ADG Оставить заявку
Блог Системное администрирование 4 мин чтения

Windows XP SP2 и встроенный брандмауэр: что он закрыл и как открыть нужное

После массовой раскатки SP2 у половины офиса отвалились удалёнка и сетевые принтеры. Разбираемся, что именно закрыл новый брандмауэр и как открыть нужное через политики.

Контекст момента

Windows XP SP2 массово раскатывается, встроенный брандмауэр ломает привычную удалёнку и печать

Windows XP SP2 вышел ещё в августе, но до офисов добирается постепенно - кто-то накатывал сразу, кто-то тянул через WSUS, кто-то руками. На прошлой неделе у одного из клиентов администратор наконец запустил массовое обновление, и к утру понедельника мы получили три тикета подряд: «не могу подключиться удалённо», «не печатает сетевой принтер», «1С не открывается».

Первый инстинкт - что-то с сетью. Второй инстинкт, когда видишь три таких тикета сразу на разных машинах, - всё-таки обновление. Так и оказалось.

Что именно изменил SP2

Главное нововведение пакета по части безопасности - переработанный брандмауэр, который теперь включён по умолчанию и работает иначе, чем в XP без SP2. Старый брандмауэр (ICF - Internet Connection Firewall) был относительно безобидным: включался на конкретный интерфейс, который смотрел в интернет, и большинство пользователей его вообще не трогали.

Новый - Windows Firewall - работает на всех интерфейсах сразу, включая локальную сеть. И по умолчанию он блокирует входящие соединения, которые машина сама не инициировала. Это принципиальная разница.

Что конкретно перестало работать:

  • Удалённый рабочий стол (RDP, порт 3389). Если IT раньше подключался к машинам пользователей через Remote Desktop - теперь нельзя, пока не откроешь порт.
  • Общий доступ к файлам и принтерам (SMB, порты 445/139). Сетевые принтеры, которые публикуются с сервера и подключаются через \сервер\принтер - работают, если соединение инициировала рабочая станция. Но если принтер на другой машине в офисе и к нему идёт входящий SMB - блокируется.
  • WMI-запросы и удалённое администрирование. Системы мониторинга, скрипты инвентаризации, любое удалённое управление, которое опрашивает машину снаружи - всё это теперь требует явного разрешения.
  • ICMP (ping). Машины перестают отвечать на ping по умолчанию. Мониторинг, который строился на простой проверке доступности - начинает ложно сигнализировать о недоступности хостов.

Варианты реакции

Самый соблазнительный вариант - просто выключить брандмауэр через GPO. Некоторые так и делают. Мы этот путь не рекомендуем: история с червём Blaster ещё свежа, и «выключить защиту, потому что мешает» - это именно та логика, которая тогда привела к эпидемии.

Правильный путь - разрешить конкретное нужное и оставить всё остальное закрытым. Делается это через групповые политики, и масштабируется на весь домен без ручной работы на каждой машине.

Основные настройки живут по пути: Computer Configuration - Administrative Templates - Network - Network Connections - Windows Firewall. Там два профиля: Domain Profile (когда машина в домене) и Standard Profile (когда нет). Для офиса работаем с Domain Profile.

Что мы включили у клиента:

  • «Windows Firewall: Allow Remote Desktop exception» - открывает 3389 для входящих RDP. Сразу заработала удалёнка IT.
  • «Windows Firewall: Allow file and printer sharing exception» - открывает нужные порты для SMB. Принтеры заработали.
  • «Windows Firewall: Allow ICMP exceptions» с разрешённым «Allow inbound echo request» - машины снова отвечают на ping, мониторинг успокоился.
  • «Windows Firewall: Allow local port exceptions» - если нужно открыть нестандартный порт под конкретное приложение (у клиента был агент 1С, слушающий свой порт).

Настройки применяются через gpupdate /force или после следующей перезагрузки. Результат хорошо проверять через netsh firewall show state прямо на машине - видно, что включено и что открыто.

Один нюанс с профилями

Machines нередко переключаются между Domain Profile и Standard Profile - например, ноутбук дома или в командировке работает вне домена. Standard Profile по умолчанию жёстче, и если пользователь привык, что дома VPN-клиент без проблем поднимает туннель до офиса, а брандмауэр при этом в Standard Profile не настроен - могут быть сюрпризы. Мы для таких машин описываем оба профиля сразу.

Итог

SP2 с его брандмауэром - это не баг, это фича. Неудобная, да, особенно когда ломается то, что работало годами. Но подход правильный: закрыто всё по умолчанию, открываешь ровно то, что нужно, через политику - и контролируемо, и масштабируется, и не надо ходить по каждой машине.

Главная работа здесь - инвентаризация: понять, какие входящие соединения реально используются в инфраструктуре клиента. Большинство компаний это до SP2 никогда не делали, потому что необходимости не было. Теперь есть.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.