نوشتن Rule های امنیتی در فایروال ویندوز برای محدودیت ریموت دسکتاپ
چند تا سناریو میخوام در ویندوز فایروال با Inbound Rule و Outbound Rule پیاده کنم به شرح زیر، لطفا راهنماییم کنین؟
اگه ما بخوایم سناریویی به این صورت پیاده کنیم که:
- هیچ سیستمی در شبکه دامین نتونه به هیچ سیستم دیگه (در شبکه دامین) ریموت دستکتاپ بزنه اونو با Inbound Rule می بندیم؟
- سیستمای حاضر در شبکه دامین نتونن به هیچ سیستمی در خارج از شبکه دامین ریموت بزنن، بازم اونو با Outbound Rule میبندیم!؟
- بر عکسش اگه بخوایم از بیرون به سیستمای داخل شبکه دامینمون بتونن ریموت بزنن دسترسیشو با Inbound Rule باز می کنیم؟!
7 پاسخ
سلام دوست عزیز
به طور پیشفرض کامپیوتر های عضو دامین نمیتونن از Remote Desktop استفاده کنن. اگه میخواین به صورت Force این کارو خودتون انجام بدین میتونید سرویس Remote Desktop Services رو غیر فعال و از طریق Group Policy به تمامی کامپیوتر های عضو دامین اعمال کنید. اینکار رو میتونید از طریق فایروال خود ویندوز با تعریف یک Outbound Rule و بلاک کردن پورت 3389 و اعمال اون از طریق Group Policy به کامپیوتر های عضو دامین انجام بدین. اگه سرویس Remote Desktop یا حتی پورتش فعال نباشن نه شما میتونید ریموت دسکتاپ بزنید و نه از بیرون کسی میتونه به کامپیوترهاتون ریموت بزنه. لطفاََ سئوال چهارمتون رو در یک پست جداگانه ارسال کنید. متشکرم
1- وقتی تو قسمت Status در کنسول Services چیزی نشون داده نشه این به این معنیه که اون سرویس در حالت Stop قرار داره یا متوقف هستش.
2- خیر، همه مواردی که در بالا گفتم باید اوکی باشن تا بشه ریموت دسکتاپ زد.
2 تا سوال دیگه دارم استاد کریم پور و بعدش زحمتو کم میکنم:
1- در کلاینتنم وضعیت سرویس RDP به شکل زیر هست، این معلوم نیست استارته، استوپه، چی هست و نمیشه تغییرشم دارد !
2- اگه با فایروال پورت۳۳۸۹ رو باز کنیم و در کلاینتمون از قسمت Remote Desktop گزینه:
Allow remote connection to this computer
رو فعال کرده باشیم، میشه ریموت به کلاینت زد؟ یا باید RDP Service رو با سرور DC برای کلاینتها فعال کنیم؟
اینکه به صورت پیش فرض کامپیوترهای عضو دامین نمیتونن RDP بزنن، اینه که سرویس Remote Desktop Servicesبروی کلاینت ها توسط سرور dc غیر فعال شده یا windows firewall with advanced security اونو بسته؟ (منطقی تر اینه که فکر کنیم سرویس Remote Desktop Services در هنگام عضویت یک کلاینت به دامین بسته میشه، چون فایروال به صورت پیش فرض اصلا کانفیگی روش نیس)
ببینید برای اینکه یک کامپیوتر بتونه به یک کامپیوتر دیگه ریموت دسکتاپ بزنه باید سه جا چک بشه :
1- سرویس Remote Desktop Services باید فعال باشه
2- در System Properties ویندوز در تب Remote قسمت Remote Desktop باید گزینه Allow remote connections to this computer فعال شده باشه
3- در فایروال (چه ویندوزی چه غیر ویندوزی) پورت 3389 که سرویس Remote Desktop ازش استفاده میکنه اجازه عبور داشته باشه و بلاک نباشه
وقتی یک کامپیوتر عضو دامین میشه مورد دوم براش غیرفعال میشه.
هم میتونید سرویسش رو غیر فعال کنید و هم اینکه میتونید یه Inbound Rule بنویسید و اجازه استفاده از ترافیک ریموت دسکتاپ رو چه از طریق پورت 3389 و چه از طریق پروتکلش مسدود کنید. اما پیشنهاد میکنم سرویس Remote Desktop Services رو از طریق Group Policy غیرفعال کنید و به کامپیوتر های عضو دامین اون GPO رو لینک کنید تا نتونن از سرویس Remote Desktop استفاده کنن.
اینکه نوشتین، "به طور پیشفرض کامپیوتر های عضو دامین نمیتونن از Remote Desktop استفاده کنن. اگه میخواین به صورت Force این کارو خودتون انجام بدین میتونید سرویس Remote Desktop Services رو غیر فعال و از طریق Group Policy به تمامی کامپیوتر های عضو دامین اعمال کنید."
منظورتون از "... از طریق Group Policy به تمامی کامپیوتر های عضو دامین اعمال کنید." اینه که با Inbound Rule پورت 3389 رو ببندم؟ یا فقط کافیه با GP بیام سرویس فوق رو برای کل کامپیوترهای عضو دامین غیر فعال کنم؟