De Windows Firewall kan een van de grootste nachtmerries zijn voor systeembeheerders om te configureren, met de toevoeging van de prioriteit van Groepsbeleid wordt het gewoon hoofdpijn. Hier laten we u van begin tot eind zien hoe u eenvoudig de Windows Firewall kunt configureren via Groepsbeleid en als bonus laten we u zien hoe u een van de grootste valstrikken kunt oplossen.
Onze missie
Het is ons opgevallen dat veel gebruikers Skype op hun computers hebben geïnstalleerd, waardoor ze minder productief worden. We hebben de taak gekregen om ervoor te zorgen dat gebruikers Skype niet op het werk kunnen gebruiken, maar ze mogen het op hun laptop laten staan en het thuis of tijdens lunchpauzes gebruiken via een 3G / 4G-verbinding. Gezien deze informatie besluiten we om gebruik te maken van de Windows Firewall en Groepsbeleid.
De methode
De eenvoudigste manier om de Windows Firewall via Groepsbeleid te besturen, is door een referentie-pc in te stellen en de regels te maken met Windows 7. We kunnen dat beleid vervolgens exporteren en importeren in Groepsbeleid. Door dit te doen, hebben we het extra voordeel dat we kunnen zien of alle regels zijn ingesteld en werken zoals we willen, voordat we ze op alle clientmachines implementeren.
Een firewall-sjabloon maken
Om een sjabloon voor de Windows Firewall te maken, moeten we het Netwerkcentrum starten, de eenvoudigste manier om dit te doen is door met de rechtermuisknop op het netwerkpictogram te klikken en Netwerkcentrum openen te selecteren in het contextmenu.
Wanneer het Netwerkcentrum wordt geopend, klikt u op de Windows Firewall-link in de linker benedenhoek.
Wanneer u een sjabloon voor Windows Firewall maakt, kunt u dit het beste doen via de Windows Firewall met geavanceerde beveiligingsconsole, om deze te starten klikt u op Geavanceerde instellingen aan de linkerkant.
Opmerking: op dit punt ga ik de Skype-specifieke regels bewerken, maar u kunt uw eigen regels voor poorten of zelfs applicaties toevoegen. Welke wijzigingen u ook in de firewall moet aanbrengen, moet nu worden gedaan.
Vanaf hier kunnen we beginnen met het bewerken van onze firewallregels, in ons geval, wanneer de Skype-applicatie is geïnstalleerd, creëert deze zijn eigen Firewall-uitzonderingen waarmee skype.exe kan communiceren op de domein-, privé- en openbare netwerkprofielen.
Nu moeten we onze Firewall-regel bewerken, om deze te bewerken, dubbelklikt u op de regel. Hierdoor worden de eigenschappen van de Skype-regel weergegeven.
Schakel over naar het tabblad Geavanceerd en schakel het selectievakje Domein uit.
Wanneer u Skype nu probeert te starten, wordt u gevraagd of het kan communiceren op het Domain Network Profile, schakel het selectievakje uit en klik op toegang toestaan.
Als u nu teruggaat naar uw inkomende firewallregels, zult u zien dat er twee nieuwe regels zijn. Dit komt doordat u, toen u werd gevraagd, ervoor koos om geen inkomend Skype-verkeer toe te staan. Als u naar de profielkolom kijkt, ziet u dat ze allebei voor het domein netwerkprofiel zijn.
Opmerking: de reden dat er twee regels zijn, is omdat er afzonderlijke regels zijn voor TCP en UDP
Alles is tot nu toe goed, maar als je Skype start, kun je nog steeds inloggen.
Zelfs als je de regels wijzigt om inkomend verkeer voor skype.exe te blokkeren en het zo instelt dat verkeer wordt geblokkeerd met ELK protocol, kan het toch op de een of andere manier weer binnenkomen. De oplossing is eenvoudig, stop het in de eerste plaats om te kunnen communiceren. Schakel hiervoor over naar uitgaande regels en begin met het maken van een nieuwe regel.
Omdat we een regel voor het Skype-programma willen maken, klikt u gewoon op Volgende, bladert u naar het uitvoerbare Skype-bestand en klikt u op Volgende.
U kunt de actie op de standaard laten staan, namelijk de verbinding blokkeren en op Volgende klikken.
Schakel de selectievakjes Privé en Openbaar uit en klik op Volgende om door te gaan.
Geef nu uw regel een naam en klik op voltooien
Als u nu Skype probeert te starten terwijl u bent verbonden met een domeinnetwerk, zal het niet werken
Als ze echter proberen verbinding te maken wanneer ze thuiskomen, kunnen ze prima verbinding maken
Dat zijn alle firewallregels die we voorlopig gaan maken. Vergeet niet uw regels uit te testen, net zoals we deden voor Skype.
Het beleid exporteren
Om het beleid te exporteren, klikt u in het linkerdeelvenster op de root van de boom met de tekst Windows Firewall met geavanceerde beveiliging. Klik vervolgens op Actie en selecteer Exportbeleid in het menu.
U moet dit opslaan op een netwerkshare of zelfs op een USB-stick als u fysieke toegang tot uw server heeft. We gaan met een netwerkshare.
Let op: Pas op voor virussen wanneer u een USB gebruikt, het laatste dat u wilt doen is een server infecteren met een virus
Het beleid importeren in groepsbeleid
Om het firewallbeleid te importeren, moet u een bestaand groepsbeleidsobject openen of een nieuw groepsbeleidsobject maken en dit koppelen aan een OE die computeraccounts bevat. We hebben een groepsbeleidsobject genaamd Firewallbeleid dat is gekoppeld aan een OE genaamd Geek Computers, deze OE bevat al onze computers. We gaan gewoon door en gebruiken dit beleid.
Navigeer nu naar:
Open Computerconfiguratie \ Beleid \ Windows-instellingen \ Beveiligingsinstellingen \ Windows Firewall met geavanceerde beveiliging
Klik op Windows Firewall met geavanceerde beveiliging en klik vervolgens op Actie en importbeleid
Er wordt u verteld dat als u het beleid importeert, het alle bestaande instellingen overschrijft. Klik op Ja om door te gaan en blader vervolgens naar het beleid dat u in het vorige gedeelte van dit artikel hebt geëxporteerd. Zodra het beleid is geïmporteerd, wordt u hiervan op de hoogte gesteld.
Als je onze regels gaat bekijken, zul je zien dat de Skype-regels die ik heb gemaakt er nog steeds zijn.
Testen
Opmerking: u moet geen tests uitvoeren voordat u het volgende gedeelte van het artikel heeft voltooid. Als u dat doet, worden alle regels die lokaal zijn geconfigureerd, in acht genomen. De enige reden dat ik nu wat testen heb gedaan, was om op een paar dingen te wijzen.
Om te zien of de firewallregels zijn geïmplementeerd op clients, moet u overschakelen naar een clientcomputer en opnieuw de Windows Firewall-instellingen openen. Zoals u kunt zien, zou er een bericht moeten zijn waarin staat dat sommige firewallregels worden beheerd door uw systeembeheerder.
Klik op de link Een programma of functie toestaan via Windows Firewall aan de linkerkant.
Zoals u nu zou moeten zien, hebben we regels die zowel door Groepsbeleid worden toegepast als die lokaal zijn gemaakt.
Wat gebeurt hier en hoe kan ik dit oplossen?
Het samenvoegen van regels is standaard ingeschakeld tussen lokaal firewallbeleid op Windows 7-computers en firewallbeleid dat is gespecificeerd in Groepsbeleid dat op die computers is gericht. Dit betekent dat lokale beheerders hun eigen firewallregels kunnen maken en deze regels zullen worden samengevoegd met de regels die zijn verkregen via Groepsbeleid. Om dit op te lossen, klikt u met de rechtermuisknop op Windows Firewall met geavanceerde beveiliging en selecteert u eigenschappen in het contextmenu. Wanneer het dialoogvenster wordt geopend, klikt u op de knop Aanpassen onder het instellingengedeelte.
Wijzig de optie Lokale firewallregels toepassen van Niet geconfigureerd in Nee.
Zodra u op ok klikt, schakelt u over naar de privé- en openbare profielen en doet u hetzelfde voor beide.
Dat is alles wat er is, jongens, ga wat firewall-plezier maken.
