Как принудительно установить Private для всех сетевых подключений в Server 2025 (PowerShell)

Определение. В Windows Server 2025 профиль сети «Private» — это режим доверенной сети, в котором включаются правила брандмауэра, рассчитанные на внутренние сегменты, разрешаются входящие подключения для администрирования и обнаружения, а службы могут публиковаться в подсети. Принудительная установка «Private» для всех подключений нужна, когда сервер работает в безопасном периметре и должен быть доступен по SMB, RDP, WinRM, кластерам и службам, блокируемым «Public» профилем. 🛡️

Содержание

Быстрые требования и проверки 🔧

Запустите Windows PowerShell 5.1 или PowerShell 7+ от имени администратора.
Убедитесь, что модуль NetTCPIP доступен: Get-Command Set-NetConnectionProfile.
Проверьте текущие профили: Get-NetConnectionProfile | ft Name, InterfaceAlias, IPv4Connectivity, NetworkCategory.
Помните: профили с категорией DomainAuthenticated не переводятся в «Private» — ими управляет доменная аутентификация NLA. Это нормальное и безопасное поведение.

Установить Private для всех текущих подключений (PowerShell)

Базовая команда для всех недоменных профилей:

# Отобразить текущие профили
Get-NetConnectionProfile | Format-Table Name, InterfaceAlias, NetworkCategory

# Принудительно перевести все недоменные профили в Private
Get-NetConnectionProfile |
  Where-Object { $_.NetworkCategory -ne 'DomainAuthenticated' } |
  ForEach-Object {
    Set-NetConnectionProfile -InterfaceIndex $_.InterfaceIndex -NetworkCategory Private
  }

# Проверить результат
Get-NetConnectionProfile | Format-Table Name, InterfaceAlias, NetworkCategory

Если есть временно «Неопознанные сети» или виртуальные интерфейсы (vEthernet, кластерные), можно сузить набор:

# Только активные и не-Loopback интерфейсы
$if = Get-NetAdapter | Where-Object { $_.Status -eq 'Up' -and $_.HardwareInterface -eq $true }
$prof = Get-NetConnectionProfile | Where-Object { $if.InterfaceIndex -contains $_.InterfaceIndex -and $_.NetworkCategory -ne 'DomainAuthenticated' }
$prof | ForEach-Object { Set-NetConnectionProfile -InterfaceIndex $_.InterfaceIndex -NetworkCategory Private }

Сделать «Private» по умолчанию для неопознанных и новых сетей (Политика/GPO) ⚙️

Чтобы новые и неопознанные сети сразу получали «Private», задайте политику «Unidentified Networks = Private». На одиночном сервере можно применить через реестр:

# Установить Private по умолчанию для неопознанных сетей
New-Item -Path 'HKLM:SOFTWAREPoliciesMicrosoftWindowsNetworkListManager' -Force | Out-Null
New-Item -Path 'HKLM:SOFTWAREPoliciesMicrosoftWindowsNetworkListManagerUnidentifiedNetworks' -Force | Out-Null
New-ItemProperty -Path 'HKLM:SOFTWAREPoliciesMicrosoftWindowsNetworkListManagerUnidentifiedNetworks' -Name 'DefaultLocation' -PropertyType DWord -Value 1 -Force | Out-Null

# (Опционально) Разрешить локально менять местоположение сетей
New-ItemProperty -Path 'HKLM:SOFTWAREPoliciesMicrosoftWindowsNetworkListManager' -Name 'AllowUnidentified' -PropertyType DWord -Value 1 -Force | Out-Null

# Обновить политики
gpupdate /force

В домене настройте GPO: Computer Configuration → Windows Settings → Security Settings → Network List Manager Policies → Unidentified Networks → Location type: Private.

Массовое изменение через реестр (когда Set-NetConnectionProfile не срабатывает) 🧰

Иногда NLA «залипает», и смена через cmdlet не проходит. Тогда обновляем все профили в хранилище профилей сетей:

$base = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles'
Get-ChildItem $base | ForEach-Object {
  $p = Get-ItemProperty $_.PsPath
  if ($p.Category -ne 2) { # 0=Public, 1=Private, 2=DomainAuthenticated
    Set-ItemProperty -Path $_.PsPath -Name Category -Value 1
  }
}

# Перезапустить NLA для применения (кратковременное сетевое «мигание»)
Restart-Service -Name nlasvc -Force

Не меняйте Category=2 — это доменные сети, их «понижение» нарушит ожидаемую модель безопасности.

Автоматизация для будущих подключений (Задача планировщика) 🚀

Создайте задачу, которая при появлении нового профиля переключает его в «Private».

# Сценарий, который переключает все текущие недоменные профили в Private
$script = @'
$profiles = Get-NetConnectionProfile | Where-Object { $_.NetworkCategory -ne "DomainAuthenticated" }
foreach ($p in $profiles) { Set-NetConnectionProfile -InterfaceIndex $p.InterfaceIndex -NetworkCategory Private }
'@

$scriptPath = "$env:ProgramDataForcePrivate.ps1"
Set-Content -Path $scriptPath -Value $script -Encoding UTF8 -Force

# Задача, реагирующая на события NetworkProfile (подключение/изменение)
$xml = @'
<QueryList>
  <Query Id="0" Path="Microsoft-Windows-NetworkProfile/Operational">
    <Select Path="Microsoft-Windows-NetworkProfile/Operational">*[System[(EventID=10000 or EventID=10001 or EventID=10002)]]</Select>
  </Query>
</QueryList>
'@

$trigger = New-ScheduledTaskTrigger -AtStartup
$et = New-ScheduledTaskTrigger -OnEvent -Subscription $xml
$action = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -File `"$scriptPath`""
Register-ScheduledTask -TaskName 'ForcePrivateProfiles' -Trigger $trigger,$et -Action $action -RunLevel Highest -Description 'Force Private for all non-domain network profiles'

Удалённое применение к флоту серверов 📦

Через WinRM/PowerShell Remoting:

$servers = @('srv-core-01','srv-app-02','srv-hv-03')
Invoke-Command -ComputerName $servers -ScriptBlock {
  Get-NetConnectionProfile |
    Where-Object { $_.NetworkCategory -ne 'DomainAuthenticated' } |
    ForEach-Object { Set-NetConnectionProfile -InterfaceIndex $_.InterfaceIndex -NetworkCategory Private }
}

Проверка и сопутствующие настройки брандмауэра 🕵️

Проверить состояние: Get-NetConnectionProfile.

Убедиться, что нужные правила включены в профиле Private:

# Примеры
Enable-NetFirewallRule -DisplayGroup 'Remote Desktop'
Enable-NetFirewallRule -DisplayGroup 'Windows Remote Management'
Enable-NetFirewallRule -DisplayGroup 'File and Printer Sharing'

Не отключайте полностью брандмауэр даже в Private — вместо этого включайте конкретные правила.

Сводная таблица методов и сценариев 📋

Метод	Где применяется	Команда/Политика	Длительность эффекта	Когда использовать	Откат
Set-NetConnectionProfile	Локально/Remoting	`Set-NetConnectionProfile -InterfaceIndex ... -NetworkCategory Private`	До смены сети	Быстро перевести текущие сети	Повторить с `-NetworkCategory Public`
Политика Unidentified Networks	Локально/GPO	GPO: Location type = Private	Постоянно	Назначить Private по умолчанию	Изменить GPO на Public
Правка реестра ProfilesCategory	Локально	`HKLM...NetworkListProfiles{GUID}Category=1`	До переоценки NLA	Обход «залипаний» NLA	Вернуть значение 0
Задача планировщика	Локально	Скрипт + Event Trigger	Постоянно	Автоприменение к новым сетям	Удалить задачу
PowerShell Remoting	Флот серверов	`Invoke-Command`	До смены сети	Массовое применение	Массовый откат
GPO для конкретных сетей	Домен	Network List Manager Policies	Постоянно	Стандартизация среды	Снять/изменить GPO
Пакет правил брандмауэра	Локально/GPO	`Enable-NetFirewallRule ...`	Постоянно	Дать нужный доступ под Private	Disable правил

Частые ошибки и нюансы

DomainAuthenticated нельзя «сделать» Private — это другой профиль, в целом более «доверенный» в домене.
Кластерные/Hyper-V интерфейсы: для vEthernet и Cluster Network лучше оставить их категорию как есть; меняйте осознанно.
Core-редакция: все команды выполняются из консоли; GUI-опций нет, что делает PowerShell главным инструментом.
Если после перезагрузки всё снова Public — проверьте GPO, скрипты входа и события NetworkProfile журнала.

Пример комплексного сценария «сделай и забудь»

# 1) Перевести все текущие (не доменные) в Private
Get-NetConnectionProfile |
  Where-Object { $_.NetworkCategory -ne 'DomainAuthenticated' } |
  ForEach-Object { Set-NetConnectionProfile -InterfaceIndex $_.InterfaceIndex -NetworkCategory Private }

# 2) Назначить Private для неопознанных сетей
New-Item -Path 'HKLM:SOFTWAREPoliciesMicrosoftWindowsNetworkListManagerUnidentifiedNetworks' -Force | Out-Null
Set-ItemProperty -Path 'HKLM:SOFTWAREPoliciesMicrosoftWindowsNetworkListManagerUnidentifiedNetworks' -Name 'DefaultLocation' -Type DWord -Value 1

# 3) Включить ключевые правила брандмауэра под Private
'Remote Desktop','Windows Remote Management','File and Printer Sharing' | ForEach-Object {
  Enable-NetFirewallRule -DisplayGroup $_
}

# 4) Создать задачу автоприменения при смене сети
# (см. раздел про Задачу планировщика)

FAQ по смежным вопросам

Q1: В чём разница между Public, Private и DomainAuthenticated?
A1: Public — самый строгий профиль для недоверенных сетей; Private — для доверенных внутренних сегментов; DomainAuthenticated — активируется при успешной аутентификации к домену AD и включает набор правил, оптимизированных для корпоративной сети.

Q2: Можно ли заставить доменную сеть стать Private?
A2: Нет. Её категория управляется NLA и AD. Но обычно DomainAuthenticated не строже Private. Если нужно больше открытых портов — включайте конкретные правила брандмауэра.

Q3: Почему после каждой перезагрузки профиль откатывается?
A3: Чаще всего из‑за GPO, сторонних агентов hardening или повторной классификации NLA при изменении параметров шлюза/DNS. Проверьте применённые политики и логи Microsoft-Windows-NetworkProfile/Operational.

Q4: Безопасно ли переводить все сети сервера в Private?
A4: Да, если сервер в защищённом периметре или изолирован VLAN/VPN. На узлах, доступных из Интернета, это не рекомендуется — лучше оставить Public и открыть минимально необходимые правила.

Q5: Как задать Private для конкретного интерфейса по имени?
A5: Используйте: $a = Get-NetAdapter -Name 'Ethernet 2'; $p = Get-NetConnectionProfile | Where-Object InterfaceIndex -eq $a.ifIndex; Set-NetConnectionProfile -InterfaceIndex $p.InterfaceIndex -NetworkCategory Private.

Q6: Нужен ли перезапуск служб после смены профиля?
A6: Обычно нет. Но службы, зависящие от брандмауэра или обнаружения сети (например, ClusSvc, SQL Browser), могут применить политику мгновенно; в редких случаях помогает перезапуск их службы или NLA.