O Firewall define as exceções do programa.

Navegue suas respostas
1

Atualizei a política padrão do meu domínio para adicionar exceções ao Firewall do Windows, em

Modelos Administrativos < Rede < Conexão de rede < Firewall do Windows < Perfil do Domínio

Alterei o Firewall do Windows: defina exceções de programa e adicionei essas duas entradas: 

%system32%\lsass.exe:*:enabled:lsass
%system32%\svchost.exe:*:enabled:svchost

No entanto, quando eu executo o GPupdate / force a partir do meu computador cliente e executo 

netsh firewall show allowedprogram

Eu não vejo nenhuma dessas entradas que adicionei mostrando minhas exceções. Já faz meia hora desde que eu atualizei o objeto GP, então eu suponho que ele não deveria estar apenas esperando o tempo suficiente para rodar o gpupdate. Estou esquecendo de algo? Eu tentei executar rsop.msc, mas quando eu expandir modelos administrativos no rsop ele simplesmente para de responder depois de um tempo, ou demora um pouco e eu preciso deixá-lo sozinho?

Editar: Depois de executar GPupdate / force, recebo as informações do evento "A política de segurança nos objetos de política de grupo foi aplicada com êxito".

Depois de esperar mais com o RSOP, posso visualizar os Modelos Administrativos, ele mostra minhas configurações que permitem exceção de administração remota e exceção de área de trabalho remota está ativada. No entanto, não vejo nenhuma entrada para eles no firewall quando executo o comando netsh. Além disso, ainda estou recebendo falhas de segurança relatando que o lsass e o svchost estão procurando conexões, portanto, não está funcionando corretamente e, por algum motivo, não sendo exibido a partir do comando netsh.

Não consigo abrir \\ domain \ sysvol, mas posso abrir \\ DomainControllerName \ sysvol e ver 1 nó.

Editar:

Auditoria de falhas de segurança do Visualizador de eventos

O Firewall do Windows detectou um aplicativo escutando o tráfego de entrada.

Nome: - Diretório: C: \ WINDOWS \ system32 \ svchost.exe 

C:\>netsh firewall show config

Domain profile configuration (current):
-------------------------------------------------------------------
Operational mode                  = Enable
Exception mode                    = Enable
Multicast/broadcast response mode = Enable
Notification mode                 = Enable

Service configuration for Domain profile:
Mode     Customized  Name
-------------------------------------------------------------------
Enable   No          Remote Desktop
Enable   No          Remote Administration

Allowed programs configuration for Domain profile:
Mode     Name / Program
-------------------------------------------------------------------
Enable   Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Enable   Remote Assistance / C:\WINDOWS\system32\sessmgr.exe
Enable   Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe
Enable   Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe
Enable   Adobe CSI CS4 / C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe
Enable   AOL Instant Messenger / C:\Program Files\AIM\aim.exe
Enable   Microsoft Office Outlook / C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
Enable   Microsoft Office Groove / C:\Program Files\Microsoft Office\Office12\GROOVE.EXE
Enable   Microsoft Office OneNote / C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE
Enable   spiceworks / C:\Program Files\Spiceworks\bin\spiceworks.exe
Enable   spiceworks-finder / C:\Program Files\Spiceworks\bin\spiceworks-finder.exe
Enable   Yahoo! Messenger / C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
Enable   Microsoft Visual Studio 2008 / C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\devenv.exe
Enable   firefox / C:\Program Files\Mozilla Firefox\firefox.exe

Port configuration for Domain profile:
Port   Protocol  Mode     Name
-------------------------------------------------------------------
5353   TCP       Enable   Adobe CSI CS4
3389   TCP       Enable   Remote Desktop

Standard profile configuration:
-------------------------------------------------------------------
Operational mode                  = Enable
Exception mode                    = Enable
Multicast/broadcast response mode = Enable
Notification mode                 = Enable

Service configuration for Standard profile:
Mode     Customized  Name
-------------------------------------------------------------------
Enable   No          Remote Desktop

Allowed programs configuration for Standard profile:
Mode     Name / Program
-------------------------------------------------------------------
Enable   Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Enable   Remote Assistance / C:\WINDOWS\system32\sessmgr.exe
Enable   Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe
Enable   Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe

Port configuration for Standard profile:
Port   Protocol  Mode     Name
-------------------------------------------------------------------
3389   TCP       Enable   Remote Desktop

Log configuration:
-------------------------------------------------------------------
File location   = C:\WINDOWS\pfirewall.log
Max file size   = 4096 KB
Dropped packets = Disable
Connections     = Disable

Local Area Connection firewall configuration:
-------------------------------------------------------------------
Operational mode                  = Enable

Alguém tem alguma sugestão? Isso está fazendo com que meu log de segurança no visualizador de eventos seja preenchido e em outras estações de trabalho em minha rede para que eu precise limpar manualmente os logs para que os usuários regulares possam efetuar login em seu sistema.

Edit 8/4/2009 - Em uma inspeção mais profunda, na verdade não é a área de trabalho / administração remota que está preenchendo meu log de segurança, é o cache de DNS de carregamento svchost: C: \ WINDOWS \ system32 \ svchost.exe - k NetworkService com a DLL c: \ windows \ system32 \ dnsrslvr.dll

Eu tentei adicionar a própria dll à lista de programas permitidos, mas isso não pareceu ajudar e ela não permite adicionar o svchost diretamente à lista de exceções.

Tudo o que encontrar on-line aponta para este post: ID do evento 861 Source Security que simplesmente não é uma solução, pois envolve o svchost.

Esta postagem ID do evento 861 Identifique quais serviços estão sendo executados como um svchost é exatamente a mesma situação que eu, no entanto, menciona que a solução é desabilitar o dnsclient que obviamente não é uma opção em um ambiente de domínio.

De acordo com a Microsoft

Windows Firewall: dnscache

Updated: March 2, 2005

No Windows Firewall configuration is required to use this service.

Se for esse o caso, por que ele ainda está preenchendo meu visualizador de eventos? Parece que tem havido muitas pessoas afetadas por esse problema preenchendo seus logs de segurança, seja especificamente para dnscache ou outros serviços, tudo o que eu tenho encontrado pessoas simplesmente querem dizer vírus / malware etc e ninguém ofereceu uma solução diferente. que apenas desabilitar o rastreamento de auditoria ou desabilitar a execução do serviço de firewall.

    
por Chris Marisic 28.07.2009 / 15:51

3 respostas

1

I cannot open \domain\sysvol however I can open \DomainControllerName\sysvol fine and see 1 node.

Isso parece apoiar a teoria de Evan de que você tem problemas mais gerais com o seu AD. Posso sugerir que você recue um pouco do trabalho específico do firewall (há muitas variáveis lá) e tente definir algumas outras políticas de grupo e, em seguida, verificar se elas são executadas? Não resolverá o problema específico que você está tendo, mas ajudará a confirmar se a teoria está correta.

Você também pode verificar se o Serviço de Replicação de Arquivos e o Serviço DFS estão sendo executados em todos os seus DCs? Além disso, cada um pode resolver nome para IP e IP para nome para si e todos os outros DCs, cada um com um FQDN definido corretamente e cada um pode resolver seu nome de domínio para os endereços IP de seus DCs usando nslookup.

Por fim, você deve usar o replmon para determinar se a replicação do AD está íntegra e resolver todos os problemas que surgem antes de continuar com qualquer outra coisa.

    
por 03.08.2009 / 17:44
0

Se você alterar esta parte da política:

Firewall do Windows: permitir exceção de administração remota

que adicionará automaticamente o lsass e o svchost como exceções.

    
por 28.07.2009 / 17:54
0

Parece-me que você está tendo um problema geral de aplicativo de diretiva de grupo. Normalmente, isso é causado por:

  • Configurações de DNS incorretas no computador cliente
  • Vinculando o GPO no local incorreto para fazer o que você pretende
  • Problemas de replicação com a parte do arquivo do GPO entre computadores do controlador de domínio

O que você está vendo no log de eventos do aplicativo no computador cliente depois de tentar forçar uma atualização de política?

O RSoP pode demorar um pouco para expandir o nó "Modelos Administrativos", mas se ele nunca voltar, suspeito que o computador cliente esteja com dificuldades para acessar o domínio SYSVOL. Você poderia diagnosticar isso ao tentar abrir \ domain \ sysvol em "Iniciar / Executar". Você deve ver um único diretório listado lá com o nome DNS do seu domínio. Se você receber algum erro, provavelmente terá configurações de DNS incorretas no computador cliente.

    
por 28.07.2009 / 18:32

Tags

RHEL5 Xen dom0 max memória? O que está incluído em um Backup de 'Estado de Servidor', e isso é suficiente?