По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
По умолчанию, в Windows Server 2019 брандмауэр настроен на блокировку входящего трафика ICMP. Сюда входят эхо-запросы, которые используются командой ping, и это может затруднить устранение неполадок в сети. Некоторые системы мониторинга используют команду ping для отслеживания доступности серверов.
В этом руководстве рассмотрим, как включить правило, чтобы сервер стал отвечать на ping используя графический интерфейс Windows Server 2019, а также включим разрешающее правило через PowerShell и netsh.
Обычно просто отключают Windows Firewall полностью, однако это не рекомендуется делать в производственной среде, так как брандмауэр Windows хорошо справляется с обеспечением базового уровня защиты системы. Разрешим только конкретное правило, необходимое для успешного выполнения команды ping.
Разрешить проверку связи через брандмауэр Windows
Сначала нам нужно открыть брандмауэр Windows, это можно сделать несколькими способами. Один из методов - просто нажать клавишу Windows, чтобы открыть меню "Start", а затем начать вводить слово Firewall. Как показано ниже, брандмауэр Windows с расширенной безопасностью должен отображаться, выберите этот пункт.
Еще один быстрый способ: в PowerShell можно просто ввести "firewall" и нажать Enter. Откроется базовый интерфейс брандмауэра, а затем нажать кнопку "Advanced settings" в левой части. Откроется тот же интерфейс, что и через меню "Start".
Следующий способ открыть Firewall - ввести в CMD такой текст: "firewall.cpl"
В Брандмауэре в расширенном режиме перейдите в Inboud Rules (Правила для входящих подключений).
В перечне правил в Inboud Rules, найдите "File and Printer Sharing (Echo Request - ICMPv4-In)" и активируйте его.
Еще один вариант. Активируем разрешающее правило командлетом Powershell
Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv4-In)" -enabled True
Полную справку со всеми параметрами можно получить, набрав команду в PowerShell
help New-NetFirewallRule
Вариант создания правила через netsh
netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in action=allow
Примечание: Включение правила позволит получать ответы только на IPv4 запросы, если нужно получать ответы по IPv6, нужно разблокировать правило такое же правило, только с Echo Request - ICMPv6-In, перечисленное ниже. К тому же имеется несколько профилей: доменный, публичный, частный. Ненужные профили можно отключить в правиле, во вкладке Advanced.
После разблокировки правила сервер должен начать отвечать на запросы ping. С хоста виртуализации или другого пк в локальной сети протестируем ping'ом Windows Server 2019 по адресу 192.168.1.11 перед включением правила, а затем снова после его включения. Ниже видно, что время ожидания первых запросов истекло, так как входящие запросы ICMP были отключены по умолчанию в Windows Server 2019. После включения правила ICMP запросы ping успешно выполняются, что подтверждает ожидаемую работу.
Пример проверки связи:
Скачать видео.
Резюме
Стандартное правило брандмауэра - блокировать ICMP запросы, в итоге сервер не отвечает на ping. Включив это правило брандмауэра, мы включили команду ping в Windows Server 2019, которая поможет нам устранить неполадки в сети.
Сегодня в статье я хочу затронуть вопрос удаленного включения RDP, он же удаленный рабочий стол. Все хоть раз пользовались этой незаменимой фичей, а кто-то использует ее для администрирования на ежедневной основе.
По умолчанию, на серверных платформах Windows удаленное управление (WinRM) включено, но функция удаленного рабочего стола выключена, а на десктопной версии обе функции выключены по умолчанию, поэтому, для выполнения описанного ниже, в начале придется включить WinRM на десктопе.
Итак, перейдем к методам - далее описаны непосредственно способы включения и отключения RDP (входит и замечательно выходит!)
Метод номер один: командная строка
Для включения удаленного рабочего стола (RDP) через командную строку, выполните следующее:
Запустите командную строку от имени администратора;
Выполните следующую команду:
Reg add “\computernameHKLMSYSTEMCurentControlSetControlTerminal Server” /v fDenyTSConnections /t REG_DWORD /d /f
В свою очередь, чтобы выключить RDP через командную строку, следуйте следующим шагам:
Запустите командную строку;
Выполните команду:
Reg add “\computernameHKLM SYSTEMCurentControlSetControlTerminal Server” /v fDenyTSConnections /t REG_DWORD /d 1 /f
Метод номер два: используем PowerShell
Для того, чтобы включить RDP через PowerShell, выполните следующие действия:
Способ 1: Для включения удаленного рабочего стола:
Запустите PowerShell от имени администратора;
Запустите следующую команду и используйте метод Invoke-Command:
Invoke-Command –Computername “server1”, “Server2” –ScriptBlock {Set-ItemProperty -Path "HKLM:SystemCurrentControlSetControlTerminal Server" -Name "fDenyTSConnections" –Value }
Далее введите команду:
Invoke-Command –Computername “server1”, “Server2” –ScriptBlock {Enable-NetFirewallRule -DisplayGroup "Remote Desktop"}
И, как традиция, обратные шаги:
Запускаем PowerShell от имени админа;
Вводим команду:
Invoke-Command –Computername “server1”, “Server2” –ScriptBlock {Set-ItemProperty -Path "HKLM:SystemCurrentControlSetControlTerminal Server" -Name "fDenyTSConnections" –Value 1}
Второй способ включения через PowerShell:
Запускаем PowerShell от имени админа и создаем PowerShell сессию с нужным компьютером;
Введите команду:
Set-ItemProperty -Path "HKLM:SystemCurrentControlSetControlTerminal Server" -Name "fDenyTSConnections" –Value
И следующую команду:
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
Чтобы выключить:
Повторяем первые два шага из предыдущего пункта (про повершелл и сессию);
Вводим команду:
Set-ItemProperty -Path "HKLM:SystemCurrentControlSetControlTerminal Server" -Name "fDenyTSConnections" –Value 1
Важно: Computername - это имя компьютера, на котором будет включен RDP.
Важно: Включение удаленного рабочего стола через командную строку не настроит фаервол с точки зрения использования правильных портов для того, чтобы разрешить RDP подключения.
Важно: По умолчанию, только локальные Администраторы и пользователь, который уже вошел в систему, смогут использовать RDP.
И в заключение
На этом все, надеюсь, было полезно! И помните, если вы даете кому-нибудь доступ по RDP на компьютер в вашей сети, это несет в себе риски - вы должны быть уверены в человеке, который будет заходить по RDP и в том, что доступ дан через защищенный канал связи!
Как известно, сильный пароль – это очень важная составляющая безопасности любого актива, к которому, тем или иным образом можно получить доступ. Не даром все best practices начинаются с рекомендаций устанавливать сильный, устойчивый к взлому пароль. В данной статье мы будем говорить о прописных истинах, поэтому её можно считать скорее «дружеским советом» для тех, кто только начинает своё знакомство с FreePBX.
Слабый пароль, неважно где – это большой риск, который нельзя оставлять без внимания и следует немедленно устранить.
Если вам нужно создать криптостойкий пароль, то можно воспользоваться нашим онлайн генератором устойчивых паролей
Обзор
Начиная с версии 13 во FreePBX появился модуль Weak Password Detection который автоматически детектирует и сообщает о том, что в системе имеется слабый пароль, а также указывает, где именно он обнаружен: на внутреннем номере (Extension), транке (Trunks), конференц - комнате (Conferences) и других модулях.
Чтобы проверить, имеется ли у вас в системе слабый пароль, откройте вкладку Reports → Weak Password Detection. Вот как должно выглядеть окно данного модуля у всех без исключения (окно нормального человека):
Данное сообщение говорит нам о том, что у нас в системе нет слабых паролей. А теперь, давайте-ка немножко похулиганим и создадим пару сущностей с очень слабыми паролями и посмотрим что из этого выйдет.
Наплевав на все best practices, создадим внутренний номер 1111 с паролем 1111:
При создании внутренних номеров, FreePBX генерирует сильный, устойчивый к взлому 32-значный пароль. Рекомендуем не менять его без крайней необходимости!
А ещё создадим транк с паролем 000:
А теперь отправляемся в модуль Weak Password Detection и перед нами открывается «окно курильщика». Вот так не должно быть никогда:
Помимо этого, нам будут напоминать о слабых паролях в Dashboard’е:
Как только Вы настроите внутреннюю нумерацию, линии к провайдерам (транки), пользовательский доступ, не поленитесь, зайдите лишний раз в модуль Weak Password Detection и если там будет уведомление о слабом пароле в системе – незамедлительно смените его! Но помните, что сильный пароль – это не гарантия безопасности, это всего лишь один из уровней, который должен применяться в комплексе с остальными мероприятиями по защите системы.