8Sep
Windows Firewall kan være en af de største mareridt for systemadministratorer at konfigurere, med tilføjelsen af gruppeprioritet bliver det bare hovedpine. Her vil vi tage dig fra start til slut på, hvordan du nemt konfigurerer Windows Firewall via Gruppepolitik og som en bonus viser dig, hvordan du retter en af de største gotchas.
Vores mission
Det er blevet gjort opmærksom på, at mange brugere har Skype installeret på deres maskiner, og det gør dem mindre produktive. Vi har fået til opgave at sikre, at brugerne ikke kan bruge Skype på arbejde, men de er velkomne til at holde det installeret på deres bærbare computere og bruge det hjemme eller i frokostpause på en 3G / 4G-forbindelse. På baggrund af disse oplysninger beslutter vi at gøre brug af Windows Firewall og Group Policy.
Metoden
Den nemmeste måde at starte Windows Firewall på via Group Policy er at oprette en reference-pc og oprette reglerne ved hjælp af Windows 7, så kan vi eksportere den politik og importere den til Gruppepolitik. Ved at gøre dette har vi den ekstra fordel ved at kunne se, om alle regler er oprettet og fungerer som vi vil have dem, før de distribueres til alle klientmaskiner.
Oprettelse af en firewallskabelon
For at oprette en skabelon til Windows Firewall skal vi starte Network and Sharing Center. Det er den nemmeste måde at gøre dette på at højreklikke på netværksikonet og vælge Åbn netværk og delingscenter frakontekstmenu.
Når netværk og delingscenter åbnes, skal du klikke på Windows Firewall-linket i nederste venstre hjørne.
Når du opretter en skabelon til Windows Firewall, udføres det bedst gennem Windows Firewall med avanceret sikkerhedskonsol for at starte dette klik på Avancerede indstillinger på venstre side.
Bemærk: På dette tidspunkt vil jeg redigere Skype-specifikke regler, men du kan tilføje dine egne regler for porte eller endda applikationer. Uanset hvilke ændringer du skal lave til firewallen, skal du gøre det nu.
Herfra kan vi begynde at redigere vores firewallregler, i vores tilfælde, når Skype-applikationen er installeret, opretter den sine egne Firewall-undtagelser, der tillader, at skype.exe kommunikerer på profilerne Domæne, Privat og Offentligt netværk.
Nu skal vi redigere vores Firewall regel, for at redigere det dobbeltklik på reglen. Dette vil bringe egenskaberne af Skype-reglen op.
Skift til fanen Avanceret, og fjern markeringen i afkrydsningsfeltet Domæne.
Når du forsøger at starte Skype nu, bliver du bedt om at spørge, om den kan kommunikere på Domain Network Profile, fjerne markeringen i feltet og klikke på Tillad adgang.
Hvis du nu går tilbage til dine indgående Firewall Regler, vil du se, at der er to nye regler, det skyldes, at når du blev bedt om, valgte du ikke at tillade indgående Skype-trafik. Hvis du ser over til profilkolonnen, vil du se, at de begge er til Domain Network profilen.
Bemærk: Årsagen er, at der er to regler, fordi der er separate regler for TCP og UDP
Alt er godt indtil videre, men hvis du starter Skype, kan du stadig logge ind.
Selvom du ændrer reglerne for at blokere indgåendetrafik til skype.exe og indstille den til at blokere trafik ved hjælp af en hvilken som helst protokol, er det stadig muligt på en eller anden måde at komme ind igen. Retten er enkel, stoppe den fra at kunne kommunikere i første omgang. For at gøre dette skifter du til udgående regler og begynder at oprette en ny regel.
Da vi ønsker at oprette en regel til Skype-programmet, skal du blot klikke på Næste, derefter søge efter den Skype-eksekverbare fil og klikke på Næste.
Du kan forlade handlingen på standard som skal blokere forbindelsen og klikke på næste.
Fjern markeringen i afkrydsningsfelterne Privat og Offentligt og klik på Næste for at fortsætte.
Giv nu din regel et navn og klik på afslut
Nu, hvis du forsøger at starte Skype, når du er tilsluttet et domænenetværk, virker det ikke
Men hvis de forsøger at forbinde, når de kommer hjem, vil det give dem mulighed for at forbinde fint
Det er alle de Firewall-regler, vi skal oprette for nu, glem ikke at teste dine regler ligesom vi gjorde for Skype.
Eksportere politikken
For at eksportere politikken klikker du i ruden i venstre side på roten af træet, der siger Windows Firewall med avanceret sikkerhed. Klik derefter på Handling, og vælg Export Policy fra menuen.
Du skal gemme dette til enten en netværksandel eller endog en USB, hvis du har fysisk adgang til din server. Vi vil gå med en netværksandel.
Bemærk! Vær forsigtig med virus, når du bruger en USB. Det sidste du vil gøre, er at inficere en server med en virus.
Import af politikken til gruppepolitik
For at importere firewall-politikken skal du åbne et eksisterende GPO eller oprette en nyGPO og link det til en OU, der indeholder computer konti. Vi har en GPO kaldet Firewall Policy, der er knyttet til en OU kaldet Geek Computers, denne OU indeholder alle vores computere. Vi vil bare gå videre og bruge denne politik.
Naviger nu til:
Åbn Computer Configuration \ Policies \ Windows Indstillinger \ Sikkerhedsindstillinger \ Windows Firewall med avanceret sikkerhed
Klik på Windows Firewall med Advanced Security og klik derefter på Handlings- og importpolitik
Du bliver fortalt, at hvis du importerer politikkendet overskriver alle eksisterende indstillinger, klik ja for at fortsætte og derefter søge efter den politik, du eksporterede i det forrige afsnit i denne artikel. Når politikken er færdig med at blive importeret, vil du blive underrettet.
Hvis du går og kigger på vores regler, vil du se, at de Skype-regler, jeg oprettede, stadig er der.
Test
Bemærk: Du bør ikke foretage nogen test, inden du udfører næste afsnit af artiklen. Hvis du gør det, overholdes regler, der er konfigureret lokalt. Den eneste grund til at jeg prøvede nu var at pege på nogle få ting.
For at se, om Firewall-reglerne er blevet implementeret til klienter, skal du skifte til en klientmaskin og igen åbne Windows Firewall Settings. Som du kan se, skal der være en besked, der siger, at nogle af firewallreglerne styres af systemadministratoren.
Klik på Tillad et program eller en funktion via Windows Firewall-linket på venstre side.
Som du bør se nu, har vi regler, der både anvendes af Gruppepolitik såvel som dem, der oprettes lokalt.
Hvad foregår der, og hvordan kan jeg løse det?
Som standard er regelfusion aktiveret mellem lokale firewall-politikker på Windows 7-computere og firewall-politikker, der er angivet i gruppepolitikker, der er målrettet mod disse computere. Det betyder, at lokale administratorer kan oprette deres egne firewallregler, og disse regler vil blive slået sammen med reglerne opnået gennem Gruppepolitik. For at rette dette skal du højreklikke på Windows Firewall med Advanced Security og vælge egenskaber fra kontekstmenuen. Når dialogboksen åbnes, klik på knappen Tilpas under sektionen Indstillinger.
Skift indstillingen Anvend lokale firewallregler fra Ikke konfigureret til Nej.
Når du har klikket ok, skal du skifte til private og offentlige profiler og gøre det samme for dem begge.
Det er alt, der er for det, fyre, skal du have nogle firewall sjove.