8Sep
Windows-brannmuren kan være en av de største marerittene for systemadministratorer å konfigurere, med tillegg av gruppepolitikkens forrang blir det bare en hodepine. Her tar vi deg fra start til slutt på hvordan du enkelt konfigurerer Windows-brannmuren via gruppepolicy og som en bonus viser deg hvordan du kan fikse en av de største gotkasene.
Vår oppgave
Det har blitt lagt merke til at mange brukere har Skype installert på sine maskiner, og det gjør dem mindre produktive. Vi har fått til oppgave å sørge for at brukerne ikke kan bruke Skype på jobben, men de er velkomne til å holde det installert på sine bærbare datamaskiner og bruke det hjemme eller under lunsepauser på en 3G / 4G-tilkobling. Gitt denne informasjonen, bestemmer vi oss for å benytte Windows-brannmuren og gruppepolicyen.
Metoden
Den enkleste måten å begynne å kontrollere Windows-brannmuren på gjennom gruppepolicy er å konfigurere en referansep PC og opprette reglene ved hjelp av Windows 7, så kan vi eksportere den policyen og importere den til Gruppepolicy. Ved å gjøre dette har vi den ekstra fordelen av å kunne se om alle reglene er satt opp og fungerer som vi vil at de skal være, før de distribueres til alle klientmaskiner.
Opprette en brannmurmal
For å opprette en mal for Windows-brannmuren må vi starte nettverks- og delingssenteret. Den enkleste måten å gjøre dette på er å høyreklikke på nettverksikonet og velge Åpne nettverk og delingssenter frakontekstmenyen. 
Når Nettverks- og delingssenter åpnes, klikker du på koblingen Windows Brannmur i nedre venstre hjørne.
Når du oppretter en mal for Windows-brannmur, gjøres det best gjennom Windows-brannmuren med avansert sikkerhetskonsoll, for å starte dette klikk på Avanserte innstillinger på venstre side.
Merk: På dette tidspunktet skal jeg redigere Skype-spesifikke regler, men du kan legge til dine egne regler for porter eller til og med applikasjoner. Uansett hvilke modifikasjoner du må lage til brannmuren, bør gjøres nå.
Herfra kan vi begynne å redigere brannmurregler, i vårt tilfelle når Skype-programmet er installert, oppretter det egne brannmur unntak som tillater skype.exe å kommunisere på Domenenavn, Privat og Offentlig nettverk profiler.
Nå må vi redigere vår brannmurregel, for å redigere den dobbeltklikk på regelen. Dette vil hente egenskapene til Skype-regelen.
Bytt til kategorien Avansert, og fjern merket for Domenet.
Når du prøver å starte Skype nå, blir du bedt om å spørre om den kan kommunisere på Domain Network Profile, fjern markeringen i boksen og klikk på tillat tilgang.
Hvis du nå går tilbake til innkommende brannmurregler, ser du at det er to nye regler, det er fordi når du ble bedt om at du valgte å ikke tillate inngående Skype-trafikk. Hvis du ser over til profilkolonnen, ser du at de begge er for Domenenettverksprofilen.
Merk: Grunnen til at det er to regler er fordi det er separate regler for TCP og UDP
Alt er bra så langt, men hvis du starter Skype, vil du fortsatt kunne logge inn.
Selv om du endrer reglene for å blokkere innkommendetrafikk for skype.exe og sett den til å blokkere trafikk ved hjelp av en hvilken som helst protokoll, er det fortsatt mulig å komme seg inn igjen. Løsningen er enkel, stopp den fra å kunne kommunisere i utgangspunktet. For å gjøre dette, bytt til Utgående regler og begynn å opprette en ny regel.
Siden vi ønsker å opprette en regel for Skype-programmet, klikker du bare på neste, så søk etter Skype-kjørbar fil og klikk på neste.
Du kan forlate handlingen på standard som skal blokkere tilkoblingen og klikke på neste.
Fjern merket for Private og Public-boksene og klikk ved siden av Fortsett.
Gi nå regelen et navn og klikk ferdig
Nå, hvis du prøver å starte Skype mens du er koblet til et domenenettverk, virker det ikke
Men hvis de prøver å koble seg når de kommer hjem, vil det tillate dem å koble til fine
Det er alle brannmurreglene vi skal lage for nå, ikke glem å teste dine regler akkurat som vi gjorde for Skype.
Eksportere retningslinjene
For å eksportere politikken klikker du på roten av treet som står i Windows-brannmur med avansert sikkerhet i venstre rute. Klikk deretter på Handling og velg Eksporter policy fra menyen.
Du bør lagre dette til enten en nettverksandel eller til og med en USB hvis du har fysisk tilgang til serveren din. Vi vil gå med en nettverksandel.
Merk: Vær forsiktig med virus når du bruker en USB. Det siste du vil gjøre er å infisere en server med et virus.
Importere politikken i gruppepolitikken
For å importere brannmurpolitikken må du åpne et eksisterende GPO eller opprette en nyGPO og lenke den til en OU som inneholder datakontoer. Vi har et GPO kalt Firewall Policy som er knyttet til en OU kalt Geek Computers, denne OU inneholder alle våre datamaskiner. Vi vil bare gå videre og bruke denne policyen.
Naviger nå til:
Åpne Computer Configuration \ Policy \ Windows Settings \ Sikkerhetsinnstillinger \ Windows-brannmur med avansert sikkerhet
Klikk på Windows-brannmur med avansert sikkerhet og klikk deretter på Handlings- og importpolitikk
Du vil bli fortalt at hvis du importerer retningslinjenedet vil overskrive alle eksisterende innstillinger, klikk ja for å fortsette og deretter bla etter retningslinjene du eksporterte i forrige del av denne artikkelen. Når politikken er ferdig med å bli importert, vil du bli varslet.
Hvis du går og ser på våre regler, vil du se at Skype-reglene jeg opprettet er fremdeles der.
Testing
Merk: Du bør ikke gjøre noen test før du fullfører neste del av artikkelen. Hvis du gjør det, blir alle regler som er konfigurert lokalt, overholdt. Den eneste grunnen til at jeg prøvde nå var å peke på noen få ting.
Hvis du vil se om brannmurreglene er distribuert til klienter, må du bytte til en klientmaskin og åpne Windows-brannmurinnstillingene igjen. Som du kan se bør det være en melding som sier at noen av brannmurreglene styres av systemadministratoren din.
Klikk på Tillat et program eller en funksjon gjennom koblingen Windows Brannmur på venstre side.
Som du burde se nå, har vi regler som begge brukes av gruppepolitikk, samt de som er opprettet lokalt.
Hva skjer her og hvordan kan jeg fikse det?
Som standard er regelmelting aktivert mellom lokale brannmurregler på Windows 7-datamaskiner og brannmurpolitikk som er angitt i gruppepolicyer som er målrettet mot disse datamaskinene. Dette betyr at lokale administratorer kan lage egne brannmurregler, og disse reglene vil bli slått sammen med reglene som er oppnådd gjennom gruppepolicy. For å fikse dette, høyreklikker du på Windows-brannmur med avansert sikkerhet og velger egenskaper fra hurtigmenyen. Når dialogboksen åpnes, klikker du på Tilpass-knappen under innstillingsdelen.
Endre alternativet Bruk lokale brannmurregler fra Ikke konfigurert til Nei.
Når du klikker OK, bytt til Private og Offentlige profiler og gjør det samme for begge.
Det er alt det er for det, gutta, gå og ha en brannmoro moro.