Aturan otentikasi koneksi di Windows Firewall dengan Keamanan Lanjutan - Bagaimana-Untuk

Aturan otentikasi koneksi di Windows Firewall dengan Keamanan Lanjutan

Saya menemukan beberapa sumber daya singkat tentang bagaimana sebenarnya memanfaatkan beberapa fitur "Advanced" dari Windows Firewall dengan Advanced Security yang telah tersedia sejak pertengahan 2009. Ternyata cukup mudah untuk menyiapkan aturan dengan cakupan berdasarkan otentikasi Kerberos baik di Selain atau sebagai pengganti lingkup konvensional berdasarkan alamat IP / subnet.

Hal ini tampaknya bermanfaat untuk mencegah manusia dalam serangan tengah dan dapat sangat berguna pada jaringan "multi-penyewa" di mana Anda mungkin tidak diberikan segmentasi lapisan jaringan antara server dan perangkat yang tidak dipercaya.

Prasyarat:
Domain Direktori Aktif
-Server dengan 2008 r2 atau lebih baik
Klien dengan Windows 7 atau lebih baik
-Sebuah grup AD yang berisi semua objek komputer yang Anda inginkan untuk mengizinkan konektivitas

Total 14 Langkah

Langkah 1: Di klien Anda DAN server memulai pembuatan "Aturan Keamanan Koneksi" baru

Ini bisa dilakukan secara lokal atau melalui GPO. Untuk keperluan penulisan ini saya hanya akan melakukannya secara lokal:
-Luncurkan "firewall.cpl" dan klik "Pengaturan Lanjut"
-Klik "Aturan Keamanan Koneksi" di sebelah kiri
-Klik "Aturan Baru" di sisi kanan

Langkah 2: Pilih tombol radio "Isolasi" (Default) dan klik "Next"

Langkah 3: Pilih "Minta autentikasi untuk koneksi masuk dan keluar" (Default) dan klik "Next>"

Catatan: Jika Anda ingin lebih ketat dan tidak perlu mencampur pengecualian firewall berdasarkan subnet dengan pengecualian terautentikasi Kerberos Anda, Anda dapat memilih salah satu dari opsi "Memerlukan otentikasi ...".

Langkah 4: Pilih tombol radio "Computer (Kerberos V5)" dan klik "Next>"

Langkah 5: Hapus centang pada kotak "Pribadi" dan "Publik" dan klik "Berikutnya"

Tidak perlu untuk ini karena Anda tidak akan dapat mengotentikasi kecuali pada domain.

Langkah 6: Beri nama pada aturan dan klik "Selesai"

Saya menggunakan "Minta Kerberos Computer Authentication" tetapi Anda dapat membuatnya sesuka Anda.

Langkah 7: Di server Anda, buat aturan masuk yang sesuai untuk port atau layanan yang ingin Anda biarkan sesi terotentikasi terhubung ke

Dalam kasus saya, saya mengizinkan SMB / CIFS (Windows File Sharing) jadi saya hanya mengaktifkan dan memodifikasi aturan pra-konfigurasi untuk TCP 445 dan 139. Ini dapat berlaku untuk semua port atau layanan.

Sekali lagi ini bisa dilakukan secara lokal atau melalui GPO. Untuk keperluan penulisan ini saya hanya akan melakukannya secara lokal:
-Luncurkan "firewall.cpl" dan klik "Pengaturan Lanjut"
-Klik "Aturan Masuk" di sebelah kiri
-Kami akan berurusan dengan "Berbagi File dan Printer (SMB-In)" dan "Berbagi File dan Printer (NB-Sesi-In)" untuk keperluan penulisan ini

Langkah 8: Edit aturan "Berbagi File dan Printer (SMB-In)" dengan mengklik dua kali

Langkah 9: Di bawah "Tindakan" pilih "Izinkan koneksi jika aman"

Langkah 10: Klik "Kustomisasi ...", pilih "Izinkan koneksi menggunakan enkapsulasi nol" dan klik "OK"

Lebih lanjut tentang ini nanti tetapi ini akan memerlukan otentikasi melalui Kerberos tetapi tidak akan memerlukan enkripsi.

Langkah 11: Pilih tab "Komputer Jarak Jauh" dan centang kotak "Hanya izinkan koneksi dari komputer ini:"

Langkah 12: Klik tombol "Add ..." yang berdekatan lalu pilih objek komputer AD yang diinginkan atau grup yang berisi objek komputer.

Langkah 13: Klik "OK" dua kali

Aturan Anda sekarang harus memiliki gembok di atasnya.

Langkah 14: Ulangi langkah 8-13 untuk aturan yang disebut "Berbagi File dan Printer (NB-Session-In)"

Pada titik ini permintaan apa pun yang masuk pada port TCP 445 dan 139 (Atau apa pun yang Anda setup) akan ditolak kecuali sumbernya adalah objek komputer AD yang tercantum pada tab "Remote Computers". Ini bisa menjadi alat yang berguna untuk melapisi di atas aturan ruang lingkup yang sesuai dan izin NTFS / Share.

Lingkup ruang alamat dapat berlapis di atas lingkup terautentikasi Kerberos untuk memberikan lebih banyak pengecualian granular (mis. Anda harus menjadi objek komputer ini DAN Anda harus berada dalam ruang alamat ini). Selain itu, aturan paralel / duplikat dapat dibuat pada port / layanan yang sama untuk memungkinkan subnet tepercaya tanpa perlu otentikasi (mis. Anda harus menjadi objek komputer ini ATAU Anda harus berada di ruang alamat ini).

Untuk dimasukkan ke dalam produksi, kemungkinan di atas akan menghadirkan kebutuhan untuk mengelola grup termasuk semua objek komputer yang ingin Anda sambungkan. Bergantung pada seberapa dinamis yang ada di lingkungan Anda, skrip shell daya berjalan sesuai jadwal untuk menjaga agar kelompok tersebut dapat dihuni secara tepat. Tapi itu topik untuk How-to yang lain.

Untuk membawa ini ke tingkat berikutnya, jika Anda memiliki klien Server 2012+ dan Windows 8+ Anda dapat mengaktifkan dan memerlukan enkripsi SMB:
https://www.petri.com/configure-smb-security-windows-server-2012

Dalam prompt Powershell jalankan dua perintah ini:
Set-SmbServerConfiguration -EnableSMB1Protocol $ false
Set-SmbServerConfiguration –EncryptData $ true

Kemudian pada langkah 10 pilih tombol radio "Memerlukan koneksi yang akan dienkripsi".