by Joseph Wu
5. October 2011 10:45
加入網域後的伺服器,會套用 GPO 的原則,當然也包括防火牆的規則,但是這邊有個小細節要分享
如果我要設定讓 3389 只能允許網域中的使用者連接,於 GPO 設定該規則後,就結束了 ?
我一開始是這麼想的,但實際上發現,在防火牆規則中,會多開出一條規則,而我的操作步驟如下:
1、設定 GPO ,新增一條防火牆規則
2、在本機開啟遠端桌面連線設定
如果是按照上述的操作步驟,那麼接下來被套用 GPO 的伺服器上,會看到如下圖的防火牆規則
很不幸的, Windows 防火牆規則不同於一般的硬體式防火牆邏輯(由上而下的比對邏輯,ex: 最後一筆如有限制 3389 使用,則會採取限制行動)。根據我的測試,Windows 會採取全部承認的機制,即允許 3389 通過設定檔為 「網域」、「全部」的,這樣一來就糟了,如果伺服器有開啟對外的 IP 連線,那使用 Internet 即可連上伺服器,實在是太危險了。
所以請切記,在開啟遠端桌面連線後,務必修正防火牆設定,即便你有設定 GPO
Subscribe