A Windows tűzfal lehetővé teszi a kimenő / bejövő hálózati forgalom korlátozását egy adott alkalmazás vagy TCP / IP port számára, és népszerű eszköz a hálózati hozzáférés korlátozására a felhasználói munkaállomásokra vagy szerverekre. A Windows tűzfalszabályok konfigurálhatók külön-külön minden számítógépen, vagy ha a felhasználó számítógépe szerepel a Windows tartományban, akkor a rendszergazda csoportszabályok segítségével irányíthatja a Windows tűzfal beállításait és szabályait..
Egy nagy szervezetben a portszűrési szabályokat általában egy útválasztó, L3-kapcsolók vagy dedikált tűzfalak szintjén hajtják végre. Semmi sem akadályozza meg abban, hogy kiterjessze a Windows tűzfal hálózati hozzáférésének a Windows munkaállomásokra vagy szerverekre korlátozására vonatkozó szabályait..
Tartalom:
- A Windows Defender tűzfalbeállítások kezelésére használt csoportházirendek
- Kapcsolja be a Windows tűzfalat GPO használatával
- Hozzon létre egy tűzfalszabályt a csoportházirend segítségével
- A Windows tűzfal házirendjeinek ellenőrzése az ügyfeleknél
- A Windows tűzfalszabályok importálása / exportálása GPO-ban
- Domain- és helyi tűzfalszabályok
- Néhány tipp a Windows tűzfal GPO-n keresztüli kezelésére
A Windows Defender tűzfalbeállítások kezelésére használt csoportházirendek
A csoportházirend-kezelő konzol (gpmc.msc) használatával hozzon létre egy új tűzfal-házirendet, és lépjen szerkesztési módba (Szerkesztés).
A csoportházirend-konzolban két szakasz található, ahol kezelheti a tűzfal beállításait:
- Számítógép konfigurálása -> Felügyeleti sablonok -> Hálózat -> Hálózati kapcsolatok -> Windows tűzfal - a GPO ezen szakaszát a Vista / Windows Server 2008 és újabb verziók tűzfalszabályainak konfigurálására használják. Ha a tartományban nincsenek régi operációs rendszerű számítógépek, a következő szakasz segítségével konfigurálhatja a tűzfalat.
- Számítógép konfigurálása -> Windows beállítások -> Biztonsági beállítások -> Windows tűzfal fejlett biztonsággal - ez a tényleges szakasz a Windows tűzfal konfigurálására az operációs rendszer modern verzióiban, és az interfész szempontjából hasonlít a helyi tűzfal kezelőkonzoljának felületére.
Kapcsolja be a Windows tűzfalat GPO használatával
Annak érdekében, hogy a felhasználók (még a helyi rendszergazdai jogosultságokkal is) ne kapcsolják ki a tűzfalszolgáltatást, tanácsos a Windows tűzfalszolgáltatást úgy konfigurálni, hogy az automatikusan elinduljon a csoportházirend-objektumon. Ehhez lépjen a Számítógép konfigurációja -> Windows beállítások -> Biztonsági beállítások -> Rendszerszolgáltatások menüpontra. Keresse meg a szolgáltatások listáját Windows tűzfal és változtassa meg a szolgáltatás indítási típusát automatikusra (Adja meg ezt a házirend-beállítást -> A szolgáltatás indítási módja automatikus). Ellenőrizze, hogy a felhasználóknak nincs-e engedélyük a szolgáltatás leállítására..
Lépjen a GPO-konzol szakaszra Számítógép konfigurálása -> Windows beállítások -> Biztonsági beállítások. Kattintson a jobb gombbal Windows tűzfal fejlett biztonsággal és nyitott tulajdonságok.
A Tartomány profil, a Privát profil és a Nyilvános profil (amely egy hálózati profil) mindhárom lapján változtassa meg a tűzfal állapotát Be (ajánlott). A szervezet biztonsági irányelveitől függően megadhatja, hogy az összes bejövő kapcsolat alapértelmezés szerint le van tiltva (Bejövő kapcsolatok -> Blokkolás), és a kimenő kapcsolatok engedélyezettek (Kimenő kapcsolatok -> Engedélyezés), és elmentheti a módosításokat..
Hozzon létre egy tűzfalszabályt a csoportházirend segítségével
Most próbáljunk mindenki számára megengedett bejövő tűzfalszabályt létrehozni. Például szeretnénk engedélyezni a számítógépekhez történő kapcsolatokat az RDP-n keresztül (TCP-port 3389). Kattintson a jobb gombbal a Bejövő szabályok szakaszra, és válassza az Új szabály menüpontot..
A tűzfalszabály varázsló nagyon hasonlít a normál számítógép helyi Windows tűzfal felületéhez.
Válasszon egy szabálytípust. Engedélyezheti a hozzáférést a következőkhöz:
- Programok (Program) - kiválaszthatja a végrehajtható exe programot;
- Port (Port) - válassza ki a TCP / UDP portot vagy porttartományt;
- Előre definiált szabály (előre definiált) - válassza ki a szokásos Windows szabályok egyikét, amelyek már rendelkeznek hozzáférési szabályokkal (a végrehajtható fájlokat és a portokat is leírják) a tipikus szolgáltatásokhoz (például AD, Http, DFS, BranchCache, távoli újraindítás, SNMP, KMS és stb);
- Egyéni szabály - itt megadhatja a programot, a protokollt (más protokollok a TCP és UDP mellett, például ICMP, GRE, L2TP, IGMP stb.), Az ügyfél IP címeit vagy a teljes IP alhálózatokat..
Esetünkben a Port szabályt választjuk. A TCP-t fogjuk meghatározni protokollként, a 3389-ös portot portként (az alapértelmezett RDP-port megváltoztatható).
Ezután ki kell választania, mit kell tennie egy ilyen hálózati kapcsolattal: engedélyezze (Engedélyezze a kapcsolatot), engedélyezze, ha biztonságos, vagy blokkolja (A kapcsolat blokkolása).
Végül ki kell választani a szabályt alkalmazó tűzfalprofilokat. Az összes profilt elhagyhatja (domain, privát és nyilvános)).
Az utolsó lépésben meg kell adnia a szabály nevét és leírását. Kattintson a Befejezés gombra, és megjelenik a tűzfalszabályok listájában..
Hasonlóképpen konfigurálhat más bejövő szabályokat is, amelyek a Windows ügyfelekre vonatkoznak..
Ne felejtse el, hogy szabályokat kell létrehoznia a bejövő és a kimenő forgalomra.
Most továbbra is hozzá kell rendelnie egy tűzfal-irányelvet az felhasználói egységhez a felhasználói számítógépekkel
Fontos. Mielőtt a tűzfalakra vonatkozó irányelvet alkalmazza az eredményes számítógépekkel működő OU-ra, erősen ajánlott, hogy tesztelje azt tesztszámítógépeken. Ellenkező esetben a tűzfal helytelen beállításainak eredményeként megbéníthatja a vállalkozás munkáját. A csoportházirendek diagnosztizálásához használja a gpresult.exe segédprogramot.A Windows tűzfal házirendjeinek ellenőrzése az ügyfeleknél
Frissítse az ügyfelekre vonatkozó irányelveket (gpupdate / force). Ellenőrizze, hogy a megadott portok elérhetőek-e a felhasználók számítógépein (használhatja a Test-NetConnection parancsmagot vagy a Portqry segédprogramot).
Nyissa meg a felhasználói számítógépen a Vezérlőpult \ Rendszer és biztonság \ Windows Defender tűzfalat, és ellenőrizze, hogy a következő megjelenik-e: A biztonság érdekében egyes beállításokat a Csoportházirend szabályozza. (Az Ön biztonsága érdekében egyes beállításokat a Csoportházirend szabályozza), és a megadott tűzfalbeállításokat használjuk.
A felhasználó már nem módosíthatja a tűzfal beállításait, és a Bejövő szabályok listában meg kell jelölnie az összes létrehozott szabályt.
A tűzfal beállításait a következő paranccsal is megjelenítheti:
A netsh tűzfal állapotát mutatja
A Windows tűzfalszabályok importálása / exportálása GPO-ban
Természetesen a Windows tűzfal szabályainak kidolgozása nagyon gondos és hosszú feladat (de az eredmény megéri). A feladat egyszerűsítése érdekében kihasználhatja a Windows tűzfal beállításainak importálásának és exportálásának lehetőségét. Ehhez be kell állítania a helyi tűzfalszabályokat egy szokásos munkaállomáson. Ezután ugorjon a tűzfal beépülő moduljának gyökerére (a Windows Defender tűzfal figyelője az Advanced Security szolgáltatásban), és válassza a Művelet -> Exportpolitika.
A házirendet egy WFW fájlba töltik fel, amelyet a Csoportházirend kezelése szerkesztőbe importálhat a kiválasztással Behozatali politika és meghatározza a wfw fájl elérési útját (az aktuális beállításokat felülírjuk).
Domain- és helyi tűzfalszabályok
Attól függően, hogy azt akarja, hogy a helyi rendszergazdák képesek-e saját tűzfalszabályokat létrehozni számítógépükön, és ezeket össze kell kapcsolni a csoportházirend használatával kapott szabályokkal. A csoportszabályokban kiválaszthatja a szabályok kombinálásának módját. Nyissa meg az irányelv tulajdonságait, és ügyeljen a szakasz beállításaira Szabály egyesítése. Alapértelmezés szerint a szabályok egyesítése engedélyezve van. Kényszerítheti a helyi rendszergazdát, hogy hozzon létre saját tűzfalszabályokat: a paraméterben Alkalmazza a helyi tűzfalszabályokat választ Igen (alapértelmezett).
Néhány tipp a Windows tűzfal GPO-n keresztüli kezelésére
Természetesen a kiszolgálók és a munkaállomások számára külön irányelveket kell létrehoznia a tűzfalszabályok kezelésére (azonos kiszolgálók mindegyik csoportjára szükség lehet saját házirendek létrehozására, azok szerepétől függően). Ie A tartományvezérlő, az e-mail kiszolgáló és az SQL kiszolgáló tűzfalszabályai különböznek.
Milyen portokat kell megnyitnia egy adott szolgáltatáshoz, meg kell néznie a fejlesztői webhely dokumentációjában. A folyamat meglehetősen gondos és első pillantásra bonyolult. Fokozatosan valóban valóban eljutni a tűzfal működőképes Windows konfigurációjához, amely csak jóváhagyott kapcsolatokat tesz lehetővé, és minden más blokkolja. Tapasztalataim szerint szeretném megjegyezni, hogy a Microsoft szoftverén elég gyorsan megtalálhatja a használt TCP / UDP portok listáját.
