Brána firewall systému Windows může být jednou z největších nočních můr, kterou mohou správci systému konfigurovat, s přidáním priority zásad skupiny se z ní stává jen bolest hlavy. Zde vás vezmeme od začátku do konce, jak snadno konfigurovat bránu Windows Firewall pomocí zásad skupiny, a jako bonus vám ukážeme, jak opravit jeden z největších gotchas.
Naše mise
Zjistili jsme, že mnoho uživatelů má na svých počítačích nainstalován program Skype, což je činí méně produktivními. Dostali jsme za úkol zajistit, aby uživatelé nemohli používat Skype v práci, nicméně jsou vítáni, aby si jej nechali nainstalovaný ve svých laptopech a používali jej doma nebo během přestávek na oběd na připojení 3G / 4G. Vzhledem k těmto informacím se rozhodneme využít bránu firewall a zásady skupiny Windows.
Metoda
Nejjednodušší způsob, jak začít ovládat bránu Windows Firewall prostřednictvím zásad skupiny, je nastavení referenčního počítače a vytvoření pravidel pomocí systému Windows 7. Tuto zásadu pak můžeme exportovat a importovat do zásad skupiny. Tímto způsobem máme další výhodu v tom, že můžeme zjistit, zda jsou všechna pravidla nastavena a pracovat tak, jak chceme, před jejich nasazením na všechny klientské počítače.
Vytvoření šablony brány firewall
Abychom vytvořili šablonu pro bránu Windows Firewall, musíme spustit Centrum sítí a sdílení, nejjednodušší způsob, jak to udělat, je kliknout pravým tlačítkem na ikonu sítě a v místní nabídce vybrat Otevřít centrum sítí a sdílení.
Když se otevře Centrum sítí a sdílení, klikněte na odkaz Brána firewall systému Windows v levém dolním rohu.
Při vytváření šablony pro bránu Windows Firewall se nejlépe provádí pomocí brány Windows Firewall s pokročilým zabezpečením, kterou spustíte kliknutím na Pokročilé nastavení na levé straně.
Poznámka: V tomto okamžiku upravím pravidla specifická pro Skype, můžete však přidat vlastní pravidla pro porty nebo dokonce aplikace. Jakékoli úpravy brány firewall je třeba provést hned.
Odtud můžeme začít upravovat naše pravidla brány firewall, v našem případě, když je nainstalována aplikace Skype, vytvoří vlastní výjimky brány firewall, které umožňují skype.exe komunikovat v doménových, soukromých a veřejných síťových profilech.
Nyní musíme upravit naše pravidlo brány firewall, abyste jej mohli upravit poklepáním na pravidlo. Tím se zobrazí vlastnosti pravidla Skype.
Přepněte na kartu Upřesnit a zrušte zaškrtnutí políčka Doména.
Když se nyní pokusíte spustit Skype, budete vyzváni, abyste se zeptali, zda může komunikovat v profilu síťové domény, zrušte zaškrtnutí políčka a klikněte na Povolit přístup.
Pokud se nyní vrátíte zpět ke svým pravidlům brány firewall pro příchozí komunikaci, uvidíte, že existují dvě nová pravidla, a to proto, že když jste byli vyzváni, rozhodli jste se nepovolit příchozí přenosy přes Skype. Pokud se podíváte do sloupce profilu, uvidíte, že jsou oba pro síťový profil domény.
Poznámka: Důvodem jsou dvě pravidla, protože pro TCP a UDP existují samostatná pravidla
Zatím je vše v pořádku, ale pokud spustíte Skype, budete se stále moci přihlásit.
I když změníte pravidla tak, aby blokovala příchozí provoz pro skype.exe a nastavila jej tak, aby blokovala provoz pomocí JAKÉKOLI protokolu, je stále schopna se nějak vrátit zpět. Oprava je jednoduchá, na prvním místě je zabránění komunikaci. Chcete-li to provést, přepněte na odchozí pravidla a začněte vytvářet nové pravidlo.
Protože chceme vytvořit pravidlo pro program Skype, stačí kliknout na další, poté vyhledat spustitelný soubor Skype a kliknout na další.
Tuto akci můžete ponechat na výchozím nastavení, kterým je blokování připojení, a klepnutí na další.
Zrušte zaškrtnutí políček Soukromé a Veřejné a pokračujte kliknutím na Další.
Nyní pojmenujte své pravidlo a klikněte na dokončení
Pokud se nyní pokusíte spustit Skype při připojení k doménové síti, nebude to fungovat
Pokud se však pokusí připojit, až se dostanou domů, umožní jim to dobré připojení
To jsou všechna pravidla brány firewall, která prozatím vytvoříme. Nezapomeňte otestovat svá pravidla, stejně jako jsme to udělali pro Skype.
Export zásad
Chcete-li zásadu exportovat, klikněte v levém podokně na kořen stromu, který uvádí bránu Windows Firewall s pokročilým zabezpečením. Poté klikněte na Akce a v nabídce vyberte Zásady exportu.
Toto byste měli uložit na sdílenou síť nebo na USB, pokud máte fyzický přístup k vašemu serveru. Půjdeme se sdílením v síti.
Poznámka: Při používání USB buďte opatrní na viry, poslední věcí, kterou musíte udělat, je infikovat server virem
Import zásad do skupinových zásad
Chcete-li importovat zásady brány firewall, musíte otevřít existující objekt zásad skupiny nebo vytvořit nový objekt zásad skupiny a propojit jej s organizační jednotkou, která obsahuje účty počítačů. Máme objekt zásad skupiny nazvaný Firewall Policy, který je propojen s organizační jednotkou zvanou Geek Computers, tato organizační jednotka obsahuje všechny naše počítače. Prostě pokračujeme a použijeme tuto politiku.
Nyní přejděte na:
Otevřete Konfigurace počítače \ Zásady \ Nastavení systému Windows \ Nastavení zabezpečení \ Brána firewall systému Windows s pokročilým zabezpečením
Klikněte na Brána Windows Firewall s pokročilým zabezpečením a poté klikněte na Zásady akcí a importu
Bude vám řečeno, že pokud importujete zásadu, přepíše se všechna stávající nastavení, pokračujte kliknutím na Ano a poté vyhledejte zásadu, kterou jste exportovali v předchozí části tohoto článku. Po dokončení importu zásad budete upozorněni.
Pokud se podíváte na naše pravidla, uvidíte, že pravidla Skype, která jsem vytvořil, stále existují.
Testování
Poznámka: Než dokončíte další část článku, neměli byste provádět žádné testování. Pokud tak učiníte, budou dodržena všechna pravidla, která byla nakonfigurována místně. Jediným důvodem, proč jsem nyní provedl nějaké testování, bylo poukázat na několik věcí.
Chcete-li zjistit, zda byla pravidla brány firewall nasazena na klienty, budete muset přepnout na klientský počítač a znovu otevřít nastavení brány firewall systému Windows. Jak vidíte, měla by se zobrazit zpráva, že některá pravidla brány firewall spravuje váš správce systému.
Klikněte na odkaz Povolit program nebo funkci prostřednictvím brány Windows Firewall na levé straně.
Jak byste nyní měli vidět, máme pravidla uplatňovaná jak zásadami skupiny, tak místně vytvořenými pravidly.
Co se tady děje a jak to mohu opravit?
Ve výchozím nastavení je slučování pravidel povoleno mezi zásadami místní brány firewall v počítačích se systémem Windows 7 a zásadami brány firewall určenými v zásadách skupiny, které cílí na tyto počítače. To znamená, že místní správci mohou vytvářet svá vlastní pravidla brány firewall a tato pravidla budou sloučena s pravidly získanými prostřednictvím zásad skupiny. Chcete-li toto pravé tlačítko opravit, klikněte na bránu Windows Firewall s pokročilým zabezpečením a v místní nabídce vyberte vlastnosti. Po otevření dialogového okna klikněte na tlačítko Přizpůsobit v části nastavení.
Změňte možnost Použít místní pravidla brány firewall z Nekonfigurováno na Ne.
Jakmile kliknete na ok, přepněte na soukromý a veřejný profil a proveďte totéž pro oba.
To je vše, chlapi, jděte se pobavit na firewallu.
