我更新了我的域的默认策略,以将例外添加到 Windows 防火墙中,如下所示
管理模板 < 网络 < 网络连接 < Windows 防火墙 < 域配置文件
我更改了 Windows 防火墙:定义程序例外并添加了以下 2 个条目:
%system32%\lsass.exe:*:enabled:lsass
%system32%\svchost.exe:*:enabled:svchost
但是当我从客户端机器运行 GPupdate /force 并运行
netsh firewall show allowedprogram
我没有看到我添加的这两个条目出现在我的异常中。自从我更新 GP 对象以来可能已经过去了半个小时,所以我认为这不应该是因为没有等待足够长的时间来运行 gpupdate。我错过了什么吗?我试过运行 rsop.msc,但当我在 rsop 中展开管理模板时,它会在一段时间后停止响应,还是它只是需要一段时间而我需要不管它?
编辑:运行 GPupdate /force 后,我收到事件信息“组策略对象中的安全策略已成功应用”。
在 RSOP 上等待一段时间后,我可以查看管理模板,它显示我的设置允许远程管理例外和远程桌面例外已启用。但是,当我运行 netsh 命令时,我在防火墙中看不到它们的任何条目。此外,我仍然收到安全故障报告,报告 lsass 和 svchost 正在寻找连接,所以这不是正常工作,而是由于某种原因未从 netsh 命令显示。
我无法打开 \\domain\sysvol,但是我可以打开 \\DomainControllerName\sysvol 并看到 1 个节点。
编辑:
事件查看器安全故障审核
Windows 防火墙检测到一个正在监听传入流量的应用程序。
名称:- 路径:C:\WINDOWS\system32\svchost.exe
C:\>netsh firewall show config
Domain profile configuration (current):
-------------------------------------------------------------------
Operational mode = Enable
Exception mode = Enable
Multicast/broadcast response mode = Enable
Notification mode = Enable
Service configuration for Domain profile:
Mode Customized Name
-------------------------------------------------------------------
Enable No Remote Desktop
Enable No Remote Administration
Allowed programs configuration for Domain profile:
Mode Name / Program
-------------------------------------------------------------------
Enable Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Enable Remote Assistance / C:\WINDOWS\system32\sessmgr.exe
Enable Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe
Enable Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe
Enable Adobe CSI CS4 / C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe
Enable AOL Instant Messenger / C:\Program Files\AIM\aim.exe
Enable Microsoft Office Outlook / C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
Enable Microsoft Office Groove / C:\Program Files\Microsoft Office\Office12\GROOVE.EXE
Enable Microsoft Office OneNote / C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE
Enable spiceworks / C:\Program Files\Spiceworks\bin\spiceworks.exe
Enable spiceworks-finder / C:\Program Files\Spiceworks\bin\spiceworks-finder.exe
Enable Yahoo! Messenger / C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
Enable Microsoft Visual Studio 2008 / C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\devenv.exe
Enable firefox / C:\Program Files\Mozilla Firefox\firefox.exe
Port configuration for Domain profile:
Port Protocol Mode Name
-------------------------------------------------------------------
5353 TCP Enable Adobe CSI CS4
3389 TCP Enable Remote Desktop
Standard profile configuration:
-------------------------------------------------------------------
Operational mode = Enable
Exception mode = Enable
Multicast/broadcast response mode = Enable
Notification mode = Enable
Service configuration for Standard profile:
Mode Customized Name
-------------------------------------------------------------------
Enable No Remote Desktop
Allowed programs configuration for Standard profile:
Mode Name / Program
-------------------------------------------------------------------
Enable Network Diagnostics for Windows XP / C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Enable Remote Assistance / C:\WINDOWS\system32\sessmgr.exe
Enable Windows Live Messenger / C:\Program Files\Windows Live\Messenger\msnmsgr.exe
Enable Windows Live Sync / C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe
Port configuration for Standard profile:
Port Protocol Mode Name
-------------------------------------------------------------------
3389 TCP Enable Remote Desktop
Log configuration:
-------------------------------------------------------------------
File location = C:\WINDOWS\pfirewall.log
Max file size = 4096 KB
Dropped packets = Disable
Connections = Disable
Local Area Connection firewall configuration:
-------------------------------------------------------------------
Operational mode = Enable
有人有什么建议吗?这导致事件查看器中的安全日志已填满,并且在我的网络中的其他工作站上,我必须手动清除日志,以便普通用户能够登录他们的系统。
编辑于 2009/8/4- 经过进一步检查,发现实际上填满我的安全日志的并不是远程桌面/管理,而是 svchost 正在加载 dns 缓存:C:\WINDOWS\system32\svchost.exe -k NetworkService 和 DLL c:\windows\system32\dnsrslvr.dll
我尝试将 dll 本身添加到允许的程序列表中,但这似乎没有帮助,并且它不允许您将 svchost 直接添加到例外列表中。
我在网上找到的所有内容都指向这篇文章:事件 ID 861 来源安全这不是一个解决方案,因为它涉及 svchost。
这个帖子事件 ID 861 确定哪些服务以 svchost 形式运行和我的情况完全一样,但是它提到的解决方案是禁用 dnsclient,这在域环境中显然不是一个选项。
根据微软
Windows 防火墙:dnscache
更新日期:2005 年 3 月 2 日
使用此服务不需要 Windows 防火墙配置。
如果是这样,为什么它仍然填满我的事件查看器。似乎有很多人受到这个问题的影响,他们的安全日志被填满,无论是专门针对 dnscache 还是其他服务,我发现人们只是自动说病毒/恶意软件等,除了禁用审计跟踪或禁用防火墙服务运行之外,没有人提供其他解决方案。
答案1
我无法打开 \domain\sysvol,但是我可以正常打开 \DomainControllerName\sysvol 并看到 1 个节点。
这似乎支持了 Evan 的理论,即您的 AD 存在更普遍的问题。我是否可以建议您暂时放弃防火墙特定工作(那里有太多变量),并尝试设置一些其他组策略,然后看看它们是否可行?这不会解决您遇到的具体问题,但有助于确认该理论是否正确。
您还可以检查文件复制服务和 DFS 服务是否都在您所有的 DC 上运行吗?此外,每个服务都可以解析自己和所有其他 DC 的名称到 IP 和 IP 到名称,每个服务都具有正确设置的 FQDN,并且每个服务都可以使用 nslookup 将您的域名解析为您的 DC IP 地址。
最后,您应该使用 replmon 来确定您的 AD 复制是否健康,并在继续执行其他操作之前解决出现的任何问题。
答案2
如果您更改政策的这一部分:
Windows 防火墙:允许远程管理例外
这将自动添加 lsass 和 svchost 作为例外。
答案3
在我看来,您遇到了一般的组策略应用程序问题。通常,这是由以下原因造成的:
- 客户端计算机上的 DNS 设置错误
- 将 GPO 链接到错误的位置以执行您想要的操作
- 域控制器计算机之间的 GPO 文件部分的复制问题
尝试强制刷新策略后,您在客户端计算机上的应用程序事件日志中看到了什么?
RSoP 可能需要一点时间来展开“管理模板”节点,但如果它再也没有出现,那么我怀疑您的客户端计算机在访问域 SYSVOL 时遇到了困难。您可以通过尝试在“开始/运行”中打开 \domain\sysvol 来诊断。您应该会看到一个目录列在那里,其中包含您的域的 DNS 名称。如果您收到任何错误,则可能是客户端计算机上的 DNS 设置不正确。