Брандмауер Windows може бути одним із найбільших кошмарів для налаштування системних адміністраторів, з додаванням пріоритету групової політики він просто стає головним болем. Тут ми проведемо вас від початку до кінця про те, як легко налаштувати брандмауер Windows за допомогою групової політики, і в якості бонусу покажемо, як виправити одну з найбільших помилок.
Наша місія
Ми довідались, що у багатьох користувачів на своїх машинах встановлений Skype, і це робить їх менш продуктивними. Ми отримали завдання переконатись, що користувачі не можуть користуватися Skype на роботі, однак вони можуть тримати його встановленим на своїх ноутбуках та використовувати вдома або під час обідніх перерв на з’єднанні 3G / 4G. Беручи до уваги цю інформацію, ми вирішили використовувати брандмауер та групову політику Windows.
Метод
Найпростіший спосіб розпочати керування брандмауером Windows за допомогою групової політики - це встановити еталонний ПК та створити правила за допомогою Windows 7, після чого ми можемо експортувати цю політику та імпортувати її до групової політики. Роблячи це, ми маємо додаткову перевагу в тому, що перед тим, як розгорнути їх на всіх клієнтських машинах, ми можемо перевірити, чи всі правила встановлені та працюють так, як ми хочемо.
Створення шаблону брандмауера
Для того, щоб створити шаблон для брандмауера Windows, нам потрібно запустити Центр мереж і спільного доступу, найпростіший спосіб це зробити, клацнувши правою кнопкою миші на піктограму мережі та вибравши у контекстному меню пункт Відкрити центр мереж і спільного доступу.
Коли Центр мереж і спільного доступу відкриється, клацніть на посилання Брандмауер Windows у нижньому лівому куті.
Створюючи шаблон для брандмауера Windows, найкраще це зробити через брандмауер Windows за допомогою консолі Advanced Security, щоб запустити цей клік на Advanced Settings ліворуч.
Примітка: На цьому етапі я збираюся відредагувати певні правила Skype, однак ви можете додати власні правила для портів або навіть програм. Будь-які зміни, які вам потрібно внести в брандмауер, слід робити зараз.
Звідси ми можемо розпочати редагування наших правил брандмауера; у нашому випадку, коли програма Skype встановлена, вона створює власні винятки брандмауера, які дозволяють skype.exe спілкуватися в профілях доменної, приватної та загальнодоступної мереж.
Тепер нам потрібно відредагувати наше правило брандмауера, щоб відредагувати його, двічі клацніть на правилі. Це відкриє властивості правила Skype.
Перейдіть на вкладку Додатково та зніміть прапорець Домен.
Коли ви спробуєте запустити Skype зараз, вам буде запропоновано запитати, чи може він спілкуватися в профілі доменної мережі, зніміть прапорець і натисніть дозволити доступ.
Якщо ви повернетесь до своїх правил вхідного брандмауера, ви побачите, що є два нових правила, це тому, що коли вам було запропоновано, ви вирішили не дозволяти вхідний трафік Skype. Якщо ви переглянете стовпець профілю, то побачите, що вони обидва стосуються профілю мережі Домен.
Примітка. Причина існування двох правил полягає в тому, що існують окремі правила для TCP та UDP
Поки все добре, однак, якщо ви запустите Skype, ви все одно зможете увійти в систему.
Навіть якщо ви змінили правила для блокування вхідного трафіку для skype.exe і встановили його для блокування трафіку за допомогою БУДЬ-ЯКОГО протоколу, він все одно може якось повернутися назад. Виправлення просте, зупиніть його від можливості спілкуватися в першу чергу. Для цього перейдіть на вихідні правила та почніть створювати нове правило.
Оскільки ми хочемо створити правило для програми Skype, просто натисніть «Далі», а потім знайдіть виконуваний файл Skype і натисніть «Далі».
Ви можете залишити дію за замовчуванням, тобто заблокувати підключення, і натиснути кнопку Далі.
Зніміть прапорець Приватне та Відкрите та натисніть далі, щоб продовжити.
Тепер дайте своєму правилу назву і натисніть кнопку Готово
Тепер, якщо ви спробуєте запустити Skype під час підключення до мережі домену, це не буде працювати
Однак якщо вони спробують встановити зв’язок, повернувшись додому, це дозволить їм нормально зв’язатися
Це всі правила брандмауера, які ми збираємося створити на даний момент, не забудьте протестувати свої правила так само, як ми це зробили для Skype.
Експорт політики
Щоб експортувати політику, на панелі ліворуч клацніть на корені дерева, де написано Брандмауер Windows із розширеною безпекою. Потім натисніть на Дія та оберіть Експорт політики в меню.
Ви повинні зберегти це або на спільній мережі, або навіть на USB, якщо у вас є фізичний доступ до вашого сервера. Ми підемо з мережевою часткою.
Примітка. Будьте обережні щодо вірусів, використовуючи USB, останнє, що ви хочете зробити, це заразити сервер вірусом
Імпорт політики у групову політику
Щоб імпортувати політику брандмауера, потрібно відкрити існуючий об’єкт групової політики або створити новий об’єкт групової політики та пов’язати його з підрозділом, який містить комп’ютерні облікові записи. У нас є GPO під назвою Політика брандмауера, яка пов’язана з підрозділом Geek Computers. Цей підрозділ містить усі наші комп’ютери. Ми просто продовжимо використовувати цю політику.
Тепер перейдіть до:
Відкрийте конфігурацію комп'ютера \ Політики \ Налаштування Windows \ Налаштування безпеки \ Брандмауер Windows із додатковою безпекою
Клацніть на Брандмауер Windows із додатковою безпекою, а потім клацніть на Політика дій та імпорту
Вам буде сказано, що якщо ви імпортуєте політику, вона замінить усі існуючі налаштування, натисніть «Так», щоб продовжити, а потім перегляньте політику, яку ви експортували в попередньому розділі цієї статті. Після завершення імпорту політики ви отримаєте сповіщення.
Якщо ви заглянете до наших правил, то побачите, що правила Skype, які я створив, все ще існують.
Тестування
Примітка. Не слід проводити тестування, перш ніж заповнити наступний розділ статті. Якщо ви це зробите, дотримуватимуться будь-яких локально налаштованих правил. Єдина причина, через яку я зараз провів тестування, - це вказати на кілька речей.
Щоб побачити, чи правила брандмауера були розгорнуті для клієнтів, вам потрібно буде перейти на клієнтську машину і знову відкрити налаштування брандмауера Windows. Як бачите, повинно бути повідомлення про те, що деякими правилами брандмауера керує ваш системний адміністратор.
Клацніть на посилання Дозволити програму чи функцію через брандмауер Windows ліворуч.
Як ви бачили зараз, у нас є правила, застосовувані як груповою політикою, так і правила, створені локально.
Що тут відбувається і як я можу це виправити?
За замовчуванням злиття правил увімкнено між локальними політиками брандмауера на комп’ютерах з Windows 7 та політикою брандмауера, зазначеною в групових політиках, націлених на ці комп’ютери. Це означає, що місцеві адміністратори можуть створювати власні правила брандмауера, і ці правила будуть об'єднані з правилами, отриманими за допомогою групової політики. Щоб виправити це, клацніть правою кнопкою миші на Брандмауері Windows із додатковою безпекою та виберіть властивості з контекстного меню. Коли діалогове вікно відкриється, натисніть кнопку Налаштувати в розділі налаштувань.
Змініть параметр Застосувати локальні правила брандмауера з Не налаштовано на Ні.
Після натискання кнопки ОК перейдіть до приватного та загальнодоступного профілів і виконайте те саме для обох.
Це все, хлопці, ідіть, розважтеся брандмауером.
