นโยบายกลุ่ม Geek วิธีการควบคุมไฟร์วอลล์ Windows ด้วย GPO
Windows Firewall สามารถเป็นหนึ่งในฝันร้ายที่ยิ่งใหญ่ที่สุดสำหรับผู้ดูแลระบบในการกำหนดค่าโดยการเพิ่มความสำคัญของนโยบายกลุ่มก่อนที่จะกลายเป็นปวดหัว ที่นี่เราจะพาคุณตั้งแต่ต้นจนจบเกี่ยวกับวิธีกำหนดค่า Windows Firewall ได้อย่างง่ายดายผ่านนโยบายกลุ่มและโบนัสแสดงวิธีการแก้ไขหนึ่งใน gotchas ที่ใหญ่ที่สุด.
ภารกิจของเรา
เราพบว่าผู้ใช้จำนวนมากติดตั้ง Skype บนเครื่องของพวกเขาและทำให้พวกเขามีประสิทธิผลน้อยลง เราได้รับภารกิจในการทำให้แน่ใจว่าผู้ใช้ไม่สามารถใช้ Skype ในที่ทำงานได้อย่างไรก็ตามพวกเขายินดีที่จะติดตั้งไว้ในแล็ปท็อปและใช้งานที่บ้านหรือในช่วงพักกลางวันด้วยการเชื่อมต่อ 3G / 4G ด้วยข้อมูลนี้เราจึงตัดสินใจใช้ประโยชน์จาก Windows Firewall และนโยบายกลุ่ม.
วิธีการ
วิธีที่ง่ายที่สุดในการเริ่มควบคุม Windows Firewall ผ่านนโยบายกลุ่มคือการตั้งค่า PC อ้างอิงและสร้างกฎโดยใช้ Windows 7 จากนั้นเราสามารถส่งออกนโยบายนั้นและนำเข้าสู่นโยบายกลุ่มได้ โดยการทำเช่นนี้เรามีข้อได้เปรียบพิเศษในการดูว่ากฎทั้งหมดได้รับการตั้งค่าและทำงานตามที่เราต้องการหรือไม่ก่อนที่จะนำไปใช้กับเครื่องไคลเอนต์ทั้งหมด.
การสร้างเทมเพลตไฟร์วอลล์
ในการสร้างเทมเพลตสำหรับไฟร์วอลล์ Windows เราจำเป็นต้องเปิดศูนย์เครือข่ายและการแชร์วิธีที่ง่ายที่สุดในการทำเช่นนี้คือคลิกขวาที่ไอคอนเครือข่ายและเลือกเปิดเครือข่ายและศูนย์แบ่งปันจากเมนูบริบท.
เมื่อศูนย์เครือข่ายและการแชร์เปิดขึ้นให้คลิกที่ลิงค์ไฟร์วอลล์ Windows ที่มุมล่างซ้าย.
เมื่อสร้างเทมเพลตสำหรับ Windows Firewall จะทำได้ดีที่สุดผ่าน Windows Firewall พร้อมคอนโซลความปลอดภัยขั้นสูงเพื่อเปิดใช้การคลิกนี้บนการตั้งค่าขั้นสูงทางด้านซ้ายมือ.
หมายเหตุ: ณ จุดนี้ฉันจะแก้ไขกฎเฉพาะของ Skype อย่างไรก็ตามคุณสามารถเพิ่มกฎของคุณเองสำหรับพอร์ตหรือแม้แต่แอปพลิเคชัน ไม่ว่าคุณจะทำการปรับเปลี่ยนไฟร์วอลล์ใดก็ตาม.
จากที่นี่เราสามารถเริ่มแก้ไขกฎไฟร์วอลล์ของเราในกรณีที่ติดตั้งแอปพลิเคชัน Skype มันจะสร้างข้อยกเว้นไฟร์วอลล์ของตัวเองที่อนุญาตให้ skype.exe สื่อสารบนโดเมนส่วนตัวและโปรไฟล์เครือข่ายสาธารณะ.
ตอนนี้เราจำเป็นต้องแก้ไขกฎไฟร์วอลล์ของเราเพื่อแก้ไขดับเบิลคลิกที่กฎ สิ่งนี้จะแสดงคุณสมบัติของกฎ Skype.
สลับไปที่แท็บขั้นสูงแล้วยกเลิกการเลือกช่องทำเครื่องหมายโดเมน.
เมื่อคุณลองเปิดใช้ Skype ทันทีคุณจะได้รับแจ้งให้ถามว่าสามารถสื่อสารกับโปรไฟล์เครือข่ายโดเมนได้หรือไม่เลือกช่องแล้วคลิกอนุญาตการเข้าถึง.
หากคุณกลับไปที่กฎไฟร์วอลล์ขาเข้าของคุณคุณจะเห็นว่ามีกฎใหม่อยู่สองกฎนั่นเป็นเพราะเมื่อคุณได้รับแจ้งให้คุณเลือกที่จะไม่อนุญาตการรับส่งข้อมูล Skype ขาเข้า หากคุณดูที่คอลัมน์โปรไฟล์คุณจะเห็นว่าทั้งคู่เป็นโปรไฟล์เครือข่ายโดเมน.
หมายเหตุ: เหตุผลที่มีสองกฎคือเนื่องจากมีกฎแยกต่างหากสำหรับ TCP และ UDP
ทุกอย่างดีมาก แต่ถ้าคุณเปิดใช้ Skype คุณจะยังสามารถเข้าสู่ระบบได้.
แม้ว่าคุณจะเปลี่ยนกฎเพื่อบล็อกทราฟฟิกขาเข้าสำหรับ skype.exe และตั้งให้บล็อกทราฟฟิกโดยใช้โปรโตคอลใด ๆ แต่ก็ยังสามารถกลับมาใช้งานได้อีกวิธีแก้ไขนั้นง่ายมากให้หยุดไม่ให้สามารถสื่อสารได้ตั้งแต่แรก ในการทำเช่นนี้ให้สลับไปที่กฎขาออกและเริ่มสร้างกฎใหม่.
เนื่องจากเราต้องการสร้างกฎสำหรับโปรแกรม Skype เพียงคลิกถัดไปจากนั้นเรียกดูไฟล์ที่ปฏิบัติการได้ของ Skype แล้วคลิกถัดไป.
คุณสามารถออกจากการกระทำที่เป็นค่าเริ่มต้นซึ่งจะบล็อกการเชื่อมต่อและคลิกถัดไป.
ยกเลิกการเลือกช่องทำเครื่องหมายส่วนตัวและสาธารณะแล้วคลิกถัดไปเพื่อดำเนินการต่อ.
ตอนนี้ตั้งชื่อกฎของคุณและคลิกเสร็จสิ้น
ตอนนี้ถ้าคุณลองและเปิดใช้ Skype ในขณะที่เชื่อมต่อกับเครือข่ายโดเมนมันจะไม่ทำงาน
อย่างไรก็ตามหากพวกเขาลองและเชื่อมต่อเมื่อกลับถึงบ้านมันจะอนุญาตให้พวกเขาเชื่อมต่อได้ดี
นั่นคือกฎไฟร์วอลล์ทั้งหมดที่เราจะสร้างขึ้นในตอนนี้อย่าลืมทดสอบกฎของคุณเช่นเดียวกับที่เราทำกับ Skype.
การส่งออกนโยบาย
ในการส่งออกนโยบายในบานหน้าต่างด้านซ้ายคลิกที่รูทของทรีซึ่งระบุว่า Windows Firewall พร้อมการรักษาความปลอดภัยขั้นสูง จากนั้นคลิกที่การดำเนินการและเลือกนโยบายการส่งออกจากเมนู.
คุณควรบันทึกสิ่งนี้ไว้ในเครือข่ายที่แชร์หรือแม้กระทั่ง USB หากคุณมีการเข้าถึงเซิร์ฟเวอร์ของคุณ เราจะไปกับเครือข่ายร่วมกัน.
หมายเหตุ: ระวังไวรัสเมื่อใช้ USB สิ่งสุดท้ายที่คุณต้องการทำคือติดไวรัสในเซิร์ฟเวอร์
การนำเข้านโยบายไปสู่นโยบายกลุ่ม
ในการนำเข้านโยบายไฟร์วอลล์คุณต้องเปิด GPO ที่มีอยู่หรือสร้าง GPO ใหม่และเชื่อมโยงกับ OU ที่มีบัญชีคอมพิวเตอร์ เรามี GPO ที่เรียกว่านโยบายไฟร์วอลล์ที่เชื่อมโยงกับ OU ชื่อ Geek Computers OU นี้มีคอมพิวเตอร์ของเราทั้งหมด เราจะดำเนินการต่อและใช้นโยบายนี้.
ตอนนี้ไปที่:
เปิดการตั้งค่า Firewall \ Policies \ Windows Settings \ Security คอมพิวเตอร์ \ Firewall ตั้งค่าความปลอดภัยขั้นสูง
คลิกที่ไฟร์วอลล์ Windows ด้วยการรักษาความปลอดภัยขั้นสูงจากนั้นคลิกนโยบายการดำเนินการและนำเข้า
คุณจะได้รับแจ้งว่าถ้าคุณนำเข้านโยบายมันจะเขียนทับการตั้งค่าที่มีอยู่ทั้งหมดคลิกใช่เพื่อดำเนินการต่อจากนั้นเรียกดูนโยบายที่คุณส่งออกในส่วนก่อนหน้าของบทความนี้ เมื่อนโยบายนำเข้าเสร็จสิ้นคุณจะได้รับแจ้ง.
ถ้าคุณไปดูกฎของเราคุณจะเห็นว่ากฎ Skype ที่ฉันสร้างขึ้นนั้นยังอยู่ที่นั่น.
การทดสอบ
หมายเหตุ: คุณไม่ควรทำการทดสอบใด ๆ ก่อนที่จะดำเนินการในส่วนถัดไปของบทความ หากคุณทำตามกฎใด ๆ ที่ได้รับการกำหนดค่าในเครื่องจะถูกปฏิบัติตาม เหตุผลเดียวที่ฉันทำการทดสอบตอนนี้คือการชี้ให้เห็นบางสิ่ง.
หากต้องการดูว่ากฎไฟร์วอลล์ได้รับการปรับใช้กับลูกค้าหรือไม่คุณจะต้องเปลี่ยนเป็นเครื่องไคลเอนต์และเปิดการตั้งค่า Windows Firewall อีกครั้ง อย่างที่คุณเห็นควรมีข้อความแจ้งว่ากฎไฟร์วอลล์บางข้อได้รับการจัดการโดยผู้ดูแลระบบของคุณ.
คลิกที่ลิงก์อนุญาตให้โปรแกรมหรือคุณสมบัติผ่านการเชื่อมโยง Windows Firewall ทางด้านซ้ายมือ.
อย่างที่คุณควรเห็นในตอนนี้เรามีกฎระเบียบทั้งที่ใช้โดยนโยบายกลุ่มรวมถึงกฎที่สร้างขึ้นในเครื่อง.
เกิดอะไรขึ้นที่นี่และฉันจะแก้ไขมันได้อย่างไร?
โดยค่าเริ่มต้นการรวมกฎถูกเปิดใช้งานระหว่างนโยบายไฟร์วอลล์เฉพาะที่บนคอมพิวเตอร์ Windows 7 และนโยบายไฟร์วอลล์ที่ระบุในนโยบายกลุ่มที่กำหนดเป้าหมายคอมพิวเตอร์เหล่านั้น ซึ่งหมายความว่าผู้ดูแลระบบโลคัลสามารถสร้างกฎไฟร์วอลล์ของตนเองและกฎเหล่านี้จะถูกรวมเข้ากับกฎที่ได้รับผ่านนโยบายกลุ่ม ในการแก้ไขปัญหานี้ให้คลิกขวาที่ไฟร์วอลล์ Windows ด้วยการรักษาความปลอดภัยขั้นสูงและเลือกคุณสมบัติจากเมนูบริบท เมื่อกล่องโต้ตอบเปิดขึ้นให้คลิกที่ปุ่มปรับแต่งภายใต้ส่วนการตั้งค่า.
เปลี่ยนตัวเลือกใช้กฎไฟร์วอลล์ท้องถิ่นจากตัวเลือกไม่กำหนดค่าเป็นไม่.
เมื่อคุณคลิกตกลงเปลี่ยนเป็นโปรไฟล์ส่วนตัวและสาธารณะและทำสิ่งเดียวกันทั้งสอง.
นั่นคือทั้งหมดที่มีให้กันไปสนุกกับไฟร์วอลล์.