Windows server блокировка сайтов

Обновлено: 06.07.2024

Насколько я могу судить по собственному опыту, системы Windows Server 2008 R2 и Windows Server 2008 — это первые версии Windows Server, обеспечивающие успешную работу сервера в корпоративной среде при включенном межсетевом экране. Ключевую роль в этом процессе играет оснастка Firewall with Advanced Security консоли Microsoft Management Console (MMC)

В наши дни модель безопасности целиком строится на концепции уровней безопасности. Если средства защиты вашей сети окажутся скомпрометированными, уровни безопасности могут, по меньшей мере, ограничить фронт атаки злоумышленников или ослабить удар. .

Профили брандмауэров

Пользователи системы Server 2008 R2 могут применять три различных профиля Windows Firewall. В каждый момент активным может быть только один из них.

  1. Профиль домена (Domain profile). Этот профиль активен в ситуации, когда сервер подключен к домену Active Directory (AD) по внутренней сети. Как правило, в активном состоянии бывает именно этот профиль, поскольку серверы по большей части являются членами домена AD.
  2. Частный профиль (Private profile). Этот профиль активен, когда сервер является членом рабочей группы. Для данного профиля специалисты Microsoft рекомендуют использовать настройки с более строгими ограничениями, чем для профиля домена.
  3. Общий профиль (Public profile). Этот профиль активен, когда сервер подключен к домену AD через общедоступную сеть. Microsoft рекомендует применять для него настройки с самыми строгими ограничениями.

Открыв оснастку Firewall with Advanced Security, вы можете увидеть, какой профиль брандмауэра активен в данный момент. Хотя специалисты Microsoft указывают на возможность применения различных настроек безопасности в зависимости от параметров профиля сетевого экрана, я обычно настраиваю брандмауэр так, как если бы внешнего сетевого экрана не было вовсе. При таких настройках, если какие-либо порты на внешних брандмауэрах случайно останутся открытыми, трафик будет заблокирован экраном Windows Firewall в Server 2008. Как и в предыдущих версиях продукта Windows Firewall, в версии Server 2008 R2 все входящие соединения блокируются, а все исходящие от сервера по умолчанию беспрепятственно функционируют (если только в данный момент не действует правило Deny).

В организации, где я работаю, используются описанные выше параметры, так что конфигурация наших брандмауэров напоминает среду общих профилей. Создавая некое правило, мы активируем его для всех трех профилей. Используя единообразную для всех трех доменных профилей конфигурацию сетевых экранов, мы устраняем угрозу возможного и нежелательного открытия портов в случае изменения профиля брандмауэра Windows Firewall.

IPsec и изоляция доменов

Не отключайте брандмауэр

Я рекомендую при первоначальной установке системы Server 2008 R2 не отключать брандмауэр. В наши дни почти все приложения достаточно «интеллектуальны», чтобы автоматически открывать нужный порт в сетевом экране в процессе установки (что снимает необходимость вручную открывать на сервере порты для приема запросов интернет-клиентов). Одно из оснований не отключать брандмауэр в ходе установки состоит в том, чтобы обеспечить защиту операционной системы до того, как вы получите возможность применить новейшие обновления.

Брандмауэр интегрирован с ролями и средствами диспетчера Server Manager. Когда на сервере добавляется роль или функция, брандмауэр автоматически открывает соответствующие порты для приема интернет-запросов. Система управления базами данных SQL Server по умолчанию использует порт TCP 1433. Поэтому администратор должен вручную создать правило для приема запросов, санкционирующее трафик для SQL Server через порт TCP 1433. Альтернативное решение — изменить настройки по умолчанию.

Создание правил для обработки входящего трафика

Если вы не будете отключать брандмауэр, вам, скорее всего, придется в тот или иной момент вручную создавать правило для приема запросов. Существует немало правил, созданных (но отключенных по умолчанию) для большого числа популярных приложений Windows.

Перед тем как приступать к созданию правила, удостоверьтесь, что правило, санкционирующее обработку интересующего вас трафика, пока не составлено. Если такое правило уже существует, вы можете просто активировать его и, возможно, изменить заданную по умолчанию область применения. Если же найти подходящее правило не удается, вы всегда можете создать его, что называется, с чистого листа.

В меню Start выберите пункт Administrative Tools, а затем щелкните на элементе Windows Firewall with Advanced Security. На экране появится окно оснастки Firewall with Advanced Security. Я покажу на примере, как создать правило, санкционирующее входящий трафик SQL Server через порт TCP 1433 с интерфейсного сервера Microsoft Office SharePoint Server.

Правой кнопкой мыши щелкните на пункте Inbound Rules и выберите элемент New Rule. Как показано на экране 1, в качестве типа правила (rule type) можно указать Program, Port, Predefined или Custom. Я обычно выбираю тип Custom, поскольку в этом случае система предлагает ввести область применения правила. Для продолжения нажмите кнопку Next.

Выбор типа для нового правила обработки входящего трафика
Экран 1. Выбор типа для нового правила обработки входящего трафика

В открывшемся диалоговом окне, показанном на экране 2, можно указать программы или службы, к которым будет применяться правило. В нашем примере я выбрал пункт All programs, так что трафик будет управляться в зависимости от номера порта.

Затем, как видно на экране 3, я в качестве протокола указал TCP, а в раскрывающемся меню Local port выбрал пункт Specific Ports и указал порт 1433, по умолчанию применяющийся при работе с SQL Server. Поскольку удаленные порты относятся к категории динамических, я выбрал пункт All Ports.

В диалоговом окне Scope, показанном на экране 4, я в качестве локального IP-адреса указал 192.168.1.11, а в качестве удаленного IP-адреса — 192.168.1.10 (это IP-адрес интерфейсного сервера SharePoint нашей организации). Я настоятельно рекомендую указывать диапазон для каждого правила — на тот случай, если данный сервер вдруг окажется открытым для доступа из нежелательных подсетей.

Определение локального и удаленного IP-адресов в области применения нового правила обработки входящего трафика
Экран 4. Определение локального и удаленного IP-адресов в области применения нового правила обработки входящего трафика

В диалоговом окне Action на экране 5 я выбрал пункт Allow the connection, так как хотел разрешить входящий трафик для системы SQL Server. Можно использовать и другие настройки: разрешить трафик только в том случае, если данные зашифрованы и защищены средствами Ipsec, или вообще заблокировать соединение. Далее требуется указать профиль (профили), для которого будет применяться данное правило. Как показано на экране 6, я выбрал все профили (оптимальный метод). Затем я подобрал для правила описательное имя, указал разрешенную службу, область и порты, как показано на экране 7. И завершаем процесс создания нового правила для обработки входящего трафика нажатием кнопки Finish.

Указание действий, которые необходимо предпринять, если при соединении выполняется условие, заданное в новом правиле обработки входящего трафика
Экран 5. Указание действий, которые необходимо предпринять, если при соединении выполняется условие, заданное в новом правиле обработки входящего трафика

Назначение профилей, к которым будет применяться новое правило обработки входящего трафика
Экран 6. Назначение профилей, к которым будет применяться новое правило обработки входящего трафика

Именование нового правила обработки входящего трафика
Экран 7. Именование нового правила обработки входящего трафика

Создание правил для обработки исходящего трафика

Во всех трех профилях брандмауэра (то есть в доменном, открытом и частном) входящий трафик по умолчанию блокируется, а исходящий пропускается. Если воспользоваться настройками по умолчанию, вам не придется открывать порты для исходящего трафика. Можете прибегнуть к другому способу: заблокировать исходящий трафик (но тогда вам придется открыть порты, необходимые для пропускания исходящих данных).

Создание правил для обработки исходящего трафика аналогично созданию правил для входящего; разница лишь в том, что трафик идет в противоположном направлении. Если на сервер попал вирус, который пытается атаковать другие компьютеры через те или иные порты, вы можете заблокировать исходящий трафик через эти порты с помощью оснастки Firewall with Advanced Security.

Управление параметрами брандмауэра

Диагностика

Если при попытке подключиться к серверу у вас возникают трудности, попробуйте активировать процедуру регистрации; это позволит получить информацию о том, блокируются ли нужные вам порты. По умолчанию функция входа в систему через брандмауэр отключена. Для ее включения следует правой кнопкой мыши щелкнуть на оснастке Windows Firewall with Advanced Security и в открывшемся меню выбрать пункт Properties. Теперь в разделе Logging перейдите на вкладку Active Profile (Domain, Private, or Public) и выберите пункт Customize.

По умолчанию журнал регистрации брандмауэра располагается по адресу C:\Windows\system32\Log Files\Firewall\pfirewall.log. Выясняя причины неполадок в функционировании средств подключения, я, как правило, регистрирую только потерянные пакеты, как показано на экране 8; иначе журналы могут заполниться массой ненужных сведений об успешных соединениях. Откройте журнал в редакторе Notepad и выясните, происходит ли потеря пакетов при прохождении брандмауэра.

Активация журнала брандмауэра для доменного профиля
Экран 8. Активация журнала брандмауэра для доменного профиля

Еще один совет из области диагностики: отключите брандмауэр; вероятно, после этого возможности соединения будут восстановлены. Если вам удалось восстановить соединение с отключенным сетевым экраном, откройте окно командной строки и введите команду Netstat -AN; таким образом вы сможете просмотреть детали соединения. Если приложение подключается по протоколу TCP, вы сможете определить порты приложения, просмотрев локальные и «чужие» IP-адреса с состоянием Established. Это особенно удобно в ситуациях, когда вы не знаете наверняка, какой порт (или порты) то или иное приложение использует для установления соединения.

Ваш помощник — сетевой экран

Системы Server 2008 R2 и Server 2008 — это первые версии Windows Server, допускающие возможность функционирования корпоративной среды без отключения сетевого экрана. Важно только не отключать брандмауэр при установке на сервере какой-либо программы. Таким образом вы сможете испытывать средства подключения сервера до их развертывания в производственной сети. Чтобы узнать, имеет ли место потеря пакетов при прохождении через сетевой экран, установите настройку Log dropped packets. Тем, кто решит активировать брандмауэр на сервере после того, как этот сервер в течение некоторого времени проработал в производственной сети, я рекомендую для начала поместить его в лабораторную среду и определить, какие порты необходимы для открытия брандмауэра.

При администрировании серверов Windows Server 2012 или Windows Server 2016 мы должны постоянно обеспечивать правильную работу всех уровней безопасности и конфиденциальности.

  • Отвлечение в действиях, которые не являются трудовыми.
  • Высокое потребление ресурсов, таких как пропускная способность, при просмотре видео, потоковых или онлайн-играх.
  • Неэффективные.
  • Возможность получения вредоносных программ или вирусов при доступе к несанкционированным страницам, среди многих других причин.

Мы всегда думали, что только те страницы, которые должны быть блокированы порнографические, но есть много других, которые влияют на производительность и безопасность услуг, таких как страницы игр, видео, торговли, войны, алкоголь, среди многих другие.

Сегодня мы узнаем, как блокировать сайты с нашего DNS на Windows Server безопасным и эффективным способом.

Почему мы будем использовать DNS-сервер для ограничения доступа к определенным сайтам, потому что клиентские компьютеры запрашивают и проверяются в первичном DNS, поэтому сделанные нами изменения будут отражены на клиентских компьютерах.

Для этого исследования мы заблокируем доступ к YouTube и Facebook. Мы видим, что у нас есть доступ к любой из этих страниц перед выполнением изменения:

В следующем видеоуроке вы также подробно изучите, как блокировать веб-страницы через DNS-сервер в Windows Server 2016.

1. Как получить доступ к DNS-консоли Windows Server 2016

  • Администратор сервера
  • инструменты
  • DNS

Шаг 2
Будет отображена следующая консоль DNS:

2. Как создать зону для ограничения доступа к Windows Server 2016


Чтобы предотвратить доступ к определенным сайтам, необходимо создать новую зону, указывающую на соответствующие сайты, чтобы сайт возвращал ошибку, которую сервер не обнаружил, поскольку мы не будем создавать какие-либо записи хоста, указывающие на сервер назначения.

Шаг 1
Чтобы создать эту зону, мы щелкните правой кнопкой мыши на поле «Зона прямого поиска» и выберите опцию «Новая зона».

Шаг 2
Будет отображен следующий мастер:

Шаг 3
Нажмите Далее и во всплывающем окне выберите опцию «Основная зона» и снимите флажок «Сохранить зону в Active Directory», расположенный внизу.

Шаг 4
Нажмите Далее, и в поле «Имя зоны» мы назначим соответствующее имя зоне, которое позволит нам идентифицировать его:

Шаг 5
Нажмите Далее и в отображаемом окне мы не вносим никаких изменений:

Шаг 6
Еще раз нажмите «Далее», в появившемся окне установите флажок «Не поддерживать автоматические обновления».

Шаг 7
Нажав Далее, мы увидим сводку области, которая будет создана.

Шаг 8
Нажмите «Готово», чтобы закрыть мастер и увидеть нашу новую созданную зону:

Шаг 9
Важно убедиться, что зона указывает на DNS-сервер, для этого мы выбираем новую зону слева:

3. Как очистить кеш Windows Server 2016


Чтобы процесс обновления был намного быстрее и эффективнее, мы очистим кеш сервера, для этого щелкните правой кнопкой мыши на имени сервера и выберите опцию «Очистить кеш».

Мы также можем удалить кэш устройства, используя команду « ipconfig / flushdns» из командной строки .

4. Как проверить доступ к веб-сайту Windows Server 2016

Теперь эта политика будет установлена ​​для всех клиентских компьютеров, поскольку они выполняют поиск через DNS-сервер.

Если мы хотим добавить больше сайтов, чтобы они были заблокированы в нашей организации, достаточно просто создать новые зоны и таким образом избежать доступа к этим сайтам.

С помощью этой простой процедуры мы можем повысить уровень безопасности и производительности для всех пользователей, которым мы отвечаем в области поддержки или управления. Дополнительные сведения о DNS см. В разделе, как установить DNS-сервер в Windows Server 2016.

СТАТЬЯ ПО ТЕМЕ Конвертировать виртуальную машину VMware в VirtualBox и наоборот

Список постов

Читайте сегодня

Статьи от подписчиков

СТАТЬИ

  • Как получить доступ к сервисам, работающим на Android 6.0 Marshmallow
  • Как открыть MSConfig в Windows 10 или в системных настройках
  • Невозможно подключиться к прокси-серверу Windows 10
  • Как смотреть iPhone X на телевизоре или проекторе
  • Что это такое и чем отличаются QLED от OLED экрана
  • Изменить звук запуска Mac OSx
  • Как установить пароль для файлов и папок Mac
  • Как установить собственный фон для видеозвонков в Skype

Категории

ЧИТАЙТЕ ТАК ЖЕ

Windows 10 Pro - одна из самых универсальных редакций Microsoft, поскольку они предлагают нам больше функций администрирования и разработки, таких как комбинация доменов, управление групповой политикой, BitLocker и многие другие, которые мы не находим, например, в редакции Pro. .

В этом руководстве мы увидим, как загрузить Windows 10 Pro ISO и, таким образом, насладиться этой замечательной операционной системой...

По умолчанию, когда мы загружаем ISO-образ с официального сайта Microsoft, появляются выпуски Windows 10 Home и Pro, но сегодня мы увидим, как сделать доступной только Windows 10 Pro.

Чтобы не отставать, не забудьте подписаться на наш канал на YouTube! ПОДПИСЫВАТЬСЯ Как иметь две учетные записи Dropbox на одном компьютере В настоящее время облачные решения становятся одной из наиболее функциональных альтернатив для размещения наших файлов в различных местах с лучшими функциями безопасности и надежности, поскольку когда мы размещаем элемент в облаке, он будет храниться непосредственно на серверах. разработчика и, таким образом, мы будем иметь уверенность в его целостности. Одним из наиболее часто используемых облачных решений на сегодняшний день является Dropbox, который был разработан как сервис, с помощью которого пользователи мо Как заблокировать видео на YouTube Безопасность нас и всех, кто нас окружает, очень важна. Сегодня мир Интернета полон информации и различного контента, который много раз может помочь нам, но многие другие находятся под угрозой причинения нам вреда, но самые маленькие из дома. Активизировать родительский контроль на ПК или Mac, а также на мобильных устройствах очень важно, потому что таким образом мы сможем заблокировать весь контент для взрослых и многие другие вещи в И


Сервер IIS 7 и предыдущие версии содержали встроенную функциональность, которая позволяла администраторам разрешить или запретить доступ к серверу для определенных IP-адресов (или их диапазонов). Когда IP-адрес блокировался, любой HTTP-клиент с таким IP получал в ответ на запрос к серверу HTTP-ошибку "403.6 Forbidden". Этот функционал позволял администраторам настроить доступ к их серверу на основе активности, которую они могли проанализировать по логам сервера. Тем не менее, это был ручной процесс. Даже при том, что управление функциями могло настраиваться через скрипты для определения подозрительных пользователей с помощью анализа логов утилитами типа Microsoft's LogParser, все равно требовалось много ручной работы.

Решение

Пошаговая инструкция

image

Сервер IIS 8.0 может быть сконфигурирован для блокировки доступа к веб-сайтам на основе определенного числа запросов в единицу времени, которые производит клиент. Другим вариантом является блокировка на основе количества одновременных подключений клиента.

Осуществите вход в систему с учетной записью администратора. Откройте Internet Information Services (IIS) Manager. Выберите свой сервер, сайт или папку в окне Connections и затем в панели функций запустите IP Address and Domain Restrictions.

image

Нажмите Edit Dynamic Restriction Settings на панели Actions.

image

В окне Dynamic IP Restriction Settings выберите Deny IP Address based on the number of concurrent requests, если вы хотите предотвратить слишком много одновременных подключений от пользователя. Если вы хотите предотвратить слишком большое количество запросов от пользователя, выберите Deny IP Address based on the number of requests over a period of time.

image

Конфигурирование поведения IIS при запрете IP-адресов

В IIS 7 и ранних версиях, сервер возвращал HTTP-ошибку "403.6 Forbidden", когда происходила блокировка IP-адреса. В IIS 8.0 администраторы могут сконфигурировать свой сервер для того, чтобы запрещать доступ с IP-адресов несколькими дополнительными вариантами.

Для того чтобы указать то, как должен поступать IIS, когда он блокирует IP-адрес, выполните следующие шаги:

Осуществите вход в систему с учетной записью администратора. Откройте Internet Information Services (IIS) Manager. Выберите свой сервер, сайт или папку в окне Connections и затем в панели функций запустите IP Address and Domain Restrictions.

image

Нажмите Edit Feature Settings на панели Actions.

image

Конфигурирование IIS для прокси-режима

Для конфигурирования IIS для прокси-режима проделайте следующие шаги.

Осуществите вход в систему с учетной записью администратора. Откройте Internet Information Services (IIS) Manager. Выберите свой сервер, сайт или папку в окне Connections и затем в панели функций запустите IP Address and Domain Restrictions.

image

Нажмите на Edit Feature Settings в панели Actions.

image

В окне Edit IP and Domain Restriction Settings выберите Enable Proxy Mode.

image

Заключение

В этом руководстве вы познакомились с конфигурирование IIS для динамического блокирования доступа к вашему серверу на основе числа запросов от клиента, а так же с настройкой поведения IIS, которое сервер будет использовать при блокировке потенциальных злоумышленников.

От переводчика

Вы можете прочитать обзорную статью о многих других нововведениях в IIS 8 (на русском) по этому адресу.


В данном видео рассмотрим назначение файла hosts в операционной системе Windows, а так же способы запрета на доступ к сайтам и варианты обхода данного запрета.

Вообще, существует множество способов запретить доступ к определенным сайтам (настройка антивируса, настройка браузера, использование специализированных программ). Но мы воспользуемся самым простым и быстрым, это запрет доступа к сайтам через файл hosts.

Но для начала нужно разобрать принцип работы браузера и понять на каком этапе, к алгоритму работы подключается файл hosts.

1) Сначала мы вводим адрес сайта в адресную строку браузера

2) Далее браузер проверяет в своем кэше, выполнялся ли вход на данный сайт прежде:

— если да, то он загружает информацию из кэша и подгружает обновленную информацию, если она появилась с момента последнего входа на сайт. Собственно благодаря использованию кэша браузера, сайты могут загружаться намного быстрее, так как информация тянется не из сети, а с жесткого диска;

— если нет, то выполняется запрос к тому самому файлу hosts.

3) В файле hosts хранится информация в виде соответствия между ip адресами и адресами сайтов. По сути, он является как бы локальным DNS сервером, так как в его функции, так же как и в функции DNS сервера, входит преобразование доменных имен в IP адреса:

— если запись найдена, то выполняется загрузка сайта с указанного IP адреса;

— если нет, то выполняется запрос к кэшу DNS.

4) Кэш DNS, так же хранит информацию в виде соответствия между IP адресом и адресом сайта. Но в нем хранятся последние адреса, к которым были обращения, таким образом ускоряется процесс преобразования доменного имени в IP адрес:

— если запись найдена, то выполняется загрузка сайта с указанного IP адреса;

— если нет, то выполняется запрос к DNS серверу.

5) DNS сервер ищет IP адрес в глобальной базе адресов и:

— если находит, то выполняется загрузка сайта с указанного IP;

Таким образом, мы будем завершать алгоритм работы браузера на этапе обращения к hosts файлу.

А тестировать все это дело мы будем на самых популярных браузерах, это Internet Explorer, Opera, Google Chrome и Mozilla Firefox. С каждого браузера я зашел на сайт Вконтакте, чтобы далее проверить, для каких браузеров сразу сработают изменения в файле hosts, а для каких придется почистить кэш.

Перейдем к редактированию этого самого файла hosts, находится но по следующему пути (C:\ Windows \ system32 \ drivers \ etc \ hosts) Данный файл не имеет расширения, по этому для него не назначено никакой программы для редактирования, а редактировать его можно в обычном блокноте.

Если вы работаете под учеткой администратора, то можно просто запустить файл, указать в какой программе его открыть и редактировать. Если вы не администратор, то система не позволит вносить изменения в данный файл, по этому необходимо запустить блокнот от имени администратора и в нем открыть файл hosts.

— Internet Explorer (Сервис \ Свойства обозревателя \ История просмотра \ Удалить \ Удалить)

— Opera (Opera \ Настройки \ Безопасность \ Очистить историю посещений \ С самого начала \ Очистить историю посещений)

— Mozilla Firefox (Меню \ Настройки \ Дополнительные \ Сеть \ Кэшированное веб-содержимое \ Очистить сейчас)

— Google Chrome (Меню \ Настройки \ История \ Очистить историю \ За все время \ Очистить историю)

Так можно запретить доступ к сайтам дома или в небольшой одноранговой сети, но придется переписывать файл вручную на каждой машине. В доменной же сети, проще все это сделать при помощи групповых политик или proxy сервера. Кстати, если в сети работает прокси-сервер, то данный метод блокировки сайтов не поможет, так как в этом случае все запросы перенаправляются не на файл hosts и далее, а на прокси-сервер.

Бывает, что в результате действий вирусов над файлом hosts, могут не открываться определенные сайты, либо выполняется перенаправление на сайт злоумышленника. А так же могут не обновляться базы антивируса, так как в hosts заблокирован сайт обновлений. Так что, если компьютер начал неадекватно работать с сетью интернет, стоит проверить записи в файле hosts.

Вообще, данный метод работы с файлом hosts, чаще всего используется при взломе программ. Возможно, вы видели в инструкциях по взлому, что в некоторых случаях нужно отключить интернет и прописать необходимые записи в файле hosts. Все это делается для того, чтобы взломанная программа не смогла дозвониться до сайта официального производителя и сбросить лицензию, так как она является не действительной.

Так же есть некоторые хитрости, позволяющие обмануть человека, который знает, что блокировка сайта может заключаться в записях файла hosts. По этому, чтобы скрыть блокирующие записи, можно заполнить начало файла пустыми строками, а так же большим количеством пробелов перед записью. В данной ситуации, найти блокирующую запись поможет галочка Перенос по словам.

Читайте также: