Säkra upp Active Directory med Windows Firewall

Inledning

Sätter du upp Active Directory på en server som har access ut mot Internet behöver du göra några ändringar i Windows Firewall för att inte exponera vissa tjänster. Denna guide lämpar sig för dig som bara använder Active Directory för att kunna köra en terminalserver – där flera personer kan vara inloggade på servern samtidigt.

Backup av befintliga brandväggsregler

Innan du sätter igång bör du ta en backup av befintliga brandväggsregler genom att öppna en kommandotolk och köra följande kommando: netsh advfirewall export "c:\advfirewallpolicy.wfw"

Öppna portar, risker och hur du skyddar dig

Nedan presenteras en lista på de portar som blir aktiva efter en installation av Active Directory. Dessa bör inte exponeras utåt då de kan utnyttjas för överbelastningsattacker mot både dig och andra servrar på Internet.

PORT     STATE SERVICE
53/tcp   open  domain
88/tcp   open  kerberos-sec
123/udp  open  ntp
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
389/tcp  open  ldap
445/tcp  open  microsoft-ds
464/tcp  open  kpasswd5
593/tcp  open  http-rpc-epmap
636/tcp  open  ldapssl
3268/tcp open  globalcatLDAP
3269/tcp open  globalcatLDAPssl
9389/tcp open  ADWS

För att inaktivera portarna öppnar du ett PowerShell-fönster och klistrar in följande rader:

Get-NetFirewallPortFilter | where LocalPort -eq 53 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 88 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 123 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 135 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 136 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 137 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 138 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 139 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 389 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 445 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 464 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 593 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 636 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 3268 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 3269 | Get-NetFirewallRule | Disable-NetFirewallRule
Get-NetFirewallPortFilter | where LocalPort -eq 9389 | Get-NetFirewallRule | Disable-NetFirewallRule

Om du får problem

Skulle något sluta fungera efter ändringen kan du lätt återställa reglerna från den backup du tog i början av KB-artikeln. Kör bara följande kommando: netsh advfirewall import "c:\advfirewallpolicy.wfw"

Om detta resulterar i att du låser dig ute från servern, så får du hjälp i vår KB-artikel om hur du ansluter till servern via vår konsol här: https://glesys.se/kb/kontrollpanelen/komma-at-server-via-konsollaget

Frågor? Har du några frågor eller funderingar kring brandväggen eller Active Directory, så tveka inte att höra dig till vår support.