- Firewall & network protection in Windows Security
- Network settings
- Also on the Firewall & network protection page:
- How to configure a firewall for Active Directory domains and trusts
- More information
- Windows Server 2008 and later versions
- Active Directory
- Reference
- Вcтроенный межсетевой экран (firewall) Windows Server 2012 Теретический материал
Firewall & network protection in Windows Security
Firewall & network protection in Windows Security lets you view the status of Microsoft Defender Firewall and see what networks your device is connected to. You can turn Microsoft Defender Firewall on or off and access advanced Microsoft Defender Firewall options for the following network types:
Domain (workplace) networks
Private (discoverable) networks
Public (non-discoverable) networks
If you want to change a setting select the network type you want to change it on.
You can specify that a particular network your device connects to is «private» or «public». The key difference is whether other devices on the same network are allowed to see, and maybe connect to, your device.
Your home network might be an example of a private network — in theory the only devices on that network are your devices, and devices owned by your family. So you might be fine with those other devices being able to see yours. We call that «discoverable» because all the devices on that network are allowed to «discover» each other.
The Wi-Fi at your local coffee shop, however, is a public network. Most of the other devices connected to it belong to strangers and you’d probably prefer they not be able to see, connect to, or «discover» your device.
Network settings
When you select one of the three network types you’ll get the settings page for it. Here Windows Security will tell you which, if any, networks of that type you’re currently connected to. Usually your computer will only be connected to one network at a time.
You’ll also find a simple slider for turning the firewall on, or off, for that type of network.
Important: Turning the firewall off may increase the risk to your device or data. We recommend leaving it on unless you absolutely need to turn it off.
Under the Incoming connections section you’ll find a single checkbox for Blocks all incoming connections, including those in the list of allowed apps. Checking this box tells the Microsoft Defender Firewall to ignore the allowed apps list and block everything. Turning this on increases your security, but may cause some apps to stop working.
Also on the Firewall & network protection page:
Allow an app through firewall — If the firewall is blocking an app you really need, you can add an exception for that app, or open a specific port. Learn more about that process (and why you might not want to) at Risks of allowing apps through Microsoft Defender Firewall.
Network and Internet troubleshooter — If you’re having general network connectivity issues you can use this troubleshooter to try and automatically diagnose and fix them.
Firewall notification settings — Want more notifications when your firewall blocks something? Fewer? Here’s where you can configure that.
Advanced settings — If you’re knowledgeable about firewall settings this will open the classic Windows Defender Firewall tool which lets you create inbound or outbound rules, connection security rules, and see monitoring logs for the firewall. Most users won’t want to dig into it that deeply; adding, changing, or deleting rules incorrectly can cause your system to be more vulnerable or can cause some apps not to work.
Restore firewalls to default — If someone, or something, has made changes to your Windows Firewall settings that is causing things not to work properly you’re just two clicks away from resetting the settings back to the way they were when you first got the computer. If your organization has applied any policies to configure the firewall those will be reapplied.
How to configure a firewall for Active Directory domains and trusts
This article describes how to configure a firewall for Active Directory domains and trusts.
Original product version: В Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Original KB number: В 179442
Not all the ports that are listed in the tables here are required in all scenarios. For example, if the firewall separates members and DCs, you don’t have to open the FRS or DFSR ports. Also, if you know that no clients use LDAP with SSL/TLS, you don’t have to open ports 636 and 3269.
More information
The two domain controllers are both in the same forest, or the two domain controllers are both in a separate forest. Also, the trusts in the forest are Windows Server 2003 trusts or later version trusts.
| Client Port(s) | Server Port | Service |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 1024-65535/TCP | 1024-65535/TCP | RPC for LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
NETBIOS ports as listed for Windows NT are also required for Windows 2000 and Windows Server 2003 when trusts to domains are configured that support only NETBIOS-based communication. Examples are Windows NT-based operating systems or third-party Domain Controllers that are based on Samba.
For more information about how to define RPC server ports that are used by the LSA RPC services, see:
Windows Server 2008 and later versions
Windows Server 2008 newer versions of Windows Server have increased the dynamic client port range for outgoing connections. The new default start port is 49152, and the default end port is 65535. Therefore, you must increase the RPC port range in your firewalls. This change was made to comply with Internet Assigned Numbers Authority (IANA) recommendations. This differs from a mixed-mode domain that consists of Windows Server 2003 domain controllers, Windows 2000 server-based domain controllers, or legacy clients, where the default dynamic port range is 1025 through 5000.
For more information about the dynamic port range change in Windows Server 2012 and Windows Server 2012 R2, see:
- The default dynamic port range for TCP/IP has changed.
- Dynamic Ports in Windows Server.
| Client Port(s) | Server Port | Service |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152 -65535/TCP | 464/TCP/UDP | Kerberos password change |
| 49152 -65535/TCP | 49152-65535/TCP | RPC for LSA, SAM, NetLogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 636/TCP | LDAP SSL |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 49152 -65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152 -65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
NETBIOS ports as listed for Windows NT are also required for Windows 2000 and Server 2003 when trusts to domains are configured that support only NETBIOS-based communication. Examples are Windows NT-based operating systems or third-party Domain Controllers that are based on Samba.
(*) For information about how to define RPC server ports that are used by the LSA RPC services, see:
(**) For the operation of the trust this port is not required, it is used for trust creation only.
External trust 123/UDP is only needed if you have manually configured the Windows Time Service to Sync with a server across the external trust.
Active Directory
In Windows 2000 and Windows XP, the Internet Control Message Protocol (ICMP) must be allowed through the firewall from the clients to the domain controllers so that the Active Directory Group Policy client can function correctly through a firewall. ICMP is used to determine whether the link is a slow link or a fast link.
In Windows Server 2008 and later versions, the Network Location Awareness Service provides the bandwidth estimate based on traffic with other stations on the network. There is no traffic generated for the estimate.
The Windows Redirector also uses ICMP Ping messages to verify that a server IP is resolved by the DNS service before a connection is made, and when a server is located by using DFS. If you want to minimize ICMP traffic, you can use the following sample firewall rule:
Unlike the TCP protocol layer and the UDP protocol layer, ICMP does not have a port number. This is because ICMP is directly hosted by the IP layer.
By default, Windows Server 2003 and Windows 2000 Server DNS servers use ephemeral client-side ports when they query other DNS servers. However, this behavior may be changed by a specific registry setting. Or, you can establish a trust through the Point-to-Point Tunneling Protocol (PPTP) compulsory tunnel. This limits the number of ports that the firewall has to open. For PPTP, the following ports must be enabled.
| Client Ports | Server Port | Protocol |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
In addition, you would have to enable IP PROTOCOL 47 (GRE).
When you add permissions to a resource on a trusting domain for users in a trusted domain, there are some differences between the Windows 2000 and Windows NT 4.0 behavior. If the computer cannot display a list of the remote domain’s users, consider the following behavior:
- Windows NT 4.0 tries to resolve manually typed names by contacting the PDC for the remote user’s domain (UDP 138). If that communication fails, a Windows NT 4.0-based computer contacts its own PDC, and then asks for resolution of the name.
- Windows 2000 and Windows Server 2003 also try to contact the remote user’s PDC for resolution over UDP 138. However, they do not rely on using their own PDC. Make sure that all Windows 2000-based member servers and Windows Server 2003-based member servers that will be granting access to resources have UDP 138 connectivity to the remote PDC.
Reference
Service overview and network port requirements for Windows is a valuable resource outlining the required network ports, protocols, and services that are used by Microsoft client and server operating systems, server-based programs, and their subcomponents in the Microsoft Windows Server system. Administrators and support professionals may use the article as a roadmap to determine which ports and protocols Microsoft operating systems and programs require for network connectivity in a segmented network.
You should not use the port information in Service overview and network port requirements for Windows to configure Windows Firewall. For information about how to configure Windows Firewall, see Windows Firewall with Advanced Security.
Вcтроенный межсетевой экран (firewall) Windows Server 2012 Теретический материал
Вcтроенный межсетевой экран (firewall) Windows Server 2012
Firewall (сетевой экран, брандмауэр) — это система компонентов, предназначенная для защиты информационной системы от внешних и внутренних атак. Он также может служить средством управления доступом к информационным ресурсам вашей компании для внешних и внутренних пользователей.
В круг его задач входит не только обеспечение безопасности, но и другие:
Кэширование, это свойство характерно для сетей, содержащих Web-серверы с большим объемом информации, доступной из Internet; Трансляция сетевых адресов (NAT), возможность применения во внутренней сети любого IP адреса; Фильтрация контента, то есть ограничение информации, получаемой из Internet; Переадресация, путем изменения запросов, распределение нагрузки между несколькими серверами.
Сочетание этих возможностей дает определенные преимущества в защите рабочих станций и серверов.
Основные механизмы для пропускания и блокирования трафика:
Фильтр пакетов, принимающий решения на основе анализа заголовков пакетов; Proxy-серверы, контроль на уровне приложений; Шифрование трафика.
Обычно используют сочетание этих механизмов для грамотного планирования системы безопасности сети.
Фильтрацию пакетов осуществляют маршрутизаторы или компьютер, с соответствующим программным обеспечением, в которых заданы наборы правил, устанавливающие разрешенные типы сетевого трафика, имеющие право проходить через подключенные к нему сетевые интерфейсы. Им приходится принимать решения только на основе информации в заголовке пакета. В заголовок пакета не включены детали, которые могли бы помочь фильтру решить, следует ли пропускать пакет через межсетевой экран. Поэтому нет возможностей распознать тип запроса. Proxy-сервер — это программа, которая выполняется на брандмауэре и перехватывает трафик приложений определенного типа. Пакетный фильтр гарантирует определенную степень защиты, а proxy-серверы обеспечивают дальнейшее блокирование нежелательного трафика между локальной и внешней сетью. Если proxy-сервер выйдет из строя, пакетный фильтр останется вашей первой линией обороны, пока работа proxy-сервера не будет восстановлена. Наиболее продвинутые фаерволы, обладают функцией proxy-сервера.
Персональный межсетевой экран появился в операционных системах семейства Windows, начиная с Windows XP / Windows Server 2003. В Windows Server 2012 возможности этого компонента существенно расширены, что позволяет более гибко производить настройки.
Текущие настройки можно посмотреть, запустив из Диспетчера серверов брандмауэр.
Брандмауэр позволяет настраивать правила для входящих и исходящих подключений. А также – правила безопасности подключений.
Правила настраиваются отдельно для входящих и отдельно – для исходящих подключений.
Щелкаем (справа) «Создать правило».
Данный файервол является шлюзом как сетевого, так и прикладного уровней.
Поэтому мы можем создать правило как для программы, так и для порта.
Задание №1. Создайте правило, разрешающее исходящие соединения с сервером по порту 80 (TCP).
Далее необходимо выбрать протокол, по которому будет произведено соединение
После этого мы можем настроить действие с пакетами: можем разрешить подключение по указанному порту, можем – разрешить безопасное подключение (pptp, l2tp+ipsec), либо заблокировать подключение.
Далее создаём профиль, для которого применяется подключение.
И задаём имя правила.
Создайте правило, разрешающее подключение по протоколам PPTP, SSL, HTTP, FTP, Telnet для данного сервера.
Сделайте ваш сервер веб-сервером и FTP-сервером и попросите друга (с другой виртуалки!), чтобы он попытался подключиться к вашему серверу. Если это удалось сделать, то задание выполнено частично правильно.
Проверять, удаётся ли подключиться по протоколу PPTP и SSL, мы будем позже.
Задание №3. Изучите возможности средства «Наблюдение» за фаерволом. Опишите их назначение в отчёте.
Задание №4. Создайте правило, разрешающее отсылку ICMP-пакетов echo reguest. Проверьте его работу для какого-нибудь узла из локальной или внешней сети, используя его ip-адрес (например, командой ping 192.168.0.10 можно проверить доступность компьютера с указанным адресом). Если ответ пришел, можно переходить ко второй части задания. Если ответа нет, попробуйте найти такой узел, который пришлет ответ.
Задание №5. Создайте правило, запрещающее отсылку icmp-пакетов на данный узел. Проверьте его работу.
Задание №6. Изучите возможности мастера создания правил безопасности для нового подключения. Опишите их назначение в отчёте.
Задание №7. Создайте правило безопасности для туннеля.
Обеспечьте проверку подлинности отправителя (компьютера клиента) сервером на основе сертификата компьютера.
Обеспечьте проверку подлинности соединения между любыми конечными точками туннеля.
Создайте VPN туннель между вашим компьютером и компьютером друга.
Задача №8. Обеспечить обмен электронной почтой между внутренним и внешним SMTP серверами.
Настройте правила в соответствие с таблицей:
Задача №9 (доработка задачи №8). Защитите свою сеть от троянских программ (обращаем внимание и на порт источника).
Защищаемая организация имеет сеть 123.45.0.0/16
Запретить из Интернет доступ в сеть 123.45.0.0/16
Но разрешить доступ в подсеть 123.45.6.0/24 данной сети из сети 135.79.0.0/16
При этом специально запретить в защищаемую сеть доступ из подсети 135.79.6.0/24, за исключением доступа к подсети 123.45.6.0/24
Защищаемая организация имеет сеть 123.4.0.0/16
Входящие соединения TELNET разрешаются только с хостом 123.4.5.6
Входящие соединения SMTP разрешаются только с хостами 123.4.5.7 и 123.4.5.8
Входящий обмен по NNTP разрешается только от сервера новостей 129.6.48.254 и только с хостом 123.4.5.9
Входящий протокол NTP (сетевого времени) — разрешается для всех
ВТОРАЯ ЧАСТЬ ПРАКТИЧЕСКОЙ РАБОТЫ
«Изучение настройки файервола в командной строке».
Все задания этой части (№12-№18) необходимо выполнить в командной строке. Не через графический интерфейс!
Программа netsh. exe позволяет администратору настраивать компьютеры с ОС Windows и наблюдать за ними из командной строки или с помощью пакетного файла.
При использовании средства netsh вводимые команды направляются соответствующим помощникам, которые и производят их выполнение.
Многие из описанных параметров конфигурации можно настроить и с помощью программы netsh.
Расмотрим несколько примеров как создавать правила из командной строки, также эти команды можно использовать при написании своих пакетных сценариев cmd, bat, powershell.
Задача №12. Включите файервол.
Включение и выключение файервола:
Включить брандмауэр: netsh advfirewall set allprofiles state on
Выключить брандмауэр: netsh advfirewall set allprofiles state off
Включение отдельных профилей:
netsh advfirewall set domainprofile state on
netsh advfirewall set privateprofile state on
netsh advfirewall set publicprofile state on
Отключите частный профиль. Включите профиль в домене и публичный профиль.
Запретите все входящие соединения и разрешите все исходяшие:
netsh advfirewall set allprofiles firewallpolicy blockinbound, allowoutbound
Для всех профилей Блокировать Разрешать
входящий трафик исходящий
Правила на порты
netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=allow dir=IN
Добавляет правило, разрешающее (action=allow) соединения по протоколу TCP (protocol=TCP) для 80 порта (localport=80) для входящего трафика (dir=IN, dir – от direction – направление. OUT – исходящий трафик, IN – входящий трафик).
Разрешите входящие соединения для 80 порта по протоколам TCP и UDP с консоли.
Запретите исходящие соединения на 80 порт.
Откройте диапазон портов для исходящего UDP трафика
netsh advfirewall firewall add rule name=» =»Port range» protocol=UDP localport=5000-5100 action=allow dir=OUT
Задача №15. Ограничения по IP адресам
netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1
Разрешите входящий трафик от веб-сервера с dns-именем yandex. ru (вы должны определить ip-адрес по dns-имени!)
Разрешите входящий трафик от серверов с адресами 192.168.1.4, 192.168.1.5, 192.168.1.6 и запретите от 192.168.1.10, 192.168.1.11
Возможно ограничение и по подсетям.
netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=block dir=IN remoteip=10.0.0.0/16
netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=allow dir=IN remoteip=10.0.0.1-10.0.0.10
netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=block dir=IN remoteip=localsubnet
Доработайте правило из задачи №15 с использованием адресов подсетей для блокировки и разрешения трафика.
Создайте правило, разрешающее входящий трафик программе C:\Windows\explorer. exe
netsh advfirewall firewall add rule name=»My Application» dir=in action=allow program=»C:\Windows\Explorer. exe» enable=yes
Дополнительно (не к №17):
При необходимости – возможно и комбинирование параметров. Например:
netsh advfirewall firewall add rule name=»My Application» dir=in action=allow program=»C:\MyApp\MyApp. exe» enable=yes remoteip=157.60.0.1,172.16.0.0/16,LocalSubnet profile=domain
Настройте файервол в соответствие со следующими требованиями:
Запретить доступ в подсеть 172.16.0.0/16 Разрешить доступ в подсеть 192.168.2.0/24 Разрешить входящий и исходящий трафик первым 10 адресам подсети 192.168.3.0/24, всем остальным – запретить. Разрешить входящий и исходящий трафик к серверам (их адреса указаны в таблице).
