组策略Geek:如何使用GPO控制Windows防火墙

sshot-31

Windows防火墙可能是系统管理员配置的最大的噩梦之一,除了组策略优先级,它只是变得头痛。 在这里,我们将带你从开始到结束如何通过组策略轻松配置Windows防火墙,并作为奖励,告诉你如何解决最大的问题之一。

我们的任务

我们注意到很多用户在他们的机器上安装了Skype,这使得他们的生产力降低。 我们被赋予了确保用户不能在工作中使用Skype的任务,但是欢迎他们将它安装在他们的笔记本电脑上,并在家里或在3G / 4G连接的午休时使用。 鉴于此信息,我们决定使用Windows防火墙和组策略。

方法

通过组策略开始控制Windows防火墙的最简单方法是设置参考PC并使用Windows 7创建规则,然后导出该策略并将其导入组策略。 通过这样做,我们有额外的优势,能够看到是否所有规则设置和工作,我们希望它们,在它们部署到所有客户端机器之前。

创建防火墙模板

为了创建Windows防火墙的模板,我们需要启动网络和共享中心,最简单的方法是右键单击网络图标,然后从上下文菜单中选择打开网络和共享中心。 sshot-8

当网络和共享中心打开时,单击左下角的Windows防火墙链接。

sshot-9

在为Windows防火墙创建模板时,最好通过具有高级安全性的Windows防火墙控制台来启动此点击左侧的高级设置。

sshot-12

注意:在这一点上,我将编辑Skype特定规则,但是您可以为端口或甚至应用程序添加自己的规则。 无论您需要对防火墙进行哪些修改都应该立即完成。

从这里,我们可以开始编辑我们的防火墙规则,在我们的情况下,当Skype应用程序安装它创建自己的防火墙例外,允许skype.exe在域,私人和公共网络配置文件进行通信。

sshot-15

现在我们需要编辑我们的防火墙规则,编辑它双击规则。 这将显示Skype规则的属性。

sshot-16

切换到高级选项卡,取消选中域复选框。

sshot-17

当您尝试立即启动Skype时,系统将提示您询问是否可以在域网络配置文件上进行通信,取消选中该框,然后单击允许访问。

sshot-18

如果现在回到入站防火墙规则,您会看到有两个新规则,这是因为当系统提示您选择不允许入站Skype流量。 如果查看配置文件列,您将看到它们都是域网络配置文件。

注意:有两个规则的原因是因为有单独的规则为TCP和UDP

sshot-19

一切都很好,但是如果你启动Skype,你仍然可以登录。

sshot-20

即使您更改规则以阻止skype.exe的入站流量,并将其设置为使用任何协议阻止流量,它仍然能够以某种方式恢复。修复很简单,阻止它首先通信。 要执行此操作切换到出站规则并开始创建新规则。

sshot-21

因为我们要为Skype程序创建一个规则,只需点击下一步,然后浏览找到Skype可执行文件,然后点击下一步。

sshot-22

您可以将操作保留为默认状态,即阻止连接,然后单击下一步。

sshot-23

取消选中“私人”和“公共”复选框,然后单击下一步继续。

sshot-24

现在给你的规则一个名字,然后点击完成

sshot-25

现在如果你尝试并在连接到域网络时启动Skype,它将无法工作

sshot-27

但是,如果他们尝试和连接,当他们回家,这将允许他们连接罚款

sshot-28

这就是我们现在要创建的所有防火墙规则,不要忘了像Skype一样测试你的规则。

导出策略

要导出策略,请在左侧窗格中单击树的根目录,其中显示了高级安全Windows防火墙。 然后单击操作,并从菜单中选择导出策略。

sshot-29

您应该将其保存到网络共享,甚至是USB,如果您有物理访问您的服务器。 我们将使用网络共享。

注意:使用USB时要小心病毒,最后一件事情是感染服务器病毒

sshot-30

将策略导入组策略

要导入防火墙策略,您需要打开现有的GPO或创建新的GPO,并将其链接到包含计算机帐户的OU。 我们有一个称为防火墙策略的GPO,它链接到名为Geek Computers的OU,此OU包含我们的所有计算机。 我们将继续使用这一政策。

sshot-32

现在导航到:

打开计算机配置\策略\ Windows设置\安全设置\ Windows高级安全防火墙

单击具有高级安全性的Windows防火墙,然后单击操作和导入策略

sshot-33

您将被告知,如果导入策略,它将覆盖所有现有设置,单击yes继续,然后浏览您在本文前一部分中导出的策略。 一旦策略完成导入,您将收到通知。

sshot-34

如果你去看看我们的规则,你会看到我创建的Skype规则仍然存在。

sshot-35

测试

注意:在完成本文的下一部分之前,不应进行任何测试。 如果这样做,则将遵守已在本地配置的任何规则。 我现在做一些测试的唯一原因是指出一些事情。

要查看是否已将防火墙规则部署到客户端,您需要切换到客户端计算机,并再次打开Windows防火墙设置。 正如你可以看到,应该有一条消息,说一些防火墙规则是由系统管理员管理。

sshot-36

单击左侧的允许程序或功能通过Windows防火墙链接。

sshot-37

正如你现在应该看到的,我们有组策略应用的规则以及本地创建的规则。

sshot-38

这里有什么和如何解决?

默认情况下,在Windows 7计算机上的本地防火墙策略和在针对这些计算机的组策略中指定的防火墙策略之间启用规则合并。 这意味着本地管理员可以创建自己的防火墙规则,这些规则将与通过组策略获取的规则合并。 要解决此问题,请右键单击具有高级安全性的Windows防火墙,然后从上下文菜单中选择属性。 打开对话框时,单击设置部分下的自定义按钮。

sshot-39

将“应用本地防火墙规则”选项从“未配置”更改为“否”。

sshot-40

一旦你点击确定,切换到私人和公共配置文件,并做同样的事情,他们两个。

这是所有有它的家伙,去有一些防火墙的乐趣。

赞 (0)
分享到:更多 ()