Hjemmeside » hvordan » Gruppepolitik Geek Sådan styrer du Windows Firewall Med en GPO

    Gruppepolitik Geek Sådan styrer du Windows Firewall Med en GPO

    Windows Firewall kan være en af ​​de største mareridt for systemadministratorer at konfigurere, med tilføjelse af prioriteret gruppepolitik bliver det bare hovedpine. Her vil vi tage dig fra start til slut på, hvordan du nemt konfigurerer Windows Firewall via Gruppepolitik og som en bonus viser dig, hvordan du retter en af ​​de største gotchas.

    Vores mission

    Det er blevet gjort opmærksom på, at mange brugere har Skype installeret på deres maskiner, og det gør dem mindre produktive. Vi har fået til opgave at sikre, at brugerne ikke kan bruge Skype på arbejde, men de er velkomne til at holde det installeret på deres bærbare computere og bruge det hjemme eller i frokostpause på en 3G / 4G-forbindelse. På baggrund af disse oplysninger beslutter vi at gøre brug af Windows Firewall og Gruppepolitik.

    Metoden

    Den nemmeste måde at starte Windows Firewall på via Gruppepolitik er at oprette en reference-pc og oprette reglerne ved hjælp af Windows 7, så kan vi eksportere den politik og importere den til Gruppepolitik. Ved at gøre dette har vi den ekstra fordel ved at kunne se om alle reglerne er oprettet og fungerer som vi vil have dem, før de distribueres til alle klientmaskinerne.

    Oprettelse af en firewall skabelon

    For at oprette en skabelon til Windows Firewall skal vi starte Network and Sharing Center. Det er den nemmeste måde at gøre dette på, at højreklikke på netværksikonet og vælge Åbn netværk og delingscenter fra kontekstmenuen.

    Når netværk og delingscenter åbnes, skal du klikke på linket Windows Firewall i nederste venstre hjørne.

    Når du opretter en skabelon til Windows Firewall, udføres det bedst gennem Windows Firewall med avanceret sikkerhedskonsol for at starte dette klik på Avancerede indstillinger på venstre side.

    Bemærk: På dette tidspunkt vil jeg redigere Skype-specifikke regler, men du kan tilføje dine egne regler for porte eller endda applikationer. Uanset hvilke ændringer du skal lave til firewallen, skal du gøre det nu.

    Herfra kan vi begynde at redigere vores firewallregler, i vores tilfælde, når Skype-programmet er installeret, opretter det egne Firewall-undtagelser, der tillader, at skype.exe kommunikerer på profilerne Domæne, Privat og Offentligt netværk.

    Nu skal vi redigere vores Firewall-regel, for at redigere det dobbeltklik på reglen. Dette vil bringe egenskaberne af Skype-reglen op.

    Skift til fanen Avanceret, og fjern markeringen i afkrydsningsfeltet Domæne.

    Når du forsøger at starte Skype nu, bliver du bedt om at spørge, om den kan kommunikere på Domain Network Profile, fjerne markeringen i feltet og klikke på tillad adgang.

    Hvis du nu går tilbage til dine indgående firewallregler, vil du se, at der er to nye regler, det skyldes, at når du blev bedt om, valgte du ikke at tillade indgående Skype-trafik. Hvis du ser over til profilkolonnen, vil du se, at de begge er til Domain Network profilen.

    Bemærk: Årsagen er, at der er to regler, fordi der er separate regler for TCP og UDP

    Alt er godt hidtil, men hvis du starter Skype, kan du stadig logge ind.

    Selvom du ændrer reglerne for at blokere indgående trafik for skype.exe og indstiller den til at blokere trafik ved hjælp af en hvilken som helst protokol, er det stadig muligt på en eller anden måde at komme tilbage. Fixen er enkel, stoppe den fra at kunne kommunikere i første omgang. For at gøre dette skifter du til udgående regler og begynder at oprette en ny regel.

    Da vi ønsker at oprette en regel til Skype-programmet, skal du blot klikke på Næste, derefter søge efter den Skype-eksekverbare fil og klikke på Næste.

    Du kan forlade handlingen på standard som skal blokere forbindelsen og klikke på næste.

    Fjern markeringen i afkrydsningsfelterne Privat og Offentligt og klik på Næste for at fortsætte.

    Giv din regel et navn og klik på afslut

    Nu, hvis du forsøger at starte Skype, mens du er tilsluttet et domænenetværk, virker det ikke

    Men hvis de forsøger at forbinde, når de kommer hjem, vil det give dem mulighed for at forbinde fint

    Det er alle de Firewall-regler, vi skal oprette for nu, glem ikke at teste dine regler ligesom vi gjorde for Skype.

    Eksport af politikken

    For at eksportere politikken klikker du i ruden på venstre side i roden af ​​træet, der siger Windows Firewall med avanceret sikkerhed. Klik derefter på Action og vælg Export Policy fra menuen.

    Du skal gemme dette til enten en netværksandel eller endog en USB, hvis du har fysisk adgang til din server. Vi vil gå med en netværksandel.

    Bemærk! Vær forsigtig med virus, når du bruger en USB, det sidste du vil gøre er at inficere en server med en virus

    Importer politik til gruppepolitik

    For at importere firewall-politikken skal du åbne et eksisterende GPO eller oprette et nyt GPO og knytte det til en OU, der indeholder computerkonti. Vi har en GPO kaldet Firewall Policy, der er knyttet til en OU kaldet Geek Computers, denne OU indeholder alle vores computere. Vi vil bare gå videre og bruge denne politik.

    Naviger nu til:

    Åbn Computer Configuration \ Policies \ Windows Settings \ Sikkerhedsindstillinger \ Windows Firewall med avanceret sikkerhed

    Klik på Windows Firewall med Advanced Security, og klik derefter på Handlings- og importpolitik

    Du bliver fortalt, at hvis du importerer politikken, overskrives alle eksisterende indstillinger, klik på ja for at fortsætte og derefter søge efter den politik, du eksporterede i det forrige afsnit i denne artikel. Når politikken er færdig med at blive importeret, vil du blive underrettet.

    Hvis du går og ser på vores regler, vil du se, at de Skype-regler, jeg oprettede, stadig er der.

    Test

    Bemærk: Du bør ikke foretage nogen test, før du fuldfører næste afsnit i artiklen. Hvis du gør det, overholdes regler, der er konfigureret lokalt. Den eneste grund til at jeg prøvede nu var at pege på nogle få ting.

    For at se, om Firewall-reglerne er blevet implementeret til klienter, skal du skifte til en klientmaskin og igen åbne Windows Firewall Settings. Som du kan se, skal der være en besked, der siger, at nogle af firewallreglerne styres af systemadministratoren.

    Klik på Tillad et program eller en funktion via Windows Firewall-linket på venstre side.

    Som du bør se nu, har vi regler, der både anvendes af gruppepolitik såvel som dem, der oprettes lokalt.

    Hvad foregår der, og hvordan kan jeg løse det?

    Regelstrømning er som standard aktiveret mellem lokale firewall-politikker på Windows 7-computere og firewall-politikker, der er angivet i gruppepolitikker, der er målrettet mod disse computere. Det betyder, at lokale administratorer kan oprette deres egne firewallregler, og disse regler vil blive slået sammen med reglerne opnået gennem Gruppepolitik. For at rette dette skal du højreklikke på Windows Firewall med Advanced Security og vælge egenskaber fra kontekstmenuen. Når dialogboksen åbnes, klik på knappen Tilpas under sektionen Indstillinger.

    Skift indstillingen Anvend lokale firewallregler fra Ikke konfigureret til Nej.

    Når du har klikket ok, skal du skifte til private og offentlige profiler og gøre det samme for dem begge.

    Det er alt, der er for det folk, skal du have nogle firewall sjove.