如何配置Windows防火墙以允许MSRPC？

Question

我正在尝试用防火墙配置端点计算机，该防火墙只允许白名单中的通信量，并且所有其他连接都被阻塞。

客户端计算机是台式机和膝上型计算机，使用内置的带有高级安全性的运行Windows7(包括x86和x64)。每台机器都是Windows 2008域的一部分，我正在使用组策略配置防火墙。我正在用一小部分计算机测试这个防火墙配置。

现在，我已经将Windows防火墙配置为阻止所有不匹配显式允许规则的入站和出站通信。以下是当前启用的基本通信：

• DNS (UDP 53 Out)
• LDAP (TCP 389 Out，UDP 389 Out)
• 远程桌面(TCP 3389 Out)
• Web浏览(TCP 80 Out)
• 预置:核心网络
• 预置:分布式事务协调器
• 预置:文件和打印机共享
• 预设:网络发现
• 预设:远程协助

此外，我为我们使用的业务应用程序定义了一些规则。这是相当好的工作，但今天我遇到了一些问题的MSRPC (微软远程过程调用)。

我打开mmc.exe并加载计算机管理卡，以便修改本地管理员组。在“选择用户，电脑.”窗口我输入用户名，然后点击“检查名称”。它给出了以下错误：

Windows cannot process the object with the name "Foo Bar" because of the following error:

Access is denied.

当我取消防火墙限制时，它可以正常工作。被阻塞的流量是MSRPC，它在49100…65535范围内使用随机选择的端口。

如何为Windows防火墙创建允许MSRPC通信的规则，而不创建过于宽泛的规则，例如允许所有端口上的TCP通信？

Answer 1

我创建了一个Windows规则，它允许%SystemRoot%\System32\mmc.exe的所有TCP流量，并且完全解决了这个问题。

此外，我还注意到另外两个程序也需要允许所有TCP流量：

• %SystemRoot%\System32\spoolsv.exe
• %ProgramFiles%\Hyper-V\vmconnect.exe

Answer 2

KB154596 “如何配置RPC动态端口分配以使用防火墙”

简而言之，看起来您将通过GPO部署大量注册表更改。确保记录你所做的一切，以及你为什么这么做。如果其他人不得不在那里管理系统，那么看到一些基本的东西，比如硬连接到某些端口上的RPC，将是相当令人震惊的。不是说这很糟糕，请注意。只是不一样。