Windows 10 işletim sisteminde SCCM/MCEM 2019 Agent kurulumu için Client Güvenlik Duvarı Yapılandırılması (GPO)

SCCM/MCEM 2019, Windows 10 istemcilerden envanter hazırlanması, uzaktan bağlantı, yönetim ve raporlama gibi bir çok özelliği agent üzerinden yapmaktadır. SCCM ajanlarının yüklenerek client makinelerin güvenlik duvarlarının yapılandırılması gerekmektedir. Her ne kadar SCCM/MECM sunucusu ile Client sistem arasında 80 portunu kullanarak HTTP protokolü yada güvenli olan 443 portu kullanarak HTTPS üzerinden haberleşirler, Fakat dosya paylaşımı, uzaktan bağlantı, paket dağıtımı gibi bir çok uygulama için’de farklı portlar ve protokoller kullanmaktadır.

Windows 10 işletim sistemi kurulduğunda varsayılan ayarlarında Port 80 ve Port 443 açık olarak gelmektedir. Fakat uzaktan yönetim araçlarının kullanımı, VMI yönetimi, dosya paylaşımı gibi uygulamalar için de aşağıdaki port ve uygulamalarında açılması gerekiyor;

https://docs.microsoft.com/en-us/mem/configmgr/core/clients/deploy/windows-firewall-and-port-settings-for-clients

  • File and Printer Sharing
  • WMI (Windows Management Instrumentation)
  • WinRM (Windows Remote Management)
  • TCP 2701
  • TCP 2702
  • TCP 135

Bu port ve uygulamalar için güvenlik duvarında izin verilmesi için GPO hazırlayacağız.

Domain Controller sunucusu üzerinde yeni bir GPO oluşturulur.

Oluşturulacak olan GPO için isim tanımlanır.

Oluşturduğumuz GPO objesinden Windows Firewall yapılandırması için sırasıyla; “Computer Configuration” -> “Policies” -> “Windows Settings” -> “Security Settings” -> “Windows Firewall with Advanced Sercurity” -> “Windows Defeneder Firewall with Advanced Security” dizinine gidilir. Burada istemci makineye, dışarıdan gelen trafik kuralları için “Inbound Rules” istemci makineden dışarıya giden trafik kuralları için Outbound Rules” seçenekleri kullanılmaktadır. SCCM için oluşturacağımız firewall kuralını portlar ve tanımlı olan uygulamalar olarak iki farklı bölümde yapacağız. Portların hepsini tek bir kural altında tanımlarken, önceden tanımlı (Predefined) uygulamaların her biri için ayrı ayrı yapacağız.

GPO yapılandırmasına ilk önce Port erişim izinlerinden başlıyoruz. Yeni bir kural oluşturmak için “Inbound Rules” bölümüde yan tıklayınız ve gelen seçeneklerden “New Rule…” seçilir.

Açılan “New Inbound Rule Wizard” penceresinde “Rule Type” adımında “Port” seçeneği seçilir.

Protocol and Ports” adımında “TCP” ve “Specific local ports” seçenekleri seçilir.  “Specific local ports” alanına 135, 2701 ve 2702 port bilgileri tanımlanır.

Actions” adımında trafiğe izin vereceğimiz için “Allow the connection” seçeneği seçilir.

Profile” adımında uygulanacak olan firewall kuralının profili seçilir. Tüm profilleri de seçebilirsiniz.

Name” adımında yapılan bu firewall yapılandırması için isim ve açıklama bilgisi tanımlanır. Ardından “Finish” butonu ile port erişimi izni adımı tamamlanır.

Portlar için yapılandırma işlemi tamamlandıktan sonra SCCM agent’in 3 adet önceden tanımlı hazır kurallar tanımlanır.  

Eklenecek olan önceden tanımlı (predefined) kurallar;

  • Windows Management Instrumentation (WMI)
  • Windows Remote Management
  • File and Printer Sharing

Rule Type” adımında öncede tanımlı rule eklemek için “Predefined” seçeneği seçilir.

Açılan “Predefined Rules” adımında WMI’a ait olan alt kuralların tamamı eklenir.  

Actions” adımında trafiğe izin vereceğimizden dolayı “Allow the connection” seçeneği seçilir ve ardından “Finish” butonu seçilir.

Bu örnekten yola çıkarak “Windows Remote Management”  ve “File and Printer Sharing” için kuralları tanımlanır.