8Sep
Windows-brandväggen kan vara en av de största mardrömmarna för systemadministratörer att konfigurera, med tillägg av prioriterad grupppolitik blir det bara huvudvärk. Här kommer vi att ta dig från början till slut på hur du enkelt konfigurerar Windows-brandväggen via grupprincip och som en bonus visar dig hur du fixar en av de största gotchasna.
Vår uppgift
Det har uppmärksammats att många användare har Skype installerat på sina maskiner och det gör dem mindre produktiva. Vi har fått till uppgift att se till att användare inte kan använda Skype på jobbet, men de är välkomna att hålla dem installerade på sina bärbara datorer och använda det hemma eller under lunchpausar på en 3G / 4G-anslutning. Med tanke på denna information bestämmer vi oss för att använda Windows-brandväggen och grupprincipen.
Metoden
Det enklaste sättet att börja styra Windows-brandväggen genom grupppolicy är att ställa in en referens-dator och skapa reglerna med Windows 7, så kan vi exportera den politiken och importera den till grupprincip. Genom att göra detta har vi den extra fördelen att vi kan se om alla regler är inställda och fungerar som vi vill att de ska vara innan de distribueras till alla klientmaskiner.
Skapa en brandväggsmall
För att skapa en mall för Windows-brandväggen behöver vi starta Nätverks- och delningscenter. Det enklaste sättet att göra detta är att högerklicka på nätverksikonen och välj Öppna nätverk och delningscenter fråninnehålls meny. 
När Nätverks- och delningscenter öppnas klickar du på länken Windows Firewall i nedre vänstra hörnet.
När du skapar en mall för Windows Firewall görs det bäst genom Windows Firewall med Advanced Security-konsolen för att starta det här klicket på Avancerade inställningar på vänster sida.
Obs! Vid denna tidpunkt ska jag redigera Skype-specifika regler, men du kan lägga till egna regler för portar eller till och med applikationer. Oavsett vilka ändringar du behöver göra till brandväggen bör du göra nu.
Härifrån kan vi börja redigera våra brandväggsregler, i vårt fall när Skype-programmet är installerat skapas egna Firewall-undantag som tillåter skype.exe att kommunicera på profilerna Domän, Privat och Offentligt nätverk.
Nu måste vi redigera vår Firewall regel, för att redigera den dubbelklicka på regeln. Detta kommer att föra upp egenskaperna hos Skype-regeln.
Byt till fliken Avancerat och avmarkera kryssrutan Domän.
När du försöker starta Skype nu kommer du bli uppmanad att fråga om den kan kommunicera på Domain Network Profile, avmarkera rutan och klicka på tillåt åtkomst.
Om du nu går tillbaka till dina Inbound Firewall Rules så ser du att det finns två nya regler, det beror på att när du blev uppmanad valde du att inte tillåta inkommande Skype-trafik. Om du tittar över till profilkolumnen ser du att de båda är för domännamnsprofilen.
Obs! Anledningen till att det finns två regler är att det finns separata regler för TCP och UDP
Allt är bra hittills, men om du startar Skype kan du fortfarande logga in.
Även om du ändrar reglerna för att blockera inkommandetrafik för skype.exe och ställa in den för att blockera trafik med något protokoll kan det ändå på något sätt återfå. Fixen är enkel, stoppa den från att kunna kommunicera i första hand. För att göra detta byt till Utgående Regler och börja skapa en ny regel.
Eftersom vi vill skapa en regel för Skype-programmet klickar du bara på nästa, bläddra sedan till Skype-körbar fil och klicka på nästa.
Du kan lämna åtgärden vid standard som ska blockera anslutningen och klicka på nästa.
Avmarkera kryssrutorna Privat och Offentligt och klicka sedan på för att fortsätta.
Ge nu din regel ett namn och klicka på avsluta
Nu om du försöker starta Skype när du är ansluten till ett domännätverk fungerar det inte
Men om de försöker ansluta när de kommer hem kommer det att låta dem ansluta bra
Det är alla brandväggsregler vi ska skapa för nu, glöm inte att testa dina regler precis som vi gjorde för Skype.
Exportera policyen
För att exportera policyen, klicka på roten i trädet i den vänstra rutan som säger Windows Firewall med avancerad säkerhet. Klicka sedan på Åtgärd och välj Exportera policy från menyn.
Du bör spara detta till antingen en nätverksdelning eller till och med en USB om du har fysisk åtkomst till din server. Vi kommer att gå med en nätverksandel.
Obs! Var försiktig med virus när du använder en USB. Det sista du vill göra är att infektera en server med ett virus.
Importera policyen i grupppolicy
För att importera brandvägspolitiken måste du öppna ett befintligt GPO eller skapa en nyGPO och länka den till en OU som innehåller datorkonton. Vi har ett GPO kallat Firewall Policy som är kopplad till en OU heter Geek Computers, den här OU innehåller alla våra datorer. Vi kommer bara fortsätta och använda denna policy.
Navigera nu till:
Öppna Datorkonfiguration \ Policy \ Windows Inställningar \ Säkerhetsinställningar \ Windows Firewall med Advanced Security
Klicka på Windows Firewall med Advanced Security och klicka sedan på Action and Import Policy
Du kommer att få veta att om du importerar policyenDet kommer att överskriva alla befintliga inställningar, klicka på ja för att fortsätta och sedan leta efter policyen som du exporterade i föregående avsnitt i den här artikeln. När politiken är klar att importeras kommer du att bli underrättad.
Om du går och tittar på våra regler ser du att Skype-reglerna jag skapade fortfarande finns.
-testning
Obs! Du bör inte göra några test innan du fyller i nästa avsnitt i artikeln. Om du gör det kommer alla regler som har konfigurerats lokalt att följas. Den enda anledningen till att jag gjorde några test nu var att påpeka några saker.
För att se om brandväggsreglerna har implementerats till klienter måste du byta till en klientmaskin och öppna igen Windows Firewall Settings. Som du kan se bör det finnas ett meddelande som säger att vissa av brandvägsreglerna hanteras av systemadministratören.
Klicka på Tillåt ett program eller en funktion via länken Windows Firewall på vänster sida.
Som du bör se nu har vi regler som tillämpas både av grupppolicy och de som skapas lokalt.
Vad händer här och hur kan jag fixa det?
Som standard är regelmergin aktiverad mellan lokala brandväggspolicyer på Windows 7-datorer och brandvägspolicy som anges i grupprinciper som riktar sig mot dessa datorer. Det innebär att lokala administratörer kan skapa egna brandväggsregler, och dessa regler kommer att slås samman med de regler som erhållits genom grupppolicy. För att åtgärda detta högerklickar du på Windows Firewall med Advanced Security och väljer egenskaper från snabbmenyn. När dialogrutan öppnas klickar du på knappen Anpassa under inställningsdelen.
Ändra alternativet Använd lokala brandväggsregler från Inte konfigurerad till Nej.
När du har klickat på OK, växla till privata och offentliga profiler och gör samma sak för båda.
Det är allt som finns för det, killar, gå med lite brandvägg.