Adam Automator

„proč byste zakázali nebo vypnuli bránu Firewall systému Windows?“

existuje mnoho důvodů, proč by se brána firewall v systému Windows zakázala. Ne každý důvod je samozřejmě zdravý, ale existují legitimní.

v tomto článku se dozvíte mnoho způsobů, jak zakázat bránu firewall systému Windows. Ať už jste v nastavení jednoho stroje, domácí síť, nebo firemní prostředí, tento článek je pro vás.

dozvíte se, jak vypnout softwarovou bránu firewall v systému Windows téměř všemi možnými způsoby!

• pomocí konzoly Windows firewall management console
• příkazového řádku (cmd.exe)
• PowerShell
• Zásady skupiny
• i Azure Custom Script extension pokud jste na virtuálních strojích Azure

pojďme kopat!

předpoklady

vzhledem k tomu, že tento článek je návodem, existují některé požadavky, které musíte dodržovat spolu s pokyny. Některé příklady zahrnují prostředí domény a domény.

pro prostředí bez domény

• jeden nebo více počítačů se systémem Windows 10. Příklady můžete udělat pouze v jednom počítači, ale některé pokyny jsou specifické pro remoting.
• a musíte mít oprávnění správce na těchto počítačích se systémem Windows 10.

pro prostředí domény

• server Windows 2019, který je také řadičem domény. Server Windows 2016 by také měl fungovat.
• jeden nebo více počítačů se systémem Windows 10 ve stejné síti a připojených k doméně.

pomocí GUI

pravděpodobně nejrychlejším způsobem, jak zakázat bránu firewall, je použití přiložených nástrojů GUI v systému Windows. Použití GUI je pravděpodobně nejjednodušší způsob, jak vypnout bránu firewall systému Windows pro domácí uživatele.

pomocí aplikace zabezpečení systému Windows

prvním nástrojem GUI pro správu je aplikace zabezpečení systému Windows. Aplikace zabezpečení systému Windows je k dispozici v systému Windows 10, Verze 1703 a novějších.

1. Spusťte aplikaci zabezpečení systému Windows kliknutím na tlačítko Start a začněte psát zabezpečení systému Windows. Výsledek vyhledávání by zobrazoval aplikaci zabezpečení systému Windows, klikněte na Otevřít.

2. V aplikaci Windows Security Home se zobrazí různé položky nabídky. Vyhledejte ochranu sítě Firewall & a kliknutím ji otevřete.

3. Na stránce Firewall & Ochrana sítě byste měli vidět různé uvedené profily sítě. Tyto síťové profily jsou doménová síť, privátní síť a Veřejná síť. Bránu firewall můžete vypnout pro každé z těchto umístění síťového připojení Samostatně. V tomto příkladu musíte vybrat profil soukromé sítě.

4. V tomto příkladu je vybrán profil soukromé sítě. Jakmile jste v nastavení soukromé sítě, klikněte na přepínač a vypněte bránu Firewall programu Windows Defender.

pokud chcete, opakujte stejné kroky pro ostatní síťové profily.

zakázat bránu Firewall systému Windows pomocí ovládacího panelu brány Firewall systému Windows Defender

dalším nástrojem GUI je ovládací Panel brány Firewall systému Windows Defender. Na rozdíl od aplikace Windows Security, která má moderní rozhraní aplikace Windows 10, ovládací Panel brány Firewall Windows Defender má stejný vzhled klasických položek ovládacího panelu.

níže je několik způsobů, jak spustit ovládací Panel brány Firewall systému Windows Defender

Metoda 1: Přejděte na Ovládací panely – > systém a zabezpečení – > Brána Firewall systému Windows Defender.

Metoda 2: Otevřete nabídku Start a zadejte Windows defender firewall. Klikněte na odkaz Firewall systému Windows Defender.

Metoda 3: Otevřete dialogové okno Spustit a zadejte příkaz control firewall.cpl a klepněte na tlačítko OK.

v Ovládacím panelu brány Firewall systému Windows Defender byste měli vidět známý seznam síťových profilů; doménové sítě, soukromé sítě a hostující nebo veřejné sítě. Na levé straně klikněte na odkaz Zapnout nebo vypnout program Windows Defender.

na stránce přizpůsobit nastavení budete mít možnost zakázat bránu firewall systému Windows pro každý síťový profil. V níže uvedeném příkladu je brána Firewall systému Windows vypnuta na všech síťových profilech.

použití příkazového řádku

jak již možná víte, většina, ne-li všechny operace GUI v systému Windows, má protějšek příkazového řádku. Použití příkazového řádku je občas rychlejší, na rozdíl od přechodu na jiné umístění systému windows při použití možností GUI.

navíc možnosti příkazového řádku umožňují uživatelům skriptovat nebo automatizovat úlohu.

vypnutí brány Firewall systému Windows příkazem NETSH

starý, ale užitečný užitečný nástroj s názvem netsh s připravený k použití ke správě síťových konfigurací v počítači nebo v tomto případě k deaktivaci brány Firewall systému Windows.

pomocí netsh advfirewall set c můžete bránu Firewall systému Windows zakázat jednotlivě na každém místě nebo ve všech síťových profilech.

• netsh advfirewall set currentprofile state off – tento příkaz zakáže bránu firewall pro aktuální síťový profil, který je aktivní nebo připojený. Předpokládejme například, že aktuálně aktivní síťový profil je síť domény. V takovém případě bude tento příkaz Firewall pro tento síťový profil.
• netsh advfirewall set domainprofile state off – zakáže pouze v síťovém profilu domény.
• netsh advfirewall set privateprofile state off – zakáže pouze v privátním síťovém profilu.
• netsh advfirewall set publicprofile state off – tento příkaz se deaktivuje pouze v profilu veřejné sítě.
• netsh advfirewall set allprofiles state off – tento příkaz se deaktivuje na všech síťových profilech najednou.

ukázka níže ukazuje každý z výše uvedených příkazů v akci.

další informace o syntaxi, kontextech a formátování příkazu Netsh

pomocí rutiny set-NetFirewallProfile PowerShell

modul Netsecurity PowerShell je zabudován do systému Windows 10 a Windows Server 2012 a výše. Tento modul Netsecurity PowerShell obsahuje rutiny související s konfigurací zabezpečení sítě a sítě. Jedním z těchto rutin je Set-NetFirewallProfile, který lze použít k deaktivaci brány Firewall systému Windows.

syntaxe Set-NetFirewallProfile je uvedena níže.

# Disable Windows Firewall for each specified network profileSet-NetFirewallProfile -Profile <PROFILE NAME> -Enabled False# Disable Windows Firewall for ALL network profilesSet-NetFirewallProfile -All -Enabled False

níže uvedený příkaz vypne bránu firewall ve veřejných, soukromých a doménových síťových profilech.

Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled False

níže uvedená ukázka ukazuje, jak Set-NetFirewallProfile funguje pro deaktivaci brány Firewall systému Windows pomocí výše uvedeného příkazu.

bez zadání názvů profilů níže uvedený příklad ukazuje, jak zakázat bránu Firewall systému Windows na všech síťových profilech pomocí přepínače parametrů -All.

Vzdálené vypnutí brány Firewall systému Windows pomocí PowerShell

pokud potřebujete vypnout bránu firewall na mnoha počítačích, bylo by neefektivní ručně se přihlásit ke každému počítači a spouštět příkazy. Zejména v síťovém prostředí můžete vzdáleně deaktivovat pomocí PowerShell.

Poznámka: tento postup vyžaduje, aby byl WinRM v cílovém počítači již povolen. Ve většině případů je WinRM již nastaven pro počítače připojené k doméně pro účely vzdálené správy.

další informace: Jak povolit vzdálený Shell systému Windows

pokud plánujete zakázat bránu Firewall systému Windows na jednom vzdáleném počítači najednou, můžete použít rutinu Enter-PsSession k vydání příkazů vzdálenému počítači.

v níže uvedeném příkladu bude příkaz vydán ze serveru s názvem dc a vzdálený název počítače je desktop1. Příkaz, který bude použit, je uveden níže.

Enter-PsSession -ComputerName desktop1Set-NetFirewallProfile -All -Enabled False

spuštění výše uvedeného kódu v PowerShell by mělo za následek podobný výstup, jako demo níže.

výše uvedený proces je dobrý, pouze pokud pracujete na několika vzdálených počítačích. Pokud však máte většinu počítačů, kde je třeba je deaktivovat, budete potřebovat přístup, který je více přizpůsoben skriptování. K tomu můžete použít rutinu Invoke-Command.

$computers = @('desktop1')$computers | ForEach-Object {Invoke-Command -ComputerName $_ {Set-NetFirewallProfile -All -Enabled False}}

jak můžete vidět z výše uvedeného kódu, název vzdálených počítačů je uložen v proměnné $computers jako pole. Poté PowerShell prochází každým ze vzdálených počítačů, aby spustil rutinu Invoke-Command a vydal příkaz Set-NetFirewallProfile -All -Enabled False. Očekávaný výsledek najdete v ukázce níže.

použitím zásad skupiny

nasazením GPO mohou správci systémů vypnout bránu Firewall systému Windows pro vybrané nebo všechny počítače v doméně. Po nasazení bude zakázání brány Firewall systému Windows automatizováno, protože konfigurace ji vynucuje pomocí zásad na všech počítačích, které jsou v rozsahu.

vytvoření GPO

Chcete-li vytvořit GPO, musíte na serveru spustit konzolu pro správu zásad skupiny. Chcete-li tak učinit, spusťte příkaz gpmc.msc v dialogovém okně Spustit.

v konzole pro správu zásad skupiny rozbalte doménu a poté vyberte doménu, kde vytvoříte GPO. Na obrázku níže je GPO vytvořen v xyz.int doména. Klepněte pravým tlačítkem myši na doménu a klikněte na Vytvořit GPO v této doméně a propojte ji zde…

objeví se nové dialogové okno GPO. Do pole Název zadejte zakázat bránu Firewall systému Windows a poté klikněte na tlačítko OK.

poté klikněte pravým tlačítkem myši na nový GPO a klikněte na Upravit. GPO se otevře v editoru správy zásad skupiny. Poté rozbalte tyto složky Konfigurace počítače – > zásady – > šablony pro správu – > síť – > síťová připojení – > Windows Defender – > Firewall – > profil domény.

v seznamu nastavení v pravém podokně poklepejte na bránu Windows Defender Firewall: Chraňte všechna síťová připojení a otevřete její vlastnosti.

jakmile je vlastnost nastavení otevřená, změňte hodnotu výběrem Disabled a klepněte na tlačítko OK.

opakujte a použijte stejnou možnost pro standardní nastavení profilu. Poté můžete nyní ukončit okno Editoru správy zásad skupiny.

nasazení GPO do všech doménových počítačů

Nyní, když jste vytvořili GPO, musíte nyní nasadit GPO do doménových počítačů.

Chcete-li použít GPO, vyberte ve správě zásad skupiny položku Zakázat GPO brány Windows Firewall. Poté na kartě rozsah klikněte na tlačítko Přidat v části filtrování zabezpečení.

v dialogovém okně Vybrat uživatele, počítač nebo skupinu vyhledejte počítače domény a klikněte na OK. Pokud tak učiníte, zajistí, že GPO bude aplikován na všechny počítače, které jsou členy skupiny Domain Computers.

a to je vše! Při příštím spuštění aktualizace zásad v klientských počítačích bude brána firewall v těchto počítačích vypnuta.

Nyní, když byl GPO vytvořen a nasazen, můžete otestovat, zda GPO pracuje vynucením aktualizace zásad. Spusťte gpupdate /force v klientském počítači a otestujte aktualizaci zásad.

jak můžete vidět z výše uvedeného výsledku, jakmile byla zásada použita v klientském počítači. Byla použita konfigurace pro deaktivaci brány Firewall systému Windows. Kromě toho je k dispozici informační pole, které říká, že nastavení spravuje správce systému.

Poznámka: interval automatické aktualizace zásad skupiny je pro běžné uživatele a počítače každých 90 minut. Zásady skupiny jsou navíc aktualizovány také při spuštění počítače nebo při přihlášení uživatele.

použití rozšíření vlastního skriptu k deaktivaci brány Firewall systému Windows na virtuálních strojích Azure

pokud máte Azure VM, ke kterému najednou nemáte přístup, protože brána Firewall systému Windows blokuje provoz, včetně RDP. Možná jste provedli změny brány Firewall systému Windows a neúmyslně jste se zamkli!

pokud jste vyzkoušeli všechny způsoby, které byly dříve popsány v tomto článku, a stále nemáte štěstí, stále existuje naděje. Bránu Firewall systému Windows můžete zakázat uvnitř hostujícího operačního systému Azure VM pomocí rozšíření Azure Custom Script. Azure Custom Script Extension pracuje spuštění skriptu hostovaného v Azure Storage nebo GitHub proti hostujícímu OS vašeho Azure VM.

kroky na vysoké úrovni zahrnují:

• Vytvořte skript PowerShell ( * . PS1) obsahující příkazy k deaktivaci brány Firewall systému Windows.
• nainstalujte vlastní rozšíření skriptu na Azure VM pomocí portálu Azure.
  • Nahrajte skript PowerShell do úložiště Azure.
  • skript se spustí automaticky na hostujícím OS Azure VM pouze jednou.

v tomto příkladu je testovací VM pojmenován devmachine1 s bránou Firewall systému Windows v povoleném stavu.

Poznámka: než budete pokračovat, ujistěte se, že máte ve svém účtu správnou roli Azure RBAC.

vytvoření skriptu Disable-Windows-Firewall. ps1

v předchozích částech jste se dozvěděli, které příkazy jsou k dispozici pro deaktivaci brány Firewall systému Windows. V tomto příkladu bude použit nástroj netsh.

pomocí kódu nebo textového editoru podle vašeho výběru vytvořte nový soubor s názvem Disable-Windows-Firewall. ps1. Upravte skript a přidejte tento řádek kódu: netsh advfirewall set allprofiles state off. Po dokončení uložte skript. Níže je návod, jak to rychle udělat v PowerShell.

'netsh advfirewall set allprofiles state off' | Out-File .\Disable-Windows-Firewall.ps1

instalace rozšíření vlastního skriptu a nahrání skriptu PowerShell

Nyní, když je váš skript připraven, je dalším krokem instalace rozšíření vlastního skriptu a nahrání skriptu do úložiště Azure. A jakmile je rozšíření nainstalováno, skript se automaticky spustí proti Azure VM.

• nejprve se přihlaste k portálu Azure a vyhledejte prostředek Azure VM a otevřete jej. V tomto příkladu je název Azure VM devmachine1. Poté přejděte na čepel rozšíření a klikněte na tlačítko Přidat.
• na stránce nový zdroj vyhledejte a klikněte na rozšíření vlastního skriptu. Poté klikněte na Vytvořit. Na stránce rozšíření instalace klikněte na tlačítko Procházet vedle pole soubor skriptu (vyžadováno).
• vyberte účet úložiště ze seznamu. V tomto příkladu je název účtu úložiště storagexyz01. Poté se zobrazí seznam kontejnerů; klikněte na kontejner, kam bude soubor skriptu nahrán. V tomto příkladu je název kontejneru cont1.

Poznámka: Pokud ještě nemáte účet úložiště Azure nebo kontejner a potřebujete jej vytvořit, navštivte vytvořit účet úložiště Azure a dozvíte se, jak.

• po výběru kontejneru klikněte na Nahrát a vyhledejte soubor disable-windows-firewall. ps1, který jste vytvořili v počítači. Po výběru souboru klikněte na tlačítko Nahrát.
• měli byste vidět, že soubor disable-windows-firewall.ps1 je nyní k dispozici uvnitř kontejneru. Klikněte na Zakázat-windows-firewall. ps1 ze seznamu a klikněte na Vybrat. Budete přivedeni zpět na stránku rozšíření Instalace a musíte kliknout na OK, abyste konečně začali instalovat rozšíření.

v tomto okamžiku stačí počkat na nasazení rozšíření, které také automaticky spustí skript, který jste nahráli. Podívejte se na ukázku níže vidět celý proces v akci.

shrnutí

v tomto článku jste se naučili, jak zakázat bránu Firewall systému Windows pomocí vestavěných dostupných nástrojů GUI v systému Windows. Naučili jste se také používat příkazy pomocí netsh a PowerShell k místní nebo vzdálené deaktivaci brány Firewall systému Windows.

také jste se naučili, jak vytvořit a nasadit objekt zásad skupiny, který by zakázal bránu Firewall systému Windows pro počítače s doménou. Nakonec jste se naučili, jak používat rozšíření Azure Custom Script k deaktivaci brány Firewall systému Windows v hostujícím OS Azure VM.

určitě existuje mnoho různých způsobů, jak zakázat bránu Firewall systému Windows. Některé z těchto metod byly popsány v tomto článku. Existují však ještě další metody, které byste mohli prozkoumat sami, například pomocí PsExec k jeho vzdálenému deaktivaci.

další čtení

• jak generovat Token Azure SAS pro přístup k účtům úložiště
• jak spravovat soubory mezi lokálním a Azure úložištěm pomocí AZCopy
• pomocí Azure custom script extension Windows