windwos defender实现白名单效果(除了指定应用或端口其它一律禁止)禁止服务器上网

一、应用场景说明

当我们的一台windows服务器中毒,变成别人肉鸡,不断向外请示非法网站或攻击其它服务器。

要彻底清除相关木马或病毒往往需要的时间比较长,比较有效的方法是禁止服务器主动向外发包除了网站端口和远程程序除外。

其实这就是一个白名单效果,即除了指定充许的程序或端口,其它的一律禁止服务器外发。

PS:已经中毒的情况下,建议使用非80(http)和非443(https)端口,可以在前面加一个反代实现,如nginx

二、windwos defender优先级

windwos 的默认防火墙windwos defender的介绍这里不详说了,还是是说一下windwos defender入站规则的规则优先级

在许多情况下,应用程序在网络中运行需要允许特定类型的入站流量。 在配置入站异常时,管理员应记住以下规则优先行为:

  1. 显式定义的允许规则优先于默认阻止设置
  2. 显式阻止规则优先于任何冲突的允许规则
  3. 更具体的规则优先于不太具体的规则,除非存在如 2 中所述的显式阻止规则。 例如,如果规则 1 的参数包含 IP 地址范围,而规则 2 的参数包括单个 IP 主机地址,则规则 2 优先

由于 1 和 2,在设计一组策略时,应确保没有其他可能无意重叠的显式阻止规则,从而阻止希望允许的流量流。

三、实验前相关工作

3.1 实验环境说明

一台windows server 2016的云主机经常攻击别人的服务器,被管理人员告之需要清除完病毒这台服务器才可以上网。

服务器上安装了PHPStudy8.1的nginx和php来跑php网站,为了方便安装了向日葵远程桌面。

3.2 实验要求

在告诉服务器中毒的时候管理人员一时找不出相关病毒,而网站又不能停用。

故临时的解决办法是

1.备份相关数据和代码(不是今天主题,略过)

2.把nginx的80端口改为非80,如8080(主要是防止直接webshell,有条件购买云端支持webshell查杀的工具),再在前面加一个反代,保证网站能正常访问(不是今天主题,略过)

3.开启windwos defender防火墙禁止服务器向外发包,只充许访问8080端口和向日葵远程工具能上网,其它一律禁止

3.3 实现思路(白名单)

只充许访问8080端口和向日葵远程工具能上网,其它一律禁止,那么就是白名单规则

我们可以在windows防火墙的

1.出站规则做成白名单,充许向日葵应用程序出站

(向日葵支行需要连接他们的服务器使用的是TCP 443端口,如果我们使用端口的话那么服务器就能使用web上网了,我们暂时不充许的)

2.入站规则做成白名单(默认),充许访问网站phpstudy的8080端口

(因为第一个包是其它电脑请求我们网站的,所以只需要入站规则上做即可,出站一般不需要)

PS:

白名单 :默认阻止,除了指定放行

黑名单 :默认放行,除了指定禁止

四、实验操作

4.1 打开windwos defender自带的防火墙

4.2 修改windows防火墙出站规则为白名单

从上面图中可以看出Windows入站连接默认使用的是白名单,而出站则使用的是黑名单。

这个不是我们需要的,所以要修改为白名单,操作如下:

附:下图的域配置、专用配置、公用配置主要是指网络类型,出站都改为阻止

PS:下面是查看网络类型的方法:

一般局域网使用专用网络,不安全的使用公用网络

修改后如下图所示:

4.3 配置出站规则

向日葵因为需要主动连接服务器,使用网络连接查看工具,如微软官网的TCPView得知向日葵使用的是TCP 443(http)端口

因不让服务器上网,所以不能基于端口配置,是基于程序放行。

向日葵在安装的时候默认以程序方式放行了

4.4 配置入站规则——放行外部访问网站

开启防火墙后,入站规则变成白名单,其它电脑不能访问,我在这里把端口改为了8080,在入站规则中允许8080端口即可

4.5 测试效果

打开浏览器是不能上网,打开向日葵能获取到“设备识别码”,则表示成功,如下图所示:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/64890.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

1 JVM JDK JRE之间的区别以及使用字节码的好处

JDK jdk是编译java源文件成class文件的,我们使用javac命令把java源文件编译成class文件。 我们在java安装的目录下找到bin文件夹,如下图所示: 遵循着编译原理,把java源文件编译成JVM可识别的机器码。 其中还包括jar打包工具等。主要是针对…

【机器人】机械臂轨迹和转矩控制对比

动力学控制和轨迹跟踪控制是机器人控制中的两个概念,它们在目标、方法和应用上有所不同,但也有一定关联。以下是它们的区别和联系: 1. 动力学控制 动力学控制是基于机器人动力学模型的控制方法,目标是控制机器人关节力矩或力&…

Pytorch | 从零构建ParNet/Non-Deep Networks对CIFAR10进行分类

Pytorch | 从零构建ParNet/Non-Deep Networks对CIFAR10进行分类 CIFAR10数据集ParNet架构特点优势应用 ParNet结构代码详解结构代码代码详解SSEParNetBlock 类DownsamplingBlock 类FusionBlock 类ParNet 类 训练过程和测试结果代码汇总parnet.pytrain.pytest.py 前面文章我们构…

Go1.21.0 到 Go1.23.0 的改动,向前兼容性和toolchain规则,Go1.21.0,必须升级你的Go啦

Go各版本Release Note Go1.21.0 2023-08-08 https://go.dev/doc/go1.21 内置方法 min & max:返回一个序列中的最大值最小值。 https://go.dev/ref/spec#Min_and_max clear:清空map和slice。 https://go.dev/ref/spec#Clear 标准库 log/slo…

Unity中的委托和事件(UnityAction、UnityEvent)

委托和事件 🎒什么是委托,委托的关键字是Delegate,委托是一种函数的容器,运行将函数做为变量来进行传递 通过Delegate关键字我们声明了一个无参无返回的委托,通过这个委托我们可以存储无参无返回的函数 public deleg…

uniapp v-tabs修改了几项功能,根据自己需求自己改

根据自己的需求都可以改 这里写自定义目录标题 1.数组中的名字过长,导致滑动异常2.change 事件拿不到当前点击的数据,通过index在原数组中查找得到所需要的id 各种字段麻烦3.添加指定下标下新加红点显示样式 1.数组中的名字过长,导致滑动异常…

CAD xy坐标标注(跟随鼠标位置实时移动)——C#插件实现

效果如下: (使用方法:命令行输入 “netload” 加载此dll插件,然后输入“zbbz”运行,选择文件夹即可。支持字体大小变化,输入“zbbd”可设置坐标字体变大或缩小的倍数) 部分代码如下:…

【C#】实现Json转Lua (Json2Lua)

关键词: C#、JsonToLua、Json2Lua、对象序列化Lua 前提需引入NewtonsofJson,引入方法可先在Visual Studio 2019 将Newtonsoft.Json.dll文件导入Unity的Plugins下。 Json格式字符串转Lua格式字符串,效果如下: json字符串 {"1": &q…

Redis 7.x如何安装与配置?保姆级教程

大家好,我是袁庭新。最新写了一套最新版的Redis 7.x企业级开发教程,今天先给大家介绍下Redis 7.x如何在Linux系统上安装和配置。 1 Redis下载与安装 使用非关系型数据库Redis必须先进行安装配置并开启Redis服务,然后使用对应客户端连接使用…

Redis篇--常见问题篇6--缓存一致性1(Mysql和Redis缓存一致,更新数据库删除缓存策略)

1、概述 在使用Redis作为MySQL的缓存层时,缓存一致性问题是指Redis中的缓存数据与MySQL数据库中的实际数据不一致的情况。这可能会导致读取到过期或错误的数据,从而影响系统的正确性和用户体验。 为了减轻数据库的压力,通常读操作都是先读缓…

git remote -v(--verbose)显示你的 Git 仓库配置的远程仓库的详细信息

git remote -v 是一个 Git 命令,用于显示你的 Git 仓库配置的远程仓库的详细信息。 当你执行 git remote -v 命令时,你会看到类似以下的输出: origin https://github.com/your-username/your-repo.git (fetch) origin https://github.com…

[计算机网络]唐僧的”通关文牒“NAT地址转换

1.NAT:唐僧的通关文牒 在古老的西游记中,唐僧师徒四人历经九九八十一难,终于取得了真经。然而,他们并不是一开始就获得了通关文牒,而是经过了重重考验,最终得到了国王的认可,才顺利通过了各个关…

WPF实现曲线数据展示【案例:震动数据分析】

wpf实现曲线数据展示,函数曲线展示,实例:震动数据分析为例。 如上图所示,如果你想实现上图中的效果,请详细参考我的内容,创作不易,给个赞吧。 一共有两种方式来实现,一种是使用第三…

7 家使用量子计算的公司

劳斯莱斯、Deloitte、BASF、Roche、富士通、JPMorgan和宝马是率先开展量子计算实验的部分公司。 商用量子计算的实现仍需数年时间,但这并未阻止世界上一些知名企业对其进行试验。在许多情况下,利用当下有噪声的中等规模量子(NISQ&#xff09…

jvm字节码中方法的结构

“-Xss”这一名称并没有一个特定的“为什么”来解释其命名,它更多是JVM(Java虚拟机)配置参数中的一个约定俗成的标识。在JVM中,有多个配置参数用于调整和优化Java应用程序的性能,这些参数通常以一个短横线“-”开头&am…

【服务器】MyBatis是如何在java中使用并进行分页的?

MyBatis 是一个支持普通 SQL 查询、存储过程和高级映射的持久层框架。它消除了几乎所有的 JDBC 代码和参数的手动设置以及结果集的检索。MyBatis 可以通过简单的 XML 或注解来配置和映射原始类型、接口和 Java 的 POJO(Plain Old Java Objects,普通老式 …

Phono3py hdf5文件数据读取与处理

Phono3py是一个主要用python写的声子-声子相互作用相关性质的模拟包,可以基于有限位移算法实现三阶力常数和晶格热导率的计算过程,同时输出包括声速,格林奈森常数,声子寿命和累积晶格热导率等参量。 相关介绍和安装请参考往期推荐…

centos7下docker 容器实现redis主从同步

1.下载redis 镜像 docker pull bitnami/redis2. 文件夹授权 此文件夹是 你自己映射到宿主机上的挂载目录 chmod 777 /app/rd13.创建docker网络 docker network create mynet4.运行docker 镜像 安装redis的master -e 是设置环境变量值 docker run -d -p 6379:6379 \ -v /a…

matlab绘图时设置左、右坐标轴为不同颜色

目录 一、需求描述 二、实现方法 一、需求描述 当图中存在两条曲线,需要对两条曲线进行分别描述时,应设置左、右坐标轴为不同颜色,并设置刻度线,且坐标轴颜色需要和曲线颜色相同。 二、实现方法 1.1、可以实现: 1…

【数据可视化复习方向】

1.数据可视化就是数据中信息的可视化 2.数据可视化主要从数据中寻找三个方面的信息:模式、关系和异常 3.大数据可视化分类:科学可视化、信息可视化、可视分析学 4.大数据可视化作用:记录信息、分析推理、信息传播与协同 5.可视化流程&…