ไฟร์วอลล์ Windows อาจเป็นหนึ่งในฝันร้ายที่ยิ่งใหญ่ที่สุดสำหรับผู้ดูแลระบบในการกำหนดค่าด้วยการเพิ่มความสำคัญของนโยบายกลุ่มจะทำให้ปวดหัว ที่นี่เราจะนำคุณตั้งแต่ต้นจนจบเกี่ยวกับวิธีกำหนดค่าไฟร์วอลล์ Windows อย่างง่ายดายผ่านนโยบายกลุ่มและเป็นโบนัสแสดงวิธีแก้ไขปัญหาที่ใหญ่ที่สุดอย่างหนึ่ง
ภารกิจของเรา
พบว่าผู้ใช้จำนวนมากติดตั้ง Skype ไว้ในเครื่องของตนและทำให้มีประสิทธิผลน้อยลง เราได้รับมอบหมายให้ตรวจสอบให้แน่ใจว่าผู้ใช้ไม่สามารถใช้ Skype ในที่ทำงานได้อย่างไรก็ตามพวกเขายินดีให้ติดตั้งไว้ในแล็ปท็อปและใช้งานที่บ้านหรือในช่วงพักกลางวันด้วยการเชื่อมต่อ 3G / 4G จากข้อมูลนี้เราตัดสินใจที่จะใช้ Windows Firewall และ Group Policy
วิธีการ
วิธีที่ง่ายที่สุดในการเริ่มควบคุม Windows Firewall ผ่านนโยบายกลุ่มคือการตั้งค่าพีซีอ้างอิงและสร้างกฎโดยใช้ Windows 7 จากนั้นเราสามารถส่งออกนโยบายนั้นและนำเข้าสู่นโยบายกลุ่มได้ ด้วยการทำเช่นนี้เรามีข้อได้เปรียบพิเศษในการดูว่ากฎทั้งหมดได้รับการตั้งค่าและทำงานตามที่เราต้องการหรือไม่ก่อนที่จะปรับใช้กับเครื่องไคลเอ็นต์ทั้งหมด
การสร้างเทมเพลตไฟร์วอลล์
ในการสร้างเทมเพลตสำหรับ Windows Firewall เราจำเป็นต้องเปิด Network and Sharing Center วิธีที่ง่ายที่สุดคือคลิกขวาที่ไอคอนเครือข่ายและเลือก Open Network and Sharing Center จากเมนูบริบท
เมื่อ Network and Sharing Center เปิดขึ้นให้คลิกที่ลิงค์ Windows Firewall ที่มุมล่างซ้าย
เมื่อสร้างเทมเพลตสำหรับ Windows Firewall จะทำได้ดีที่สุดผ่าน Windows Firewall พร้อมคอนโซล Advanced Security เพื่อเปิดคลิกนี้ที่การตั้งค่าขั้นสูงทางด้านซ้ายมือ
หมายเหตุ: ในตอนนี้ฉันกำลังจะแก้ไขกฎเฉพาะของ Skype แต่คุณสามารถเพิ่มกฎของคุณเองสำหรับพอร์ตหรือแม้แต่แอปพลิเคชันได้ การปรับเปลี่ยนใด ๆ ที่คุณต้องทำกับไฟร์วอลล์ควรทำทันที
จากที่นี่เราสามารถเริ่มแก้ไขกฎไฟร์วอลล์ของเราได้ในกรณีของเราเมื่อติดตั้งแอปพลิเคชัน Skype แอปพลิเคชัน Skype จะสร้างข้อยกเว้นไฟร์วอลล์ของตัวเองที่อนุญาตให้ skype.exe สื่อสารบนโปรไฟล์เครือข่ายโดเมนส่วนตัวและสาธารณะ
ตอนนี้เราจำเป็นต้องแก้ไขกฎไฟร์วอลล์ของเราเพื่อแก้ไขดับเบิลคลิกที่กฎ สิ่งนี้จะแสดงคุณสมบัติของกฎ Skype
สลับไปที่แท็บขั้นสูงและยกเลิกการเลือกช่องทำเครื่องหมายโดเมน
เมื่อคุณลองเปิด Skype ตอนนี้คุณจะได้รับแจ้งให้ถามว่าสามารถสื่อสารบนโปรไฟล์เครือข่ายโดเมนได้หรือไม่ยกเลิกการเลือกช่องแล้วคลิกอนุญาตการเข้าถึง
หากตอนนี้คุณกลับไปที่กฎไฟร์วอลล์ขาเข้าคุณจะเห็นว่ามีกฎใหม่สองข้อเนื่องจากเมื่อคุณได้รับแจ้งคุณเลือกที่จะไม่อนุญาตการรับส่งข้อมูล Skype ขาเข้า หากคุณมองไปที่คอลัมน์โปรไฟล์คุณจะเห็นว่าทั้งคู่มีไว้สำหรับโปรไฟล์เครือข่ายโดเมน
หมายเหตุ: สาเหตุที่มีกฎ 2 ข้อเนื่องจากมีกฎแยกกันสำหรับ TCP และ UDP
ทุกอย่างเรียบร้อยดีอย่างไรก็ตามหากคุณเปิด Skype คุณจะยังสามารถเข้าสู่ระบบได้
แม้ว่าคุณจะเปลี่ยนกฎเพื่อบล็อกการรับส่งข้อมูลขาเข้าสำหรับ skype.exe และตั้งค่าให้บล็อกการรับส่งข้อมูลโดยใช้โปรโตคอลใด ๆ แต่ก็ยังสามารถกลับเข้ามาได้การแก้ไขทำได้ง่ายเพียงหยุดไม่ให้สื่อสารได้ตั้งแต่แรก หากต้องการเปลี่ยนเป็นกฎขาออกและเริ่มสร้างกฎใหม่
เนื่องจากเราต้องการสร้างกฎสำหรับโปรแกรม Skype เพียงคลิกถัดไปจากนั้นเรียกดูไฟล์ปฏิบัติการ Skype แล้วคลิกถัดไป
คุณสามารถปล่อยให้การดำเนินการเป็นค่าเริ่มต้นซึ่งเป็นการปิดกั้นการเชื่อมต่อและคลิกถัดไป
ยกเลิกการเลือกกล่องกาเครื่องหมายส่วนตัวและสาธารณะแล้วคลิกถัดไปเพื่อดำเนินการต่อ
ตั้งชื่อกฎของคุณแล้วคลิกเสร็จสิ้น
ตอนนี้ถ้าคุณลองและเปิด Skype ในขณะที่เชื่อมต่อกับเครือข่ายโดเมนจะไม่ทำงาน
อย่างไรก็ตามหากพยายามเชื่อมต่อเมื่อกลับถึงบ้านก็จะทำให้เชื่อมต่อได้ดี
นั่นคือกฎไฟร์วอลล์ทั้งหมดที่เรากำลังจะสร้างขึ้นในตอนนี้อย่าลืมทดสอบกฎของคุณเหมือนกับที่เราทำกับ Skype
การส่งออกนโยบาย
ในการส่งออกนโยบายในบานหน้าต่างด้านซ้ายให้คลิกที่รากของต้นไม้ซึ่งระบุว่า Windows Firewall with Advanced Security จากนั้นคลิกที่ Action และเลือก Export Policy จากเมนู
คุณควรบันทึกสิ่งนี้ลงในเครือข่ายแชร์หรือแม้แต่ USB หากคุณมีสิทธิ์เข้าถึงเซิร์ฟเวอร์ของคุณ เราจะไปกับเครือข่ายแชร์
หมายเหตุ: โปรดระวังไวรัสเมื่อใช้ USB สิ่งสุดท้ายที่คุณต้องทำคือทำให้เซิร์ฟเวอร์ติดไวรัส
การนำเข้านโยบายเป็นนโยบายกลุ่ม
ในการนำเข้านโยบายไฟร์วอลล์คุณต้องเปิด GPO ที่มีอยู่หรือสร้าง GPO ใหม่และเชื่อมโยงกับ OU ที่มีบัญชีคอมพิวเตอร์ เรามี GPO ที่เรียกว่า Firewall Policy ที่เชื่อมโยงกับ OU ที่เรียกว่า Geek Computers OU นี้มีคอมพิวเตอร์ทั้งหมดของเรา เราจะดำเนินการต่อไปและใช้นโยบายนี้
ตอนนี้ไปที่:
เปิด Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Windows Firewall ด้วยการรักษาความปลอดภัยขั้นสูง
คลิกที่ Windows Firewall with Advanced Security จากนั้นคลิกที่ Action and Import Policy
คุณจะได้รับแจ้งว่าหากคุณนำเข้านโยบายจะเขียนทับการตั้งค่าที่มีอยู่ทั้งหมดให้คลิกใช่เพื่อดำเนินการต่อจากนั้นเรียกดูนโยบายที่คุณส่งออกในส่วนก่อนหน้าของบทความนี้ เมื่อนำเข้านโยบายเสร็จสิ้นคุณจะได้รับแจ้ง
หากคุณไปดูกฎของเราคุณจะเห็นว่ากฎ Skype ที่ฉันสร้างขึ้นนั้นยังคงอยู่ที่นั่น
การทดสอบ
หมายเหตุ: คุณไม่ควรทำการทดสอบใด ๆ ก่อนที่จะดำเนินการในส่วนถัดไปของบทความ หากคุณทำเช่นนั้นกฎใด ๆ ที่ได้รับการกำหนดค่าในเครื่องจะถูกยึดตาม เหตุผลเดียวที่ฉันทำการทดสอบในตอนนี้คือชี้ให้เห็นบางสิ่ง
หากต้องการดูว่ามีการปรับใช้กฎไฟร์วอลล์กับไคลเอนต์หรือไม่คุณจะต้องเปลี่ยนไปใช้เครื่องไคลเอนต์และเปิดการตั้งค่าไฟร์วอลล์ Windows อีกครั้ง ดังที่คุณเห็นควรมีข้อความแจ้งว่ากฎไฟร์วอลล์บางส่วนได้รับการจัดการโดยผู้ดูแลระบบของคุณ
คลิกที่ลิงค์ Allow a program or feature through Windows Firewall ทางด้านซ้ายมือ
อย่างที่คุณควรเห็นในตอนนี้เรามีกฎที่ใช้โดยนโยบายกลุ่มและกฎที่สร้างขึ้นในเครื่อง
เกิดอะไรขึ้นที่นี่และฉันจะแก้ไขได้อย่างไร
โดยค่าเริ่มต้นการรวมกฎจะเปิดใช้งานระหว่างนโยบายไฟร์วอลล์ภายในบนคอมพิวเตอร์ Windows 7 และนโยบายไฟร์วอลล์ที่ระบุไว้ในนโยบายกลุ่มที่กำหนดเป้าหมายคอมพิวเตอร์เหล่านั้น ซึ่งหมายความว่าผู้ดูแลระบบภายในสามารถสร้างกฎไฟร์วอลล์ของตนเองได้และกฎเหล่านี้จะรวมเข้ากับกฎที่ได้รับผ่านนโยบายกลุ่ม หากต้องการแก้ไขปัญหานี้ให้คลิกขวาที่ Windows Firewall พร้อม Advanced Security และเลือกคุณสมบัติจากเมนูบริบท เมื่อกล่องโต้ตอบเปิดขึ้นให้คลิกที่ปุ่มปรับแต่งภายใต้ส่วนการตั้งค่า
เปลี่ยนตัวเลือกใช้กฎไฟร์วอลล์ภายในจากไม่ได้กำหนดค่าเป็นไม่
เมื่อคุณคลิกตกลงแล้วให้เปลี่ยนเป็นโปรไฟล์ส่วนตัวและโปรไฟล์สาธารณะแล้วทำสิ่งเดียวกันกับทั้งสองโปรไฟล์
นั่นคือทั้งหมดที่มีสำหรับพวกเขาไปสนุกกับไฟร์วอลล์
