3 votes

Remy Sharp avatar

Comment configurer le pare-feu Windows pour un contrôleur de domaine?

Demandé el 14 de Février, 2010
Quand la question a-t-elle été
12666 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Les paramètres par défaut du pare-feu de Windows sur le contrôleur de domaine semblent ouvrir un certain nombre de ports à tout type de connexion. Tout ce que je veux ouvrir vers Internet est le port RDP.

Est-ce que je peux et devrais restreindre manuellement chacune des règles entrantes pour autoriser la portée à être seulement le 'sous-réseau local'? Y a-t-il un moyen plus simple de le faire?

Demandé el 14 de Février, 2010 par Remy Sharp

Réponses

Trop de publicités?

2voto

Maximus Minimus avatar
Maximus Minimus Points 8917

Si vous utilisez le Pare-feu Windows (ou tout autre type de pare-feu logiciel fonctionnant sur la machine elle-même) pour protéger vos boîtes de l'internet, alors vous faites quelque chose de mal. Tout d'abord, cela implique que chacune de vos boîtes a une connexion directe à l'internet, et deuxièmement, cela vous place dans une situation où vous avez plusieurs pare-feu à configurer et gérer.

Vous avez besoin d'obtenir un véritable appareil pare-feu et de configurer votre routage de sorte que tout l'accès à l'internet passe par celui-ci. Vous donner un seul point d'accès à ou depuis l'internet est une exigence de sécurité de base. Cela ne doit pas être complexe ou cher et vous aidera à mieux dormir la nuit.

Répondu el 14 de Février, 2010 par Maximus Minimus (8917 Points )

1voto

th3dude avatar
th3dude Points 362

Essayez Windows Firewall with Advanced Security, qui vous permet de faire plus que l'interface utilisateur conviviale du panneau de contrôle.

Vous pouvez également envisager un fournisseur de pare-feu tiers.

Répondu el 14 de Février, 2010 par th3dude (362 Points )

1voto

Massimo avatar
Massimo Points 67633

Un contrôleur de domaine doit être assez ouvert pour fournir ses services à votre réseau; il ne doit simplement pas être directement connecté à Internet.

Modifier

D'accord, voyons ce que vous pouvez faire ici.

Exécuter les choses comme vous le faites actuellement est certainement une source de problèmes, vous devriez l'éviter à tout prix.

Vous avez deux solutions:

  • Supprimez la carte "privée" de tous les serveurs, utilisez uniquement l'adresse IP publique sur eux (mais utilisez une statique, pas DHCP!) et configurez le pare-feu sur chacun d'eux pour autoriser uniquement les connexions entre eux et depuis l'endroit où vous vous connecterez en RDP.
  • Supprimez la carte "publique" d'eux, les mettant ainsi dans un LAN privé, et ajoutez un autre ordinateur exécutant Windows RRAS ou ISA Server (ou FFTMG, ou Linux, ou tout ce que vous voulez) avec deux cartes réseau, une publique et une privée, agissant comme pare-feu pour votre réseau.

Quoi que vous fassiez, ne restez pas avec deux cartes réseau et des adresses IP publiques/privées en même temps sur tous vos ordinateurs. De cette manière, vous obtenez les problèmes des deux solutions plus le multi-homing, et les avantages d'aucune.

Répondu el 14 de Février, 2010 par Massimo (67633 Points )

0voto

rmwetmore avatar
rmwetmore Points 432

Essayez le lien suivant:

Présentation du service et exigences en termes de ports réseau pour le système Windows Server http://support.microsoft.com/kb/832017

J'espère que cela vous aidera.

Répondu el 16 de Février, 2010 par rmwetmore (432 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X