крупных организация правила фильтрации портов обычно выносятся на уровень маршрутизатором, L3 коммутаторов или выделенных межсетевых экранах. Однако ничего не мешает вам распространить ваши правила ограничения сетевого доступа Windows Firewall к рабочим станциям или серверам Windows.

Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows

С помощью редактора доменной групповой политики (group Policy Management Console – gpmc.msc) создайте новую политику с именем Firewall-Policy и перейдите в режим редактирования (Edit).

В консоли групповой политики есть две секции, в которых можно управлять настройками брандмауэра:

• Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall – эта секция GPO использовалась для настройки правил брандмауэра для ОС Vista / Windows Server 2008 и ниже. Если у вас в домене нет компьютеров со старыми ОС, для настройки файервола используется следующая секция.
  Network -> Network Connections -> Windows Firewall » width=»609″ height=»276″ srcset=»https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con.png 968w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-300×136.png 300w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-768×348.png 768w» sizes=»(max-width: 609px) 100vw, 609px»/>
• Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security – это актуальный раздел для настройки Брандмауэра Windows в современных версиях ОС и по интерфейсу он напоминает интерфейс локальной консоли управления Брандмауэра.

Включаем Windows Firewall с помощью GPO

Чтобы пользователи (даже с правами локального админа) не могли выключить службу брандмауэра, желательно настроить автоматический запуск службы Windows Firewall через GPO. Для этого перейдите в раздел Computer Configuration- > Windows Settings -> Security Settings -> System Services. Найдите в списке служб Windows Firewall и измените тип запуск службы на автоматический (Define this policy setting -> Service startup mode Automatic). Убедитесь, что у пользователей нет прав на остановку службы.

Перейдите в раздел консоли GPO Computer Configuration -> Windows Settings -> Security Settings. Щелкните ПКМ по Windows Firewall with Advanced Security и откройте свойства.

На всех трех вкладках Domain Profile, Private Profile и Public Profile (что такое профиль сети) измените состояние Firewall state на On (recommended). В зависимости от политик безопасности в вашей организации вы можете указать, что все входящие подключения по умолчанию запрещены(Inbound connections -> Block), а исходящие разрешены (Outbound connections -> Allow) и сохраните изменения.

Создаем правило файервола с помощью групповой политики

Теперь попробуем создать разрешающее входящее правило файервола для всех. Например, мы хотим разрешить подключение к компьютерам по RDP (порт TCP 3389). Щелкните ПКМ по разделу Inbound Rules и выберите пункт меню New Rule.

Мастер создания правила брандмауэра очень похож на интерфейс локального Windows Firewall на обычном компьютере.

Выберите тип правила. Можно разрешить доступ для:

• Программы (Program) – можно выбрать исполняемый exe программы;
• Порта (Port) – выбрать TCP/UDP порт или диапазон портов;
• Преднастроенное правило (Predefined) – выбрать одно из стандартных правил Windows, в которых уже имеются правила доступа (описаны как исполняемые файлы, так и порты) к типовым службам (например, AD, Http, DFS, BranchCache, удаленная перезагрузка, SNMP, KMS и т.д.);
• Собственное правило (Custom) – здесь можно указать программу, протокол (другие протоколы помимо TCP и UDP, например, ICMP, GRE, L2TP, IGMP и т.д.), IP адреса клиентов или целые IP подсети.

В нашем случае мы выберем правило Port. В качестве протокола укажем TCP, в качестве порта – порт 3389 (RDP порт по-умолчанию, можно изменить).

Далее нужно выбрать что нужно сделать с таким сетевым соединением: разрешить (Allow the connection), разрешить если оно безопасное или заблокировать (Block the connection).

Осталось выбрать профили файервола, которым нужно применить правило. Можно оставить все профили (Domain, Private и Public).

На последнем шаге нужно указать имя правило и его описание. Нажмите кнопку Finish и оно появится в списке правил брандмауэра.

Аналогичным образом вы можете настроить другие правила для входящего трафика, которые должны применятся к вашим клиентам Windows.

Не забываете, что нужно создать правила для входящего и исходящего трафика.

Теперь осталось назначить политику Firewall-Policy на OU с компьютерами пользователей

Проверка политик брандмаэера Windows на клиентах

Обновите политики на клиентах (gpupdate /force). Проверьте, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или утилиту Portqry).

На ПК пользователя откройте Панель управления\Система и безопасность\Брандмауэр Защитника Windows и убедитесь, что появилась надпись: Для обеспечения безопасности, некоторые параметры управляются групповой политикой (For your security, some settings are controlled by Group Policy), и используются заданные вами настройки брандмаэера.

Пользователь теперь не может изменить настройки брандмауэра, а в списке Inbound Rules должны быть указаны все созданные вами правила.

Также вы можете вывести настройки файервола с помощью команды:

netsh firewall show state

Импорт / экспорт правил Брандмауэра Windows в GPO

Конечно, процесс создания правил для брандмауэра Windows – очень кропотливое и долгое занятие (но результате того стоит). Для упрощения свое задачи можно воспользоваться возможностью импорт и экспорта настроек брандмауэра Windows. Для этого вам достаточно нужным образом настроить локальные правила брандмауэра на обычном рабочей станции. Затем встаньте на корень оснастки брандмауэра (Монитор Брандмауэра Защитника Windows в режиме повышенной безопасности) и выберите пункт Действие -> Экспорт политики.

Политика выгружается в WFW файл, который можно импортировать в редакторе Group Policy Management Editor, выбрав пункт Import Policy и указав путь к файлу wfw (текущие настройки будут перезаписаны).

Доменные и локальные правила брандмауэра

В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать на своих компьютерах собственные правила брандмауэра и эти должны быть объединены с правилами, полученными с помощью групповой политики. в групповой политике вы можете выбрать режим объединения правил. Откройте свойства политики и обратите внимание на настройки в разделе Rule merging. По умолчанию режим объединения правил включен. Вы можете принудительно указать, что локальный администратор может создавать собственные правила брандмауэра: в параметре Apply local firewall rules выберите Yes (default).

Несколько советов об управлении брандмауэром Windows через GPO

Конечно, для серверов и рабочих станций нужно создавать отдельные политики управления правилами брандмауэра (для каждой группы одинаковых серверов возможно придется создать собственные политики в зависимости от их роли). Т.е. правила файервола для контроллера домена, почтового Exchange сервера и сервера SQL будут отличаться.

Какие порты нужно открыть для той или иной службы нужно искать в документации на сайте разработчика. Процесс довольно кропотливый и на первый взгляд сложный. Но постепенно вполне реальной придти к работоспособной конфигурации Windows файервола, который разрешает только одобренные подключения и блокирует все остальное. По опыту хочу отметить, что на ПО Microsoft можно довольно быстро найти список используемых TCP/UDP портов.

Исправлено: Сервер RPC недоступен в Windows 7, 8 и 10 —

RPC также известен как удаленный вызов процедур. Эта технология присутствует с момента появления компьютеров и использует метод межпроцессного взаимодействия. Его основная цель — дать возможность клиенту и серверу взаимодействовать друг с другом по сети. То же самое можно сказать и об устройствах.

Сервер RPC недоступен

Проще говоря, когда вы делитесь данными или информацией по какой-либо сети, RPC вступает в игру и делает всю работу за вас. RPC также играет важную роль в управлении устройствами по сети, а также используется в периферийных устройствах контроллера, таких как сканеры или принтеры.

Что вызывает ошибку «Сервер RPC недоступен»?

Поскольку RPC является связью разных устройств, существует несколько разных модулей, которые могут быть ответственны за появление сообщения об ошибке. С учетом вышесказанного, вот некоторые из виновников, которые могут нести ответственность в вашем случае:

• Один или несколько сервисов, требуемых RPC, отключены — В большинстве случаев эта конкретная проблема возникает, когда на одном или нескольких компьютерах, подключенных к соединению, отключена одна (или несколько) обязательных служб. Если этот сценарий применим, вы можете решить проблему, используя служебную программу Services для принудительного запуска отключенных служб.
• Удаленная помощь отключена брандмауэром — Брандмауэр Windows и некоторые другие сторонние аналоги блокируют подключение удаленного помощника по умолчанию. Если это виновник, вызвавший проблему, вы можете решить проблему, установив исключение для этого типа соединения.
• IPV6 или файлообменник отключен — Для некоторых типов RPC-серверов требуется, чтобы в текущем сетевом подключении были включены и IPV6, и общий доступ к файлам PRinter. Несколько пользователей, пытающихся решить эту конкретную проблему, сообщили, что проблема была решена после того, как они были включены в свойствах сети.
• IP-адрес сбой сервера RPC — Неоднозначный IP-адрес может также вызвать это конкретное сообщение об ошибке. Если этот сценарий применим, вы можете решить проблему, сбросив и обновив IP-адрес.
• Сервисы RPC отключены через Реестр — Некоторые утилиты или вмешательство пользователя вручную могут заставить некоторые службы, необходимые серверу RPC, оставаться отключенными. Пользователи, оказавшиеся в похожем сценарии, сообщили, что проблема была решена после того, как они использовали редактор реестра для принудительного запуска служб, используемых компонентом RPC.

Прежде чем приступить к рассмотрению решений, убедитесь, что у вас есть активное подключение к Интернету и вы вошли в систему как администратор на вашем компьютере. Кроме того, если вы используете компьютер в рабочей среде, лучше проконсультироваться с сетевым администратором. Каждая рабочая среда имеет свою отдельную конфигурацию сети и компьютеров.

Решение 1. Проверка службы RPC на вашем компьютере

Первое, что пользователи должны проверить, сталкиваются ли они с этой ошибкой, это служба RPC на вашем компьютере. Конфликты с другими сторонними приложениями или смена системных систем могут заставить службу RPC перейти от значения по умолчанию (Автоматически) к ручному. Это означает, что RPC может не запускаться автоматически при необходимости.

1. Нажмите Windows + R, введите «services.msc”В диалоговом окне и нажмите Enter.
2. В окне служб найдите следующие процессы:

Щелкните правой кнопкой мыши по каждой услуге по одному и выберите свойства.

Услуги, связанные с RPC

1. Оказавшись в свойствах, сделайте так, чтобы сервис Началось и Тип запуска устанавливается как автоматическая.

Изменение типа запуска и статуса служб RPC

1. Сохранить изменения и выйти. Перезагрузите компьютер и проверьте, исправлено ли сообщение об ошибке.

Решение 2. Включение удаленного помощника в брандмауэре

Удаленный помощник — это механизм, который позволяет другим пользователям или компьютерам видеть экран вашего компьютера и даже управлять им, если вы захотите. Удаленная помощь может также появиться в случае серверов RPC, поскольку клиент и сервер также обмениваются информацией в гораздо большем и сложном масштабе. Если ваш брандмауэр не настроен должным образом, вы увидите обсуждаемую ошибку.

Если вы принадлежите к организации, вам следует обратиться к сетевому администратору, чтобы разобраться в проблеме. При устранении неполадок в сети выключение главного брандмауэра является способом устранения неполадок. В этой демонстрации мы рассмотрим только то, что вы (пользователь) можете сделать на своем персональном брандмауэре на своем компьютере.

1. Нажмите Windows + R, введите ‘контроль’В диалоговом окне и нажмите Enter.
2. Когда появится панель управления, выполните поиск Брандмауэр в строке поиска в верхней правой части экрана. Из результатов нажмите на Разрешить приложение через брандмауэр Windows которая является подкатегорией под Брандмауэр Windows.

Брандмауэр Windows — Панель управления

1. Нажмите на Изменить настройки и убедитесь, что включены записи, обеспечивающие RPC, такие как Удаленная помощь.

Включение удаленного помощника — брандмауэр

1. Перезагрузите компьютер и убедитесь, что это решило обсуждаемое сообщение об ошибке.

Решение 3. Отключение выборочного запуска

Выборочный запуск — это метод загрузки, который позволяет вашему компьютеру включаться с минимальным количеством загруженных элементов. Обычно это делается при устранении проблем с вашим компьютером, которые могут включать другие сторонние приложения. Однако всякий раз, когда вы загружаетесь с помощью выборочного запуска, ваш компьютер также не загружает все компоненты RPC на ваш компьютер. Мы выберем нормальный запуск и посмотрим, исправит ли это проблему.

1. Нажмите Windows + R, введите «MSCONFIG”В диалоговом окне и нажмите Enter.
2. После того, как в конфигурации запуска, выберите вкладку генеральный и выберите вариант Нормальный запуск.

Выбор нормального запуска — Конфигурация загрузки

1. Нажмите Применять сохранить изменения и выйти. Теперь вам будет предложено перезагрузить. Немедленно перезапустите, используя всплывающее окно, и проверьте, разрешено ли сообщение об ошибке.

Решение 4. Включение IPV6 и файла Общий доступ к принтеру для подключенной сети

В некоторых случаях вы можете столкнуться с Ошибка 1722: сервер RPC недоступен проблема в тех случаях, когда имеется разрыв сетевого подключения, вызванный одной или несколькими настройками. Несколько пострадавших пользователей сообщили, что в их случае проблема была решена после того, как они обнаружили, что Общий доступ к принтерам для сетей Microsoft а также Версия протокола 6 (TCP / IPv6) оба были отключены из своих подключенных сетевых свойств.

После включения этих двух параметров большинство затронутых пользователей сообщают, что проблема была решена. Вот краткое руководство о том, как это сделать:

1. Нажмите Windows ключ + R открыть диалоговое окно «Выполнить». Затем введите «Ncpa.cpl» и нажмите Войти открыть Сетевые соединения окно.
2. В окне «Сетевые подключения» щелкните правой кнопкой мыши сеть, к которой вы в данный момент подключены, и нажмите Свойства.
3. Как только вы перейдете в Свойства вашего сетевого подключения, перейдите на вкладку Сеть и прокрутите вниз список элементов.
4. разместить Файл иОбщий доступ к принтерам для сетей Microsoft а также Интернет-протокол версии 6 (TCP / IPv6) и убедитесь, что оба связанных флажка отмечены. Затем нажмите Хорошо сохранить изменения.
5. Перезагрузите компьютер и посмотрите, будет ли проблема решена при следующем запуске.

Если вы все еще сталкиваетесь с Ошибка 1722: сервер RPC недоступен вопрос, перейдите к следующему способу ниже.

Решение 5: очистка DNS возобновлять

Некоторые затронутые пользователи сообщают, что им удалось решить проблему после использования командной строки с повышенными привилегиями для очистки DNS и возобновления соединения. Но для того, чтобы это исправление было эффективным, необходимо убедиться, что службы, задействованные в RPC-соединении, работают (следуйте способу 1).

Если вы уверены, что необходимые службы работают, вот краткое руководство по очистке DNS и обновлению соединения:

1. Нажмите Windows ключ + R открыть Бежать диалоговое окно. Далее введите «ЦМД» и нажмите Ctrl + Shift + Enter открыть командную строку с повышенными правами. Если предложено UAC (контроль учетных записей), нажмите Да, чтобы предоставить административные привилегии.
   Запуск CMD с помощью диалогового окна Run
2. В командной строке с повышенными правами введите следующую команду и нажмите Войти сбросить текущую конфигурацию IP:
3. После успешной регистрации команды введите следующую команду и нажмите Войти обновить конфигурацию IP:
4. После обновления IP-адреса закройте командную строку с повышенными правами и заново создайте шаги, которые ранее вызывали Ошибка 1722: сервер RPC недоступен проблема, чтобы увидеть, была ли проблема решена.

Если та же проблема все еще возникает, перейдите к следующему способу ниже.

Решение 6. Использование редактора реестра для запуска служб RPC

Некоторые затронутые пользователи сообщают, что им удалось решить проблему после использования командной строки с повышенными привилегиями для очистки DNS и возобновления соединения. Но для того, чтобы это исправление было эффективным, необходимо убедиться, что службы, задействованные в RPC-соединении, работают (следуйте способу 1).

Если вы уверены, что необходимые службы работают, вот краткое руководство по очистке DNS и обновлению соединения:

Вот краткое руководство о том, как это сделать:

1. Нажмите Windows ключ + R открыть диалоговое окно «Выполнить». Затем введите «Regedit» и нажмите Войти открыть редактор реестра. Если вас попросят UAC (контроль учетных записей пользователей), щелчок да предоставить административные привилегии.
2. В редакторе реестра используйте левую панель, чтобы перейти к следующему местоположению:

Замечания: Вы можете либо попасть туда вручную, используя левую панель, либо вы можете вставить точный адрес прямо в панель навигации и нажать Войти. С RpcSs нажмите клавишу, перейдите к правой панели и дважды щелкните Начните.

Внутри Изменить значение меча связаны с Начните, установить База в шестнадцатеричный и Значение данных в 2 чтобы включить Удалить вызов процедуры (RPC).

Используйте левую панель или панель навигации вверху, чтобы перейти к этому местоположению:

Как только вы доберетесь до этого места, дважды щелкните Пуск на правой панели. Затем установите База в шестнадцатеричный и значение данных для 2 для того, чтобы включить Серверный процесс DCOM.

Перейдите к следующему местоположению, используя панель навигации вверху или используя левую панель:

Перейдите на правую панель и дважды щелкните Начните. Затем установите База в шестнадцатеричный и Значение данных в 2.

Закройте редактор реестра, перезагрузите компьютер и посмотрите, была ли проблема решена при следующем запуске системы.

В дополнение к вышеупомянутым решениям, вы также можете найти больше обходных путей, связанных с ошибкой ‘RPC сервер недоступен’, Прочитав нашу статью Исправление: удаленный вызов процедуры не удался. Оба случая ошибки почти одинаковы, и в обоих случаях можно попробовать одни и те же исправления.