Добрый день.
Как можно эффективно ограничить удаленное управление (WinRM, RPC, WMI) в домене? Разрешить только с определенных ip или группе пользователей.
Пробовал на тестовой лабе с WinRM, через GPO разрешить с ip трафик в брандмауэре. Но в фаирволе есть пред настроенные правила разрешающие подключения с любого ip. Как их удалить или отредактировать через политики?
Значит надо отключить все ненужные правила и включить нужные, при помощи того же gpo
Не нашел пока как это сделать.
Я далал вообще по другому (то-же в gpo), но вот есть как вариант пару статей:
1 Like
Я бы сделал так:
Через GPO отключил стандартные правила и добавил своё(и). Получится что-то типа принудительного отключения встроенных правил и применение новых созданных.
Уверен, что Вы и так знаете, как строить правила файервола, однако вот так настроено у нас - работает (IP взяты для примера)
Создание политики здесь:
Добавил бы стандартные (предопределенные) правила WinRM в отключенном состоянии
и написал правило из первого фото.
1 Like
И еще - доступ для юзеров через группы разрешений разруливай, наверняка это можно сделать
Сделал по первой статье, экспортировал с клиента политики и импортировал их в групповую политику, применил политику на клиента и получилось что у меня на клиенте в фаирволе правила дублирубтся. И возвращаюсь к тойже проблеме что нужно все приавила на клиенте удалять, а потом уже можно настраивать через GPO.
Втом то и вопрос, как отулючить стандартные правила?
Всмысле ты настаиваешь правила в гпо, применяешь на клиента, что происходит на клиенте?
Добавить правило и снять галочку с “Включено”. Значок станет серым
Так задается принудительно отключенное правило. Его никто не сможет включить
На клиенте появляется 2 привила одно локальное, второе прилетает по политике
Это я понимаю, но проблема в том что локальные правила так и остаются локальными и не управляются через ГП
Хм, а вот так не должно быть. По сути, всё что я предлагал, и должно перекрывать локальные политики. Может я чего-то не знаю…
Может из-за разных наборов профилей, к которым они применены?
Вот 3 правила у меня (на фото), с зеленой галочкой от ГП, в нём никакие поля/настройки менять нельзя. Оно применено на нашу Доменную сеть + Частную сеть.
Остальные 2 можно менять, т.к. ГП применена только на Domain+Private. Но приоритетным должно считаться то, которое от ГП, а остальные должны игнорироваться, как бы они не менялись
П.С. Вышеописанное надо проверять, т.к. мне никогда не приходило в голову копье… ой мысль. А что, если все таки можно добавлять свои разрешающие правила, которые перекрывают запрещающие от ГП… Мое предложение не претендует на истину. Надо самому протестировать.
Если потерпит, я в понедельник на тестовом стенде проверю возможные варианты и напишу результат о том, считается ли правило от ГП приоритетным, перекрывающим всё, что сделает пользователь локально, или нет.
Возможно, слишком поздно пишу свои результаты:
-
Правила Групповых политик в любом случае имеют преимущество над правилами, которые пользователь создает в Firewall’е
-
Затем приоритет перехватывают запрещающие, созданные локально, а потом в силу вступают разрешающие, созданные локально
-
После этого, в самую последнюю очередь применяются правила, созданные по умолчанию (встроенные)
Вывод: встроенные правила, можно даже не трогать, если их условия идентичны тем, которые Вы задаёте в правилах Firewall’a с помощью Групповых политик
1 Like
Прошу прощения что не отвечал, уехал по работе, вернусь на выходных, поверю. Спасибо за ответвы!!!
1 Like
Понял свою ошибку. Я в первый раз импортировал в GPO правила фаирвола с локальной машины. Видимо это и стало причиной дублирования правил. Удалил все политики и настроил снова, все заработало. Нужно идти от простого к сложному, а у меня получилось на оборот 
Еще раз всем спасибо за помощь!!!
2 Likes