Domovská » jak » Zásady skupiny Geek Jak ovládat bránu firewall systému Windows pomocí GPO

    Zásady skupiny Geek Jak ovládat bránu firewall systému Windows pomocí GPO

    Brána firewall systému Windows může být jednou z největších nočních můru, kterou správci systému mohou nakonfigurovat, s přidáním priority skupinových politik se stává bolestmi hlavy. Zde se vezmete od začátku do konce, jak snadno konfigurovat Windows Firewall pomocí zásad skupiny a jako bonus vám ukáže, jak opravit jeden z největších gotchů.

    Naše mise

    Zjistili jsme, že mnoho uživatelů Skype nainstaluje na svých strojích a činí je méně produktivní. Byl nám dán úkol ujistit se, že uživatelé nemohou používat Skype v práci, nicméně jsou vítáni, aby si je nechali nainstalovat na svých notebookech a používat ho doma nebo během obědových přestávek na 3G / 4G připojení. Vzhledem k těmto informacím se rozhodneme využít bránu firewall systému Windows a zásady skupiny.

    Metoda

    Nejjednodušší způsob, jak spustit kontrolu firewallu systému Windows prostřednictvím zásad skupiny, je nastavit referenční počítač a vytvořit pravidla pomocí systému Windows 7, můžeme potom tuto politiku exportovat a importovat do zásad skupiny. Tímto způsobem získáváme mimořádnou výhodu toho, že budeme schopni zjistit, zda jsou všechna pravidla nastavena a pracovat tak, jak bychom chtěli, než je nasadíme do všech klientských strojů.

    Vytvoření šablony brány firewall

    Chcete-li vytvořit šablonu brány firewall systému Windows, je třeba spustit Centrum síťových sítí a sdílení. Nejjednodušší způsob, jak to provést, je klepnutí pravým tlačítkem myši na ikonu sítě a volbou Otevřít centrum sítě a sdílení z kontextového menu.

    Po otevření centra sítě a sdílení klepněte na odkaz Brána firewall systému Windows v levém dolním rohu.

    Při vytváření šablony pro Brána firewall systému Windows je nejlépe provést pomocí konzole pro pokročilé zabezpečení brány Windows Firewall a spustit toto kliknutí na tlačítko Upřesnit nastavení na levé straně.

    Poznámka: V tomto okamžiku upravím pravidla specifické pro Skype, ale můžete přidat vlastní pravidla pro porty nebo i aplikace. Jakékoli úpravy, které je třeba udělat pro firewall, by měly být provedeny nyní.

    Odtud můžeme začít upravovat pravidla firewallu, v našem případě při instalaci aplikace Skype vytvoří vlastní výjimky brány firewall, které umožňují komunikaci skype.exe na profily domény, soukromé a veřejné sítě.

    Nyní musíme upravit naše pravidlo brány firewall, upravit jej dvojklikem na pravidlo. Tím se objeví vlastnosti pravidla Skype.

    Přepněte na kartu Upřesnit a zrušte zaškrtnutí políčka Doména.

    Při pokusu o spuštění služby Skype nyní budete vyzváni, abyste se zeptali, zda může komunikovat v doménovém profilu sítě, zrušte zaškrtnutí políčka a klepněte na tlačítko povolit přístup.

    Pokud se nyní vrátíte zpět k Pravidlům pro příchozí firewall, uvidíte, že existují dvě nová pravidla. Je to proto, že když jste byli vyzváni, rozhodli jste se nepovolit příchozí Skype přenos. Pokud se podíváte na sloupec profilu, uvidíte, že jsou oba pro síťový profil domény.

    Poznámka: Důvodem jsou dvě pravidla, protože existují samostatná pravidla pro protokoly TCP a UDP

    Všechno je zatím dobré, ale pokud spustíte Skype, budete se moci přihlásit.

    Dokonce i když změníte pravidla pro zablokování příchozího provozu pro skype.exe a nastavíte ji tak, aby zablokovala provoz pomocí jakéhokoli protokolu, je stále schopen nějak se vrátit zpět. Oprava je jednoduchá, přestala být schopna komunikovat na prvním místě. Chcete-li to provést, přepněte na Odchozí pravidla a začněte vytvářet nové pravidlo.

    Vzhledem k tomu, že chceme vytvořit pravidlo pro program Skype, stačí kliknout na další a potom procházet spustitelný soubor Skype a kliknout na další.

    Akci můžete ponechat ve výchozím nastavení, který má blokovat připojení a klepněte na tlačítko Další.

    Zrušte zaškrtnutí políček Soukromé a veřejné a pokračujte kliknutím na tlačítko Další.

    Nyní udělejte pravidlo jméno a klikněte na konec

    Nyní, pokud se pokusíte spustit aplikaci Skype během připojení k síti domény, nebude fungovat

    Nicméně pokud se pokusí připojit, když se dostanou domů, umožní jim propojení

    To jsou všechna pravidla brány firewall, kterou nyní budeme vytvářet, nezapomeňte vyzkoušet vaše pravidla stejně jako pro Skype.

    Exportování zásad

    Chcete-li exportovat zásady, v levém podokně klikněte na kořen stromu, který říká, že brána firewall systému Windows má pokročilé zabezpečení. Poté klikněte na položku Akce a v nabídce vyberte možnost Exportovat zásady.

    Měli byste to uložit buď do síťové sdílené složky, nebo dokonce do USB, pokud máte fyzický přístup k serveru. Půjdeme s sdílením v síti.

    Poznámka: Během používání USB se buďte opatrní vírusy a poslední věc, kterou chcete udělat, je infikovat server s virem

    Import zásad do zásad skupiny

    Chcete-li importovat zásady brány firewall, musíte otevřít existující objekt zásad skupiny nebo vytvořit nový objekt zásad skupiny a propojit ho s OU, který obsahuje účty počítače. Máme GPO s názvem Firewall Policy, která je propojena s OU s názvem Geek Computers, tento OU obsahuje všechny naše počítače. Budeme pokračovat a používat tuto politiku.

    Nyní přejděte na:

    Otevřete Konfigurace počítače \ Policie \ Nastavení systému Windows \ Nastavení zabezpečení \ Brána firewall systému Windows s pokročilým zabezpečením

    Klikněte na Brána firewall systému Windows s pokročilým zabezpečením a potom klikněte na položku Pravidla pro akce a import

    Bude vám řečeno, že pokud importujete zásady, přepsá všechna existující nastavení, pokračujte kliknutím na tlačítko Ano a vyhledejte zásady, které jste exportovali v předchozí části tohoto článku. Jakmile bude politika dokončena importováním, budete upozorněni.

    Pokud se podíváte na naše pravidla, uvidíte, že pravidla Skype, které jsem vytvořili, jsou stále tam.

    Testování

    Poznámka: Před dokončením další části článku byste neměli provádět žádné testování. Pokud tak učiníte, dodržují se všechna pravidla, která byla nakonfigurována místně. Jediný důvod, proč jsem provedl nějaké testování, byl poukázat na několik věcí.

    Chcete-li zjistit, zda jsou do klientů nasazena pravidla brány firewall, je třeba přepnout na klientský počítač a znovu spustit nastavení brány firewall systému Windows. Jak vidíte, mělo by se vyskytnout zpráva, že některé pravidla firewallu spravuje váš správce systému.

    Klikněte na možnost Povolit program nebo funkci prostřednictvím odkazu Brána firewall systému Windows na levé straně.

    Jak byste měli vidět nyní, máme pravidla, která jsou uplatňována jak zásadami skupiny, tak i pravidly vytvořenými místně.

    Co se tam děje a jak to mohu opravit?

    Ve výchozím nastavení je sloučení pravomocí povoleno mezi místními zásadami brány firewall v počítačích se systémem Windows 7 a zásadami brány firewall uvedenými v zásadách skupiny, které cílí na tyto počítače. To znamená, že místní správci mohou vytvořit vlastní pravidla brány firewall a tato pravidla budou sloučena s pravidly získanými prostřednictvím zásad skupiny. Chcete-li opravit toto pravé tlačítko, klepněte na položku Brána firewall systému Windows s rozšířeným zabezpečením a vyberte vlastnosti z kontextové nabídky. Po otevření dialogového okna klikněte v části nastavení na tlačítko Přizpůsobit.

    Změňte možnost Apply local firewall from Not Configured na hodnotu Ne.

    Jakmile kliknete na ok, přepněte na profily Soukromé a Veřejné a proveďte totéž pro oba.

    To je všechno, co je pro něj kluci, jděte si s nějakou zábavou v firewallu.