web-dev-qa-db-ja.com

サービスを停止して無効化したときに、Windowsファイアウォールを再び有効にする方法を教えてください。

すべてのWindowsシステム管理者が2019年に知っておくべきことですが、 「Windowsファイアウォール」サービスはWindowsネットワークスタックの重要なコンポーネントであり、決して停止して無効にすることはできません ;トラフィックをWindowsサーバーとの間でやり取りする正しい方法は、ファイアウォールを設定して、何も通過させるが、実際にはWindowsファイアウォールサービスを停止しないことです。実際、これはMicrosoftによってサポートされていないだけでなく、あらゆる種類の奇妙なネットワークの問題を引き起こす可能性があります。

これは、 ドキュメント で(ある程度)明示的に言及されています:

サービスを停止してWindowsファイアウォールを無効にしないでください。代わりに、前述の手順のいずれか(または同等のグループポリシー設定)を使用してファイアウォールをオフにします。 [...]セキュリティが強化されたWindowsファイアウォールに関連付けられたサービスの停止は、Microsoftではサポートされていません。

さて、以前のシステム管理者がWindowsファイアウォールサービスを無効にすることは良い考えであると考えていたサーバーがたくさんあります。再アクティブ化する必要がありますが、再アクティブ化するとすぐに、システムへのネットワーク接続が失われます(もちろん、RDPなどを許可するようにWindowsファイアウォールを実際に構成する必要がないため)。また、GUIまたはnetshを使用して、サービスを再起動する前にWindowsファイアウォールの構成を手動で変更することもできません。どちらのツールも、Windowsファイアウォールサービスが停止していると文句を言うため、何も構成できません。

これまでのところ、実行可能な唯一のアプローチは、これらのサーバーの物理(OK、仮想)コンソールを使用してWindowsファイアウォールサービスを再度有効にし、適切なファイアウォール例外を設定する(またはすべてのトラフィックを完全に許可する)ことでした。ただし、これは、多数のシステムの場合、または実際にコンソールにアクセスできない場合には実行できません。

すべて(または一部)の着信接続を受け入れるようにWindowsファイアウォールを構成するにはどうすればよいですかサービスがダウンしていて再起動する前

2
Massimo

それは本当にばかげた考えかもしれませんが、サービスを再起動した後にnetshを介して作成する必要があるルールがわかっている場合は、スクリプトを作成してみませんか? Windowsファイアウォールサービスを開始するスクリプトを記述します。次のコマンドは、すべてを許可するnetshです(少なくともRDPを使用して、リモートでリモートから調整できるようになります)。

1
Aura

別の方法は、グループポリシーを使用して、必要なファイアウォール設定を事前に構成することです。サーバーがドメインメンバーではない場合でも、ローカルグループポリシーを使用できます。

ただし、このシナリオで設定がすぐに開始されるかどうかはわかりません。それらは、次のグループポリシーの更新時にのみ有効になる場合があります。もちろん、ファイアウォールを起動してグループポリシーを更新するスクリプトを作成することもできます。

0
Harry Johnston