Windows XP SP2 и встроенный брандмауэр: что он закрыл и как открыть нужное
После массовой раскатки SP2 у половины офиса отвалились удалёнка и сетевые принтеры. Разбираемся, что именно закрыл новый брандмауэр и как открыть нужное через политики.
Windows XP SP2 массово раскатывается, встроенный брандмауэр ломает привычную удалёнку и печать
Windows XP SP2 вышел ещё в августе, но до офисов добирается постепенно - кто-то накатывал сразу, кто-то тянул через WSUS, кто-то руками. На прошлой неделе у одного из клиентов администратор наконец запустил массовое обновление, и к утру понедельника мы получили три тикета подряд: «не могу подключиться удалённо», «не печатает сетевой принтер», «1С не открывается».
Первый инстинкт - что-то с сетью. Второй инстинкт, когда видишь три таких тикета сразу на разных машинах, - всё-таки обновление. Так и оказалось.
Что именно изменил SP2
Главное нововведение пакета по части безопасности - переработанный брандмауэр, который теперь включён по умолчанию и работает иначе, чем в XP без SP2. Старый брандмауэр (ICF - Internet Connection Firewall) был относительно безобидным: включался на конкретный интерфейс, который смотрел в интернет, и большинство пользователей его вообще не трогали.
Новый - Windows Firewall - работает на всех интерфейсах сразу, включая локальную сеть. И по умолчанию он блокирует входящие соединения, которые машина сама не инициировала. Это принципиальная разница.
Что конкретно перестало работать:
- Удалённый рабочий стол (RDP, порт 3389). Если IT раньше подключался к машинам пользователей через Remote Desktop - теперь нельзя, пока не откроешь порт.
- Общий доступ к файлам и принтерам (SMB, порты 445/139). Сетевые принтеры, которые публикуются с сервера и подключаются через \сервер\принтер - работают, если соединение инициировала рабочая станция. Но если принтер на другой машине в офисе и к нему идёт входящий SMB - блокируется.
- WMI-запросы и удалённое администрирование. Системы мониторинга, скрипты инвентаризации, любое удалённое управление, которое опрашивает машину снаружи - всё это теперь требует явного разрешения.
- ICMP (ping). Машины перестают отвечать на ping по умолчанию. Мониторинг, который строился на простой проверке доступности - начинает ложно сигнализировать о недоступности хостов.
Варианты реакции
Самый соблазнительный вариант - просто выключить брандмауэр через GPO. Некоторые так и делают. Мы этот путь не рекомендуем: история с червём Blaster ещё свежа, и «выключить защиту, потому что мешает» - это именно та логика, которая тогда привела к эпидемии.
Правильный путь - разрешить конкретное нужное и оставить всё остальное закрытым. Делается это через групповые политики, и масштабируется на весь домен без ручной работы на каждой машине.
Основные настройки живут по пути: Computer Configuration - Administrative Templates - Network - Network Connections - Windows Firewall. Там два профиля: Domain Profile (когда машина в домене) и Standard Profile (когда нет). Для офиса работаем с Domain Profile.
Что мы включили у клиента:
- «Windows Firewall: Allow Remote Desktop exception» - открывает 3389 для входящих RDP. Сразу заработала удалёнка IT.
- «Windows Firewall: Allow file and printer sharing exception» - открывает нужные порты для SMB. Принтеры заработали.
- «Windows Firewall: Allow ICMP exceptions» с разрешённым «Allow inbound echo request» - машины снова отвечают на ping, мониторинг успокоился.
- «Windows Firewall: Allow local port exceptions» - если нужно открыть нестандартный порт под конкретное приложение (у клиента был агент 1С, слушающий свой порт).
Настройки применяются через gpupdate /force или после следующей перезагрузки. Результат хорошо проверять через netsh firewall show state прямо на машине - видно, что включено и что открыто.
Один нюанс с профилями
Machines нередко переключаются между Domain Profile и Standard Profile - например, ноутбук дома или в командировке работает вне домена. Standard Profile по умолчанию жёстче, и если пользователь привык, что дома VPN-клиент без проблем поднимает туннель до офиса, а брандмауэр при этом в Standard Profile не настроен - могут быть сюрпризы. Мы для таких машин описываем оба профиля сразу.
Итог
SP2 с его брандмауэром - это не баг, это фича. Неудобная, да, особенно когда ломается то, что работало годами. Но подход правильный: закрыто всё по умолчанию, открываешь ровно то, что нужно, через политику - и контролируемо, и масштабируется, и не надо ходить по каждой машине.
Главная работа здесь - инвентаризация: понять, какие входящие соединения реально используются в инфраструктуре клиента. Большинство компаний это до SP2 никогда не делали, потому что необходимости не было. Теперь есть.
- Червь Blaster и патчи, которые ставили «когда-нибудь» · 18 августа 2003
- Два офиса на одном ШПД: VPN вместо выделенки и модемов · 22 июня 2004