8Sep
De Windows Firewall kan een van de grootste nachtmerries zijn voor systeembeheerders om te configureren, met toevoeging van groepsbeleidsprioriteit wordt het gewoon een hoofdpijn. Hier nemen we je mee van start tot eind over hoe je de Windows Firewall gemakkelijk kunt configureren via Groepsbeleid en als een bonus laat je zien hoe je een van de grootste gotchas kunt repareren.
Onze missie
Het is ons opgevallen dat veel gebruikers Skype op hun machines hebben geïnstalleerd en het maakt ze minder productief. We hebben de taak gekregen ervoor te zorgen dat gebruikers geen gebruik kunnen maken van Skype op het werk, maar ze zijn wel van harte welkom om het op hun laptops te laten installeren en thuis te gebruiken of tijdens lunchpauzes op een 3G / 4G-verbinding. Gezien deze informatie besluiten we gebruik te maken van de Windows Firewall en het Groepsbeleid.
De methode
De eenvoudigste manier om de Windows Firewall te beheren via Groepsbeleid is om een referentie-pc in te stellen en de regels te maken met behulp van Windows 7, vervolgens kunnen we dat beleid exporteren en importeren in Groepsbeleid. Door dit te doen hebben we het extra voordeel dat we kunnen zien of alle regels zijn ingesteld en werken zoals we willen dat ze zijn, voordat ze worden geïmplementeerd op alle clientcomputers.
Een firewall-sjabloon maken
Om een sjabloon voor de Windows Firewall te maken, moeten we het Netwerkcentrum starten, de eenvoudigste manier om dit te doen is door met de rechtermuisknop op het netwerkpictogram te klikken en Netwerkcentrum openen te selecteren in hetcontextmenu.
Wanneer het Netwerkcentrum wordt geopend, klikt u op de koppeling Windows Firewall in de linkerbenedenhoek.
Wanneer u een sjabloon voor Windows Firewall maakt, kunt u dit het beste doen via de Windows Firewall met geavanceerde beveiligingsconsole om deze klik op Geavanceerde instellingen aan de linkerkant te starten.
Opmerking: op dit punt ga ik de Skype-specifieke regels bewerken, maar u kunt uw eigen regels voor poorten of zelfs toepassingen toevoegen. Welke wijzigingen u ook in de firewall moet aanbrengen, moet nu worden gedaan.
Vanaf hier kunnen we beginnen met het bewerken van onze firewallregels, in ons geval wanneer de Skype-applicatie is geïnstalleerd, maakt het zijn eigen firewalluitzonderingen waarmee skype.exe kan communiceren op de domeinprofielen Domain, Private en Public.
Nu moeten we onze Firewall-regel bewerken, om deze te bewerken dubbelklik op de regel. Hierdoor worden de eigenschappen van de Skype-regel weergegeven.
Schakel over naar het tabblad Geavanceerd en schakel het selectievakje Domein uit.
Wanneer u nu Skype start, wordt u gevraagd of het kan communiceren op het Domain Network Profile, haal het vinkje weg en klik op Toegang toestaan.
Als u nu teruggaat naar uw inkomende firewallregels, ziet u dat er twee nieuwe regels zijn, dit is omdat u, toen u werd gevraagd, ervoor hebt gekozen om inkomend Skype-verkeer niet toe te staan. Als u naar de profielkolom kijkt, ziet u dat beide voor het domeinnetwerkprofiel zijn.
Opmerking: de reden dat er twee regels zijn, is omdat er aparte regels zijn voor TCP en UDP
. Alles is tot nu toe goed, maar als je Skype start, kun je nog steeds inloggen.
Zelfs als je de regels wijzigt om binnenkomend te blokkerenverkeer voor skype.exe en stel het in om verkeer te blokkeren met ELK protocol, het is nog steeds in staat om op een of andere manier weer toegang te krijgen. De oplossing is eenvoudig, stop het om te kunnen communiceren in de eerste plaats. Ga hiervoor naar Uitgaande regels en begin met het maken van een nieuwe regel.
Omdat we een regel voor het Skype-programma willen maken, klikt u gewoon op Volgende, bladert u vervolgens naar het uitvoerbare bestand van Skype en klikt u op Volgende.
U kunt de actie standaard laten staan om de verbinding te blokkeren en op Volgende te klikken.
Schakel de selectievakjes Privé en Publieke uit en klik op Volgende om verder te gaan.
Geef nu uw regel een naam en klik op voltooien
Nu, als u probeert Skype te starten terwijl u bent verbonden met een domeinnetwerk, werkt het niet
Als ze echter proberen verbinding te maken wanneer ze thuis komen, kunnen ze prima
verbinden. Dat zijn allemaal Firewall-regels die we nu gaan maken, vergeet niet om je regels uit te proberen, net zoals we deden voor Skype.
Het beleid exporteren
Als u het beleid wilt exporteren, klikt u in het linkerdeelvenster op de hoofdmap van de structuur met de tekst Windows Firewall met geavanceerde beveiliging. Klik vervolgens op Actie en selecteer Beleid exporteren in het menu.
U moet dit opslaan in een netwerkshare of zelfs een USB als u fysieke toegang tot uw server hebt. We gaan met een netwerkshare.
Opmerking: wees voorzichtig met virussen bij gebruik van een USB, het laatste wat u wilt doen is een server met een virus infecteren
Het beleid importeren in groepsbeleid
Om het firewallbeleid te importeren, moet u een bestaand GPO openen of een nieuw GPO makenGPO en koppel het aan een OE die computeraccounts bevat. We hebben een groepsbeleidsobject met de naam Firewallbeleid dat is gekoppeld aan een OE, Geek Computers genaamd, deze OU bevat al onze computers. We gaan gewoon door en gebruiken dit beleid.
Navigeer nu naar:
Open computerconfiguratie \ Beleid \ Windows-instellingen \ Beveiligingsinstellingen \ Windows Firewall met geavanceerde beveiliging
Klik op Windows Firewall met geavanceerde beveiliging en klik vervolgens op Actie- en importbeleid
Er wordt u verteld dat als u het beleid importeerthet zal alle bestaande instellingen overschrijven, klik op Ja om verder te gaan en blader dan naar het beleid dat u in het vorige gedeelte van dit artikel hebt geëxporteerd. Zodra het beleid is geïmporteerd, wordt u hiervan op de hoogte gesteld.
Als je naar onze regels gaat kijken, zie je dat de Skype-regels die ik heb gemaakt er nog steeds zijn.
testen
Opmerking: u moet geen tests uitvoeren voordat u het volgende gedeelte van het artikel hebt voltooid. Als u dit doet, worden regels die lokaal zijn geconfigureerd, gehandhaafd. De enige reden dat ik nu wat testen deed, was om een paar dingen te noemen.
Om te zien of de Firewall-regels zijn geïmplementeerd bij clients, moet u overschakelen naar een clientcomputer en opnieuw de Windows Firewall-instellingen openen. Zoals je ziet zou er een bericht moeten zijn dat zegt dat sommige firewallregels beheerd worden door je systeembeheerder.
Klik op de link Een programma of functie toestaan via de link Windows Firewall aan de linkerkant.
Zoals u nu zou moeten zien, hebben we regels die zowel door Groepsbeleid worden toegepast als die welke lokaal zijn gemaakt.
Wat gebeurt hier hier en hoe kan ik dit oplossen?
Standaard wordt regelsamenvoeging ingeschakeld tussen het lokale firewallbeleid op Windows 7-computers en het firewallbeleid dat is gespecificeerd in Groepsbeleid en op die computers is gericht. Dit betekent dat lokale beheerders hun eigen firewallregels kunnen maken, en deze regels zullen worden samengevoegd met de regels die zijn verkregen via Groepsbeleid. Om dit recht te zetten, klikt u op Windows Firewall met geavanceerde beveiliging en selecteert u eigenschappen in het contextmenu. Wanneer het dialoogvenster wordt geopend, klikt u op de knop Aanpassen onder het gedeelte Instellingen.
Wijzig de optie Lokale firewallregels toepassen van Niet geconfigureerd naar Nee.
Nadat u op ok hebt geklikt, schakelt u over naar de profielen Privé en Openbaar en doet u hetzelfde voor beide.
Dat is alles, jongens, ga wat firewallplezier beleven.