Trudno jest podać dokładny przepis na dobrze skonfigurowany Firewall, ponieważ jego konfiguracja zależy od usług i funkcjonalności, które masz na serwerze.
Jedno jest pewne, Firewall MUSI BYĆ ZAWSZE WŁĄCZONY!!
Znajdź porty, których potrzebuje Twoja aplikacja, aby działać.
Zastosowanie ma zasada najmniejszych uprawnień – otwórz tylko porty i pozwól aplikacjom, które muszą komunikować się przez sieć.
W Panelu sterowania – Zapora systemu Windows Defender – kliknij Ustawienia zaawansowane (Advanced Settings) – zdefiniuj ustawienia przychodzące i wychodzące osobno. Reguły przychodzące są niezwykle ważne, ponieważ otwarte porty w Regułach przychodzących umożliwią dostęp do serwera z sieci lokalnej lub Internetu.
Pozostaw (lub przenieś) kartę sieciową na ustawienie „Sieć publiczna (Public network)” – jest ono bardziej restrykcyjne.
Ustawienia –> Sieć i Internet –> Ethernet –> Typ profilu sieciowego –> Sieć publiczna (Settings –> Network & Internet –> Ethernet –> Network Profile type –> Public network).
Wyłącz dostęp do WinRM z zewnątrz!! Pozostaw go tylko wtedy, gdy jest zabezpieczony i potrzebny – jeśli nie wiesz, co to jest – wyłącz tę regułę.
Wyłącz dostęp do PowerShell z sieci zewnętrznych (zezwól tylko na LAN). PowerShell jest często wektorem złośliwych ataków, możesz wymusić do niego dostęp tylko z sieci wewnętrznej/lokalnej i zablokować cały dostęp z zewnątrz.
Uruchom cmd jako Administrator:
Pierwsze polecenie pozwoli na dostęp z sieci lokalnej:
|
1 |
netsh advfirewall firewall add rule name="PS-Allow-LAN" dir=out remoteip=localsubnet action=allow program="c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe" enable=yes |
Drugi zablokuje dostęp ze wszystkich innych sieci:
|
1 |
netsh advfirewall firewall add rule name="PS-Deny-All" dir=out action=block program="c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe" enable=yes |
Następne polecenie zrobi to samo, ale dla wszystkich wersji programu PowerShell:
|
1 |
for /R %f in (powershell*.exe) do ( netsh advfirewall firewall add rule name=“PS-Allow-LAN (%f)" dir=out remoteip=localsubnet action=allow program=“%f" enable=yes netsh advfirewall firewall add rule name=“PS-Deny-All (%f)" dir=out action=block program=“%f" enable=yes ) |
Tak będzie wyglądać Twoja zapora sieciowa na końcu (część wychodząca):
To polecenie nie jest wszechmocne i jeśli atakujący zmieni nazwę polecenia PowerShell, nie zostanie przez to zablokowany. Ale tak czy inaczej, jest to solidny dodatek do zestawu narzędzi obronnych.
Logi Firewall
W Panelu sterowania –> Zapora systemu Windows Defender –> kliknij Ustawienia zaawansowane –> kliknij prawym przyciskiem myszy Zaporę systemu Windows Defender z zabezpieczeniami zaawansowanymi –> wybierz Właściwości. (Control Panel –> Windows Defender Firewall –> Advanced Settings –> right click on Windows Defender Firewall with Advanced Security –> Properties).
Dla każdego profilu zdefiniuj rejestrowanie – rozmiar dziennika, lokalizację oraz określ, czy chcesz rejestrować utracone pakiety i/lub udane połączenia.
W regułach przychodzących domyślnie otwartych jest wiele reguł – w zależności od celu instalacji serwera niektóre z tych reguł mogą wymagać pozostawienia otwartych.
Zazwyczaj wyłączam – AllJoyn Router, Cast to Device, mDNS, Start, Wireless Display, WLAN Service.
Windows Remote Management powinno być używane tylko w bezpiecznych/lokalnych środowiskach – nigdy nie powinno być bezpośrednio udostępniane na serwerach internetowych!! Więc wyłącz je, jeśli serwer jest udostępniany w Internecie. Jest to szczególnie problematyczne, jeśli nie jest używane w środowiskach domenowych, wtedy wraca do podstawowego uwierzytelniania i może również używać portu HTTP!
Poniżej znajduje się opis domyślnych reguł otwieranych w zaporze przychodzącej
AllJoyn Router – umożliwia lokalną komunikację sieciową między urządzeniami IoT przy użyciu struktury AllJoyn.
Cast to Device functionality – umożliwia przesyłanie multimediów z urządzenia do innych zgodnych urządzeń w sieci, takich jak telewizory lub głośniki.
Desktop App Web Viewer – obsługuje osadzone treści internetowe w aplikacjach desktopowych przy użyciu WebView2.
DIAL Protocol Server – ułatwia zdalny dostęp i połączenia VPN przy użyciu protokołów takich jak PPP (Point-to-Point Protocol).
Feedback Hub – umożliwia wysyłanie opinii i informacji diagnostycznych o systemie Windows do firmy Microsoft.
mDNS (Multicast DNS) – umożliwia urządzeniom wzajemne wykrywanie się w sieci lokalnej bez centralnego serwera DNS, często używanego do udostępniania urządzeń.
Microsoft Media Foundation Network Source – umożliwia przesyłanie strumieniowe i udostępnianie treści multimedialnych przez sieć.
Start – zarządza połączeniami sieciowymi w celu uruchamiania niektórych usług i aplikacji podczas rozruchu.
Windows Feature Experience Pack – obsługuje dodatkowe funkcje i środowiska systemu Windows dostarczane za pośrednictwem usługi Microsoft Update.
Zdalne zarządzanie systemem Windows (WinRM) – umożliwia zdalne zarządzanie urządzeniami z systemem Windows przy użyciu protokołów, takich jak zdalne zarządzanie programem PowerShell.
Wyświetlacz bezprzewodowy – umożliwia przesyłanie obrazu z urządzenia do zgodnych wyświetlaczy bezprzewodowych przy użyciu Miracast.
WLAN Service – zarządza połączeniami Wi-Fi i umożliwia dostęp do ustawień sieci bezprzewodowej.
Work or school account – ułatwia łączność sieciową w celu uzyskania dostępu do zasobów powiązanych z kontami służbowymi lub szkolnymi.
Your account – zarządza połączeniami sieciowymi powiązanymi z osobistymi kontami i usługami Microsoft.
Wskazówki dotyczące Firewall
- Jeśli to możliwe, utwórz regułę opartą na pliku binarnym lub wykonywalnym. W ten sposób reguła będzie aktywna tylko wtedy, gdy aplikacja jest aktywna.
- Wyłącz usługi takie jak WinRM, jeśli serwer jest bezpośrednio wystawiony na działanie Internetu
- Upewnij się, że masz odpowiednie nazwy i opisy dla każdej reguły, aby wiedzieć, co jest czym.
- Jeśli to możliwe, użyj zasad grupy, aby wymusić reguły zapory i zapory
- Segmentuj sieci i reguły (VLAN, DMZ – serwery produkcyjne, deweloperskie, internetowe…)
- Od czasu do czasu zmieniaj reguły (niektóre mogą być już niepotrzebne)
- Jeśli chcesz zidentyfikować zablokowane aplikacje – poszukaj identyfikatora zdarzenia 5031
Dodatkowa wskazówka dla Twojej stacji roboczej. Prawdopodobnie nie potrzebujesz reguł przychodzących, więc dlaczego nie zablokować ich całkowicie. Ale bądź ostrożny, to również zablokuje reguły, które są dozwolone!!!
Podsumowanie
Hardening firewalla w Windows Server 2025 polega na włączeniu zapory dla wszystkich profili, domyślnym blokowaniu ruchu przychodzącego oraz zezwalaniu jedynie na ściśle określone połączenia. Należy usuwać niepotrzebne reguły, ograniczyć dostęp zdalny (np. RDP) do zaufanych adresów IP oraz włączyć logowanie ruchu. Zarządzanie regułami najlepiej realizować przez GPO lub PowerShell, a konfigurację regularnie audytować i dokumentować.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
