Geek Group Policy Как управлять брандмауэром Windows с помощью объекта групповой политики

Брандмауэр Windows может стать одним из самых больших кошмаров для системных администраторов, поскольку при добавлении приоритета групповой политики он просто становится головной болью. Здесь мы расскажем от начала до конца о том, как легко настроить брандмауэр Windows с помощью групповой политики, и в качестве бонуса покажем, как исправить одну из самых больших ошибок..

Наша миссия

Нам стало известно, что у многих пользователей установлен Skype на их компьютерах, и это делает их менее производительными. Перед нами была поставлена ​​задача убедиться, что пользователи не могут использовать Skype на работе, однако они могут держать его установленным на своих ноутбуках и использовать его дома или во время обеденных перерывов при подключении 3G / 4G. Учитывая эту информацию, мы решили использовать брандмауэр Windows и групповую политику..

Метод

Самый простой способ начать управлять брандмауэром Windows через групповую политику - это настроить эталонный ПК и создать правила с помощью Windows 7, затем мы можем экспортировать эту политику и импортировать ее в групповую политику. Делая это, мы имеем дополнительное преимущество, заключающееся в том, что мы можем увидеть, все ли правила настроены и работают так, как мы хотим, прежде чем развертывать их на всех клиентских компьютерах..

Создание шаблона брандмауэра

Чтобы создать шаблон для брандмауэра Windows, нам нужно запустить Центр управления сетями и общим доступом. Самый простой способ сделать это - щелкнуть правой кнопкой мыши значок сети и выбрать «Открыть центр управления сетями и общим доступом» в контекстном меню..

Когда откроется Центр управления сетями и общим доступом, нажмите ссылку Брандмауэр Windows в левом нижнем углу..

При создании шаблона для брандмауэра Windows лучше всего сделать это через консоль брандмауэра Windows с расширенной безопасностью, для запуска нажмите кнопку «Дополнительные параметры» с левой стороны..

Примечание. На данный момент я собираюсь изменить определенные правила Skype, однако вы можете добавить свои собственные правила для портов или даже приложений. Какие бы изменения вы не сделали в брандмауэре, вы должны сделать это сейчас.

Отсюда мы можем начать редактирование наших правил брандмауэра, в нашем случае, когда приложение Skype установлено, оно создает свои собственные исключения брандмауэра, которые позволяют skype.exe взаимодействовать в профилях домена, частной и общедоступной сети..

Теперь нам нужно отредактировать наше правило брандмауэра, чтобы отредактировать его дважды щелкнув по правилу. Это поднимет свойства правила Skype.

Перейдите на вкладку «Дополнительно» и снимите флажок «Домен».

Когда вы попытаетесь запустить Skype сейчас, вам будет предложено спросить, может ли он общаться в профиле сети домена, снимите флажок и нажмите Разрешить доступ..

Если вы сейчас вернетесь к своим правилам входящего брандмауэра, вы увидите, что есть два новых правила, потому что, когда вас попросили, вы решили не разрешать входящий трафик Skype. Если вы посмотрите на столбец профиля, то увидите, что они оба относятся к профилю сети домена..

Примечание: причина в том, что есть два правила, состоит в том, что есть отдельные правила для TCP и UDP

Пока все хорошо, но если вы запустите Skype, вы все равно сможете войти.

Даже если вы измените правила, чтобы блокировать входящий трафик для skype.exe, и установите его для блокирования трафика по ЛЮБОМУ протоколу, он все равно сможет каким-то образом вернуться обратно. Исправление простое, в первую очередь помешает ему обмениваться данными. Для этого перейдите в Outbound Rules и начните создавать новое правило..

Поскольку мы хотим создать правило для программы Skype, просто нажмите «Далее», затем найдите исполняемый файл Skype и нажмите «Далее».

Вы можете оставить действие по умолчанию, которое блокирует соединение, и нажмите «Далее»..

Снимите флажки «Приватный» и «Публичный» и нажмите «Далее», чтобы продолжить.

Теперь дайте вашему правилу имя и нажмите «Готово».

Теперь, если вы попытаетесь запустить Skype при подключении к доменной сети, он не будет работать

Однако, если они попытаются подключиться, когда вернутся домой, это позволит им нормально подключиться.

Это все правила брандмауэра, которые мы собираемся создать на данный момент, не забудьте протестировать ваши правила, как мы сделали для Skype.

Экспорт политики

Чтобы экспортировать политику, в левой панели щелкните корень дерева, в котором написано, что брандмауэр Windows в режиме повышенной безопасности. Затем нажмите «Действие» и выберите «Экспорт политики» в меню..

Вы должны сохранить это либо на общем сетевом ресурсе, либо даже на USB, если у вас есть физический доступ к вашему серверу. Мы пойдем с сетевым ресурсом.

Примечание: при использовании USB будьте осторожны с вирусами, последнее, что вы хотите сделать, это заразить сервер вирусом

Импорт политики в групповую политику

Чтобы импортировать политику брандмауэра, необходимо открыть существующий объект групповой политики или создать новый объект групповой политики и связать его с подразделением, содержащим учетные записи компьютеров. У нас есть объект групповой политики с названием «Политика межсетевого экрана», который связан с подразделением под названием Geek Computers. Это подразделение содержит все наши компьютеры. Мы просто пойдем дальше и будем использовать эту политику.

Теперь перейдите к:

Откройте Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Брандмауэр Windows в режиме повышенной безопасности

Нажмите «Брандмауэр Windows в режиме повышенной безопасности», затем нажмите «Действие и политика импорта».

Вам будет сказано, что если вы импортируете политику, она перезапишет все существующие параметры, нажмите «Да», чтобы продолжить, а затем найдите политику, которую вы экспортировали в предыдущем разделе этой статьи. После завершения импорта политики вы будете уведомлены.

Если вы посмотрите на наши правила, то увидите, что созданные мной правила Skype все еще существуют..

тестирование

Примечание. Вам не следует проводить какое-либо тестирование до завершения следующего раздела статьи. Если вы это сделаете, все правила, которые были настроены локально, будут соблюдены. Единственная причина, по которой я провел тестирование, заключалась в том, чтобы указать на несколько вещей.

Чтобы узнать, были ли правила брандмауэра развернуты на клиентах, вам нужно переключиться на клиентский компьютер и снова открыть настройки брандмауэра Windows. Как видите, должно появиться сообщение о том, что некоторыми правилами брандмауэра управляет ваш системный администратор..

Нажмите на ссылку Разрешить программу или функцию через брандмауэр Windows слева..

Как вы должны видеть сейчас, у нас есть правила, применяемые как групповой политикой, так и созданные локально..

Что здесь происходит и как я могу это исправить?

По умолчанию объединение правил включено между локальными политиками брандмауэра на компьютерах под управлением Windows 7 и политикой брандмауэра, указанной в групповых политиках, предназначенных для этих компьютеров. Это означает, что локальные администраторы могут создавать свои собственные правила брандмауэра, и эти правила будут объединены с правилами, полученными с помощью групповой политики. Чтобы исправить это, щелкните правой кнопкой мыши на Брандмауэр Windows в режиме повышенной безопасности и выберите свойства в контекстном меню. Когда откроется диалоговое окно, нажмите кнопку «Настроить» в разделе «Настройки»..

Измените параметр Применить локальные правила брандмауэра с Не настроен на Нет.

После того, как вы нажмете «ОК», переключитесь на «Частный» и «Общий» профили и сделайте то же самое для обоих.

Вот и все, ребята, иди повеселись с брандмауэром.