tft每日頭條

 > 生活

 > windows 内置防火牆有哪些功能

windows 内置防火牆有哪些功能

生活 更新时间:2024-12-22 18:49:37

如果您忽略或禁用了Windows防火牆,則可能會缺少一些易于設置和維護的良好基本保護。

windows 内置防火牆有哪些功能(安全可以很簡單)1

  【IT168 評論】自從Windows XP sp2以來,Windows防火牆已經默認啟用,但我們仍然會看到一些因為老習慣而在部署時關閉防火牆的案例。随着Windows 10和Server 2019,最需要的防火牆策略大多已經内置,設置訪問相對容易一些。但有時用戶仍應該加強Windows防火牆的設置,以更好地保護用戶不受橫向移動和攻擊。

  為二進制文件或可執行文件構建規則

  如果應用程序需要一個特殊的規則,用戶應該基于二進制文件或可執行文件,而不是基于端口進行構建。這樣可以确保防火牆隻在應用程序處于活動狀态時打開。如果使用端口構建防火牆規則,則該端口将保持開放狀态并公開系統。

  識别被阻止的應用程序

  當應用程序被阻止時,Windows設備會默認發出通知。但IT管理員可能希望使用事件日志來識别被阻止的應用程序,而不是使用系統托盤中容易錯過的可視彈出窗口。想要确定Windows防火牆阻止了哪些應用程序,首先要搜索事件5031的事件日志,它表明Windows防火牆阻止了一個應用程序接受網絡上的連接。使用此事件檢測不存在Windows防火牆規則的應用程序。

  設置安全監控

  如果您使用安全事件日志監視解決方案來監視事件,請記住以下幾點:

  ●如果您有一個預定義的應用程序來執行此事件報告的操作,則監視“Application”不屬于您定義的應用程序的事件。

  ●監視“Application”是否在标準文件夾中(例如,不在system32或Program Files中)或在受限文件夾中(例如,臨時Internet文件)。

  ●如果在應用程序名稱中有一個預定義的受限子字符串或單詞列表(例如,“mimikatz”或“cain.exe”),請在“Application”中檢查這些子字符串。

  阻止powershell訪問Internet

  您可以使用Windows防火牆來阻止應用程序訪問資源。你可以阻止PowerShell訪問互聯網。下面的第一個規則允許PowerShell訪問本地子網。第二條規則是減少交通流量:

  C:\> netsh advfirewall firewall add rule name=“PS-Allow-LAN" dir=out \

  remoteip=localsubnet action=allow program="c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe" \

  enable=yes

  C:\> netsh advfirewall firewall add rule name=“PS-Deny-All" dir=out \

  action=block program="c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe" \

  enable=yes

  這樣可以保護您的系統免受利用PowerShell調用命令和控制計算機啟動勒索軟件和其他攻擊的攻擊。PowerShell不應該被删除,而應該進行加固和記錄,以确保它按預期使用。

  你還可以為多個版本的PowerShell構建規則:

  C:\> for /R %f in (powershell*.exe) do ( netsh advfirewall firewall add rule name=“PS-Allow-LAN (%f)" dir=out remoteip=localsubnet action=allow program=“%f" enable=yes

  netsh advfirewall firewall add rule name=“PS-Deny-All (%f)" dir=out action=block program=“%f" enable=yes )

windows 内置防火牆有哪些功能(安全可以很簡單)2

防火牆規則阻止PowerShell從互聯網訪問

  您将在出站防火牆規則設置中看到生成的規則:

windows 内置防火牆有哪些功能(安全可以很簡單)3

Windows防火牆規則

  如果PowerShell有意通過另一個位置調用二進制文件或重命名自身來隐藏自己,那麼這個過程将無法進行。

  使用PowerShell設置防火牆規則

  您可以按照Microsoft的說明使用PowerShell設置防火牆規則 。例如,要阻止服務器上的出站端口80,請使用以下PowerShell命令:

  New-NetFirewallRule -DisplayName "Block Outbound Port 80" -Direction Outbound -LocalPort 80 -Protocol TCP -Action Block

  你需要填寫的基本屬性是:

  ●防火牆規則的友好名稱

  ●方向——是否阻塞離開計算機(出站)或進入計算機(入站)的流量

  ●行動——如果滿足規則,采取什麼行動,允許或阻止

  您可以使用許多PowerShell模塊來更好地控制和管理Windows防火牆。所有這些都記錄在Netsecurity部分中。

  您需要填寫的基本屬性是:

  ●DisplayName –防火牆規則的友好名稱

  ●方向–阻止流量離開計算機(出站)或進入計算機(入站)

  ●行動-如果滿足規則,采取什麼行動,是允許還是進行阻止。

  您可以使用許多PowerShell模塊來更好地控制和管理Windows防火牆。所有内容都記錄在“ Netsecurity” 部分中。

  檢查新的Windows 10安全基準

  不要忘記,微軟在Windows 10的每個版本都會發布新的安全基準。作為基準的一部分,它們包括建議的防火牆策略。

windows 内置防火牆有哪些功能(安全可以很簡單)4

Windows 10 2004基準策略

  默認情況下,應該為域配置文件和專用配置文件阻止入站連接。

  定期審計設置

  最後,在檢查網絡的安全狀态時,定期随機抽取一些工作站,并審計它們的設置。檢查每個示例工作站上的防火牆策略。

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关生活资讯推荐

热门生活资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved