उन्नत सुरक्षा के साथ Windows फ़ायरवॉल में कनेक्शन प्रमाणीकरण नियम - कैसे

उन्नत सुरक्षा के साथ Windows फ़ायरवॉल में कनेक्शन प्रमाणीकरण नियम

मुझे वास्तव में उन्नत सुरक्षा के साथ विंडोज फ़ायरवॉल की कुछ "उन्नत" सुविधाओं का उपयोग करने के बारे में कुछ संक्षिप्त संसाधन मिले, जो 2009 के मध्य से उपलब्ध हैं। जैसा कि यह पता चलता है कि केर्बोस प्रमाणीकरण के आधार पर स्कोप के साथ नियमों को सेटअप करना बहुत आसान है। इसके अलावा या आईपी पते / सबनेट के आधार पर पारंपरिक स्कोप के बदले में।

यह बीच के हमलों में आदमी को रोकने के लिए फायदेमंद प्रतीत होता है और "मल्टी-टेनेंट" नेटवर्क पर विशेष रूप से उपयोगी हो सकता है जहां आप सर्वर और अविश्वसनीय उपकरणों के बीच नेटवर्क परत विभाजन को बर्दाश्त नहीं कर सकते हैं।

पूर्व आवश्यक वस्तुएँ:
-एक्टिव डायरेक्टरी डोमेन
2008 r2 या बेहतर के साथ सेवर
विंडोज 7 या बेहतर के साथ ग्राहक
-एक AD समूह जिसमें सभी कंप्यूटर ऑब्जेक्ट हैं जिनसे आप कनेक्टिविटी की अनुमति देना चाहते हैं

कुल 14 चरण

चरण 1: अपने ग्राहकों और सर्वर पर एक नया "कनेक्शन सुरक्षा नियम" बनाने की पहल करें

यह स्थानीय रूप से या GPO के माध्यम से किया जा सकता है। इस लेखन के उद्देश्यों के लिए मैं इसे स्थानीय स्तर पर करूंगा:
-लंच "फ़ायरवॉल.प्लांट" और "उन्नत सेटिंग्स" पर क्लिक करें
बाईं ओर "कनेक्शन सुरक्षा नियम" पर क्लिक करें
दाईं ओर "नया नियम" पर क्लिक करें

चरण 2: "अलगाव" रेडियो बटन (डिफ़ॉल्ट) का चयन करें और "अगला" पर क्लिक करें

चरण 3: "इनबाउंड और आउटबाउंड कनेक्शन के लिए अनुरोध प्रमाणीकरण" (डिफ़ॉल्ट) का चयन करें और "अगला>" पर क्लिक करें

नोट: यदि आप अधिक सख्त होना चाहते हैं और आपको अपने केर्बरोस प्रमाणित अपवादों के साथ सबनेट पर आधारित फ़ायरवॉल अपवादों को मिलाने की आवश्यकता नहीं है, तो आप "प्रमाणीकरण की आवश्यकता ..." विकल्पों में से एक का चयन कर सकते हैं।

चरण 4: "कंप्यूटर (Kerberos V5)" रेडियो बटन का चयन करें और "अगला>" पर क्लिक करें

चरण 5: "निजी" और "सार्वजनिक" चेकबॉक्स का चयन करें और "अगला" पर क्लिक करें

जब तक आप डोमेन पर प्रमाणित नहीं कर पाएंगे, इनकी कोई आवश्यकता नहीं है।

चरण 6: नियम को एक नाम दें और "समाप्त करें" पर क्लिक करें।

मैं "रिक्वेस्ट करबरोस कंप्यूटर ऑथेंटिकेशन" का उपयोग करता हूं, लेकिन आप इसे पसंद कर सकते हैं।

चरण: अपने सर्वर पर उस पोर्ट (एस) या सेवा के लिए एक उपयुक्त इनबाउंड नियम बनाएं जिसे आप कनेक्ट करने के लिए प्रमाणित सत्रों को अनुमति देना चाहते हैं

मेरे मामले में मैं SMB / CIFS (विंडोज फाइल शेयरिंग) की अनुमति दे रहा हूं, इसलिए मैं टीसीपी 445 और 139 के लिए पूर्व-कॉन्फ़िगर किए गए नियमों को सक्षम और संशोधित कर रहा हूं। हालांकि यह किसी भी बंदरगाह या सेवा पर लागू हो सकता है।

एक बार फिर यह स्थानीय स्तर पर या जीपीओ के माध्यम से किया जा सकता है। इस लेखन के उद्देश्यों के लिए मैं इसे स्थानीय स्तर पर करूंगा:
-लंच "फ़ायरवॉल.प्लांट" और "उन्नत सेटिंग्स" पर क्लिक करें
-बाईं ओर "इनबाउंड नियम" पर क्लिक करें
-हम इस राइटअप के उद्देश्यों के लिए "फ़ाइल और प्रिंटर साझाकरण (SMB-In)" और "फ़ाइल और प्रिंटर साझाकरण (NB-Session-In)" के साथ काम करेंगे

चरण 8: "फाइल और प्रिंटर शेयरिंग (एसएमबी-इन)" नियम को डबल क्लिक करके संपादित करें

चरण 9: "एक्शन" के तहत "सुरक्षित होने पर कनेक्शन की अनुमति दें" चुनें

चरण 10: "अनुकूलित करें ..." पर क्लिक करें, "नल एनकैप्सुलेशन का उपयोग करने की अनुमति दें" का चयन करें और "ओके" पर क्लिक करें

इस पर बाद में और अधिक लेकिन यह Kerberos के माध्यम से प्रमाणीकरण की आवश्यकता होगी लेकिन एन्क्रिप्शन की आवश्यकता नहीं होगी।

चरण 11: "दूरस्थ कंप्यूटर" टैब का चयन करें और "इन कंप्यूटरों से केवल कनेक्शन की अनुमति दें" के लिए बॉक्स की जांच करें:

चरण 12: आसन्न "जोड़ें ..." बटन पर क्लिक करें और फिर इच्छित कंप्यूटर ऑब्जेक्ट्स या कंप्यूटर ऑब्जेक्ट्स वाले समूह का चयन करें।

चरण 13: दो बार "ओके" पर क्लिक करें

आपका नियम अब इस पर एक पैडलॉक होना चाहिए।

चरण 14: "फ़ाइल और प्रिंटर साझाकरण (NB-Session-In)" नियम के लिए चरण 8-13 दोहराएं

इस बिंदु पर पोर्ट्स 445 और 139 (या जो भी आप सेटअप करते हैं) पोर्ट पर किसी भी आने वाले अनुरोध को अस्वीकार कर दिया जाएगा, जब तक कि स्रोत "दूरस्थ कंप्यूटर" टैब पर सूचीबद्ध एडी कंप्यूटर ऑब्जेक्ट नहीं है। यह उपयुक्त पते के स्थान के ऊपर स्कूप किए गए नियमों और NTFS / शेयर अनुमतियों के ऊपर परत करने के लिए एक उपयोगी उपकरण हो सकता है।

अधिक ग्रेन्युलर अपवाद (यानी आप इस कंप्यूटर ऑब्जेक्ट होना चाहिए और आप इस एड्रेस स्पेस में होना चाहिए) को देने के लिए केर्बरोस प्रमाणित स्कोप के शीर्ष पर पता स्पेस स्कोप बिछाए जा सकते हैं। इसके अलावा, प्रमाणीकरण की आवश्यकता के बिना विश्वसनीय सबनेट की अनुमति देने के लिए समान पोर्ट / सेवाओं पर समान / डुप्लिकेट नियम बनाए जा सकते हैं (यानी आपको यह कंप्यूटर ऑब्जेक्ट होना चाहिए या आपको इस पता स्थान में होना चाहिए)।

उत्पादन में लगाए जाने के लिए उपरोक्त संभावना को उन सभी कंप्यूटर वस्तुओं सहित एक समूह को प्रबंधित करने की आवश्यकता होगी जिन्हें आप कनेक्ट करने की अनुमति देना चाहते हैं। इस बात पर निर्भर करता है कि आपके वातावरण में कितना गतिशील है कि समूह को सही ढंग से रखने के लिए शेड्यूल पर चलने वाला पावर शेल स्क्रिप्ट क्रम में हो सकता है। लेकिन यह एक और हाउ-टू के लिए एक विषय है।

इसे अगले स्तर पर ले जाने के लिए, यदि आपके पास सर्वर 2012+ और विंडोज 8+ क्लाइंट हैं जिन्हें आप सक्षम कर सकते हैं और एसएमबी एन्क्रिप्शन की आवश्यकता हो सकती है:
https://www.petri.com/configure-smb-security-windows-server-2012

पॉवर्सशेल प्रॉम्प्ट में इन दोनों कमांड को चलाएं:
सेट-SmbServerConfiguration -EnableSMB1Protocol $ false
सेट-SmbServerConfiguration –EncryptData $ true

फिर चरण 10 में "एन्क्रिप्ट किए जाने वाले कनेक्शन की आवश्यकता है" रेडियो बटन का चयन करें।