Вывод групповой политики: как управлять брандмауэром Windows с помощью объекта групповой политики

Оглавление:

Вывод групповой политики: как управлять брандмауэром Windows с помощью объекта групповой политики
Вывод групповой политики: как управлять брандмауэром Windows с помощью объекта групповой политики

Видео: Вывод групповой политики: как управлять брандмауэром Windows с помощью объекта групповой политики

Видео: Вывод групповой политики: как управлять брандмауэром Windows с помощью объекта групповой политики
Видео: Как сделать скриншот в Windows 10? Все способы снимка экрана - YouTube 2024, Ноябрь
Anonim
Брандмауэр Windows может быть одним из самых больших кошмаров для системных администраторов для настройки, с добавлением приоритета групповой политики он просто становится головной болью. Здесь мы расскажем вам, как легко настроить брандмауэр Windows с помощью групповой политики и как бонус показать вам, как исправить одну из самых больших ошибок.
Брандмауэр Windows может быть одним из самых больших кошмаров для системных администраторов для настройки, с добавлением приоритета групповой политики он просто становится головной болью. Здесь мы расскажем вам, как легко настроить брандмауэр Windows с помощью групповой политики и как бонус показать вам, как исправить одну из самых больших ошибок.

Наша миссия

На наш взгляд, многие пользователи установили Skype на своих машинах, и это делает их менее продуктивными. Нам была поставлена задача убедиться, что пользователи не могут использовать Skype на работе, однако они могут хранить его на своих ноутбуках и использовать его дома или во время обеденных перерывов в соединении 3G / 4G. Учитывая эту информацию, мы решили использовать брандмауэр Windows и групповую политику.

Метод

Самый простой способ начать управление брандмауэром Windows с помощью групповой политики - настроить эталонный ПК и создать правила с помощью Windows 7, затем мы можем экспортировать эту политику и импортировать ее в групповую политику. Делая это, у нас есть дополнительное преимущество, заключающееся в том, что мы можем определить, установлены ли все правила и работают они, как мы хотим, до их развертывания на всех клиентских машинах.

Создание шаблона брандмауэра

Чтобы создать шаблон для брандмауэра Windows, нам нужно запустить Центр управления сетями и общим доступом, самый простой способ сделать это - щелкнуть правой кнопкой мыши значок сети и выбрать «Открыть сеть и общий доступ» в контекстном меню.

Когда откроется Центр управления сетью и общим доступом, нажмите ссылку Брандмауэр Windows в нижнем левом углу.
Когда откроется Центр управления сетью и общим доступом, нажмите ссылку Брандмауэр Windows в нижнем левом углу.
При создании шаблона для брандмауэра Windows лучше всего это сделать с помощью брандмауэра Windows в консоли повышенной безопасности, чтобы запустить этот клик по дополнительным настройкам с левой стороны.
При создании шаблона для брандмауэра Windows лучше всего это сделать с помощью брандмауэра Windows в консоли повышенной безопасности, чтобы запустить этот клик по дополнительным настройкам с левой стороны.
Image
Image

Примечание. На этом этапе я буду редактировать специальные правила Skype, однако вы можете добавить свои собственные правила для портов или даже приложений. Какие бы изменения вам ни понадобились сделать в брандмауэре, нужно сделать сейчас.

Отсюда мы можем приступить к редактированию наших правил брандмауэра, в нашем случае, когда приложение Skype установлено, оно создает собственные исключения брандмауэра, которые позволяют skype.exe взаимодействовать в профилях домена, частных и общедоступных сетей.

Теперь нам нужно отредактировать наше правило брандмауэра, чтобы его дважды щелкнуть по правилу. Это вызовет свойства правила Skype.
Теперь нам нужно отредактировать наше правило брандмауэра, чтобы его дважды щелкнуть по правилу. Это вызовет свойства правила Skype.
Перейдите на вкладку «Дополнительно» и снимите флажок «Домен».
Перейдите на вкладку «Дополнительно» и снимите флажок «Домен».
Когда вы попробуете запустить Skype сейчас, вам будет предложено спросить, может ли он связываться с профилем сети домена, снимите флажок и нажмите «Разрешить доступ».
Когда вы попробуете запустить Skype сейчас, вам будет предложено спросить, может ли он связываться с профилем сети домена, снимите флажок и нажмите «Разрешить доступ».
Если теперь вы вернетесь к правилам входящего брандмауэра, вы увидите, что есть два новых правила, это связано с тем, что когда вы были запрошены, вы решили не разрешать входящий трафик Skype. Если вы посмотрите на столбец профиля, вы увидите, что они оба предназначены для профиля сети домена.
Если теперь вы вернетесь к правилам входящего брандмауэра, вы увидите, что есть два новых правила, это связано с тем, что когда вы были запрошены, вы решили не разрешать входящий трафик Skype. Если вы посмотрите на столбец профиля, вы увидите, что они оба предназначены для профиля сети домена.

Примечание. Причина в том, что существуют два правила, поскольку существуют отдельные правила для TCP и UDP

Пока все хорошо, но если вы запустите Skype, вы все равно сможете войти в систему.
Пока все хорошо, но если вы запустите Skype, вы все равно сможете войти в систему.
Даже если вы измените правила блокировки входящего трафика для skype.exe и установите его для блокировки трафика с использованием ЛЮБОГО протокола, он все еще может как-то вернуться. Исправление простое, не позволяйте ему общаться в первую очередь. Для этого перейдите в Правила исходящих сообщений и начните создавать новое правило.
Даже если вы измените правила блокировки входящего трафика для skype.exe и установите его для блокировки трафика с использованием ЛЮБОГО протокола, он все еще может как-то вернуться. Исправление простое, не позволяйте ему общаться в первую очередь. Для этого перейдите в Правила исходящих сообщений и начните создавать новое правило.
Поскольку мы хотим создать правило для программы Skype, просто нажмите «Далее», затем найдите исполняемый файл Skype и нажмите «Далее».
Поскольку мы хотим создать правило для программы Skype, просто нажмите «Далее», затем найдите исполняемый файл Skype и нажмите «Далее».
Вы можете оставить действие по умолчанию, которое должно заблокировать соединение, и нажмите «Далее».
Вы можете оставить действие по умолчанию, которое должно заблокировать соединение, и нажмите «Далее».
Снимите флажок «Закрытые и общедоступные» и нажмите «Далее», чтобы продолжить.
Снимите флажок «Закрытые и общедоступные» и нажмите «Далее», чтобы продолжить.
Image
Image

Теперь дайте правилу имя и нажмите «Готово».

Теперь, если вы попытаетесь запустить Skype при подключении к сети домена, это не сработает
Теперь, если вы попытаетесь запустить Skype при подключении к сети домена, это не сработает
Однако, если они попытаются подключиться, когда они вернутся домой, это позволит им подключиться
Однако, если они попытаются подключиться, когда они вернутся домой, это позволит им подключиться
Это все правила брандмауэра, которые мы собираемся создать на данный момент, не забудьте проверить свои правила так же, как мы сделали для Skype.
Это все правила брандмауэра, которые мы собираемся создать на данный момент, не забудьте проверить свои правила так же, как мы сделали для Skype.

Экспорт политики

Чтобы экспортировать политику, в левой панели щелкните корень дерева, в котором говорится, что брандмауэр Windows с расширенной безопасностью. Затем нажмите «Действие» и выберите «Экспорт политики» в меню.

Вы должны сохранить это как сетевой ресурс, так и даже USB, если у вас есть физический доступ к вашему серверу. Мы пойдем с сетевой долей.
Вы должны сохранить это как сетевой ресурс, так и даже USB, если у вас есть физический доступ к вашему серверу. Мы пойдем с сетевой долей.

Примечание. Будьте осторожны с вирусами при использовании USB, последнее, что вы хотите сделать, это заразить сервер вирусом

Image
Image

Импорт политики в групповую политику

Чтобы импортировать политику брандмауэра, вам нужно открыть существующий объект групповой политики или создать новый объект групповой политики и связать его с подразделением, которое содержит учетные записи компьютеров. У нас есть объект групповой политики, называемый политикой брандмауэра, который связан с подразделением под названием Geek Computers, это подразделение содержит все наши компьютеры. Мы просто продолжим использовать эту политику.

Теперь перейдите к:
Теперь перейдите к:

Open Computer ConfigurationPoliciesWindows SettingsSecurity SettingsWindows Firewall with Advanced Security

Нажмите «Брандмауэр Windows с расширенной безопасностью», затем нажмите «Действие и политика импорта».

Вам будет сказано, что если вы импортируете политику, она перезапишет все существующие настройки, нажмите «Да», чтобы продолжить, а затем просмотрите политику, которую вы экспортировали в предыдущем разделе этой статьи. После того, как политика закончит импортироваться, вы будете уведомлены.
Вам будет сказано, что если вы импортируете политику, она перезапишет все существующие настройки, нажмите «Да», чтобы продолжить, а затем просмотрите политику, которую вы экспортировали в предыдущем разделе этой статьи. После того, как политика закончит импортироваться, вы будете уведомлены.
Если вы пойдете и посмотрите на наши правила, вы увидите, что правила Skype, которые я создал, все еще существуют.
Если вы пойдете и посмотрите на наши правила, вы увидите, что правила Skype, которые я создал, все еще существуют.
Image
Image

тестирование

Примечание. Перед завершением следующего раздела статьи вам не следует выполнять никаких проверок.Если вы это сделаете, будут соблюдаться любые правила, которые были настроены локально. Единственная причина, по которой я сейчас тестировал, - указать несколько вещей.

Чтобы узнать, были ли развернуты правила брандмауэра для клиентов, вам необходимо переключиться на клиентский компьютер и снова открыть настройки брандмауэра Windows. Как вы можете видеть, должно появиться сообщение о том, что некоторые правила брандмауэра управляются вашим системным администратором.

Нажмите «Разрешить программу или функцию» через ссылку «Брандмауэр Windows» с левой стороны.
Нажмите «Разрешить программу или функцию» через ссылку «Брандмауэр Windows» с левой стороны.
Как вы теперь видите, у нас есть правила, применяемые как групповой политикой, так и локальными.
Как вы теперь видите, у нас есть правила, применяемые как групповой политикой, так и локальными.
Image
Image

Что здесь происходит и как я могу его исправить?

По умолчанию объединение правил включено между локальными политиками брандмауэра на компьютерах под управлением Windows 7 и политикой брандмауэра, указанными в групповых политиках, которые предназначены для этих компьютеров. Это означает, что локальные администраторы могут создавать свои собственные правила брандмауэра, и эти правила будут объединены с правилами, полученными с помощью групповой политики. Чтобы исправить это, щелкните правой кнопкой мыши на брандмауэре Windows с расширенной безопасностью и выберите свойства из контекстного меню. Когда откроется диалоговое окно, нажмите кнопку «Настроить» в разделе настроек.

Измените параметр «Применить локальный брандмауэр» в разделе «Не настроено» на «Нет».
Измените параметр «Применить локальный брандмауэр» в разделе «Не настроено» на «Нет».
Как только вы нажмете ok, переключитесь на частные и общедоступные профили и сделайте то же самое для них обоих.
Как только вы нажмете ok, переключитесь на частные и общедоступные профили и сделайте то же самое для них обоих.

Вот и все, что есть, ребята, у вас есть забавные брандмауэры.

Рекомендуемые:

IT: Как настроить сетевые диски для клиентов Windows с помощью групповой политики

IT: Как настроить сетевые диски для клиентов Windows с помощью групповой политики

Отображение сетевых дисков является одним из наиболее распространенных заданий для сетевого администратора. Раньше мы использовали сценарий, но есть параметр групповой политики, который может сэкономить нам усилия по созданию сценариев.

Включить, Отключить командную строку с помощью объекта групповой политики или реестра

Включить, Отключить командную строку с помощью объекта групповой политики или реестра

Узнайте, как включить или отключить командную строку с помощью редактора групповой политики или реестра в Windows 8 / 7. Установите объект групповой политики для предотвращения доступа к CMD. Измените настройку DisableCMD в реестре.

Создайте сообщение для входа с помощью групповой политики в Windows 7/8

Создайте сообщение для входа с помощью групповой политики в Windows 7/8

Windows 8/7 поддерживает локальную политику безопасности, которая позволяет вам создать сообщение для входа в систему, которое будет отображаться при попытке входа в систему.

Анализатор групповой политики Microsoft: анализ объектов групповой политики

Анализатор групповой политики Microsoft: анализ объектов групповой политики

Анализатор групповой политики от Microsoft TechNet позволяет анализировать, просматривать и сравнивать наборы объектов групповой политики (ОС GPO) в ОС Windows.

Как отключить установку надстройки в Firefox с помощью групповой политики

Как отключить установку надстройки в Firefox с помощью групповой политики

Вы можете отключить установку надстроек и расширений в Firefox с помощью редактора групповой политики. Узнайте, как интегрировать Firefox в редактор групповой политики Windows и запретить пользователям устанавливать надстройки в Firefox.