Hemsida » hur » Grupppolicy Geek Så här kontrollerar du Windows-brandväggen med en GPO

    Grupppolicy Geek Så här kontrollerar du Windows-brandväggen med en GPO

    Windows-brandväggen kan vara en av de största mardrömmarna för systemadministratörer att konfigurera, med tillägg av prioriterad grupppolitik blir det bara huvudvärk. Här kommer vi att ta dig från början till slut på hur du enkelt konfigurerar Windows-brandväggen via grupprincip och som en bonus visar dig hur du fixar en av de största gotkaserna.

    Vårt uppdrag

    Det har uppmärksammats att många användare har Skype installerat på sina maskiner och det gör dem mindre produktiva. Vi har fått till uppgift att se till att användarna inte kan använda Skype på jobbet, men de är välkomna att hålla dem installerade på sina bärbara datorer och använda det hemma eller under lunchpausar på en 3G / 4G-anslutning. Med tanke på denna information bestämmer vi oss för att använda Windows-brandväggen och grupprincipen.

    Metoden

    Det enklaste sättet att börja styra Windows-brandväggen genom grupppolicy är att konfigurera en referens-dator och skapa reglerna med Windows 7, så kan vi exportera den politiken och importera den till grupprincip. Genom att göra detta har vi den extra fördelen att vi kan se om alla regler är inställda och fungerar som vi vill att de ska vara innan de distribueras till alla klientmaskiner.

    Skapa en brandväggsmall

    För att skapa en mall för Windows-brandväggen behöver vi starta Nätverks- och delningscenter. Det enklaste sättet att göra detta är att högerklicka på nätverksikonen och välj Öppna nätverk och delningscenter från snabbmenyn.

    När Nätverks- och delningscenter öppnas klickar du på länken Windows Firewall i nedre vänstra hörnet.

    När du skapar en mall för Windows-brandväggen gör den bäst genom Windows-brandväggen med avancerad säkerhetskonsol för att starta det här klicket på avancerade inställningar på vänster sida.

    Obs! Vid denna tidpunkt kommer jag att redigera Skype-specifika regler, men du kan lägga till egna regler för portar eller till och med applikationer. Oavsett vilka ändringar du behöver göra till brandväggen bör du göra nu.

    Härifrån kan vi börja redigera våra brandväggsregler, i vårt fall när Skype-programmet är installerat skapas egna Firewall-undantag som tillåter Skype.exe att kommunicera på profilerna Domain, Private och Public Network..

    Nu måste vi redigera vår Firewall-regel, för att redigera den dubbelklicka på regeln. Detta kommer att föra upp egenskaperna hos Skype-regeln.

    Byt till fliken Avancerat och avmarkera kryssrutan Domän.

    När du försöker starta Skype nu kommer du att bli uppmanad att fråga om den kan kommunicera på Domain Network Profile, avmarkera rutan och klicka tillåta åtkomst.

    Om du nu går tillbaka till dina inkommande brandväggsregler ser du att det finns två nya regler, det beror på att när du blev uppmanad valde du att inte tillåta inkommande Skype-trafik. Om du tittar över till profilkolumnen ser du att de båda är för domännamnsprofilen.

    Obs! Anledningen till att det finns två regler är att det finns separata regler för TCP och UDP

    Allt är bra hittills, men om du startar Skype kommer du fortfarande att kunna logga in.

    Även om du ändrar reglerna för att blockera inkommande trafik för skype.exe och ställer in den för att blockera trafik med något protokoll kan det ändå på något sätt komma in igen. Fixen är enkel, stoppa den från att kunna kommunicera i första hand. För att göra detta byt till Utgående Regler och börja skapa en ny regel.

    Eftersom vi vill skapa en regel för Skype-programmet klickar du bara på nästa och söker sedan efter Skype-körbar fil och klickar på nästa.

    Du kan lämna åtgärden vid standard som ska blockera anslutningen och klicka på nästa.

    Avmarkera kryssrutorna Privat och Offentligt och klicka på Nästa för att fortsätta.

    Nu ge din regel ett namn och klicka på avsluta

    Nu om du försöker starta Skype när du är ansluten till ett domännätverk fungerar det inte

    Men om de försöker ansluta när de kommer hem gör det möjligt för dem att ansluta sig bra

    Det är alla brandväggsregler vi ska skapa för nu, glöm inte att testa dina regler precis som vi gjorde för Skype.

    Exportera policyen

    För att exportera politiken klickar du i rutan till vänster på roten av trädet som säger Windows-brandväggen med avancerad säkerhet. Klicka sedan på Åtgärd och välj Exportera policy från menyn.

    Du bör spara detta till antingen en nätverksdelning eller till och med en USB om du har fysisk åtkomst till din server. Vi kommer att gå med en nätverksandel.

    Obs! Var försiktig med virus när du använder en USB, det sista du vill göra är att infektera en server med ett virus

    Importera politiken till grupppolicy

    För att importera brandvägspolicyen måste du öppna ett befintligt GPO eller skapa ett nytt GPO och länka det till en OU som innehåller datorkonton. Vi har ett GPO kallat Firewall Policy som är kopplad till en OU heter Geek Computers, den här OU innehåller alla våra datorer. Vi kommer bara fortsätta och använda denna policy.

    Navigera nu till:

    Öppna Datorkonfiguration \ Policy \ Windows Inställningar \ Säkerhetsinställningar \ Windows Firewall med Advanced Security

    Klicka på Windows Firewall med Advanced Security och klicka sedan på Action and Import Policy

    Du kommer att få höra att om du importerar policyen kommer det att överskriva alla befintliga inställningar, klicka på ja för att fortsätta och leta efter den policy som du exporterade i föregående avsnitt i den här artikeln. När politiken är klar att importeras kommer du att bli underrättad.

    Om du går och tittar på våra regler ser du att Skype-reglerna jag skapade fortfarande finns.

    Testning

    Obs! Du bör inte göra några test innan du fyller i nästa avsnitt i artikeln. Om du gör det kommer alla regler som har konfigurerats lokalt att följas. Den enda anledningen till att jag gjorde några test nu var att peka på några saker.

    För att se om brandväggsreglerna har implementerats till klienter måste du byta till en klientmaskin och öppna igen Windows Firewall Settings. Som du kan se bör det finnas ett meddelande som säger att vissa av brandvägsreglerna hanteras av systemadministratören.

    Klicka på Tillåt ett program eller en funktion via länken Windows Firewall på vänster sida.

    Som du borde se nu har vi regler som tillämpas både av grupppolicy och de som skapas lokalt.

    Vad händer här och hur kan jag fixa det?

    Som regel är regelfusionen aktiverad mellan lokala brandväggspolicyer på Windows 7-datorer och brandvägspolicy som anges i grupprinciper som riktar sig mot dessa datorer. Det innebär att lokala administratörer kan skapa egna brandväggsregler, och dessa regler kommer att slås samman med de regler som erhållits genom grupppolicy. För att åtgärda det här högerklickar du på Windows Firewall med Advanced Security och väljer egenskaper från snabbmenyn. När dialogrutan öppnas klickar du på knappen Anpassa under inställningsdelen.

    Ändra alternativet Använd lokala brandväggsregler från Inte konfigurerad till Nej.

    När du klickar på OK, växla till privata och offentliga profiler och gör samma sak för dem båda.

    Det är allt där det är för killar, gå har lite brandvägg roligt.