Brána Windows Firewall umožňuje obmedziť odchádzajúci / prichádzajúci sieťový prenos pre konkrétnu aplikáciu alebo port TCP / IP a je obľúbeným prostriedkom na obmedzenie sieťového prístupu k (z) pracovným staniciam alebo serverom používateľov. Pravidlá brány Windows Firewall je možné konfigurovať jednotlivo na každom počítači, alebo ak je počítač používateľa v doméne Windows, správca môže ovládať nastavenia a pravidlá brány Windows pomocou skupinových politík..
Vo veľkej organizácii sa pravidlá filtrovania portov zvyčajne vykonávajú na úrovni smerovača, prepínačov L3 alebo vyhradených brán firewall. Nič vám však nebráni v rozšírení pravidiel obmedzovania prístupu brány firewall systému Windows na pracovné stanice alebo servery Windows..
obsah:
- Skupinová politika použitá na správu nastavení brány Windows Defender
- Zapnite bránu Windows Firewall pomocou GPO
- Vytvorte pravidlo brány firewall pomocou skupinovej politiky
- Kontrola zásad brány firewall systému Windows u klientov
- Import / export pravidiel brány firewall systému Windows v GPO
- Pravidlá domény a lokálneho firewallu
- Niekoľko tipov na správu brány Windows Firewall prostredníctvom GPO
Skupinová politika použitá na správu nastavení brány Windows Defender
Pomocou konzoly na správu skupinovej politiky (gpmc.msc) vytvorte novú politiku s názvom Firewall-Policy a prejdite do režimu úprav (Upraviť)..
V konzole skupinovej politiky sú dve sekcie, kde môžete spravovať nastavenia brány firewall:
- Konfigurácia počítača -> Šablóny pre správu -> Sieť -> Sieťové pripojenia -> Windows Firewall - Táto časť GPO sa použila na konfiguráciu pravidiel brány firewall pre systémy Vista / Windows Server 2008 a nižšie. Ak nemáte v doméne počítače so starým OS, nakonfigurujte firewall pomocou nasledujúcej časti.
- Konfigurácia počítača -> Nastavenia systému Windows -> Nastavenia zabezpečenia -> Brána Windows Firewall s pokročilým zabezpečením - Toto je skutočná časť na konfiguráciu brány Windows Firewall v moderných verziách operačného systému a z hľadiska rozhrania sa podobá rozhraniu miestnej konzoly správy brány Firewall..
Zapnite bránu Windows Firewall pomocou GPO
Aby používatelia (aj s oprávneniami miestneho administrátora) nemohli vypnúť službu firewall, je vhodné nakonfigurovať službu Windows Firewall tak, aby sa spúšťala automaticky prostredníctvom GPO. Ak to chcete urobiť, prejdite do časti Konfigurácia počítača -> Nastavenia systému Windows -> Nastavenia zabezpečenia -> Systémové služby. Nájdite v zozname služieb Windows firewall a zmeňte typ spustenia služby na automatický (Definujte toto nastavenie politiky -> Režim spustenia služby Automaticky). Overte, či používatelia nemajú povolenie na zastavenie služby..
Prejdite do sekcie konzoly GPO Konfigurácia počítača -> Nastavenia systému Windows -> Nastavenia zabezpečenia. Kliknite pravým tlačidlom myši Brána Windows Firewall s pokročilým zabezpečením a otvorené vlastnosti.
Na všetkých troch kartách Profil domény, Súkromný profil a Verejný profil (čo je sieťový profil) zmeňte stav brány Firewall na Zapnuté (odporúčané). V závislosti od bezpečnostných zásad vo vašej organizácii môžete určiť, že všetky prichádzajúce pripojenia sú v predvolenom nastavení vypnuté (prichádzajúce pripojenia -> blokovať) a odchádzajúce pripojenia sú povolené (odchádzajúce pripojenia -> povoliť) a uložte zmeny..
Vytvorte pravidlo brány firewall pomocou skupinovej politiky
Teraz sa pokúsime vytvoriť permisívne prichádzajúce pravidlo brány firewall pre všetkých. Napríklad chceme povoliť pripojenie k počítačom prostredníctvom protokolu RDP (TCP port 3389). Pravým tlačidlom myši kliknite na časť Prichádzajúce pravidlá a vyberte položku ponuky Nové pravidlo..
Sprievodca pravidlami brány firewall je veľmi podobný miestnemu rozhraniu brány Windows Firewall v bežnom počítači.
Vyberte typ pravidla. Môžete povoliť prístup k:
- Programy (Program) - môžete vybrať spustiteľný program exe;
- Port (Port) - vyberte port TCP / UDP alebo rozsah portov;
- Preddefinované pravidlo (Preddefinované) - vyberte jedno zo štandardných pravidiel Windows, ktoré už majú prístupové pravidlá (sú popísané spustiteľné súbory a porty) k typickým službám (napríklad AD, Http, DFS, BranchCache, vzdialený reštart, SNMP, KMS a atď.);
- Vlastné pravidlo - tu môžete zadať program, protokol (iné protokoly okrem TCP a UDP, napríklad ICMP, GRE, L2TP, IGMP atď.), IP adresy klienta alebo celé IP podsiete.
V našom prípade zvolíme pravidlo Port. Ako protokol určíme TCP, port 3389 ako port (predvolený port RDP je možné zmeniť).
Ďalej musíte vybrať, čo musíte urobiť s takýmto sieťovým pripojením: povoliť (Povoliť pripojenie), povoliť, či je bezpečné alebo blokovať (blokovať pripojenie).
Zostáva vybrať profily brány firewall, ktoré musia použiť pravidlo. Môžete nechať všetky profily (Doména, Súkromné a Verejné)).
V poslednom kroku musíte zadať názov pravidla a jeho popis. Kliknite na tlačidlo Dokončiť a zobrazí sa v zozname pravidiel brány firewall..
Podobne môžete nakonfigurovať ďalšie prichádzajúce pravidlá, ktoré by sa mali vzťahovať na vašich klientov Windows..
Nezabudnite, že musíte vytvoriť pravidlá pre prichádzajúcu a odchádzajúcu komunikáciu.
Teraz zostáva OU priraďovať politiku Firewall k počítačom užívateľa
Je to dôležité. Pred použitím politiky brány firewall na OU v produktívnych počítačoch sa dôrazne odporúča otestovať ju na testovacích počítačoch. Inak z dôvodu nesprávneho nastavenia brány firewall môžete paralyzovať prácu podniku. Ak chcete diagnostikovať použitie skupinových politík, použite pomocný program gpresult.exe.Kontrola zásad brány firewall systému Windows u klientov
Aktualizujte pravidlá pre klientov (gpupdate / force). Skontrolujte, či sú porty, ktoré ste zadali, dostupné na počítačoch používateľov (môžete použiť rutinu Test-NetConnection cmdlet alebo pomôcku Portqry)..
Na počítači používateľa otvorte Ovládací panel \ Systém a zabezpečenie \ Windows Defender Firewall a uistite sa, že sa zobrazuje toto: Z bezpečnostných dôvodov sú niektoré nastavenia riadené skupinovou politikou. (Z dôvodu zabezpečenia sú niektoré nastavenia riadené skupinovou politikou) a použijú sa nastavenia brány firewall, ktoré ste zadali.
Užívateľ už nemôže meniť nastavenia brány firewall av zozname Prichádzajúce pravidlá musia byť uvedené všetky pravidlá, ktoré ste vytvorili.
Nastavenia brány firewall môžete zobraziť aj pomocou príkazu:
netsh firewall show state
Import / export pravidiel brány firewall systému Windows v GPO
Proces vytvárania pravidiel pre bránu Windows Firewall je samozrejme veľmi náročná a zdĺhavá úloha (výsledok sa však oplatí). Na zjednodušenie úlohy môžete využiť možnosť importu a exportu nastavení brány Windows Firewall. Stačí iba nakonfigurovať pravidlá miestnej brány firewall na bežnej pracovnej stanici. Potom prejdite do koreňového adresára modulu firewall (Windows Defender Firewall Monitor v rozšírenom zabezpečení) a vyberte položku Akcia -> Vývozná politika.
Zásada sa nahrá do súboru WFW, ktorý sa dá importovať do editora správy politiky skupiny výberom Dovozná politika a zadaním cesty k súboru wfw (súčasné nastavenia sa prepíšu).
Pravidlá domény a lokálneho firewallu
Podľa toho, či chcete, aby miestni správcovia mohli vo svojich počítačoch vytvárať vlastné pravidlá brány firewall, mali by ste ich kombinovať s pravidlami získanými pomocou politiky skupiny. v skupinovej politike si môžete zvoliť režim kombinovania pravidiel. Otvorte vlastnosti politiky a venujte pozornosť nastaveniam v tejto časti Zlúčenie pravidiel. V predvolenom nastavení je zlúčenie pravidiel povolené. Môžete prinútiť miestneho správcu, aby si vytvoril vlastné pravidlá brány firewall: v parametri Použiť pravidlá miestnej brány firewall vybrať Áno (predvolené).
Niekoľko tipov na správu brány Windows Firewall prostredníctvom GPO
Pre servery a pracovné stanice musíte samozrejme vytvoriť samostatné politiky pre správu pravidiel brány firewall (pre každú skupinu identických serverov budete pravdepodobne musieť vytvoriť svoje vlastné politiky v závislosti od ich úlohy). tj pravidlá brány firewall pre radič domény, poštový server Exchange a server SQL sa budú líšiť.
Aké porty musíte otvoriť pre konkrétnu službu, ktorú potrebujete vyhľadať v dokumentácii na webe vývojára. Tento proces je veľmi starostlivý a na prvý pohľad komplikovaný. Postupne je však reálne dospieť k funkčnej konfigurácii brány firewall systému Windows, ktorá umožňuje iba schválené pripojenia a blokuje všetko ostatné. Zo skúsenosti chcem poznamenať, že v softvéri spoločnosti Microsoft môžete veľmi rýchlo nájsť zoznam použitých portov TCP / UDP.
