Групова политика Geek Как да се контролира защитната стена на Windows с GPO
Защитната стена на Windows може да бъде една от най-големите кошмари за конфигуриране на системните администратори, като добавянето на предимство на груповите правила просто се превръща в главоболие. Тук ще ви отведем от начало до край за това как лесно да конфигурирате защитната стена на Windows чрез групови правила и като бонус ще ви покаже как да поправите една от най-големите грешки..
Нашата мисия
Забелязахме, че много потребители имат инсталиран Skype на техните машини и това ги прави по-малко продуктивни. На нас ни е възложена задачата да се уверим, че потребителите не могат да използват Skype по време на работа, но те са добре дошли да го инсталират на лаптопите си и да го използват вкъщи или по време на почивка за обяд на 3G / 4G връзка. Предвид тази информация решаваме да използваме защитната стена на Windows и груповите правила.
Методът
Най-лесният начин да започнете да контролирате защитната стена на Windows чрез групови правила е да създадете референтен компютър и да създадете правила с Windows 7, след което можем да експортираме тази политика и да я импортираме в групови правила. Правейки това, ние имаме допълнително предимство да можем да видим дали всички правила са настроени и работят така, както искаме да бъдат, преди да ги внедрят във всички клиентски машини..
Създаване на шаблон за защитна стена
За да създадете шаблон за защитната стена на Windows, трябва да стартираме Центъра за мрежи и споделяне, като най-лесният начин да направите това е да щракнете с десния бутон на мишката върху иконата на мрежата и да изберете Отворете центъра за мрежи и споделяне от контекстното меню.
Когато Центърът за мрежи и споделяне се отвори, кликнете върху връзката Защитна стена на Windows в долния ляв ъгъл.
Когато създавате шаблон за защитната стена на Windows, най-добре е да го направите чрез защитната стена на Windows с конзолата за разширена защита, за да стартирате това кликване върху Разширени настройки отляво.
Забележка: На този етап ще редактирам специфичните за Skype правила, но можете да добавите свои собствени правила за портове или дори за приложения. Каквито и модификации да направите в защитната стена, трябва да направите сега.
От тук можем да започнем да редактираме правилата на защитната стена, в нашия случай, когато приложението Skype е инсталирано, създава свои собствени изключения на защитната стена, които позволяват на skype.exe да комуникира в профилите за домейн, частни и обществени мрежи..
Сега трябва да редактираме правилото за защитната стена, за да я редактираме два пъти върху правилото. Това ще покаже свойствата на правилото на Skype.
Преминете към раздела Разширени и махнете отметката от квадратчето Домейн.
Когато опитате да стартирате Skype сега, ще бъдете подканени да попитате дали може да комуникира в профила в домейн мрежата, махнете отметката от полето и кликнете върху разрешаване на достъп.
Ако сега се върнете към правилата на входящата защитна стена, ще видите, че има две нови правила, защото това е така, защото когато сте подканени, сте избрали да не разрешите входящия Skype трафик. Ако погледнете към колоната на профила, ще видите, че и двете са за мрежовия профил на домейн.
Забележка: Причината за две правила е, че има отделни правила за TCP и UDP
Досега всичко е добро, но ако стартирате Skype, ще можете да влезете.
Дори ако промените правилата, за да блокирате входящия трафик за skype.exe и да го настроите да блокира трафик, използвайки НИКОЙ протокол, той все още може да се върне обратно. За да направите това, преминете към Изходящи правила и започнете да създавате ново правило.
Тъй като искаме да създадем правило за програмата Skype, просто щракнете върху следващата, след това потърсете изпълнимия файл на Skype и щракнете върху next.
Можете да оставите действието по подразбиране, което да блокира връзката и да щракнете върху "Напред".
Премахнете отметката от квадратчетата за лични и обществени отметки и кликнете върху „Напред“, за да продължите.
Сега дайте име на правилото си и кликнете върху финала
Сега, ако опитате да стартирате Skype, докато сте свързани към домейн мрежа, няма да работи
Ако обаче се опитат да се свържат, когато се приберат вкъщи, това ще им позволи да се свържат добре
Това са всички правила за защитната стена, които ще създадем за сега, не забравяйте да тествате правилата си точно както направихме за Skype.
Експортиране на правилата
За да експортирате правилото, в левия панел кликнете върху корена на дървото, в което се казва Защитната стена на Windows с разширена защита. След това щракнете върху Действие и изберете Експортиране на политика от Менюто.
Трябва да запазите това или в мрежов дял, или дори в USB, ако имате физически достъп до сървъра. Ще отидем с мрежов дял.
Забележка: Внимавайте с вируси, когато използвате USB, последното нещо, което искате да направите, е да заразите сървъра с вирус
Импортиране на политиката в груповите правила
За да импортирате правилата за защитната стена, трябва да отворите съществуващ GPO или да създадете нов GPO и да го свържете с OU, който съдържа компютърни акаунти. Имаме GPO, наречен Firewall Policy, който е свързан с OU наречен Geek Computers, този OU съдържа всички наши компютри. Ние просто ще продължим и ще използваме тази политика.
Сега се придвижете до:
Отворени настройки на компютъра Настройки на Windows Настройки на защитата Защитна стена на Windows с разширена защита
Кликнете върху Защитна стена на Windows с разширена защита и след това щракнете върху Правило за действие и импортиране
Ще ви бъде казано, че ако импортирате правилото, ще презапише всички съществуващи настройки, щракнете върху „Да“, за да продължите, и след това прегледайте правилата, които сте експортирали в предишния раздел на тази статия. След като политиката приключи, ще бъдете уведомени.
Ако отидете и погледнете нашите правила, ще видите, че Skype правилата, които създадох, са все още там.
Тестване
Забележка: Не трябва да правите никакви тестове, преди да завършите следващия раздел на статията. Ако го направите, всички правила, които са конфигурирани локално, ще бъдат спазвани. Единствената причина да направя някои тестове сега беше да посоча няколко неща.
За да видите дали правилата за защитната стена са разгърнати на клиенти, ще трябва да преминете към клиентска машина и отново да отворите настройките на защитната стена на Windows. Както можете да видите, трябва да има съобщение, че някои от правилата на защитната стена се управляват от системния администратор.
Кликнете върху Разрешаване на програма или функция чрез връзката на защитната стена на Windows от лявата страна.
Както трябва да видите сега, имаме правила, прилагани както от груповите правила, така и от тези, създадени на местно ниво.
Какво става тук и как мога да го поправя?
По подразбиране сливането на правила се активира между правилата на локалните защитни стени на компютрите в Windows 7 и правилата за защитната стена, определени в политиките на групите, които са насочени към тези компютри. Това означава, че местните администратори могат да създават свои собствени правила за защитната стена и тези правила ще бъдат обединени с правилата, получени чрез груповите правила. За да поправите този десен бутон върху защитната стена на Windows с разширена защита и изберете свойства от контекстното меню. Когато се отвори диалоговият прозорец, щракнете върху бутона Персонализиране в раздела за настройки.
Променете опцията Apply local firewall rules от Not Configured на No.
След като щракнете върху ОК, преминете към личните и публичните профили и направете същото за тях.
Това е всичко, което трябва да се случи, момчета, да се забавляват със защитна стена.
