8Sep
Brána firewall systému Windows môže byť jednou z najväčších nočných mórov, ktoré môžu správcovia systému nakonfigurovať, s pridaním priorít skupinovej politiky sa stane len bolesťou hlavy. Tu sa vezmeme od začiatku do konca, ako ľahko nakonfigurovať bránu firewall systému Windows prostredníctvom zásad skupiny a ako bonus vám ukáže, ako opraviť jeden z najväčších gotchov.
Naša misia
Všimli sme si, že veľa používateľov má Skype nainštalovaných na svojich počítačoch a robí ich menej produktívnymi. Dostali sme úlohu zabezpečiť, aby používatelia nemohli používať Skype v práci, avšak sú vítaní, aby si ho nainštalovali na svoje prenosné počítače a používali ho doma alebo počas prestávok na obed na 3G / 4G pripojení.Vzhľadom na tieto informácie sa rozhodneme využiť bránu firewall systému Windows a skupinové pravidlá.
Metóda
Najjednoduchším spôsobom spustenia kontroly brány firewall systému Windows prostredníctvom zásad skupiny je nastavenie referenčného počítača a vytvorenie pravidiel pomocou systému Windows 7, môžeme potom exportovať túto politiku a importovať ju do skupinovej politiky. Týmto spôsobom máme mimoriadnu výhodu toho, že sme schopní zistiť, či sú všetky pravidlá nastavené a pracujú tak, ako ich chceme, a až potom ich nasadíme na všetky klientské počítače.
Vytvorenie šablóny brány firewall
Aby sme vytvorili šablónu pre bránu firewall systému Windows, musíme spustiť Centrum sieťových technológií a zdieľanie, najjednoduchší spôsob je kliknúť pravým tlačidlom myši na ikonu siete a vybrať Otvoriť centrum a sieť zdieľaniaobsahové menu. 
Po otvorení Centra siete a zdieľania kliknite na odkaz Brána Windows Firewall v ľavom dolnom rohu.
Pri vytváraní šablóny pre bránu firewall systému Windows sa najlepšie robí pomocou konzoly Windows Firewall s pokročilou bezpečnostnou konzolou a spustíte kliknutie na položku Rozšírené nastavenia na ľavej strane.
Poznámka: V tomto okamihu upravím pravidlá špecifické pre Skype, ale môžete pridať svoje vlastné pravidlá pre porty alebo aj aplikácie. Akékoľvek zmeny, ktoré musíte vykonať na bráne firewall, by sa mali vykonať teraz.
Odtiaľ môžeme začať upravovať pravidlá firewallu, v našom prípade, keď je nainštalovaná aplikácia Skype, vytvorí vlastné výnimky Firewallu, ktoré umožňujú skype.exe komunikovať v profiloch domény, súkromia a verejnej siete.
Teraz potrebujeme upraviť pravidlo Firewallu, upraviť ho dvojitým kliknutím na pravidlo. To prinesie vlastnosti pravidla Skype.
Prepnite na kartu Spresnenie a zrušte začiarknutie políčka Doména.
Keď sa pokúsite spustiť Skype teraz, budete vyzvaní, aby ste sa opýtali, či môže komunikovať v profile domény siete, zrušte začiarknutie políčka a kliknite na tlačidlo Povoli »prístup.
Ak sa teraz vrátite k pravidlám prichádzajúcej brány firewall, uvidíte, že existujú dve nové pravidlá, pretože keď ste boli vyzvaní, rozhodli ste sa nechať povoliť prichádzajúcu Skype prevádzku. Ak sa pozriete na stĺpec profilu, uvidíte, že ide o profil siete Domain.
Poznámka: Dôvodom sú dve pravidlá, pretože existujú samostatné pravidlá pre TCP a UDP
Všetko je dobré zatiaľ, ale ak spustíte Skype, budete sa môcť prihlásiť.
Aj keď zmeníte pravidlá na blokovanie prichádzajúcehoprevádzku pre skype.exe a nastaviť ju na zablokovanie prevádzky pomocou ľubovoľného protokolu, ktorého je stále schopný nejako dostať späť dovnútra. Oprava je jednoduchá, zastavte ju v tom, aby mohla komunikovať na prvom mieste. Ak to chcete urobiť, prepnite na Odchádzajúce pravidlá a začnite vytvárať nové pravidlo.
Keďže chceme vytvoriť pravidlo pre program Skype, stačí kliknúť na ďalší, potom vyhľadať spustiteľný súbor Skype a kliknúť na tlačidlo Next.
Akciu môžete ponechať na predvolenom nastavení, ktorá má zablokovať pripojenie a kliknite na tlačidlo Ďalej.
Zrušte začiarknutie políčok Súkromné a verejné a kliknite ďalej na pokračovanie.
Teraz zadajte svoje pravidlo meno a kliknite na koniec
Teraz, ak sa pokúsite spustiť Skype pri pripojení k sieti Domain, nebude to fungovať
Avšak ak sa pokúsia a pripojia, keď sa dostanú domov, umožnia im pripojiť jemné
. To sú všetky pravidlá Firewallu, ktoré teraz vytvoríme, nezabudnite si vyskúšať svoje pravidlá rovnako ako v prípade Skype.
Exportovanie pravidiel
Na export pravidiel kliknite v ľavom okne na koreň stromu, na ktorom sa spustí Windows Firewall s pokročilým zabezpečením. Potom kliknite na položku Akcia a z ponuky vyberte možnosť Exportovať pravidlá.
Mali by ste to uložiť buď do zdieľanej siete, alebo dokonca do USB, ak máte fyzický prístup k serveru. Pôjdeme so sieťovým podielom.
Poznámka: Buďte opatrní vírusmi pri používaní USB, posledná vec, ktorú chcete urobiť, je infikovať server s vírusom
Importovanie politiky do skupinovej politiky
Na importovanie pravidiel brány firewall musíte otvoriť existujúci objekt GPO alebo vytvoriť novýGPO a prepojte ho s OU, ktorý obsahuje účty počítača. Máme GPO s názvom Firewall Policy, ktorá je prepojená s OU s názvom Geek Computers, tento OU obsahuje všetky naše počítače. Budeme pokračovať a používať túto politiku.
Teraz prejdite na:
Otvorte konfiguráciu počítača \ Politiky \ Nastavenia systému Windows \ Nastavenia zabezpečenia \ Windows Firewall s pokročilým zabezpečením
Kliknite na Windows Firewall s pokročilým zabezpečením a kliknite na položku Pravidlá pre akciu a import
Budete informovaní, že ak importujete pravidláprepíše všetky existujúce nastavenia, kliknutím na tlačidlo Áno pokračujte a vyhľadajte pravidlá, ktoré ste exportovali v predchádzajúcej časti tohto článku. Akonáhle sa zásielka skončí s importom, dostanete upozornenie.
Ak sa pozrieme na naše pravidlá, uvidíte, že pravidlá Skype, ktoré som vytvoril, sú tu stále. Testovanie
Poznámka: Pred dokončením nasledujúcej časti článku by ste nemali robiť žiadne testy. Ak tak urobíte, budú dodržané všetky pravidlá, ktoré boli nakonfigurované lokálne. Jediný dôvod, prečo som vykonal nejaké testovanie, bol poukázať na niekoľko vecí.
Ak chcete zistiť, či boli do klientov nasadené pravidlá brány firewall, musíte prejsť na klientský počítač a znova otvoriť nastavenia brány firewall systému Windows. Ako vidíte, malo by sa zistiť, že niektoré pravidlá brány firewall spravuje správca systému.
Kliknite na položku Povoliť program alebo funkciu cez odkaz Brána firewall systému Windows na ľavej strane.
Ako by ste mali vidieť teraz, máme pravidlá, ktoré sa uplatňujú v rámci skupinových pravidiel, ako aj pravidiel vytvorených lokálne.
Čo sa deje tu a ako ho môžem opraviť?
V predvolenom nastavení je zlúčenie pravidiel povolené medzi politikami lokálnej brány firewall v počítačoch so systémom Windows 7 a pravidlami brány firewall uvedenými v pravidlách skupiny, ktoré sú zacielené na tieto počítače. To znamená, že miestni správcovia môžu vytvoriť vlastné pravidlá brány firewall a tieto pravidlá sa zlúčia s pravidlami získanými prostredníctvom zásad skupiny. Ak chcete opraviť toto pravé tlačidlo, kliknite na položku Brána firewall systému Windows s rozšíreným zabezpečením a vyberte vlastnosti z kontextového menu. Po otvorení dialógového okna kliknite na tlačidlo Prispôsobiť v sekcii nastavení.
Zmeňte možnosť Použiť pravidlá lokálnej brány firewall z Nie je nakonfigurovaná na číslo
Po kliknutí na tlačidlo OK prejdite na profily Súkromné a Verejné a urobte to isté pre obidvoch.
To je všetko, čo je k nemu, chlapče, nejakú zábranu brány firewall.
