Cum de a controla paravanul de protecție Windows cu un GPO

Paravanul de protecție Windows poate fi unul dintre cele mai mari coșmaruri pentru configurarea administratorilor de sistem, adăugând o prioritate a politicii de grup, devine doar o durere de cap. Aici vă vom lua de la început până la sfârșit despre cum puteți configura cu ușurință Windows Firewall prin intermediul politicii de grup și ca un bonus vă arată cum să remediați una dintre cele mai mari hituri.

Misiunea noastră

A ajuns în atenția noastră că o mulțime de utilizatori au instalat Skype pe mașinile lor și le face mai puțin productive. Ne-a fost încredințată sarcina de a ne asigura că utilizatorii nu pot utiliza Skype la serviciu, cu toate acestea sunt bineveniți să-l păstrați instalat pe laptop-uri și să-l utilizați acasă sau în timpul pauzelor de prânz pe o conexiune 3G / 4G. Având aceste informații, hotărâm să folosim Windows Firewall și Politica de grup.

Metoda

Cea mai ușoară modalitate de a începe să controlați paravanul de protecție Windows prin intermediul politicii de grup este să configurați un PC de referință și să creați regulile utilizând Windows 7, putem apoi exporta acea politică și le putem importa în Politica de grup. Procedând astfel, avem avantajul suplimentar de a putea vedea dacă toate regulile sunt configurate și funcționează așa cum dorim să fie, înainte de a le implementa la toate mașinile client.

Crearea unui șablon de firewall

Pentru a crea un șablon pentru Paravanul de protecție Windows trebuie să lansăm Centrul de rețea și partajare, cel mai simplu mod de a face acest lucru este să faceți clic dreapta pe pictograma de rețea și să selectați Open Network and Sharing Center din meniul contextual.

Când se deschide Centrul de rețea și partajare, dați clic pe linkul Paravan de protecție Windows în colțul din stânga jos.

Când creați un șablon pentru paravanul de protecție Windows, cel mai bine este să faceți acest lucru prin intermediul consolei Windows Firewall with Advanced Security, pentru a lansa acest clic pe Setări avansate din partea stângă.

Notă: În acest moment am de gând să modific regulile specifice Skype, cu toate acestea puteți adăuga propriile reguli pentru porturi sau chiar pentru aplicații. Indiferent ce modificări trebuie să faceți la paravanul de protecție, trebuie să faceți acum.

De aici putem începe editarea regulilor noastre de firewall, în cazul în care aplicația Skype este instalată, creează propriile excepții de Firewall care permit skype.exe să comunice pe profilurile de rețea Domeniu, privat și public.

Acum trebuie să modificăm regula firewall-ului, să îl modificăm dublu-click pe regulă. Acest lucru va aduce proprietățile regulii Skype.

Treceți la fila Avansat și debifați caseta de validare Domeniu.

Când încercați să lansați Skype acum, vi se va cere să întrebați dacă acesta poate comunica pe profilul Domain Network, debifați caseta și faceți clic pe permiteți accesul.

Dacă vă întoarceți acum la Regulile de Firewall Inbound, veți vedea că există două reguli noi, pentru că atunci când vi sa solicitat, ați ales să nu permiteți traficul Inbound Skype. Dacă te uiți la coloana profilului, vei vedea că ambele sunt pentru profilul de rețea al domeniului.

Notă: Motivul pentru care există două reguli se datorează faptului că există reguli separate pentru TCP și UDP

Totul este bun până acum, dar dacă lansați Skype, veți putea să vă conectați.

Chiar dacă schimbați regulile pentru a bloca traficul de intrare pentru skype.exe și setați-l să blocheze traficul folosind ORICE protocol, este încă capabil să se reîntoarcă într-un fel. Opțiunea este simplă, oprește-o să nu mai poată comunica în primul rând. Pentru aceasta, treceți la Reguli de ieșire și începeți să creați o nouă regulă.

Deoarece vrem să creăm o regulă pentru programul Skype, trebuie doar să faceți clic pe următorul, apoi să căutați fișierul executabil Skype și să faceți clic pe următorul.

Puteți lăsa acțiunea la valoarea implicită, care va bloca conexiunea și faceți clic pe Următorul.

Deselectați casetele de selectare Private și Public și faceți clic pe Următorul pentru a continua.

Acum dați-i o regulă un nume și faceți clic pe terminați

Acum, dacă încercați să lansați Skype în timp ce vă conectați la o rețea de domenii, acesta nu va funcționa

Cu toate acestea, dacă încearcă și se conectează când ajung acasă, le va permite să se conecteze bine

Toate regulile Firewall pe care le vom crea pentru moment, nu uitați să vă testați regulile așa cum am făcut pentru Skype.

Exportarea politicii

Pentru a exporta politica, în panoul din stânga faceți clic pe rădăcina arborelui care spune Windows Firewall cu securitate avansată. Apoi faceți clic pe Acțiune și selectați Export Policy din meniu.

Ar trebui să salvați acest lucru fie la o partajare de rețea, fie chiar la o conexiune USB dacă aveți acces fizic la serverul dvs. Vom merge cu o cotă de rețea.

Notă: Aveți grijă de viruși atunci când utilizați un USB, ultimul lucru pe care doriți să-l faceți este să infectați un server cu un virus

Importarea politicii în politica grupului

Pentru a importa politica de firewall, trebuie să deschideți un GPO existent sau să creați un nou GPO și să îl conectați la un OU care conține conturi de computer. Avem un GPO denumit Firewall Policy care este legat de un OU numit Geek Computers, acest OU conține toate computerele noastre. Vom merge mai departe și vom folosi această politică.

Acum navigați la:

Deschideți Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Windows Firewall cu securitate avansată

Faceți clic pe Paravanul de protecție Windows cu securitate avansată, apoi faceți clic pe Politică de acțiune și import

Vi se va spune că dacă importați politica, veți suprascrie toate setările existente, dați clic pe da pentru a continua și apoi căutați politica pe care ați exportat-o ​​în secțiunea anterioară a acestui articol. Odată ce politica a terminat să fie importată, veți fi anunțat (ă).

Dacă te duci să te uiți la regulile noastre, vei vedea că regulile Skype pe care le-am creat sunt încă acolo.

Testarea

Notă: Nu trebuie să efectuați nici o testare înainte de a completa următoarea secțiune a articolului. Dacă faceți acest lucru, vor fi respectate toate regulile care au fost configurate local. Singurul motiv pentru care am făcut niște teste acum era să subliniez câteva lucruri.

Pentru a vedea dacă regulile de firewall au fost instalate la clienți, va trebui să comutați la o mașină client și să deschideți din nou setările de paravan de protecție Windows. După cum vedeți, ar trebui să existe un mesaj care să spună că unele dintre regulile de firewall sunt gestionate de administratorul de sistem.

Faceți clic pe Permiteți un program sau o facilitate prin intermediul link-ului de protecție Windows Firewall din partea stângă.

După cum ați vedea acum, avem reguli aplicate atât de Politica de grup, cât și de cele create local.

Ce se întâmplă aici și cum pot remedia acest lucru?

Implicit, este permisă fuziunea regulilor între politicile locale de firewall pe computerele Windows 7 și politica firewall specificată în Politicile de grup care vizează acele computere. Aceasta înseamnă că administratorii locali își pot crea propriile reguli de firewall, iar aceste reguli vor fi fuzionate cu regulile obținute prin intermediul politicii de grup. Pentru a repara acest clic, faceți clic pe Paravanul de protecție Windows cu securitate avansată și selectați proprietăți din meniul contextual. Când se deschide caseta de dialog, faceți clic pe butonul Personalizare din secțiunea de setări.

Schimbați opțiunea Aplicați regulile firewall locale din Nu este configurată la Nu.

După ce faceți clic pe ok, treceți la profilurile private și publice și faceți același lucru pentru ambele persoane.

Asta e totul pentru băieți, du-te distractiv.