Использование инструментов командной строки Windows и командлетов PowerShell для управления безопасностью в Windows Server 2012 (часть 2)

Опубликовано: 7 Апреля, 2023

  • Использование инструментов командной строки Windows и командлетов PowerShell для управления безопасностью в Windows Server 2012 (часть 3)

Введение

В части 1 этой серии статей о том, как использовать инструменты командной строки Windows и PowerShell для ускорения управления базовыми задачами, связанными с безопасностью, в Windows Server 2012 вместо использования графического интерфейса, мы подробно рассмотрели неграфические методы для настройка и управление центрами сертификации Windows (ЦС), включая командлеты Certutil и AD CS PowerShell.

Во второй части мы перейдем к настройке и управлению брандмауэром Windows в режиме повышенной безопасности с помощью командлетов Netsh и Powershell. В настоящее время те, кому нужен текстовый интерфейс для управления WFAS, имеют оба варианта, но важно отметить, что в некоторых документах Microsoft указано, что Microsoft может удалить функциональность Netsh. Мы знаем, что направление Microsoft с Windows Server указывает на PowerShell в качестве основного интерфейса, поэтому имеет смысл ожидать, что альтернативы в конечном итоге устареют и исчезнут. Если вам удобнее работать с Netsh, пока используйте его, но я настоятельно рекомендую вам научиться использовать PowerShell и для этой задачи. Гораздо проще постепенно отказываться от старых способов, чем резко переходить на новый способ ведения дел, когда у вас нет другого выбора.

Еще одна веская причина для перехода на PowerShell заключается в том, что, как следует из его названия, он предоставляет вам больше возможностей и контроля, чем инструменты командной строки старой школы. Microsoft внесла некоторые улучшения в функциональность управления брандмауэром в последней версии Windows PowerShell, так что, как только вы привыкнете «говорить на языке PowerShell», вам не захочется возвращаться к старомодному способу.

Управление WFAS с помощью Netsh

Возможно, будущее за PowerShell, но сначала давайте рассмотрим задачи брандмауэра Windows в режиме повышенной безопасности, которые вы можете выполнять с помощью Netsh. Мы будем использовать инструмент netsh advfirewall, который является частью Netsh на компьютерах под управлением Windows Vista или более поздних операционных систем. Чтобы использовать его, вам нужно запустить его из командной строки с повышенными привилегиями (в Server 2012 нажмите «Пуск», щелкните правой кнопкой мыши значок командной строки и выберите «Запуск от имени администратора »). Обратите внимание, что для этого вам необходимо быть членом группы администраторов. Члены группы сетевых операторов также могут запускать netsh advfirewall (без повышения прав командной строки).

Вот некоторые из наиболее полезных команд, доступных в netsh advfirewall:

  • Экспорт и импорт: с помощью этих команд вы можете экспортировать текущую конфигурацию WFAS в файл. Расширение файла по умолчанию —.wfw. Затем вы можете импортировать конфигурацию из файла в локальную службу, перезаписав текущее содержимое хранилища (
  • Сброс: Вы можете использовать эту команду, чтобы быстро и легко вернуть WFAS к настройкам и правилам по умолчанию и стереть любые изменения конфигурации, которые были сделаны. Вы можете использовать команду сброса экспорта, чтобы сначала создать резервную копию ваших текущих настроек в файл, на тот случай, если вы передумаете стирать их все.
  • Set: эта команда используется для настройки параметров типа профиля (домен, общедоступная или частная сеть), глобальных настроек или настроек сохранения.
  • Показать: эта команда используется для отображения типа профиля, глобальных и сохраненных настроек, но не изменяет их.

Команда Set используется для большинства задач настройки и управления, связанных с WFAS. Вы можете:

  • Включите или отключите WFAS для определенного типа профиля с помощью команды set <profiletype>state.
  • Настройте фильтрацию входящего и исходящего трафика с помощью команды set<profiletype>firewallpolicy с параметрами InboundPolicy и OutboundPolicy. Входящая политика может иметь одно из четырех значений: блокировать, всегда блокировать, разрешать или не настроено. Исходящая политика может иметь одно из трех значений: блокировать, разрешать или не настраивать. (Настройка по умолчанию — блокировать входящие и разрешать исходящие).
  • Вы можете настроить ряд общих параметров профиля для WFAS и IPsec с помощью команды Set<profiletype>settings. Параметры, которые можно настроить, включают правила локального брандмауэра (включить, отключить или не настроить), локальные правила безопасности подключения IPsec и входящие уведомления пользователей, а также удаленное управление и одноадресный ответ на многоадресную рассылку. Вы также можете настроить параметры ведения журнала брандмауэра с помощью Set<profiletype>logging.
  • С помощью команды set global вы можете настроить такие параметры, как способ, которым WFAS обрабатывает FTP с отслеживанием состояния (FTP-трафик, который изначально подключается к одному порту и запрашивает данные через другой порт), глобальные параметры IPsec (проверка сертификатов по списку отзыва сертификатов), количество времени, в течение которого сопоставление безопасности может оставаться бездействующим, протоколы, которые будут освобождены от требований IPsec по умолчанию, и может ли IPsec настроить сопоставление безопасности, если один или несколько компьютеров находятся за устройством NAT. Эта команда также используется для управления тем, какие учетные записи и группы компьютеров имеют право создавать туннельные подключения к локальному компьютеру, а также какие учетные записи и группы пользователей могут делать то же самое.
  • Команда set store используется для определения места хранения изменений, вносимых командами netsh advfirewall (по умолчанию используется локальное хранилище политик). Вы можете настроить хранилище политик на удаленном компьютере с помощью команды set machine.

Это всего лишь краткий обзор различных задач, связанных с WFAS, которые вы можете выполнить с помощью команды netsh advfirewall, и он не предназначен для использования этих команд. Более подробное описание различных команд, параметров и синтаксиса для их выполнения см. в статье TechNet под названием Хотя эта статья была написана для Windows 7 и Windows Server 2008/2008 R2, команды Netsh в Windows Server 2012 одинаковы.

Управление WFAS с помощью Windows PowerShell

Более мощный и обновленный способ управления брандмауэром Windows в режиме повышенной безопасности из командной строки — использовать Windows PowerShell 3.0. Эта версия PowerShell включена в Windows Server 2012. Вам также потребуется использовать модуль Windows NetSecurity для Windows PowerShell (который также входит в состав Windows Server 2012) и Windows PowerShell ISE (дополнительная функция Windows PowerShell 3.0). которые можно установить с помощью диспетчера серверов в Windows Server 2012).

PowerShell позволит вам выполнять те же основные задачи, которые мы только что обсуждали в разделе об использовании netsh advfirewall: установить глобальные значения по умолчанию для типов профилей, развернуть основные правила брандмауэра и настройки правил IPsec, развернуть безопасные правила брандмауэра с помощью IPsec, а также удаленно управлять WFAS..

В этой статье предполагается, что вы знакомы с основами использования Windows PowerShell; в противном случае см. Руководство по началу работы с Windows PowerShell и Руководство пользователя Windows PowerShell на веб-сайте Microsoft TechNet.

Первым шагом в настройке и управлении брандмауэром Windows в режиме повышенной безопасности с помощью PowerShell является включение WFAS. Вот командлет для включения WFAS для разных типов профилей:

Set-NetFirewallProfile — домен профиля, общедоступный, частный — включено True

Как вы, вероятно, уже догадались, если вы знакомы с PowerShell (или программированием в целом), чтобы отключить WFAS, вы должны установить для параметра –Enabled значение «False». Конечно, вы можете включать или отключать каждый из трех типов профилей по отдельности. Таким образом, если вы хотите отключить WFAS для доменной сети, вы должны использовать следующий командлет:

Set-NetFirewallProfile – имя домена – Включено False

Это эквивалентно отключению состояния брандмауэра на вкладке «Профиль домена» диалогового окна «Брандмауэр Windows в режиме повышенной безопасности».

Вы можете использовать переключатель «все» вместо параметра имени, если хотите включить или отключить WFAS для всех трех типов профилей. Вот командлет для этого:

Set-NetfirewallProfile — All — Enabled True

Теперь, когда у нас есть брандмауэр Windows в режиме повышенной безопасности, мы можем углубиться во все командлеты, которые мы можем использовать для управления им, но на этот раз у нас не хватило места, поэтому мы рассмотрим все это в части. 3 из этой серии.

Резюме

В части 1 этой серии статей об управлении безопасностью в Windows Server 2012 с помощью утилит командной строки и PowerShell мы представили обзор того, как использовать Certutil.exe и командлеты PowerShell для установки и управления ролью служб сертификации. Здесь, во второй части, мы рассмотрели брандмауэр Windows в режиме повышенной безопасности и обсудили, как вы можете использовать команду netsh advfirewall для его настройки и управления им. Мы также начали обсуждение того, как использовать командлеты PowerShell для настройки и управления WFAS, и в следующий раз мы подробно расскажем об этом. Тогда увидимся! - Деб

  • Использование инструментов командной строки Windows и командлетов PowerShell для управления безопасностью в Windows Server 2012 (часть 3)