8Sep
O Firewall do Windows pode ser um dos maiores pesadelos para os administradores de sistemas configurar, com a adição de precedência de Diretiva de Grupo, ele só se torna uma dor de cabeça. Aqui, vamos levá-lo do início ao fim sobre como configurar facilmente o Firewall do Windows por meio de Política de Grupo e, como um bônus, mostre como corrigir uma das maiores conquistas.
Nossa Missão
Chegou à nossa atenção que muitos usuários têm o Skype instalado em suas máquinas e está tornando-as menos produtivas. Foi-nos dada a tarefa de garantir que os usuários não possam usar o Skype no trabalho, no entanto, são bem-vindos para mantê-lo instalado em seus laptops e usá-lo em casa ou durante pausas de almoço em uma conexão 3G / 4G.Dada essa informação, decidimos fazer uso do Firewall do Windows e da Diretiva de Grupo.
O Método
A maneira mais fácil de começar a controlar o Firewall do Windows através da Política de Grupo é configurar um PC de referência e criar as regras usando o Windows 7, podemos então exportar essa política e importá-la para a Diretiva de Grupo. Ao fazer isso, temos a vantagem extra de poder ver se todas as regras estão configuradas e funcionando como queremos que elas sejam, antes de implantá-las em todas as máquinas clientes.
Criando um Modelo de Firewall
Para criar um modelo para o Firewall do Windows, precisamos iniciar o Centro de Rede e Compartilhamento, a maneira mais fácil de fazer isso é clicar com o botão direito do mouse no ícone da rede e selecionar Abrir Rede e Centro de Compartilhamento a partir domenu contextual.
Quando o Centro de Rede e Compartilhamento for aberto, clique no link Firewall do Windows no canto inferior esquerdo.
Ao criar um modelo para o Firewall do Windows, ele é melhor feito através do console do Firewall do Windows com segurança avançada, para iniciar esse clique em Configurações avançadas no lado esquerdo.
Nota: Neste ponto, vou editar as regras específicas do Skype, no entanto, você pode adicionar suas próprias regras para portas ou mesmo aplicativos. Quaisquer modificações que você precisa fazer para o firewall devem ser feitas agora.
A partir daqui, podemos começar a editar as nossas regras de firewall, no nosso caso, quando o aplicativo Skype está instalado, cria suas próprias exceções de Firewall que permitem que skype.exe se comunique nos perfis de rede de domínio, privado e público.
Agora, precisamos editar a nossa regra Firewall, para editá-la, clique duas vezes na regra. Isso exibirá as propriedades da regra do Skype.
Mude para a guia Avançado e desmarque a caixa de seleção Domínio.
Quando você tenta iniciar o Skype agora, você será solicitado a perguntar se ele pode se comunicar no Perfil de Rede de Domínio, desmarque a caixa e clique em Permitir acesso.
Se você voltar para suas Regras de Firewall de Entrada, você verá que existem duas novas regras, porque, quando você foi solicitado, você escolheu não permitir o tráfego do Skype Inbound. Se você olhar para a coluna de perfil, verá que eles são ambos para o perfil de rede do domínio.
Nota: A razão pela qual existem duas regras é porque existem regras separadas para TCP e UDP
. Tudo está bom até agora, no entanto, se você iniciar o Skype, você ainda poderá fazer login.
Mesmo se você alterar as regras para bloquear a entradaO tráfego para o skype.exe e configurá-lo para bloquear o tráfego usando qualquer protocolo, e ainda é capaz de voltar. A correção é simples, para que ele possa se comunicar em primeiro lugar. Para fazer isso, mude para Regras de Saída e comece a criar uma nova regra.
Como queremos criar uma regra para o programa Skype, basta clicar em Avançar e, em seguida, navegue pelo arquivo executável do Skype e clique em próximo.
Você pode deixar a ação no padrão, que é para bloquear a conexão e clique em próximo.
Desmarque as caixas de seleção Privado e público e clique em próximo para continuar.
Agora, dê a sua regra um nome e clique em terminar
Agora, se você tentar e iniciar o Skype enquanto estiver conectado a uma rede de domínio, não funcionará
No entanto, se eles tentarem se conectar quando chegam em casa, eles permitirão que se conectem bem
. Éa todas as regras do Firewall que vamos criar por enquanto, não se esqueça de testar suas regras exatamente como fizemos para o Skype.
Exportando a Política
Para exportar a política, no painel esquerdo, clique na raiz da árvore que diz Firewall do Windows com Segurança Avançada. Em seguida, clique em Ação e selecione Exportar política no menu.
Você deve salvar isso em um compartilhamento de rede ou mesmo em um USB se você tiver acesso físico ao seu servidor. Iremos com um compartilhamento de rede.
Nota: tenha cuidado com os vírus ao usar um USB, a última coisa que deseja fazer é infectar um servidor com um vírus
Importar a política para a política de grupo
Para importar a política de firewall, você precisa abrir um GPO existente ou criar um novoGPO e ligue-o para uma OU que contenha contas de computador. Nós temos um GPO chamado Firewall Policy que está vinculado a uma OU chamado Geek Computers, esta OU contém todos os nossos computadores. Vamos seguir em frente e usar esta política.
Agora navegue até:
Abra a Configuração do Computador \ Direções \ Configurações do Windows \ Configurações de Segurança \ Firewall do Windows com Segurança Avançada
Clique no Firewall do Windows com Segurança Avançada e clique em Ação e Política de Importação
Você será informado de que se você importar a políticaele irá substituir todas as configurações existentes, clique em Sim para continuar e procure a política que você exportou na seção anterior deste artigo. Uma vez que a política tenha terminado de ser importada, você será notificado.
Se você vai e olha nossas regras, você verá que as regras do Skype que criei ainda estão lá.
Testing
Nota: Você não deve fazer nenhum teste antes de completar a próxima seção do artigo. Se você fizer isso, as regras que foram configuradas localmente serão respeitadas. A única razão pela qual eu fiz alguns testes agora era apontar algumas coisas.
Para ver se as Regras do Firewall foram implantadas em clientes, você precisará alternar para uma máquina cliente e novamente abrir as Configurações do Firewall do Windows. Como você pode ver, deve haver uma mensagem dizendo que algumas das regras do firewall são gerenciadas pelo administrador do sistema.
Clique no botão Permitir um programa ou recurso através do link do Firewall do Windows no lado esquerdo.
Como você deve ver agora, temos regras aplicadas tanto pela Política de Grupo quanto pelas criadas localmente.
O que está acontecendo aqui e como posso corrigi-lo?
Por padrão, a fusão de regras está habilitada entre as políticas de firewall locais em computadores do Windows 7 e a política de firewall especificada em Políticas de Grupo que segmentam esses computadores. Isso significa que os administradores locais podem criar suas próprias regras de firewall e essas regras serão mescladas com as regras obtidas através da Política de Grupo. Para corrigir este clique direito no Firewall do Windows com Segurança Avançada e selecionar propriedades no menu de contexto. Quando a caixa de diálogo abre, clique no botão Personalizar na seção de configurações.
Altere a opção Aplicar regras de firewall local de Não configurado para Não.
Depois de clicar em OK, mude para perfis privados e públicos e faça o mesmo para ambos.
Isso é tudo que existe para eles pessoal, vá com algum firewall divertido.