8Sep

Criteri di gruppo Geek: come controllare Windows Firewall con un oggetto Criteri di gruppo

sshot-31

Windows Firewall può essere uno dei più grandi incubi per gli amministratori di sistema da configurare, con l'aggiunta della precedenza dei Criteri di gruppo diventa solo un mal di testa. Qui vi porteremo dall'inizio alla fine su come configurare facilmente Windows Firewall tramite i Criteri di gruppo e come bonus mostrarvi come risolvere uno dei più grandi trucchi.

La nostra missione

Abbiamo notato che molti utenti hanno installato Skype sulle loro macchine e le rende meno produttive. Ci è stato affidato il compito di assicurarci che gli utenti non possano utilizzare Skype sul posto di lavoro, tuttavia sono invitati a tenerlo installato sui loro laptop e a utilizzarlo a casa o durante le pause pranzo su una connessione 3G / 4G.Alla luce di queste informazioni, decidiamo di utilizzare Windows Firewall e Criteri di gruppo.

Il metodo

Il modo più semplice per iniziare a controllare Windows Firewall tramite i Criteri di gruppo consiste nell'impostare un PC di riferimento e creare le regole utilizzando Windows 7, quindi è possibile esportare tale politica e importarla in Criteri di gruppo. In questo modo, abbiamo il vantaggio di essere in grado di vedere se tutte le regole sono impostate e funzionano come vogliamo, prima di distribuirle a tutte le macchine client.

Creazione di un modello di firewall

Per creare un modello per Windows Firewall è necessario avviare il Centro connessioni di rete e condivisione, il modo più semplice per farlo è fare clic con il pulsante destro del mouse sull'icona di rete e selezionare Apri Centro connessioni di rete e condivisione dalmenù contestuale. sshot-8

Quando si apre il Centro connessioni di rete e condivisione, fare clic sul collegamento Windows Firewall nell'angolo in basso a sinistra.

sshot-9

Quando si crea un modello per Windows Firewall è meglio farlo attraverso la console Windows Firewall con sicurezza avanzata, per avviare questo clic su Impostazioni avanzate sul lato sinistro.

sshot-12

Nota: a questo punto ho intenzione di modificare le regole specifiche di Skype, tuttavia è possibile aggiungere le proprie regole per le porte o anche per le applicazioni. Qualunque sia la modifica da apportare al firewall dovrebbe essere fatta ora.

Da qui possiamo iniziare a modificare le regole del nostro firewall, nel nostro caso quando l'applicazione Skype viene installata crea le proprie eccezioni del firewall che consentono a skype.exe di comunicare sui profili di rete Domain, Private e Public.

sshot-15

Ora dobbiamo modificare la nostra regola del Firewall, per modificarla fare doppio clic sulla regola. Questo farà apparire le proprietà della regola di Skype.

sshot-16

Passare alla scheda Avanzate e deselezionare la casella di controllo Dominio.

sshot-17

Quando provi a lanciare Skype ora, ti verrà chiesto se può comunicare sul profilo della rete di dominio, deseleziona la casella e fai clic su consenti accesso.

sshot-18

Se ora torni alle regole del tuo firewall in entrata vedrai che ci sono due nuove regole, questo perché quando ti è stato richiesto hai scelto di non consentire il traffico in entrata su Skype. Se si guarda alla colonna del profilo, si vedrà che sono entrambi per il profilo di rete del dominio.

Nota: il motivo per cui ci sono due regole è perché ci sono regole separate per TCP e UDP

sshot-19

Tutto è buono finora, tuttavia se si avvia Skype sarà ancora possibile accedere.

sshot-20

Anche se si cambiano le regole per bloccare in entratatraffico per skype.exe e impostarlo per bloccare il traffico utilizzando QUALSIASI protocollo che è ancora in grado di rientrare in qualche modo. La correzione è semplice, impedendole di essere in grado di comunicare in primo luogo. Per fare ciò, passa a Regole in uscita e inizia a creare una nuova regola.

sshot-21

Dato che vogliamo creare una regola per il programma Skype, fare clic su Avanti, quindi cercare il file eseguibile Skype e fare clic su Avanti.

sshot-22

È possibile lasciare l'azione predefinita per bloccare la connessione e fare clic su Avanti.

sshot-23

Deseleziona le caselle di controllo Pubblico e Privato e fai clic su Avanti per continuare.

sshot-24

Ora dai un nome alla regola e fai clic su

sshot-25

adesso Se provi a lanciare Skype mentre sei connesso a una rete Domain non funzionerà

sshot-27

Tuttavia, se provano a connettersi quando arrivano a casa, permetteranno loro di connettersi bene

sshot-28

Ecco tutte le regole del firewall che creeremo per ora, non dimenticare di testare le tue regole come abbiamo fatto per Skype.

Esportazione del criterio

Per esportare il criterio, nel riquadro a sinistra fare clic sulla radice dell'albero che dice Windows Firewall con sicurezza avanzata. Quindi fare clic su Azione e selezionare Esporta politica dal menu.

sshot-29

È necessario salvarlo in una condivisione di rete o anche in una USB se si dispone dell'accesso fisico al server. Andremo con una condivisione di rete.

Nota: Prestare attenzione ai virus quando si utilizza un dispositivo USB, l'ultima cosa che si desidera fare è infettare un server con un virus

sshot-30

Importazione della politica in Criteri di gruppo

Per importare il criterio firewall è necessario aprire un GPO esistente o crearne uno nuovoOggetto Criteri di gruppo e collegarlo a un'unità organizzativa che contiene account computer. Abbiamo un oggetto Criteri di gruppo denominato Firewall Policy collegato a un'unità organizzativa chiamata Geek Computers, questa unità organizzativa contiene tutti i nostri computer. Andremo avanti e useremo questa politica.

sshot-32

Ora vai a:

Apri Computer Configuration \ Policies \ Impostazioni di Windows \ Impostazioni di sicurezza \ Windows Firewall con sicurezza avanzata

Fai clic su Windows Firewall con sicurezza avanzata e poi fai clic su Azione e politica di importazione

sshot-33

Ti verrà detto che se importi la politicasovrascriverà tutte le impostazioni esistenti, fare clic su Sì per continuare e quindi cercare il criterio esportato nella sezione precedente di questo articolo. Una volta che la politica ha finito di essere importata, sarai avvisato.

sshot-34

Se vai a vedere le nostre regole vedrai che le regole Skype che ho creato sono ancora lì.Test

sshot-35

Nota: non eseguire alcun test prima di completare la sezione successiva dell'articolo. Se lo fai, tutte le regole che sono state configurate in locale verranno rispettate. L'unica ragione per cui ho fatto un po 'di prove ora era di evidenziare alcune cose.

Per verificare se le regole del firewall sono state distribuite ai client, sarà necessario passare a un computer client e aprire nuovamente le impostazioni di Windows Firewall. Come puoi vedere, dovrebbe esserci un messaggio che dice che alcune regole del firewall sono gestite dal tuo amministratore di sistema.

sshot-36

Fare clic su Consenti programma o funzionalità tramite il collegamento Windows Firewall sul lato sinistro.

sshot-37

Come dovresti vedere ora, abbiamo regole applicate sia dai Criteri di gruppo sia da quelli creati localmente.

sshot-38

Cosa sta succedendo qui e come posso risolverlo?

Per impostazione predefinita, l'unione delle regole è abilitata tra i criteri del firewall locale sui computer Windows 7 e i criteri firewall specificati nei Criteri di gruppo destinati a tali computer. Ciò significa che gli amministratori locali possono creare le proprie regole firewall e queste regole verranno unite alle regole ottenute tramite i Criteri di gruppo. Per risolvere questo problema, fare clic con il pulsante destro del mouse su Windows Firewall con sicurezza avanzata e selezionare Proprietà dal menu di scelta rapida. Quando si apre la finestra di dialogo, fare clic sul pulsante Personalizza nella sezione delle impostazioni.

sshot-39

Modificare l'opzione Applica regole firewall locali da Non configurato a No.

sshot-40

Dopo aver fatto clic su OK, passare ai profili Privato e Pubblico e fare la stessa cosa per entrambi.

Questo è tutto, ragazzi, vai a divertirti con il firewall.