咨询热线:0510-8229-3900
 
                   
   
secWall 知识库
NAS存储上加密文件存取速度慢或不稳定的配置方法
加密环境中设备通信常见问题与配置方法
使用secWall端口加密控制Server2016的文件共享服务
使用Netsh远程管理Windows防火墙
未安装加密客户端的文件服务器加密文件的备份方法
使用离线授权为出差员工解锁IC
IC被锁定后如何解锁
设置集控服务意外停止后自动恢复运行
飞秋点对点加密传输
如何修复损坏的加密数据库
关于微信文件解密出错的解决方法
常见系统响应缓慢(卡机)问题的解决办法
Win10加密文件覆盖图标不显示的原因与解决办法
如何进行策略更新
使用ROS在两个局域网之间建立透明VPN
批量修复丢失加密信息的文件
从丢失加密信息的密文文件中恢复数据
XP或Win7兼做文件服务器的常见问题及解决方法
使用secWall端口加密控制IP Helper转发的Linux SVN服务
Linux网关的架设
更多>>
 
使用Netsh远程管理Windows防火墙
万华数据

  Windows 7之后的系统引用了强大的系统防火墙,用户可以自定义各种防火墙策略,从而管控网络行为。netsh是Windows系统内置的一个强大的网络用户界面(net shell),不但可以管理本机网络,还可以远程管理其它机器上的网络。本文讲述如何使用netsh远程管理另一台机器上的Windows防火墙。

  本文针对的系统为Windows 7以上(包含Windows 7/8/8.1/10,Windows Server 2008/2012/2016)

  先看一下netsh远程管理的用法

  C:\>netsh –r RemoteMachine –u DomainName\UserName –p Password

  这个命令可以连接到远程计算机进行管理

  实际系统中,我们发现这么简单的命令行并不是那么好用,netsh经常会报告这样的错误:

      警告:不能从机器得到主机信息: [<RemoteMachine>]. 某些命令可能不能用。

  比较诡异的是,在早前的XP/2003系统中,netsh使用同样的命令行远程管理好象从来没有出现过这种问题。因此,这个问题应该和Windows 7之后的新系统特征有关。

  事实上,由于Windows 7之后的系统在各方面都增强了安全性(实际上是从Windows Vista就开始了,由于Vista系统推广不太成功,早期即使使用的也很快被Windows 7取代,这里就不考虑这个系统了),表现在全新的系统内置高级防火墙(Advanced Firewall)(和用户账户控制(UAC),而默认的安全性比XP时代的系统有很大的提高,类似于netsh这种通过远程机器连接的端口在防火墙中默认是关闭的。

  在需要远程管理的主机(RemoteMachine)上,我们需要做以下设置:

  1、 防火墙允许通过的程序和功能

  首先,要管理远程主机上的防火墙,允许“Windows防火墙远程管理”是毋庸置疑的;

  其次,也是重点,你必须同时允许“远程计划任务管理”。这个功能貌似和netsh远程管理八杆子打不到一块儿去,但事实上这个功能开启了RPC服务功能,netsh需要使用远程主机的RPC服务。如果“远程计划任务管理”没有允许通过防火墙,会出现以下错误:

      警告: 不能从机器得到主机信息: [vm-win7-x86]. 某些命令可能不能用。
      RPC 服务器不可用。

2、 远程主机的用户

  远程主机的用户名必须以DomainName\UserName的形式指定,如果没有指定DomainName,会出现以下错误:

      警告: 不能从机器得到主机信息: [vm-win7-x86]. 某些命令可能不能用。
      提供的名称不是正确格式的帐户名。

  如果没有域,可以使用远程主机的机器名代替域名,如:

  netsh –r RemoteMachine -u RemoteMachine\UserName –p Password

  指定的远程主机用户,如果不是Administrator,问题会更复杂。远程主机的UAC控制会导致这个用户没有权限进行管理,即使这个用户属于Administrators组也不起作用(全局UAC默认开启的情况下)。你会得到以下错误信息:

      警告: 不能从机器得到主机信息: [vm-win7-x86]. 某些命令可能不能用。
      拒绝访问。

  如果不想使用Administrator用户,也不想关闭UAC控制,那么设置一个注册表项就是必须的了。

    HKEY_LOCAL_MACHINE\
     Software\
      Microsoft\
       Windows\
        CurrentVersion\
         Policies\
          System

  新建一个DWORD,名称为LocalAccountTokenFilterPolicy,值为1。这将关闭远程用户的UAC,Administrators组的用户从远程登录会有管理员权限。该值的改变立即生效。

  3、 远程主机的指定方法

  远程主机使用机器名或IP地址都可以成功,但对于防火墙管理性能上还是有区别的,实测使用IP地址指定的响应速度比使用机器名指定的要快(这不是单纯的域名解析导致的差距)。如果更注重于远程主机的响应速度,建议使用IP地址指定远程主机。



分享到:


  关于我们|联系方式|资质认证|站点地图|职位招聘|建议与投诉  
地址:江苏省无锡市梁溪区锡澄路260-1号圆融发展中心17F  邮编:214031 总机:(0510)82293900 传真:(0510)82702019
版权所有 © 2003-2019 无锡万华数据科技有限公司
苏ICP备05009260号
苏公网安备 32020202000075号