Como configuro o Firewall do Windows para permitir o MSRPC?

Navegue suas respostas
2

Estou tentando configurar máquinas endpoint com um firewall que permite apenas o tráfego de listas brancas e todas as outras conexões estão bloqueadas.

As máquinas clientes são desktops e laptops que executam o Windows 7 (x86 e x64) usando o Firewall do Windows com Segurança Avançada. Toda máquina faz parte de um domínio do Windows Server 2008 e estou configurando o firewall usando a Diretiva de Grupo. Estou testando essa configuração de firewall com um pequeno subconjunto de máquinas.

Neste momento, tenho o Firewall do Windows configurado para bloquear todo o tráfego de entrada e saída que não corresponda a uma regra de permissão explícita. Aqui estão as comunicações básicas que estão ativadas atualmente:

  • DNS (UDP 53 Out)
  • LDAP (TCP 389 Out, UDP 389 Out)
  • Área de trabalho remota (saída TCP 3389)
  • Navegação na Web (saída TCP 80)
  • Pré-definição: rede principal
  • Pré-definição: coordenador de transações distribuídas
  • Predefinição: Compartilhamento de arquivos e impressoras
  • Predefinição: descoberta de rede
  • Predefinição: Assistência remota

Além disso, tenho algumas regras definidas para os aplicativos de negócios que usamos. Isso tem funcionado muito bem, mas hoje eu encontrei alguns problemas com o MSRPC (Microsoft Remote Procedure Call).

Eu abro mmc.exe e carrego o snap-in de gerenciamento do computador para modificar o grupo de administradores locais. Na janela "Selecionar usuários, computadores ...", insiro o nome de usuário e clique em "Verificar nomes". Isso me dá o seguinte erro: 

Windows cannot process the object with the name "Foo Bar" because of the following error:

Access is denied.

Quando removo as restrições do firewall, tudo funciona bem. O tráfego sendo bloqueado é MSRPC e usa uma porta selecionada aleatoriamente no intervalo de [49100 ... 65535].

Como posso criar uma regra para o Firewall do Windows que permita o tráfego MSRPC sem criar uma regra excessivamente ampla, como permitir o tráfego TCP em todas as portas?

    
por Nic 18.08.2011 / 23:12

2 respostas

0

Eu criei uma regra do Firewall do Windows que permite todo o tráfego TCP para %SystemRoot%\System32\mmc.exe e que resolveu completamente o problema.

Além disso, notei dois outros programas que também precisam ter todo o tráfego TCP permitido:

  • % SystemRoot% \ System32 \ spoolsv.exe
  • % ProgramFiles% \ Hyper-V \ vmconnect.exe
por 05.02.2012 / 09:55
0

KB154596 "Como configurar a alocação de porta dinâmica de RPC para trabalhar com firewalls"

Em suma, parece que você implantará muitas alterações no registro por meio de um GPO. Certifique-se de documentar tudo o que você faz e por que você fez isso. Se alguém tiver que curar os sistemas lá, será um choque ver algo tão básico quanto o RPC conectado a certas portas. Não que seja ruim , lembre-se de você. Apenas diferente.

    
por 18.08.2011 / 23:31

Tags

Apache2 SetEnvIF Existe uma maneira de desativar a política de grupo por alguns minutos em um determinado computador em um domínio de 2008?