it-swarm-ja.com

Windowsファイアウォールのホワイトリストアプリケーション

オフィスのコンピューターのセットアップにいくつか問題があります。いくつかの例外を除いて、すべてのプログラムがインターネットにアクセスするのをブロックしようとしています。

1)Webブラウザーは、いくつかのWebサイトにのみアクセスできる必要があります。

2)TeamViewerは正しく動作するはずです。

アウトバウンドルールのデフォルトを設定してすべての接続をブロックしようとしました。その後、TeamViewerとブラウザが特定のWebサイトにアクセスできるようにするための「許可」ルールを追加しました(カスタムルールを使用してWebサイトのIPを追加しました)。

ただし、「許可」ルールが機能していないようで、インターネットにまったくアクセスできません。ここで何が問題になっているようですか?

編集: TeamViewerなどのプログラムを許可する標準的な方法(アウトバウンドルールの追加=>プログラムのルール=>プログラムパスの選択)がアクセスを提供しない理由を知りたいです。プログラムをインターネットに追加しますが、TCP/UDPポートのブロックを解除するカスタムルールを追加しても機能します。違いはないはずですか?

2
Aurimas

いくつかのポイント:

TeamviewerにTCP 80を使用しないでください

TCP/UDPポート5938:TeamViewerはアウトバウンドTCPおよびポート5938を介したUDP接続を確立することを好みます–これは使用するプライマリポートであり、TeamViewerはこのポートを使用して最高のパフォーマンスを発揮します。ファイアウォールはこれを許可する必要があります。最小。

これを参照してください。

すべてのワークステーションのWindowsファイアウォールを使用するよりも、これをすべて1つの中央ファイアウォールに設定する方がよいでしょう。

1つの許可ルールを使用してhttpプロトコルとhttpsプロトコルを構成できると思います。ただし、Windowsファイアウォールルールでは、ホスト名ではなくIPアドレスが許可/拒否されます。 HOSTSファイルを使用すると、より良い結果を得ることができます。繰り返しますが、Windowsファイアウォールはこのタスクに最適なツールではありません。 このリンク を参照してください。

Teamviewer.exeがファイアウォールを通過できるようにするだけでは不十分です。最小 これは

New-NetFirewallRule -DisplayName "!Allow Outbound 5938 UDP TeamViewer.exe Local Port" -Enabled True -Direction Outbound -Profile ANY -LocalPort 5938 -RemotePort ANY -Protocol UDP -Program "C:\Program Files (x86)\TeamViewer\TeamViewer.exe" -Action Allow -Description "Allows Outbound TeamViewer.exe communication via 5938 UDP."
New-NetFirewallRule -DisplayName "!Allow Outbound UDP svchost.exe" -Enabled True -Direction Outbound -Profile ANY -Protocol UDP -Program "C:\WINDOWS\system32\svchost.exe" -Action Allow -Description "Allows Outbound UDP svchost.exe."
New-NetFirewallRule -DisplayName "!Allow Outbound TCP TeamViewer.exe" -Enabled True -Direction Outbound -Profile ANY -Protocol TCP -Program "C:\Program Files (x86)\TeamViewer\TeamViewer.exe" -Action Allow -Description "Allows Outbound TCP TeamViewer.exe."

Teamviewer.exeは、ネットワークを介して通信する唯一のプロセスではありません。アウトバウンドTCP接続を確立する必要があるTeamViewer_Service.exeまたはsvchost.exeのような他のプロセスがあるかもしれません。詳細については TcpView を参照してください。

5938が他のファイアウォールでブロックされている場合でも、TeamViewerに443を使用できます。

0
Vojtěch Dohnal