A Windows tűzfalszabályok konfigurálása csoportházirendek szerint

A Windows tűzfal lehetővé teszi a kimenő / bejövő hálózati forgalom korlátozását egy adott alkalmazás vagy TCP / IP port számára, és népszerű eszköz a hálózati hozzáférés korlátozására a felhasználói munkaállomásokra vagy szerverekre. A Windows tűzfalszabályok konfigurálhatók külön-külön minden számítógépen, vagy ha a felhasználó számítógépe szerepel a Windows tartományban, akkor a rendszergazda csoportszabályok segítségével irányíthatja a Windows tűzfal beállításait és szabályait..

Egy nagy szervezetben a portszűrési szabályokat általában egy útválasztó, L3-kapcsolók vagy dedikált tűzfalak szintjén hajtják végre. Semmi sem akadályozza meg abban, hogy kiterjessze a Windows tűzfal hálózati hozzáférésének a Windows munkaállomásokra vagy szerverekre korlátozására vonatkozó szabályait..

Tartalom:

  • A Windows Defender tűzfalbeállítások kezelésére használt csoportházirendek
  • Kapcsolja be a Windows tűzfalat GPO használatával
  • Hozzon létre egy tűzfalszabályt a csoportházirend segítségével
  • A Windows tűzfal házirendjeinek ellenőrzése az ügyfeleknél
  • A Windows tűzfalszabályok importálása / exportálása GPO-ban
  • Domain- és helyi tűzfalszabályok
  • Néhány tipp a Windows tűzfal GPO-n keresztüli kezelésére

A Windows Defender tűzfalbeállítások kezelésére használt csoportházirendek

A csoportházirend-kezelő konzol (gpmc.msc) használatával hozzon létre egy új tűzfal-házirendet, és lépjen szerkesztési módba (Szerkesztés).

A csoportházirend-konzolban két szakasz található, ahol kezelheti a tűzfal beállításait:

  • Számítógép konfigurálása -> Felügyeleti sablonok -> Hálózat -> Hálózati kapcsolatok -> Windows tűzfal - a GPO ezen szakaszát a Vista / Windows Server 2008 és újabb verziók tűzfalszabályainak konfigurálására használják. Ha a tartományban nincsenek régi operációs rendszerű számítógépek, a következő szakasz segítségével konfigurálhatja a tűzfalat.
  • Számítógép konfigurálása -> Windows beállítások -> Biztonsági beállítások -> Windows tűzfal fejlett biztonsággal - ez a tényleges szakasz a Windows tűzfal konfigurálására az operációs rendszer modern verzióiban, és az interfész szempontjából hasonlít a helyi tűzfal kezelőkonzoljának felületére.

Kapcsolja be a Windows tűzfalat GPO használatával

Annak érdekében, hogy a felhasználók (még a helyi rendszergazdai jogosultságokkal is) ne kapcsolják ki a tűzfalszolgáltatást, tanácsos a Windows tűzfalszolgáltatást úgy konfigurálni, hogy az automatikusan elinduljon a csoportházirend-objektumon. Ehhez lépjen a Számítógép konfigurációja -> Windows beállítások -> Biztonsági beállítások -> Rendszerszolgáltatások menüpontra. Keresse meg a szolgáltatások listáját Windows tűzfal és változtassa meg a szolgáltatás indítási típusát automatikusra (Adja meg ezt a házirend-beállítást -> A szolgáltatás indítási módja automatikus). Ellenőrizze, hogy a felhasználóknak nincs-e engedélyük a szolgáltatás leállítására..

Lépjen a GPO-konzol szakaszra Számítógép konfigurálása -> Windows beállítások -> Biztonsági beállítások. Kattintson a jobb gombbal Windows tűzfal fejlett biztonsággal és nyitott tulajdonságok.

A Tartomány profil, a Privát profil és a Nyilvános profil (amely egy hálózati profil) mindhárom lapján változtassa meg a tűzfal állapotát Be (ajánlott). A szervezet biztonsági irányelveitől függően megadhatja, hogy az összes bejövő kapcsolat alapértelmezés szerint le van tiltva (Bejövő kapcsolatok -> Blokkolás), és a kimenő kapcsolatok engedélyezettek (Kimenő kapcsolatok -> Engedélyezés), és elmentheti a módosításokat..

Hozzon létre egy tűzfalszabályt a csoportházirend segítségével

Most próbáljunk mindenki számára megengedett bejövő tűzfalszabályt létrehozni. Például szeretnénk engedélyezni a számítógépekhez történő kapcsolatokat az RDP-n keresztül (TCP-port 3389). Kattintson a jobb gombbal a Bejövő szabályok szakaszra, és válassza az Új szabály menüpontot..

A tűzfalszabály varázsló nagyon hasonlít a normál számítógép helyi Windows tűzfal felületéhez.

Válasszon egy szabálytípust. Engedélyezheti a hozzáférést a következőkhöz:

  • Programok (Program) - kiválaszthatja a végrehajtható exe programot;
  • Port (Port) - válassza ki a TCP / UDP portot vagy porttartományt;
  • Előre definiált szabály (előre definiált) - válassza ki a szokásos Windows szabályok egyikét, amelyek már rendelkeznek hozzáférési szabályokkal (a végrehajtható fájlokat és a portokat is leírják) a tipikus szolgáltatásokhoz (például AD, Http, DFS, BranchCache, távoli újraindítás, SNMP, KMS és stb);
  • Egyéni szabály - itt megadhatja a programot, a protokollt (más protokollok a TCP és UDP mellett, például ICMP, GRE, L2TP, IGMP stb.), Az ügyfél IP címeit vagy a teljes IP alhálózatokat..

Esetünkben a Port szabályt választjuk. A TCP-t fogjuk meghatározni protokollként, a 3389-ös portot portként (az alapértelmezett RDP-port megváltoztatható).

Ezután ki kell választania, mit kell tennie egy ilyen hálózati kapcsolattal: engedélyezze (Engedélyezze a kapcsolatot), engedélyezze, ha biztonságos, vagy blokkolja (A kapcsolat blokkolása).

Végül ki kell választani a szabályt alkalmazó tűzfalprofilokat. Az összes profilt elhagyhatja (domain, privát és nyilvános)).

Az utolsó lépésben meg kell adnia a szabály nevét és leírását. Kattintson a Befejezés gombra, és megjelenik a tűzfalszabályok listájában..

Hasonlóképpen konfigurálhat más bejövő szabályokat is, amelyek a Windows ügyfelekre vonatkoznak..

Ne felejtse el, hogy szabályokat kell létrehoznia a bejövő és a kimenő forgalomra.

Most továbbra is hozzá kell rendelnie egy tűzfal-irányelvet az felhasználói egységhez a felhasználói számítógépekkel

Fontos. Mielőtt a tűzfalakra vonatkozó irányelvet alkalmazza az eredményes számítógépekkel működő OU-ra, erősen ajánlott, hogy tesztelje azt tesztszámítógépeken. Ellenkező esetben a tűzfal helytelen beállításainak eredményeként megbéníthatja a vállalkozás munkáját. A csoportházirendek diagnosztizálásához használja a gpresult.exe segédprogramot. 

A Windows tűzfal házirendjeinek ellenőrzése az ügyfeleknél

Frissítse az ügyfelekre vonatkozó irányelveket (gpupdate / force). Ellenőrizze, hogy a megadott portok elérhetőek-e a felhasználók számítógépein (használhatja a Test-NetConnection parancsmagot vagy a Portqry segédprogramot).

Nyissa meg a felhasználói számítógépen a Vezérlőpult \ Rendszer és biztonság \ Windows Defender tűzfalat, és ellenőrizze, hogy a következő megjelenik-e: A biztonság érdekében egyes beállításokat a Csoportházirend szabályozza. (Az Ön biztonsága érdekében egyes beállításokat a Csoportházirend szabályozza), és a megadott tűzfalbeállításokat használjuk.

A felhasználó már nem módosíthatja a tűzfal beállításait, és a Bejövő szabályok listában meg kell jelölnie az összes létrehozott szabályt.

A tűzfal beállításait a következő paranccsal is megjelenítheti:

A netsh tűzfal állapotát mutatja

A Windows tűzfalszabályok importálása / exportálása GPO-ban

Természetesen a Windows tűzfal szabályainak kidolgozása nagyon gondos és hosszú feladat (de az eredmény megéri). A feladat egyszerűsítése érdekében kihasználhatja a Windows tűzfal beállításainak importálásának és exportálásának lehetőségét. Ehhez be kell állítania a helyi tűzfalszabályokat egy szokásos munkaállomáson. Ezután ugorjon a tűzfal beépülő moduljának gyökerére (a Windows Defender tűzfal figyelője az Advanced Security szolgáltatásban), és válassza a Művelet -> Exportpolitika.

A házirendet egy WFW fájlba töltik fel, amelyet a Csoportházirend kezelése szerkesztőbe importálhat a kiválasztással Behozatali politika és meghatározza a wfw fájl elérési útját (az aktuális beállításokat felülírjuk).

Domain- és helyi tűzfalszabályok

Attól függően, hogy azt akarja, hogy a helyi rendszergazdák képesek-e saját tűzfalszabályokat létrehozni számítógépükön, és ezeket össze kell kapcsolni a csoportházirend használatával kapott szabályokkal. A csoportszabályokban kiválaszthatja a szabályok kombinálásának módját. Nyissa meg az irányelv tulajdonságait, és ügyeljen a szakasz beállításaira Szabály egyesítése. Alapértelmezés szerint a szabályok egyesítése engedélyezve van. Kényszerítheti a helyi rendszergazdát, hogy hozzon létre saját tűzfalszabályokat: a paraméterben Alkalmazza a helyi tűzfalszabályokat választ Igen (alapértelmezett).

tanács. A tűzfalszabályok blokkolása elsőbbséget élvez a szabályok engedélyezésével szemben. Ie a felhasználó nem lesz képes létrehozni saját megengedett hozzáférési szabályt, amely ellentmond az adminisztrátor által a GPO-n keresztül beállított tiltó szabálynak. A felhasználó azonban létrehozhat egy helyi megtagadási szabályt, még akkor is, ha ezt a hozzáférést az adminisztrátor engedélyezi a házirendben.

Néhány tipp a Windows tűzfal GPO-n keresztüli kezelésére

Természetesen a kiszolgálók és a munkaállomások számára külön irányelveket kell létrehoznia a tűzfalszabályok kezelésére (azonos kiszolgálók mindegyik csoportjára szükség lehet saját házirendek létrehozására, azok szerepétől függően). Ie A tartományvezérlő, az e-mail kiszolgáló és az SQL kiszolgáló tűzfalszabályai különböznek.

Milyen portokat kell megnyitnia egy adott szolgáltatáshoz, meg kell néznie a fejlesztői webhely dokumentációjában. A folyamat meglehetősen gondos és első pillantásra bonyolult. Fokozatosan valóban valóban eljutni a tűzfal működőképes Windows konfigurációjához, amely csak jóváhagyott kapcsolatokat tesz lehetővé, és minden más blokkolja. Tapasztalataim szerint szeretném megjegyezni, hogy a Microsoft szoftverén elég gyorsan megtalálhatja a használt TCP / UDP portok listáját.