Windows防火墙可能是系统管理员要配置的最大的噩梦之一,加上组策略优先级,它就成了一个令人头痛的问题。在这里,我们将从头到尾介绍如何通过组策略轻松配置Windows防火墙,并向您展示如何解决其中一个最大的难题。
我们注意到,很多用户的机器上都安装了Skype,这使得他们的生产效率降低。我们的任务是确保用户不能在工作中使用Skype,但是欢迎他们将Skype安装在笔记本电脑上,在家中或午休时使用3G/4G连接。根据这些信息,我们决定使用Windows防火墙和组策略。
通过组策略开始控制Windows防火墙的最简单方法是设置一台参考PC并使用windows7创建规则,然后我们可以导出该策略并将其导入组策略。通过这样做,我们有一个额外的优势,即在将规则部署到所有客户机之前,能够看到是否所有规则都已设置并按我们希望的方式工作。
In order to create a template for the Windows Firewall we need to launch the Network and Sharing Center, the easiest way to do this is to right-click on the network icon and select Open Network and Sharing Center from the context menu.
当网络和共享中心打开时,单击左下角的Windows防火墙链接。
为Windows防火墙创建模板时,最好通过Windows防火墙高级安全控制台来完成,要启动此模板,请单击左侧的高级设置。
注意:在这一点上,我将编辑Skype特定的规则,但是您可以添加自己的端口规则,甚至应用程序规则。你需要对防火墙做的任何修改现在都应该完成。
从这里我们可以开始编辑我们的防火墙规则,在我们的情况下,当安装Skype应用程序时,它会创建自己的防火墙例外,允许skype.exe在域、专用和公用网络配置文件上进行通信。
现在我们需要编辑我们的防火墙规则,要编辑它双击规则。这将显示Skype规则的属性。
切换到“高级”选项卡并取消选中“域”复选框。
当您现在尝试启动Skype时,系统会提示您询问它是否可以在域网络配置文件上进行通信,取消选中该框并单击“允许访问”。
如果你现在回到你的入站防火墙规则,你会看到有两个新的规则,这是因为当你被提示你选择不允许入站Skype流量。如果您查看profile列,您将看到它们都是域网络配置文件。
注意:之所以有两个规则是因为TCP和UDP有单独的规则
到目前为止一切都很好,但是如果你启动Skype,你仍然可以登录。
即使您更改规则以阻止skype.exe并将其设置为使用其仍然能够以某种方式返回的任何协议来阻止通信。解决方法很简单,首先阻止它进行通信。为此,请切换到出站规则并开始创建新规则。
因为我们想为Skype程序创建一个规则,所以只需单击next,然后浏览Skype可执行文件并单击next。
您可以将操作保留为默认值,即阻止连接并单击“下一步”。
取消选中“专用”和“公用”复选框,然后单击“下一步”继续。
现在给你的规则一个名字,然后点击finish
现在,如果您尝试在连接到域网络时启动Skype,它将无法工作
然而,如果他们回家后尝试连接,这将使他们能够很好地连接
这就是我们现在要创建的所有防火墙规则,别忘了测试您的规则,就像我们对Skype所做的那样。
要导出策略,请在左侧窗格中单击树的根,该树显示具有高级安全性的Windows防火墙。然后单击Action并从菜单中选择Export Policy。
您应该将其保存到网络共享,如果您可以物理访问服务器,甚至可以保存到USB。我们将使用网络共享。
注意:使用USB时要小心病毒,你最不想做的就是用病毒感染服务器
要导入防火墙策略,您需要打开现有GPO或创建新GPO并将其链接到包含计算机帐户的OU。我们有一个叫做防火墙策略的GPO,它链接到一个叫做Geek Computers的OU,这个OU包含我们所有的计算机。我们将继续使用这项政策。
现在导航到:
Open Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security
单击具有高级安全性的Windows防火墙,然后单击操作和导入策略
您将被告知,如果导入策略,它将覆盖所有现有设置,请单击“是”继续,然后浏览本文上一节中导出的策略。一旦完成导入策略,系统将通知您。
如果你去看看我们的规则,你会发现我创建的Skype规则仍然存在。
注意:在完成本文的下一部分之前,不应该进行任何测试。如果您这样做,任何在本地配置的规则都将得到遵守。我现在做一些测试的唯一原因是指出一些事情。
要查看防火墙规则是否已部署到客户端,您需要切换到客户端计算机,然后再次打开Windows防火墙设置。正如您所看到的,应该有一条消息说一些防火墙规则是由您的系统管理员管理的。
单击左侧的允许程序或功能通过Windows防火墙链接。
正如您现在应该看到的,我们有由组策略和本地创建的规则应用的规则。
默认情况下,在Windows 7计算机上的本地防火墙策略和以这些计算机为目标的组策略中指定的防火墙策略之间启用规则合并。这意味着本地管理员可以创建自己的防火墙规则,这些规则将与通过组策略获得的规则合并。要解决此问题,请右键单击具有高级安全性的Windows防火墙,然后从上下文菜单中选择“属性”。当对话框打开时,单击“设置”部分下的“自定义”按钮。
将“应用本地防火墙规则”选项从“未配置”更改为“否”。
单击ok后,切换到Private和Public配置文件,并对它们执行相同的操作。
就这些家伙,去玩防火墙吧。
... 1如何阻止internet explorer通过windows防火墙访问internet ...
...落,或者听到了IT部门的闲聊,那么您可能已经听说了组策略。但除非你在里面工作过,否则你可能从来没用过。 ...
...统的计划任务并对其进行管理。 具有高级安全性的windows防火墙 相关:如何在Windows防火墙中创建高级防火墙规则 Windows防火墙看起来是一个简单的工具,但实际上它非常强大。高级防火墙配置应用程序允许您创建和管理高级防...
...改了远程桌面使用的默认端口,所以我们需要配置Windows防火墙来接受该端口上的传入连接。转到“开始”屏幕,搜索“Windows防火墙”并单击它。 当Windows防火墙打开时,单击窗口左侧的“高级设置”。然后右键单击“入站规则...
...开跑步框,然后键入“gpedit.msc软件”然后按enter。 当组策略编辑器打开时,导航到: Computer Configuration\Administrative Templates\System\Logon 在右侧,双击“打开PIN登录”设置。 现在将单选按钮从“未配置”切换到“启用”,然后单...
...它来运行Dell BIOS更新实用程序。我们鼓励你继续探索这个极客善良的无底洞… 概述 我们已经向您展示了PXE是什么,以及如何使用FOG轻松地为其安装服务器(以及更多),今天我们将为FOG添加另一个扩展。通常今天的程序是: ...
...使用以下命令: .\runme.ps1 最后,PowerShell有一个叫做执行策略的东西,它可以阻止您运行任何旧脚本。事实上,默认情况下,您不能运行任何脚本,如果希望允许您运行脚本,则需要更改执行策略。有4个值得注意的执行策略: ...
...理应用程序 管理Internet Explorer IP寻址基础 网络 无线网络 防火墙 远程管理 远程访问 监视、性能并保持Windows的最新状态 资源访问 注意:备份和恢复是一个相当直接的概念,因此没有太多的理论可以涵盖。相反,我们采取的方...
...理应用程序 管理Internet Explorer IP寻址基础 网络 无线网络 防火墙 远程管理 远程访问 监视、性能并保持Windows的最新状态 本周请继续关注本系列的其余部分。 文件夹虚拟化 Windows7引入了库的概念,它允许您拥有一个集中的位置...