有时当系统启动时,他们根本不接受任何入站stream量,而且我的IPSec规则不能工作出站 – 看起来服务器停留在某种初始启动后configuration。 这主要是针对2008 R2和Windows 7。 我在前段时间看到,Windows高级防火墙中有一些默认configuration可以阻止所有入站stream量,只允许特定的出站stream量 – 如果我的内存用于域控制器,DNS,DHCP,但会阻止所有其他访问“真实”的规则被加载和应用。 这听起来像这是我的系统在重新启动后卡住的状态。 这个州的名字是什么,我怎么去诊断我的问题呢? 我很久以前就忘记了这些细节,我又花了一些时间find它们。 编辑: 我终于find了这个行为的适当名称, Windows防火墙启动时间filter 编辑: 这只是陌生人。 看起来我现在可以从非IPSEC启用的系统build立入站连接,但任何IPSEC请求都失败。 我启用了一些auditpol日志logging,我得到以下。 Additional Information: Keying Module Name: IKEv1 Authentication Method: Unknown authentication Role: Responder Impersonation State: Not enabled Main Mode Filter ID: 0 Failure Information: Failure Point: Local computer Failure Reason: No policy configured <<< Looks wrong. State: […]
我从Windows 8高级防火墙/ IPsec实现中得到了一些非常奇怪的行为。 现在看来,所有不是从先前联系的主机返回stream量的入站stream量正在被丢弃。 为什么? 背景: 我正致力于在我的networking上获得最初的Windows 8集成,主要是基于Windows 7和Server 2008 R2。 其中一个要求是使用IPsec。 我看到Windows高级防火墙中的一些非常不寻常的行为。 我通常不能使用IPsec安全连接(假定使用计算机名称或计算机组)build立入站连接。 出站连接很好。 在难得的机会,我得到一个入站连接工作,我得到如下所示,指示两个快速模式关联。 我已经尝试了所有我能想到的事情,即使使用两个没有任何组策略的股票窗口8系统,也可以用来排除我的环境。 行为保持不变。 这显然是在一定时间内join我的域名的所有系统,包括一些Windows 7。 build立完全相同的虚拟机,并join他们今天function正常100%。 我猜测,团体政策或类似的事情是挂断的,虽然在这种性质的失败日志中没有任何证据。 我已经尝试重新join域并删除C:\WINDOWS\security\Database\secedit.sdb 。 看起来这是一个更广泛的问题,然后只是入站ipsec – 这是所有问题机器上的入站stream量。 我closures了Windows防火墙服务,我的连接仍然失败。 直到我closures基础过滤引擎,才开始工作入站。 我曾尝试使用secedit /configure /cfg c:\Windows\inf\defltbase.inf /db defltbase.sdb /verbose来重置本地安全规则而不受影响。
这是我的基础架构configuration: 所有服务器都有公共IP 我已经设置了一个GPO,为每个人启用IPSec,对于所有服务器,使用“默认身份validation”的“入站和出站请求”规则。 除了“请求/请求”的Active Directory服务器,因为它不能与“请求/请求”一起工作。 我的第一个问题是:为什么我必须在“请求/请求”上设置AD服务器? 是否因为我使用基于Kerberos的默认身份validation方法? 我的第二个问题是:这样安全吗? 从我的看法来看,AD并没有被IPSec保护,所以它很脆弱,对吗? 这是否危险? 我的第三个也是最后一个问题:你们认为在Windows Server上使用完整的IPSec域隔离策略是最好的方法吗? 我对这项技术感到非常高兴,直到我发现AD没有得到保护。 谢谢你的时间!
从Windows Mystery Caves : 尝试访问Windows Server 2008 R2远程桌面会话主机的用户在尝试build立连接时正在获取networking超时。 远程桌面exception已启用并受限制(与其他子网一起)到远程子网192.168.202.0/23 。 用户主机的IP地址是192.168.203.63 。 防火墙日志不包含具有此IP地址的丢弃连接尝试条目。 如果我更改域configuration文件的Windows防火墙日志logging设置并启用这样的成功尝试的日志logging, 连接开始成功build立,并在防火墙日志中logging“允许”条目。 禁用成功尝试的logging会再次破坏用户的连接。 主机IP地址为192.168.203.71的另一台用户机器似乎不受影响,即使禁用了日志logging,也可以启动连接。 WTH? 除了实际启用日志function之外,日志logging设置的变化是什么?
我们有一个云networking服务器,为多个电子商务网站提供服务,运行Windows Server 2008 R2和IIS 7.5。 我们通过RDC访问服务器。 看了Windows安全日志后,我可以看到许多login尝试,这是事件: 4776 – 计算机尝试validation帐户的凭据。 4625 – 帐户login失败。 日志中的用户名是“pipe理员”,我们没有,我们使用一个不同的Windowslogin作为我们的pipe理员,我们有一个复杂的密码。 所以我不担心有人真的进入我们的服务器,担心我的是服务器资源被使用。 我知道我们可以locking使用Windows防火墙的RDC访问,所以只有我们的IP被接受。 但是我不知道如何进行这些login尝试。 我不知道我们是否可以区分这些login尝试和正常的HTTPstream量(我们的客户)。 我们可以使用Windows防火墙来阻止这些login尝试,但不阻止我们的RDC访问或我们的客户访问我们的网站..? 更新: 从安全日志: Event 4625 – An account failed to log on. Subject: Security ID: SYSTEM Account Name: [our_server_name]$ Account Domain: Workgroup Logon ID: 0x3e7 Logon Type: 10 Account For Which Logon Failed: Security ID: NULL SID […]
我一直负责在服务器上部署Windows防火墙,作为安全措施的附加措施。 我越调查在Exchange服务器上使用的端口,我越发现这是一个非常勤奋的任务。 有没有人做过这样的事情呢?还是普遍认为这是荒谬的,无法确定所有正在使用的港口。 根据微软公司的文档,他们声称使用这个端口,那个端口,这个端口和“多个dynamic端口”,以及如何钻取“许多dynamic端口”来允许他们通过防火墙? 欢迎任何帮助,意见或build议,并提前致谢!
在例如Windows Server 2008 R2中包含的最新版本的Windows防火墙中,可以阻止传入连接,并仅为一组用户(规则属性中的用户选项卡)应用此规则。 为什么这不可能出站连接规则,以及如何实现? 我需要一个软件解决scheme,阻止所有的互联网接入的特定用户和其他人,我希望通过Windows防火墙实现这一点。
我正尝试在Server 2008 R2上configurationWindows防火墙,以阻止除了添加到规则列表的stream量之外的所有内容。 我看到有三个政策 – 公共/私人/域名。 我已经做了相同的设置更改,但我只有一个NIC,并为其分配了域策略。 在域策略属性中,我将入站连接设置为“阻止(默认)”,但是这仍然让我们通过ICMP。 我将其更改为“阻止所有连接”,并创build了允许来自所有三个configuration文件的ICMP的入站规则,用于所有接口上的所有程序,但是这使得防火墙会丢弃ICMPstream量,即使我已为其创build了允许规则。 根据这份文件 ,允许规则应该根据默认规则进行确定。 我想设置我的默认规则来阻止所有stream量,只允许某些stream量与允许规则。 我创build了两个自定义允许规则: 允许所有程序/ IP地址的入站ICMPv4stream量。 允许所有程序/ IP地址的入站ICMPv6stream量。 通过将入站连接策略设置为阻止所有连接并启用上述允许规则,它仍会阻止我的远程ping。 我如何configurationWindows防火墙来做到这一点? 更新 – 事实certificate我使用了错误的GUI(令人尴尬)。 我没有在pipe理工具中使用GUI,而是使用组策略编辑器中的一个(看上去完全相同)。 在防火墙上已经有了规则,我在组策略编辑器中看不到。 这些规则正在生效,我没有意识到这引起了我的困惑。 为了做我想做的事情,我只需将策略设置为“阻止(默认)”(当然有正确的工具)。 删除所有先前存在的规则(我没有看到使用组策略编辑器)后,我只能通过创build特定的允许规则来允许我想要的stream量。
在Windows防火墙的单独规则下,“范围”选项卡允许您定义哪些IPS受制于规则。 其中一个内置选项是“本地子网”。 如何为Windows添加一个额外的子网,以了解它是一个可信任的网段? 我的问题直接涉及什么窗口(或域)设置可以应用到直接添加子网到预定义的组“本地子网”
我一直试图通过只允许来自一个IP地址的RDPstream量来将RDP保护到新的Windows 2008R2服务器(使用Windows防火墙)。 在“计算机”选项卡下,似乎只有在服务器设置为仅允许安全连接时,才能允许用户或计算机进行身份validation。 所以,我去“常规”选项卡,并在“行动”下设置为“允许连接,如果它是安全的”。 那时候我被拒之门外,无法重新连接RDP并重build(这是一个Rackspace云服务器,这么容易)。 我哪里错了? 我没有做任何事情,我的本地工作站(我假设我必须),因为我无法find任何东西在RDP客户端来改变encryption连接。