If-Koubou

Politica de grup Geek: Cum să controlați paravanul de protecție Windows cu un GPO

Politica de grup Geek: Cum să controlați paravanul de protecție Windows cu un GPO (Cum să)

Paravanul de protecție Windows poate fi unul dintre cele mai mari coșmaruri pentru configurarea administratorilor de sistem, adăugând o prioritate a politicii de grup, devine doar o durere de cap. Aici vă vom duce de la început până la sfârșit cu privire la configurarea cu ușurință a Paravanului de protecție Windows prin intermediul politicii de grup și ca un bonus vă arată cum să remediați una dintre cele mai mari runde.

Misiunea noastră

A ajuns în atenția noastră că mulți utilizatori au instalat Skype pe mașinile lor și le face mai puțin productive. Ne-a fost dat sarcina de a vă asigura că utilizatorii nu pot folosi Skype la locul de muncă, cu toate acestea sunt bineveniți să-l păstrați instalat pe laptop-uri și să-l utilizați acasă sau în timpul pauzelor de prânz pe o conexiune 3G / 4G. Având în vedere aceste informații, hotărâm să folosim Paravanul de protecție Windows și Politica de grup.

Metoda

Cea mai ușoară modalitate de a începe să controlați paravanul de protecție Windows prin intermediul politicii de grup este să configurați un PC de referință și să creați regulile utilizând Windows 7, apoi să exportim această politică și să o importem în Politica de grup. Procedând astfel, avem avantajul suplimentar de a putea vedea dacă toate regulile sunt configurate și funcționează așa cum dorim să fie, înainte de a le implementa la toate mașinile client.

Crearea unui șablon de firewall

Pentru a crea un șablon pentru paravanul de protecție Windows trebuie să lansăm Centrul de rețea și partajare, cel mai simplu mod de a face acest lucru este să faceți clic dreapta pe pictograma de rețea și să selectați Open Network and Sharing Center din meniul contextual.

După deschiderea Centrului de rețea și partajare, faceți clic pe link-ul de protecție Windows Firewall din colțul din stânga jos.

Când creați un șablon pentru paravanul de protecție Windows, cel mai bine este să faceți acest lucru prin intermediul consolă de protecție avansată Windows Firewall, pentru a lansa acest clic pe Setări avansate din partea stângă.

Notă: În acest moment am de gând să modific regulile specifice Skype, cu toate acestea, puteți adăuga propriile reguli pentru porturi sau chiar pentru aplicații. Indiferent ce modificări trebuie să faceți la paravanul de protecție, trebuie să faceți acum.

De aici putem începe editarea regulilor noastre firewall, în cazul în care aplicația Skype este instalată, creează propriile excepții de Firewall care permit Skypepe.exe să comunice în profilurile de rețea Domain, Private și Public.

Acum trebuie să modificăm regula noastră Firewall, să o editați făcând dublu clic pe regula. Acest lucru va aduce proprietățile regulii Skype.

Treceți la fila Avansat și debifați caseta de validare Domeniu.

Când încercați să lansați Skype acum, vi se va cere să întrebați dacă acesta poate comunica pe profilul Domain Network, debifați caseta și faceți clic pe permiteți accesul.

Dacă vă întoarceți acum la regulile Inbound Firewall, veți vedea că există două reguli noi, pentru că atunci când vi sa solicitat, ați ales să nu permiteți traficul Inbound Skype. Dacă te uiți la coloana profilului, vei vedea că ambele sunt pentru profilul de rețea al domeniului.

Notă: Motivul pentru care există două reguli se datorează faptului că există reguli separate pentru TCP și UDP

Totul este bun până acum, însă dacă lansați Skype, veți putea să vă conectați.

Chiar dacă schimbați regulile pentru a bloca traficul de intrare pentru skype.exe și l-ați setat să blocheze traficul folosind ORICE protocol, este încă capabil să se reîntoarcă într-un fel. Opțiunea este simplă, oprește-o să nu poată comunica în primul rând. Pentru aceasta, treceți la Reguli de ieșire și începeți să creați o nouă regulă.

Deoarece vrem să creăm o regulă pentru programul Skype, trebuie doar să faceți clic pe următorul, apoi să căutați fișierul executabil Skype și să faceți clic pe următorul.

Puteți lăsa acțiunea la valoarea implicită, care va bloca conexiunea și faceți clic pe următorul.

Deselectați casetele de selectare Private și Public și faceți clic pe Următorul pentru a continua.

Acum dă-i o regulă un nume și dă clic pe terminați

Acum, dacă încercați să lansați Skype în timp ce vă conectați la o rețea Domain, acesta nu va funcționa

Cu toate acestea, dacă încearcă și se conectează atunci când ajung acasă, le va permite să se conecteze bine

Toate regulile Firewall pe care le vom crea pentru moment, nu uitați să vă testați regulile așa cum am procedat pentru Skype.

Exportarea politicii

Pentru a exporta politica, în panoul din stânga faceți clic pe rădăcina arborelui care spune Windows Firewall cu securitate avansată. Apoi faceți clic pe Acțiune și selectați Export Policy din meniu.

Ar trebui să salvați acest lucru fie la o partajare de rețea, fie chiar la o conexiune USB dacă aveți acces fizic la serverul dvs. Vom merge cu o cota de rețea.

Notă: Aveți grijă de viruși atunci când utilizați un USB, ultimul lucru pe care doriți să îl faceți este să infectați un server cu un virus

Importarea politicii în politica grupului

Pentru a importa politica de firewall, trebuie să deschideți un GPO existent sau să creați un nou GPO și să îl conectați la un OU care conține conturi de computer. Avem un GPO numit Firewall Policy care este legat de un OU numit Geek Computers, acest OU conține toate computerele noastre. Vom merge mai departe și vom folosi această politică.

Acum navigați la:

Deschideți Configurație computer \ Politici \ Setări Windows \ Setări de securitate \ Paravan de protecție Windows cu securitate avansată

Faceți clic pe Paravanul de protecție Windows cu securitate avansată, apoi faceți clic pe Politică de acțiune și import

Vi se va spune că dacă importați politica, veți suprascrie toate setările existente, dați clic pe da pentru a continua și apoi căutați politica pe care ați exportat-o ​​în secțiunea anterioară a acestui articol. Odată ce politica a terminat să fie importată, veți fi anunțat (ă).

Dacă te duci să te uiți la regulile noastre, vei vedea că regulile Skype pe care le-am creat sunt încă acolo.

Testarea

Notă: Nu trebuie să efectuați nici o testare înainte de a completa următoarea secțiune a articolului. Dacă faceți acest lucru, vor fi respectate toate regulile care au fost configurate local. Singurul motiv pentru care am făcut niște teste acum era să subliniez câteva lucruri.

Pentru a vedea dacă regulile de firewall au fost instalate la clienți, va trebui să comutați la o mașină client și să deschideți din nou setările de paravan de protecție Windows.După cum vedeți, ar trebui să existe un mesaj care să spună că unele dintre regulile firewall-ului sunt gestionate de administratorul de sistem.

Faceți clic pe Permiteți un program sau o facilitate prin intermediul link-ului de protecție Windows Firewall din partea stângă.

După cum ați vedea acum, avem reguli aplicate atât de Politica de grup, cât și de cele create local.

Ce se întâmplă aici și cum pot remedia această problemă?

Implicit, este permisă fuziunea regulilor între politicile locale de firewall pe computerele Windows 7 și politica firewall specificată în Politicile de grup care vizează acele computere. Acest lucru înseamnă că administratorii locali își pot crea propriile reguli de firewall, iar aceste reguli vor fi fuzionate cu regulile obținute prin intermediul politicii de grup. Pentru a repara acest clic, faceți clic pe Paravanul de protecție Windows cu securitate avansată și selectați proprietăți din meniul contextual. Când se deschide caseta de dialog, faceți clic pe butonul Personalizare din secțiunea de setări.

Schimbați opțiunea Aplicați regulile firewall locale din Nu este configurată la Nr.

După ce faceți clic pe ok, treceți la profilurile private și publice și faceți același lucru pentru ambele persoane.

Asta e tot ce-i cu băieții, du-te distractiv.