优化Windows防火墙安全性的步骤
如果您忽略或禁用了windows防火墙,则可能会缺少一些易于设置和维护的良好基本保护。
自从windows xp sp2以来,windows防火墙已经默认启用,但我们仍然会看到一些因为老习惯而在部署时关闭防火墙的案例。随着windows 10和server 2019,最需要的防火墙策略大多已经内置,设置访问相对容易一些。但有时用户仍应该加强windows防火墙的设置,以更好地保护用户不受横向移动和攻击。
为二进制文件或可执行文件构建规则
如果应用程序需要一个特殊的规则,用户应该基于二进制文件或可执行文件,而不是基于端口进行构建。这样可以确保防火墙只在应用程序处于活动状态时打开。如果使用端口构建防火墙规则,则该端口将保持开放状态并公开系统。
识别被阻止的应用程序
当应用程序被阻止时,windows设备会默认发出通知。但it管理员可能希望使用事件日志来识别被阻止的应用程序,而不是使用系统托盘中容易错过的可视弹出窗口。想要确定windows防火墙阻止了哪些应用程序,首先要搜索事件5031的事件日志,它表明windows防火墙阻止了一个应用程序接受网络上的连接。使用此事件检测不存在windows防火墙规则的应用程序。
设置安全监控
如果您使用安全事件日志监视解决方案来监视事件,请记住以下几点:
●如果您有一个预定义的应用程序来执行此事件报告的操作,则监视“application”不属于您定义的应用程序的事件。
●监视“application”是否在标准文件夹中(例如,不在system32或program files中)或在受限文件夹中(例如,临时internet文件)。
●如果在应用程序名称中有一个预定义的受限子字符串或单词列表(例如,“mimikatz”或“cain.exe”),请在“application”中检查这些子字符串。
阻止powershell访问internet
您可以使用windows防火墙来阻止应用程序访问资源。你可以阻止powershell访问互联网。下面的第一个规则允许powershell访问本地子网。第二条规则是减少交通流量:
c:\》 netsh advfirewall firewall add rule name=“ps-allow-lan“ dir=out \
remoteip=localsubnet action=allow program=”c:\windows\system32\windowspowershell\v1.0\powershell.exe“ \
enable=yes
c:\》 netsh advfirewall firewall add rule name=“ps-deny-all” dir=out \
action=block program=“c:\windows\system32\windowspowershell\v1.0\powershell.exe” \
enable=yes
这样可以保护您的系统免受利用powershell调用命令和控制计算机启动勒索软件和其他攻击的攻击。powershell不应该被删除,而应该进行加固和记录,以确保它按预期使用。
你还可以为多个版本的powershell构建规则:
c:\》 for /r %f in (powershell*.exe) do ( netsh advfirewall firewall add rule name=“ps-allow-lan (%f)“ dir=out remoteip=localsubnet action=allow program=“%f” enable=yes
netsh advfirewall firewall add rule name=“ps-deny-all (%f)“ dir=out action=block program=“%f” enable=yes )
您将在出站防火墙规则设置中看到生成的规则:
如果powershell有意通过另一个位置调用二进制文件或重命名自身来隐藏自己,那么这个过程将无法进行。
使用powershell设置防火墙规则
您可以按照microsoft的说明使用powershell设置防火墙规则 。例如,要阻止服务器上的出站端口80,请使用以下powershell命令:
new-netfirewallrule -displayname “block outbound port 80” -direction outbound -localport 80 -protocol tcp -action block
你需要填写的基本属性是:
●防火墙规则的友好名称
●方向——是否阻塞离开计算机(出站)或进入计算机(入站)的流量
●行动——如果满足规则,采取什么行动,允许或阻止
您可以使用许多powershell模块来更好地控制和管理windows防火墙。所有这些都记录在netsecurity部分中。
您需要填写的基本属性是:
●displayname –防火墙规则的友好名称
●方向–阻止流量离开计算机(出站)或进入计算机(入站)
●行动-如果满足规则,采取什么行动,是允许还是进行阻止。
您可以使用许多powershell模块来更好地控制和管理windows防火墙。所有内容都记录在“ netsecurity” 部分中。
检查新的windows 10安全基准
不要忘记,微软在windows 10的每个版本都会发布新的安全基准。作为基准的一部分,它们包括建议的防火墙策略。
默认情况下,应该为域配置文件和专用配置文件阻止入站连接。
定期审计设置
最后,在检查网络的安全状态时,定期随机抽取一些工作站,并审计它们的设置。检查每个示例工作站上的防火墙策略。
三星电子将于1月推出OLED显示器
安全认证器和协处理器可实现快速实施安全系统
杰顿科技:技术、产品、服务是立足市场的根本
疯狂的碳化硅半导体究竟有什么魔力?
尽管NAND市场持续低迷,长江存储逆势涨价凸显主场优势!| 百能云芯
优化Windows防火墙安全性的步骤
选择oppor9s还是vivoX9手机,这两款新机告诉你!
电流传感器在风能涡轮机中的控制应用分析
应用于新型汽车的多种TDK传感器
基于物联网技术的消防器材管理系统
什么品牌的蓝牙耳机音质比较好,高清音质蓝牙耳机的推荐
承德科胜手持铝箔封口机|保健品封口机|河北封口机
采用DSP和CAN的电机同步控制系统与通信
安全是对5G时代的智能互联网的首位要求
同惠TH2838精密LCR测试仪介绍
磐石测控:深圳转轴扭力试验机有什么介绍?
如何看待纯电动悍马皮卡?
浅谈滤波器在Wi-Fi 6E中的作用
5G+SD-WAN掀起广域网变局,华为打造企业上云的宽管道
5.5G毫米波通信时代,滤波器形态如何?
自从windows xp sp2以来,windows防火墙已经默认启用,但我们仍然会看到一些因为老习惯而在部署时关闭防火墙的案例。随着windows 10和server 2019,最需要的防火墙策略大多已经内置,设置访问相对容易一些。但有时用户仍应该加强windows防火墙的设置,以更好地保护用户不受横向移动和攻击。
为二进制文件或可执行文件构建规则
如果应用程序需要一个特殊的规则,用户应该基于二进制文件或可执行文件,而不是基于端口进行构建。这样可以确保防火墙只在应用程序处于活动状态时打开。如果使用端口构建防火墙规则,则该端口将保持开放状态并公开系统。
识别被阻止的应用程序
当应用程序被阻止时,windows设备会默认发出通知。但it管理员可能希望使用事件日志来识别被阻止的应用程序,而不是使用系统托盘中容易错过的可视弹出窗口。想要确定windows防火墙阻止了哪些应用程序,首先要搜索事件5031的事件日志,它表明windows防火墙阻止了一个应用程序接受网络上的连接。使用此事件检测不存在windows防火墙规则的应用程序。
设置安全监控
如果您使用安全事件日志监视解决方案来监视事件,请记住以下几点:
●如果您有一个预定义的应用程序来执行此事件报告的操作,则监视“application”不属于您定义的应用程序的事件。
●监视“application”是否在标准文件夹中(例如,不在system32或program files中)或在受限文件夹中(例如,临时internet文件)。
●如果在应用程序名称中有一个预定义的受限子字符串或单词列表(例如,“mimikatz”或“cain.exe”),请在“application”中检查这些子字符串。
阻止powershell访问internet
您可以使用windows防火墙来阻止应用程序访问资源。你可以阻止powershell访问互联网。下面的第一个规则允许powershell访问本地子网。第二条规则是减少交通流量:
c:\》 netsh advfirewall firewall add rule name=“ps-allow-lan“ dir=out \
remoteip=localsubnet action=allow program=”c:\windows\system32\windowspowershell\v1.0\powershell.exe“ \
enable=yes
c:\》 netsh advfirewall firewall add rule name=“ps-deny-all” dir=out \
action=block program=“c:\windows\system32\windowspowershell\v1.0\powershell.exe” \
enable=yes
这样可以保护您的系统免受利用powershell调用命令和控制计算机启动勒索软件和其他攻击的攻击。powershell不应该被删除,而应该进行加固和记录,以确保它按预期使用。
你还可以为多个版本的powershell构建规则:
c:\》 for /r %f in (powershell*.exe) do ( netsh advfirewall firewall add rule name=“ps-allow-lan (%f)“ dir=out remoteip=localsubnet action=allow program=“%f” enable=yes
netsh advfirewall firewall add rule name=“ps-deny-all (%f)“ dir=out action=block program=“%f” enable=yes )
您将在出站防火墙规则设置中看到生成的规则:
如果powershell有意通过另一个位置调用二进制文件或重命名自身来隐藏自己,那么这个过程将无法进行。
使用powershell设置防火墙规则
您可以按照microsoft的说明使用powershell设置防火墙规则 。例如,要阻止服务器上的出站端口80,请使用以下powershell命令:
new-netfirewallrule -displayname “block outbound port 80” -direction outbound -localport 80 -protocol tcp -action block
你需要填写的基本属性是:
●防火墙规则的友好名称
●方向——是否阻塞离开计算机(出站)或进入计算机(入站)的流量
●行动——如果满足规则,采取什么行动,允许或阻止
您可以使用许多powershell模块来更好地控制和管理windows防火墙。所有这些都记录在netsecurity部分中。
您需要填写的基本属性是:
●displayname –防火墙规则的友好名称
●方向–阻止流量离开计算机(出站)或进入计算机(入站)
●行动-如果满足规则,采取什么行动,是允许还是进行阻止。
您可以使用许多powershell模块来更好地控制和管理windows防火墙。所有内容都记录在“ netsecurity” 部分中。
检查新的windows 10安全基准
不要忘记,微软在windows 10的每个版本都会发布新的安全基准。作为基准的一部分,它们包括建议的防火墙策略。
默认情况下,应该为域配置文件和专用配置文件阻止入站连接。
定期审计设置
最后,在检查网络的安全状态时,定期随机抽取一些工作站,并审计它们的设置。检查每个示例工作站上的防火墙策略。
三星电子将于1月推出OLED显示器
安全认证器和协处理器可实现快速实施安全系统
杰顿科技:技术、产品、服务是立足市场的根本
疯狂的碳化硅半导体究竟有什么魔力?
尽管NAND市场持续低迷,长江存储逆势涨价凸显主场优势!| 百能云芯
优化Windows防火墙安全性的步骤
选择oppor9s还是vivoX9手机,这两款新机告诉你!
电流传感器在风能涡轮机中的控制应用分析
应用于新型汽车的多种TDK传感器
基于物联网技术的消防器材管理系统
什么品牌的蓝牙耳机音质比较好,高清音质蓝牙耳机的推荐
承德科胜手持铝箔封口机|保健品封口机|河北封口机
采用DSP和CAN的电机同步控制系统与通信
安全是对5G时代的智能互联网的首位要求
同惠TH2838精密LCR测试仪介绍
磐石测控:深圳转轴扭力试验机有什么介绍?
如何看待纯电动悍马皮卡?
浅谈滤波器在Wi-Fi 6E中的作用
5G+SD-WAN掀起广域网变局,华为打造企业上云的宽管道
5.5G毫米波通信时代,滤波器形态如何?