使用Netsh远程管理Windows防火墙 [secWall 知识库] - 加密|保密|防泄密技术参考资料


					咨询热线：0510 - 8229 3900

	首页产品目录加密产品标准版标准版+ 专业版商用安全产品数据服务器安全U盘 Web 防篡改系统企业防泄密系统设计经典版管理平台版至尊企业版解决方案服务与支持在线支持软件下载保密技术关于我们

secWall 知识库
♦ 文档隔离打开功能
♦ UG文件修复后无法打开
♦ 透明文件服务器模式和托管模式的优缺点比较
♦ 加密环境中今日制造提示“连接失败”的解决方法
♦ 部分NAS存储上加密文件存取速度慢或不稳定的配置方法
♦ 加密环境中设备通信常见问题与配置方法
♦ 使用secWall端口加密控制Server2016的文件共享服务
♦ 使用Netsh远程管理Windows防火墙
♦ 未安装加密客户端的文件服务器加密文件的备份方法
♦ 使用离线授权为出差员工解锁IC
♦ IC被锁定后如何解锁
♦ 设置集控服务意外停止后自动恢复运行
♦ 飞秋点对点加密传输
♦ 如何修复损坏的加密数据库
♦ 关于微信文件解密出错的解决方法
♦ 常见系统响应缓慢（卡机）问题的解决办法
♦ Win10加密文件覆盖图标不显示的原因与解决办法
♦ 如何进行策略更新
♦ 使用ROS在两个局域网之间建立透明VPN
♦ 批量修复丢失加密信息的文件

更多>>

使用Netsh远程管理Windows防火墙

万华数据

　　Windows 7之后的系统引用了强大的系统防火墙，用户可以自定义各种防火墙策略，从而管控网络行为。netsh是Windows系统内置的一个强大的网络用户界面(net shell)，不但可以管理本机网络，还可以远程管理其它机器上的网络。本文讲述如何使用netsh远程管理另一台机器上的Windows防火墙。

　　本文针对的系统为Windows 7以上（包含Windows 7/8/8.1/10，Windows Server 2008/2012/2016）

　　先看一下netsh远程管理的用法

　　C:\>netsh –r RemoteMachine –u DomainName\UserName –p Password

　　这个命令可以连接到远程计算机进行管理

　　实际系统中，我们发现这么简单的命令行并不是那么好用，netsh经常会报告这样的错误：

　　　　　　警告：不能从机器得到主机信息: [<RemoteMachine>]. 某些命令可能不能用。

　　比较诡异的是，在早前的XP/2003系统中，netsh使用同样的命令行远程管理好象从来没有出现过这种问题。因此，这个问题应该和Windows 7之后的新系统特征有关。

　　事实上，由于Windows 7之后的系统在各方面都增强了安全性（实际上是从Windows Vista就开始了，由于Vista系统推广不太成功，早期即使使用的也很快被Windows 7取代，这里就不考虑这个系统了），表现在全新的系统内置高级防火墙（Advanced Firewall）（和用户账户控制(UAC)，而默认的安全性比XP时代的系统有很大的提高，类似于netsh这种通过远程机器连接的端口在防火墙中默认是关闭的。

　　在需要远程管理的主机(RemoteMachine)上，我们需要做以下设置：

　　1、防火墙允许通过的程序和功能

　　首先，要管理远程主机上的防火墙，允许“Windows防火墙远程管理”是毋庸置疑的；

　　其次，也是重点，你必须同时允许“远程计划任务管理”。这个功能貌似和netsh远程管理八杆子打不到一块儿去，但事实上这个功能开启了RPC服务功能，netsh需要使用远程主机的RPC服务。如果“远程计划任务管理”没有允许通过防火墙，会出现以下错误：

　　　　　　警告: 不能从机器得到主机信息: [vm-win7-x86]. 某些命令可能不能用。
　　　　　　RPC 服务器不可用。

2、远程主机的用户

　　远程主机的用户名必须以DomainName\UserName的形式指定，如果没有指定DomainName，会出现以下错误：

　　　　　　警告: 不能从机器得到主机信息: [vm-win7-x86]. 某些命令可能不能用。
　　　　　　提供的名称不是正确格式的帐户名。

　　如果没有域，可以使用远程主机的机器名代替域名，如:

　　netsh –r RemoteMachine -u RemoteMachine\UserName –p Password

　　指定的远程主机用户，如果不是Administrator，问题会更复杂。远程主机的UAC控制会导致这个用户没有权限进行管理，即使这个用户属于Administrators组也不起作用（全局UAC默认开启的情况下）。你会得到以下错误信息：

　　　　　　警告: 不能从机器得到主机信息: [vm-win7-x86]. 某些命令可能不能用。
　　　　　　拒绝访问。

　　如果不想使用Administrator用户，也不想关闭UAC控制，那么设置一个注册表项就是必须的了。

　　　　HKEY_LOCAL_MACHINE\
　　　　　Software\
　　　　　　Microsoft\
　　　　　　　Windows\
　　　　　　　　CurrentVersion\
　　　　　　　　　Policies\
　　　　　　　　　　System

　　新建一个DWORD，名称为LocalAccountTokenFilterPolicy，值为1。这将关闭远程用户的UAC，Administrators组的用户从远程登录会有管理员权限。该值的改变立即生效。

　　3、远程主机的指定方法

　　远程主机使用机器名或IP地址都可以成功，但对于防火墙管理性能上还是有区别的，实测使用IP地址指定的响应速度比使用机器名指定的要快（这不是单纯的域名解析导致的差距）。如果更注重于远程主机的响应速度，建议使用IP地址指定远程主机。

分享到：


	关于我们\|联系方式\|资质认证\|站点地图\|职位招聘\|建议与投诉
地址：江苏省无锡市梁溪区锡澄路260-1号圆融发展中心17F　　邮编：214031　总机：(0510)82293900　传真：(0510)82702019
版权所有 © 2003-2024 无锡万华数据科技有限公司
苏ICP备05009260号
苏公网安备 32021302000919号