Windows Firewall kan være en af de største mareridt for systemadministratorer at konfigurere, med tilføjelse af gruppepolitisk forrang bliver det bare en hovedpine. Her tager vi dig fra start til slut om, hvordan du nemt konfigurerer Windows Firewall via gruppepolitik, og som en bonus viser dig, hvordan du løser en af de største gotchas.
Vores mission
Det er blevet opmærksom på, at mange brugere har Skype installeret på deres maskiner, og det gør dem mindre produktive. Vi har fået til opgave at sikre, at brugerne ikke kan bruge Skype på arbejdspladsen, men de er velkomne til at holde det installeret på deres bærbare computere og bruge det derhjemme eller i frokostpauser på en 3G / 4G-forbindelse. I betragtning af disse oplysninger beslutter vi at gøre brug af Windows Firewall og gruppepolitik.
Metoden
Den nemmeste måde at begynde at kontrollere Windows Firewall gennem gruppepolitik er at oprette en reference-pc og oprette reglerne ved hjælp af Windows 7, vi kan derefter eksportere denne politik og importere den til gruppepolitik. Ved at gøre dette har vi den ekstra fordel, at vi kan se, om alle regler er indstillet og fungerer, som vi vil have dem, inden vi distribuerer dem til alle klientmaskiner.
Oprettelse af en firewall-skabelon
For at oprette en skabelon til Windows Firewall skal vi starte Netværks- og delingscenter, den nemmeste måde at gøre dette på er at højreklikke på netværksikonet og vælge Åbn netværk og delingscenter i genvejsmenuen.
Når Netværks- og delingscenter åbnes, skal du klikke på linket til Windows Firewall i nederste venstre hjørne.
Når du opretter en skabelon til Windows Firewall, gøres det bedst gennem Windows Firewall med avanceret sikkerhedskonsol for at starte dette klik på Avancerede indstillinger på venstre side.
Bemærk: På dette tidspunkt vil jeg redigere de Skype-specifikke regler, men du kan tilføje dine egne regler for porte eller endda applikationer. Uanset hvilke ændringer du skal foretage i firewallen, skal du gøre det nu.
Herfra kan vi begynde at redigere vores firewallregler, i vores tilfælde når Skype-applikationen er installeret, opretter den sine egne Firewall-undtagelser, der tillader skype.exe at kommunikere på domæne-, private og offentlige netværksprofiler.
Nu skal vi redigere vores Firewall-regel, for at redigere den dobbeltklik på reglen. Dette vil fremhæve egenskaberne for Skype-reglen.
Skift til fanen Avanceret, og fjern markeringen i afkrydsningsfeltet Domæne.
Når du prøver at starte Skype nu, bliver du bedt om at spørge, om det kan kommunikere på domænenetværksprofilen, fjerne markeringen i afkrydsningsfeltet og klikke på Tillad adgang.
Hvis du nu går tilbage til dine indgående firewallregler, vil du se, at der er to nye regler, dette skyldes, at når du blev bedt om, valgte du ikke at tillade indgående Skype-trafik. Hvis du ser over til profilsøjlen, vil du se, at de begge er til domænenetværksprofilen.
Bemærk: Årsagen til, at der er to regler, er, fordi der er separate regler for TCP og UDP
Alt er godt indtil videre, men hvis du starter Skype, kan du stadig logge ind.
Selvom du ændrer reglerne for at blokere indgående trafik til skype.exe og indstille den til at blokere trafik ved hjælp af ALLE protokoller, er den stadig i stand til på en eller anden måde at komme tilbage. Rettelsen er enkel, forhindrer den i at være i stand til at kommunikere i første omgang. For at gøre dette skift til udgående regler og begynd at oprette en ny regel.
Da vi vil oprette en regel til Skype-programmet, skal du bare klikke på næste, derefter søge efter Skype-eksekverbare fil og klikke på næste.
Du kan lade handlingen være som standard at blokere forbindelsen og klikke på næste.
Fjern markeringen af afkrydsningsfelterne Privat og Offentlig, og klik på næste for at fortsætte.
Giv nu din regel et navn, og klik på finish
Hvis du nu prøver at starte Skype, mens du er tilsluttet et domænenetværk, fungerer det ikke
Men hvis de prøver at oprette forbindelse, når de kommer hjem, vil det give dem mulighed for at oprette forbindelse fint
Det er alle de Firewall-regler, vi skal oprette for nu, glem ikke at teste dine regler, ligesom vi gjorde for Skype.
Eksport af politikken
For at eksportere politikken skal du i venstre rude klikke på roden af træet, der siger Windows Firewall med avanceret sikkerhed. Klik derefter på Handling, og vælg Eksportpolitik i menuen.
Du skal gemme dette til enten en netværksshare eller endda en USB, hvis du har fysisk adgang til din server. Vi går med en netværksandel.
Bemærk: Vær forsigtig med vira, når du bruger en USB, den sidste ting du vil gøre er at inficere en server med en virus
Import af politikken til gruppepolitik
For at importere firewallpolitikken skal du åbne en eksisterende GPO eller oprette en ny GPO og linke den til en OU, der indeholder computerkonti. Vi har en GPO kaldet Firewall Policy, der er knyttet til en OU kaldet Geek Computers, denne OU indeholder alle vores computere. Vi vil bare gå videre og bruge denne politik.
Naviger nu til:
Åbn Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Windows Firewall med avanceret sikkerhed
Klik på Windows Firewall med avanceret sikkerhed, og klik derefter på Handlings- og importpolitik
Du får at vide, at hvis du importerer politikken, overskriver den alle eksisterende indstillinger, skal du klikke på ja for at fortsætte og derefter søge efter den politik, du eksporterede i det foregående afsnit af denne artikel. Når politikken er færdig med at blive importeret, får du besked.
Hvis du går og ser på vores regler, vil du se, at de Skype-regler, jeg oprettede, stadig er der.
Testning
Bemærk: Du bør ikke foretage nogen test, før du fuldfører det næste afsnit af artiklen. Hvis du gør det, overholdes regler, der er konfigureret lokalt. Den eneste grund til, at jeg testede nu, var at påpege et par ting.
For at se om Firewall-reglerne er blevet implementeret til klienter, skal du skifte til en klientmaskine og åbne Windows Firewall-indstillinger igen. Som du kan se, skal der være en besked, der siger, at nogle af firewallreglerne styres af din systemadministrator.
Klik på linket Tillad et program eller en funktion gennem Windows Firewall på venstre side.
Som du skal se nu, har vi regler, der både anvendes af gruppepolitik, såvel som dem, der oprettes lokalt.
Hvad sker der her, og hvordan kan jeg løse det?
Som regel er fletning af regler aktiveret mellem lokale firewallpolitikker på Windows 7-computere og firewallpolitik specificeret i gruppepolitikker, der er målrettet mod disse computere. Dette betyder, at lokale administratorer kan oprette deres egne firewallregler, og disse regler flettes med de regler, der opnås gennem gruppepolitik. For at rette dette højreklik på Windows Firewall med avanceret sikkerhed og vælg egenskaber i genvejsmenuen. Når dialogboksen åbnes, skal du klikke på knappen Tilpas under indstillingsafsnittet.
Skift indstillingen Anvend lokale firewallregler fra Ikke konfigureret til Nej.
Når du har klikket på ok, skal du skifte til privat og offentlig profil og gøre det samme for dem begge.
Det er alt, hvad der er ved det fyre, tag det sjovt med firewall.
