主页 / server / 问题 / 46961
Accepted
Chris Marisic
Asked: 2009-07-29 05:51:19 +0800 CST

防火墙定义程序例外组策略不适用

  • 772

我更新了我的域的默认策略以将例外添加到 Windows 防火墙,在

管理模板 < 网络 < 网络连接 < Windows 防火墙 < 域配置文件

我更改了 Windows 防火墙:定义程序例外并添加了以下 2 个条目:

%system32%\lsass.exe:*:enabled:lsass
%system32%\svchost.exe:*:enabled:svchost

但是,当我从客户端计算机运行 GPupdate /force 并运行时

netsh firewall show allowedprogram

我没有看到我添加的这些条目中的任何一个出现在我的例外中。自从我更新 GP 对象以来可能已经有半个小时了,所以我认为它不应该是因为没有等待足够长的时间来运行 gpupdate。我错过了什么吗?我试过运行 rsop.msc,但是当我在 rsop 中展开管理模板时,它会在一段时间后停止响应,还是只需要一段时间而我需要不理会它?

编辑:运行 GPupdate /force 后,我得到事件信息“组策略对象中的安全策略已成功应用。”

使用 RSOP 等待更长的时间后,我可以查看管理模板,它显示了我的设置,允许远程管理异常和远程桌面异常已启用。但是,当我运行 netsh 命令时,我在防火墙中看不到它们的任何条目。此外,我仍然收到报告 lsass 和 svchost 正在寻找连接的安全故障,因此它不仅仅是正常工作,并且由于某种原因没有从 netsh 命令显示。

我无法打开 \\domain\sysvol 但是我可以很好地打开 \\DomainControllerName\sysvol 并看到 1 个节点。

编辑:

事件查看器安全失败审计

Windows 防火墙检测到一个应用程序正在侦听传入流量。

名称:- 路径:C:\WINDOWS\system32\svchost.exe

C:\>netsh firewall show config

Domain profile configuration (current):
-------------------------------------------------------------------
Operational mode                  = Enable
Exception mode                    = Enable
Multicast/broadcast response mode = Enable
Notification mode                 = Enable

Service configuration for Domain profile:
Mode     Customized  Name
-------------------------------------------------------------------
Enable   No          Remote Desktop
Enable   No          Remote Administration

Allowed programs configuration for Domain profile:
Mode     Name / Program
-------------------------------------------------------------------
Enable   Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Enable   Remote Assistance / C:\WINDOWS\system32\sessmgr.exe
Enable   Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe
Enable   Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe
Enable   Adobe CSI CS4 / C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe
Enable   AOL Instant Messenger / C:\Program Files\AIM\aim.exe
Enable   Microsoft Office Outlook / C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
Enable   Microsoft Office Groove / C:\Program Files\Microsoft Office\Office12\GROOVE.EXE
Enable   Microsoft Office OneNote / C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE
Enable   spiceworks / C:\Program Files\Spiceworks\bin\spiceworks.exe
Enable   spiceworks-finder / C:\Program Files\Spiceworks\bin\spiceworks-finder.exe
Enable   Yahoo! Messenger / C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
Enable   Microsoft Visual Studio 2008 / C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\devenv.exe
Enable   firefox / C:\Program Files\Mozilla Firefox\firefox.exe

Port configuration for Domain profile:
Port   Protocol  Mode     Name
-------------------------------------------------------------------
5353   TCP       Enable   Adobe CSI CS4
3389   TCP       Enable   Remote Desktop

Standard profile configuration:
-------------------------------------------------------------------
Operational mode                  = Enable
Exception mode                    = Enable
Multicast/broadcast response mode = Enable
Notification mode                 = Enable

Service configuration for Standard profile:
Mode     Customized  Name
-------------------------------------------------------------------
Enable   No          Remote Desktop

Allowed programs configuration for Standard profile:
Mode     Name / Program
-------------------------------------------------------------------
Enable   Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Enable   Remote Assistance / C:\WINDOWS\system32\sessmgr.exe
Enable   Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe
Enable   Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe

Port configuration for Standard profile:
Port   Protocol  Mode     Name
-------------------------------------------------------------------
3389   TCP       Enable   Remote Desktop

Log configuration:
-------------------------------------------------------------------
File location   = C:\WINDOWS\pfirewall.log
Max file size   = 4096 KB
Dropped packets = Disable
Connections     = Disable

Local Area Connection firewall configuration:
-------------------------------------------------------------------
Operational mode                  = Enable

有人有什么建议吗?这导致我在事件查看器中的安全日志被填满,并且在我的网络中的其他工作站上,我必须手动清除日志,以便普通用户能够登录到他们的系统。

编辑 2009年 8 月 4 日-进一步检查它实际上不是远程桌面/管理正在填充我的安全日志,它是 svchost 加载 dns 缓存:C:\WINDOWS\system32\svchost.exe -k NetworkService 与 DLL c:\windows\ system32\dnsrslvr.dll

我尝试将 dll 本身添加到允许的程序列表中,但这似乎没有帮助,并且它不允许您将 svchost 直接添加到例外列表中。

我在网上找到的所有内容都指向这篇文章:Event ID 861 Source Security,这不是解决方案,因为它涉及 svchost。

这篇文章事件 ID 861 识别哪些服务作为 svchost 运行与我的情况完全相同,但它提到解决方案是禁用 dnsclient,这显然不是域环境中的选项。

根据微软

Windows 防火墙:dnscache

更新日期:2005 年 3 月 2 日

使用此服务不需要任何 Windows 防火墙配置。

如果是这样,为什么它仍然充满我的事件查看器。似乎有很多人受到这个问题的影响,填写他们的安全日志,无论是专门针对 dnscache 还是其他服务,我一直在发现人们只是自动想说病毒/恶意软件等,没有人提供其他解决方案不仅仅是禁用审计跟踪或禁用防火墙服务运行。

group-policy security domain-controller configuration

3 个回答

  1. Best Answer

    我无法打开 \domain\sysvol 但是我可以很好地打开 \DomainControllerName\sysvol 并看到 1 个节点。

    这似乎支持 Evan 的理论,即您的 AD 存在更普遍的问题。我可以建议您暂时退出防火墙特定的工作(那里的变量太多)并尝试设置其他一些组策略,然后看看它们是否接受?它不会解决您遇到的具体问题,但有助于确认理论是否正确。

    您是否还可以检查文件复制服务和 DFS 服务是否都在您的所有 DC 上运行?此外,每个都可以为自己和所有其他 DC 解析名称到 IP 和 IP 到名称,每个都具有正确设置的 FQDN,并且每个都可以使用 nslookup 将您的域名解析为您的 DC IP 地址。

    最后,您应该使用 replmon 来确定您的 AD 复制是否正常,并在继续进行其他任何操作之前解决出现的任何问题。

    • 1

  2. 如果您更改这部分政策:

    Windows 防火墙:允许远程管理例外

    这将自动添加 lsass 和 svchost 作为例外。

    • 0

  3. 在我看来,您遇到了一般的组策略应用程序问题。通常,这是由以下原因引起的:

    • 客户端计算机上的错误 DNS 设置
    • 将 GPO 链接到不正确的位置以执行您想要的操作
    • 域控制器计算机之间 GPO 文件部分的复制问题

    尝试强制刷新策略后,您在客户端计算机上的应用程序事件日志中看到了什么?

    RSoP 可能需要一段时间来扩展“管理模板”节点,但如果它永远不会回来,那么我怀疑您的客户端计算机在访问域 SYSVOL 时遇到了困难。您可以通过尝试在“开始/运行”中打开 \domain\sysvol 来诊断。您应该会看到其中列出了一个带有您的域的 DNS 名称的目录。如果您收到任何错误,则可能是客户端计算机上的 DNS 设置错误。

    • 0

相关问题