Skip to main content

Gruppepolitisk Geek: Slik styrer du Windows-brannmuren med en GPO

Gruppepolitisk Geek: Slik styrer du Windows-brannmuren med en GPO

Geoffrey Carr

Windows-brannmuren kan være en av de største marerittene for systemadministratorer å konfigurere, med tillegg av gruppepolitikkens forrang blir det bare en hodepine. Her tar vi deg fra start til slutt på hvordan du enkelt konfigurerer Windows-brannmuren via gruppepolicy og som en bonus viser deg hvordan du kan fikse en av de største gotkasene.

Vårt oppdrag

Det har blitt lagt merke til at mange brukere har Skype installert på sine maskiner, og det gjør dem mindre produktive. Vi har fått til oppgave å sørge for at brukerne ikke kan bruke Skype på jobben, men de er velkomne til å holde det installert på sine bærbare datamaskiner og bruke det hjemme eller under lunsepauser på en 3G / 4G-tilkobling. Gitt denne informasjonen, bestemmer vi oss for å benytte Windows-brannmuren og gruppepolicyen.

Metoden

Den enkleste måten å begynne å kontrollere Windows-brannmuren via Gruppepolicy er å konfigurere en referansep PC og opprette reglene ved hjelp av Windows 7, så kan vi eksportere den policyen og importere den til Gruppepolicy. Ved å gjøre dette har vi den ekstra fordelen av å kunne se om alle reglene er satt opp og fungerer som vi vil at de skal være, før de distribueres til alle klientmaskiner.

Opprette en brannmurmal

For å opprette en mal for Windows-brannmuren, må vi starte nettverks- og delingssenteret. Den enkleste måten å gjøre dette på er å høyreklikke på nettverksikonet, og velg Åpne nettverks- og delingssenter fra hurtigmenyen.

Når Nettverks- og delingssenter åpnes, klikker du på koblingen Windows Brannmur i nedre venstre hjørne.

Når du oppretter en mal for Windows-brannmur, gjøres det best gjennom Windows-brannmuren med avansert sikkerhetskonsoll, for å starte dette klikk på Avanserte innstillinger på venstre side.

Merk: På dette tidspunktet skal jeg redigere Skype-spesifikke regler, men du kan legge til dine egne regler for porter eller til og med applikasjoner. Uansett hvilke modifikasjoner du må lage til brannmuren, bør gjøres nå.

Herfra kan vi begynne å redigere brannmurregler, i vårt tilfelle når Skype-programmet er installert, oppretter det egne brannmur unntak som tillater skype.exe å kommunisere på Domener, Private og Public Network profiler.

Nå må vi redigere vår brannmurregel, for å redigere den dobbeltklikk på regelen. Dette vil hente egenskapene til Skype-regelen.

Bytt til kategorien Avansert, og fjern merket for Domenenavn.

Når du prøver å starte Skype nå, blir du bedt om å spørre om den kan kommunisere på Domain Network Profile, fjern markeringen i boksen og klikk på tillat tilgang.

Hvis du nå går tilbake til innkommende brannmurregler, ser du at det er to nye regler, det er fordi når du ble bedt om at du valgte å ikke tillate inngående Skype-trafikk. Hvis du ser over til profilkolonnen, ser du at de begge er for Domenenettverksprofilen.

Merk: Grunnen til at det er to regler er fordi det er separate regler for TCP og UDP

Alt er bra så langt, men hvis du starter Skype, vil du fortsatt kunne logge inn.

Selv om du endrer reglene for å blokkere innkommende trafikk for skype.exe og sette den til å blokkere trafikk ved hjelp av en hvilken som helst protokoll, er det fortsatt mulig å komme seg inn igjen. Løsningen er enkel, stopp den fra å kunne kommunisere i utgangspunktet. For å gjøre dette, bytt til Utgående regler og begynn å opprette en ny regel.

Siden vi ønsker å opprette en regel for Skype-programmet, klikker du bare på neste, så søk etter Skype-kjørbar fil og klikk på neste.

Du kan forlate handlingen på standard som skal blokkere tilkoblingen og klikke på neste.

Fjern merket for Private og Offentlige avmerkingsbokser og klikk ved siden av Fortsett.

Gi nå regelen et navn og klikk på ferdig

Nå, hvis du prøver å starte Skype mens du er koblet til et domenenettverk, virker det ikke

Men hvis de prøver å koble seg når de kommer hjem, vil det tillate dem å koble til fint

Det er alle brannmurreglene vi skal lage for nå, ikke glem å teste dine regler akkurat som vi gjorde for Skype.

Eksportere retningslinjene

For å eksportere politikken klikker du i ruten til venstre på roten av treet som sier Windows-brannmur med avansert sikkerhet. Klikk deretter på Handling og velg Eksporter policy fra menyen.

Du bør lagre dette til enten en nettverksandel eller til og med en USB hvis du har fysisk tilgang til serveren din. Vi vil gå med en nettverksandel.

Merk: Vær forsiktig med virus når du bruker en USB, det siste du vil gjøre er å infisere en server med et virus

Importerer policyen i konsernpolitikken

For å importere brannmurpolitikken må du åpne et eksisterende GPO eller opprette et nytt GPO og knytte det til en OU som inneholder datakontoer. Vi har et GPO kalt Firewall Policy som er knyttet til en OU kalt Geek Computers, denne OU inneholder alle våre datamaskiner. Vi vil bare gå videre og bruke denne policyen.

Naviger nå til:

Open Computer ConfigurationPoliciesWindows SettingsSecurity SettingsWindows Firewall with Advanced Security

Klikk på Windows-brannmur med avansert sikkerhet, og klikk deretter på Handlings- og importeringspolitikk

Du vil bli fortalt at hvis du importerer policyen, vil den overskrive alle eksisterende innstillinger, klikk ja for å fortsette og deretter bla etter retningslinjene du eksporterte i forrige del av denne artikkelen. Når politikken er ferdig med å bli importert, vil du bli varslet.

Hvis du går og ser på våre regler, vil du se at Skype-reglene jeg opprettet er fremdeles der.

testing

Merk: Du bør ikke gjøre noen test før du fullfører neste del av artikkelen.Hvis du gjør det, blir alle regler som er konfigurert lokalt, overholdt. Den eneste grunnen til at jeg prøvde nå var å peke på noen få ting.

For å se om brannmurreglene har blitt distribuert til klienter, må du bytte til en klientmaskin og åpne igjen innstillingene for Windows-brannmur. Som du kan se bør det være en melding som sier at noen av brannmurreglene styres av systemadministratoren din.

Klikk på Tillat et program eller en funksjon gjennom koblingen Windows Brannmur på venstre side.

Som du burde se nå, har vi regler som begge brukes av Gruppepolicy, samt de som er opprettet lokalt.

Hva skjer her og hvordan kan jeg fikse det?

Regelmessig sammenslåing er som standard aktivert mellom lokale brannmurregler på Windows 7-datamaskiner og brannmurpolitikk som er angitt i gruppepolicyer som er målrettet mot disse datamaskinene. Dette betyr at lokale administratorer kan lage egne brannmurregler, og disse reglene vil bli slått sammen med reglene som er oppnådd gjennom gruppepolicy. For å fikse dette, høyreklikker du på Windows-brannmur med avansert sikkerhet og velger egenskaper fra hurtigmenyen. Når dialogboksen åpnes, klikker du på Tilpass-knappen under innstillingsdelen.

Endre alternativet Bruk lokale brannmurregler fra Ikke konfigurert til Nei.

Når du klikker ok, bytt til Private og Offentlige profiler og gjør det samme for dem begge.

Det er alt det er for det, gutta, gå, ha en brannmoro moro.

Link
Plus
Send
Send
Pin