8Sep

Group Policy Geek: Jak kontrolować Zaporę systemu Windows za pomocą GPO

sshot-31

Zapora systemu Windows może być jednym z największych koszmarów sennych dla administratorów systemu do skonfigurowania, z dodatkiem priorytetu zasad grupy staje się tylko bólem głowy. Tutaj zajmiemy się od początku do końca, jak łatwo skonfigurować zaporę systemu Windows za pomocą zasad grupy, a jako bonus pokażemy, jak naprawić jeden z największych błędów.

Nasza misja

Zauważyliśmy, że wielu użytkowników ma zainstalowane Skype na swoich maszynach, co zmniejsza ich produktywność.Zadbano o to, aby użytkownicy nie mogli korzystać ze Skype'a w pracy, jednak mogą go zainstalować na laptopach i używać w domu lub podczas przerw na połączenie 3G / 4G.Biorąc pod uwagę te informacje, decydujemy się na użycie Zapory systemu Windows i zasad grupy.

Metoda

Najprostszym sposobem rozpoczęcia kontrolowania Zapory systemu Windows za pomocą zasad grupy jest skonfigurowanie komputera odniesienia i utworzenie reguł przy użyciu systemu Windows 7, możemy następnie wyeksportować te zasady i zaimportować je do Zasad grupowych. Robiąc to, mamy dodatkową zaletę, że możemy sprawdzić, czy wszystkie reguły są skonfigurowane i działają tak, jak chcemy, zanim zostaną wdrożone na wszystkich komputerach klienckich.

Tworzenie szablonu zapory

Aby utworzyć szablon Zapory systemu Windows, należy uruchomić Centrum sieci i udostępniania, najprościej to zrobić, klikając prawym przyciskiem myszy ikonę sieci i wybierając polecenie Otwórz sieć i centrum udostępniania z poziomumenu kontekstowe. sshot-8

Po otwarciu Centrum sieci i udostępniania kliknij link Zapora systemu Windows w lewym dolnym rogu.

sshot-9

Podczas tworzenia szablonu Zapory systemu Windows najlepiej jest wykonać za pomocą Zapory systemu Windows z zaawansowaną konsolą bezpieczeństwa, aby uruchomić to kliknięcie w Ustawienia zaawansowane po lewej stronie.

sshot-12

Uwaga: W tym momencie będę edytować reguły dotyczące Skype'a, ale możesz dodać własne reguły dla portów lub nawet aplikacji. Jakiekolwiek zmiany, które należy wprowadzić w zaporze, powinny być teraz wykonane.

Od tego momentu możemy rozpocząć edycję naszych reguł zapory sieciowej, w naszym przypadku gdy aplikacja Skype jest zainstalowana, tworzy własne wyjątki Zapory sieciowej, które umożliwiają komunikację skype.exe w profilach sieci domowej, prywatnej i publicznej.

sshot-15

Teraz musimy edytować naszą regułę Zapory sieciowej, aby ją edytować dwukrotnie kliknij regułę.Spowoduje to wyświetlenie właściwości reguły Skype.

sshot-16

Przełącz na kartę Zaawansowane i usuń zaznaczenie pola wyboru Domena.

sshot-17

Podczas próby uruchomienia Skype teraz pojawi się monit, aby zapytać, czy może komunikować się w profilu sieci domeny, odznacz to pole i kliknij zezwalaj na dostęp.

sshot-18

Jeśli przejdziesz teraz do reguł Zapory przychodzącej, zobaczysz, że są dwie nowe reguły, ponieważ po pojawieniu się monitu nie zezwoliłeś na ruch przychodzący Skype. Jeśli spojrzysz na kolumnę profilu, zobaczysz, że oba są dla profilu sieci Domeny.

Uwaga: Powodem są dwie reguły, ponieważ istnieją oddzielne reguły dla TCP i UDP

sshot-19

Jak dotąd wszystko jest w porządku, jednak jeśli uruchomisz Skype, nadal będziesz mógł się zalogować.

sshot-20

Nawet jeśli zmienisz reguły blokowania ruchu przychodzącegoruch dla skype.exe i ustawienie go tak, aby blokował ruch za pomocą dowolnego protokołu, który nadal może w jakiś sposób odzyskać. Poprawka jest prosta, nie pozwalaj jej komunikować się w pierwszej kolejności. Aby to zrobić, przejdź do reguł ruchu wychodzącego i zacznij tworzyć nową regułę.

sshot-21

Ponieważ chcemy stworzyć regułę dla programu Skype, kliknij przycisk Dalej, następnie odszukaj plik wykonywalny Skype i kliknij przycisk Dalej.

sshot-22

Możesz domyślnie pozostawić akcję, która ma zablokować połączenie i kliknąć dalej.

sshot-23

Odznacz pola wyboru Prywatne i Publiczne i kliknij przycisk Dalej, aby kontynuować.

sshot-24

Teraz nadaj swojej regule nazwę i kliknij WYKONANIE

sshot-25

Teraz, jeśli spróbujesz uruchomić Skype'a podczas połączenia z siecią Domain, nie będzie działać

sshot-27

Jeśli jednak spróbują połączyć się, gdy dotrą do domu, pozwolą im połączyć się z

sshot-28

To są wszystkie reguły zapory, które zamierzamy teraz stworzyć, nie zapomnij przetestować swoich reguł, tak jak zrobiliśmy dla Skype.

Eksportowanie polityki

Aby wyeksportować zasadę, w lewym okienku kliknij katalog główny drzewa, który mówi Zapora systemu Windows z zabezpieczeniami zaawansowanymi. Następnie kliknij Akcja i wybierz Eksportuj zasady z Menu.

sshot-29

Powinieneś zapisać to w udziale sieciowym lub nawet w urządzeniu USB, jeśli masz fizyczny dostęp do swojego serwera. Pójdziemy z udziałem sieciowym.

Uwaga: Uważaj na wirusy podczas korzystania z USB, ostatnią rzeczą, którą chcesz zrobić, to zainfekować serwer wirusem

sshot-30

Importowanie zasad do zasad grupy

Aby zaimportować zasady zapory, musisz otworzyć istniejący obiekt GPO lub utworzyć nowyObiekt zasad grupy i połącz go z jednostką organizacyjną zawierającą konta komputerów. Mamy obiekt zasad grupy o nazwie Zasady zapory, który jest powiązany z jednostką organizacyjną o nazwie Geek Computers, ta jednostka organizacyjna zawiera wszystkie nasze komputery. Po prostu zastosujemy te zasady.

sshot-32

Teraz przejdź do:

Otwórz konfigurację komputera \ Zasady \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Zapora systemu Windows z zabezpieczeniami zaawansowanymi

Kliknij Zaporę systemu Windows z zabezpieczeniami zaawansowanymi, a następnie kliknij opcję Akcja i zasady importu

sshot-33

Poinformujemy Cię, że jeśli zaimportujesz zasadynadpisze wszystkie istniejące ustawienia, kliknij przycisk Tak, aby kontynuować, a następnie przejrzyj zasady wyeksportowane w poprzedniej sekcji tego artykułu. Po zakończeniu importowania zasad otrzymasz powiadomienie.

sshot-34

Jeśli przejdziesz do naszych zasad, zobaczysz, że reguły Skype, które stworzyłem, nadal istnieją.

sshot-35

Testowanie

Uwaga: Nie powinieneś przeprowadzać żadnych testów przed ukończeniem następnej sekcji artykułu. Jeśli to zrobisz, wszystkie reguły skonfigurowane lokalnie będą przestrzegane. Jedynym powodem, dla którego przeprowadziłem teraz testy, było wskazanie kilku rzeczy.

Aby sprawdzić, czy reguły zapory zostały wdrożone na klientach, należy przełączyć się na komputer klienta i ponownie otworzyć ustawienia Zapory systemu Windows. Jak widać powinien pojawić się komunikat informujący, że niektóre reguły zapory są zarządzane przez administratora systemu.

sshot-36

Kliknij opcję Zezwalaj na program lub funkcję za pomocą linku Zapory systemu Windows po lewej stronie.

sshot-37

Jak powinieneś teraz zauważyć, mamy zasady zarówno stosowane przez zasady grupowe, jak i te tworzone lokalnie.

sshot-38

Co tu jest i jak to naprawić?

Domyślnie włączone jest scalanie reguł między lokalnymi regułami zapory na komputerach z systemem Windows 7 a zasadami zapory określonymi w zasadach grupy, które są kierowane na te komputery. Oznacza to, że lokalni administratorzy mogą tworzyć własne reguły zapory sieciowej, a reguły te zostaną scalone z regułami uzyskanymi za pomocą zasad grupy. Aby to naprawić, kliknij Zaporę systemu Windows z zabezpieczeniami zaawansowanymi i wybierz właściwości z menu kontekstowego. Po wyświetleniu okna dialogowego kliknij przycisk Dostosuj w sekcji ustawień.

sshot-39

Zmień opcję Zastosuj lokalne reguły zapory z Nie skonfigurowano na Nie.

sshot-40

Po kliknięciu przycisku OK przełącz się na profil prywatny i publiczny i wykonaj to samo dla obu.

To wszystko, co jest, faceci, chodźcie mieć trochę zabawy z firewallem.