Windows防火牆可能是系統管理員要配置的最大的噩夢之一,加上組策略優先順序,它就成了一個令人頭痛的問題。在這裡,我們將從頭到尾介紹如何透過組策略輕鬆配置Windows防火牆,並向您展示如何解決其中一個最大的難題。
我們注意到,很多使用者的機器上都安裝了Skype,這使得他們的生產效率降低。我們的任務是確保使用者不能在工作中使用Skype,但是歡迎他們將Skype安裝在膝上型電腦上,在家中或午休時使用3G/4G連線。根據這些資訊,我們決定使用Windows防火牆和組策略。
透過組策略開始控制Windows防火牆的最簡單方法是設定一臺參考PC並使用windows7建立規則,然後我們可以匯出該策略並將其匯入組策略。透過這樣做,我們有一個額外的優勢,即在將規則部署到所有客戶機之前,能夠看到是否所有規則都已設定並按我們希望的方式工作。
In order to create a template for the Windows Firewall we need to launch the Network and Sharing Center, the easiest way to do this is to right-click on the network icon and select Open Network and Sharing Center from the context menu.
當網路和共享中心開啟時,單擊左下角的Windows防火牆連結。
為Windows防火牆建立模板時,最好透過Windows防火牆高階安全控制檯來完成,要啟動此模板,請單擊左側的高階設定。
注意:在這一點上,我將編輯Skype特定的規則,但是您可以新增自己的埠規則,甚至應用程式規則。你需要對防火牆做的任何修改現在都應該完成。
從這裡我們可以開始編輯我們的防火牆規則,在我們的情況下,當安裝Skype應用程式時,它會建立自己的防火牆例外,允許skype.exe在域、專用和公用網路配置檔案上進行通訊。
現在我們需要編輯我們的防火牆規則,要編輯它雙擊規則。這將顯示Skype規則的屬性。
切換到“高階”選項卡並取消選中“域”複選框。
當您現在嘗試啟動Skype時,系統會提示您詢問它是否可以在域網路配置檔案上進行通訊,取消選中該框並單擊“允許訪問”。
如果你現在回到你的入站防火牆規則,你會看到有兩個新的規則,這是因為當你被提示你選擇不允許入站Skype流量。如果您檢視profile列,您將看到它們都是域網路配置檔案。
注意:之所以有兩個規則是因為TCP和UDP有單獨的規則
到目前為止一切都很好,但是如果你啟動Skype,你仍然可以登入。
即使您更改規則以阻止skype.exe並將其設定為使用其仍然能夠以某種方式返回的任何協議來阻止通訊。解決方法很簡單,首先阻止它進行通訊。為此,請切換到出站規則並開始建立新規則。
因為我們想為Skype程式建立一個規則,所以只需單擊next,然後瀏覽Skype可執行檔案並單擊next。
您可以將操作保留為預設值,即阻止連線並單擊“下一步”。
取消選中“專用”和“公用”複選框,然後單擊“下一步”繼續。
現在給你的規則一個名字,然後點選finish
現在,如果您嘗試在連線到域網路時啟動Skype,它將無法工作
然而,如果他們回家後嘗試連線,這將使他們能夠很好地連線
這就是我們現在要建立的所有防火牆規則,別忘了測試您的規則,就像我們對Skype所做的那樣。
要匯出策略,請在左側窗格中單擊樹的根,該樹顯示具有高階安全性的Windows防火牆。然後單擊Action並從選單中選擇Export Policy。
您應該將其儲存到網路共享,如果您可以物理訪問伺服器,甚至可以儲存到USB。我們將使用網路共享。
注意:使用USB時要小心病毒,你最不想做的就是用病毒感染伺服器
要匯入防火牆策略,您需要開啟現有GPO或建立新GPO並將其連結到包含計算機帳戶的OU。我們有一個叫做防火牆策略的GPO,它連結到一個叫做Geek Computers的OU,這個OU包含我們所有的計算機。我們將繼續使用這項政策。
現在導航到:
Open Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security
單擊具有高階安全性的Windows防火牆,然後單擊操作和匯入策略
您將被告知,如果匯入策略,它將覆蓋所有現有設定,請單擊“是”繼續,然後瀏覽本文上一節中匯出的策略。一旦完成匯入策略,系統將通知您。
如果你去看看我們的規則,你會發現我建立的Skype規則仍然存在。
注意:在完成本文的下一部分之前,不應該進行任何測試。如果您這樣做,任何在本地配置的規則都將得到遵守。我現在做一些測試的唯一原因是指出一些事情。
要檢視防火牆規則是否已部署到客戶端,您需要切換到客戶端計算機,然後再次開啟Windows防火牆設定。正如您所看到的,應該有一條訊息說一些防火牆規則是由您的系統管理員管理的。
單擊左側的允許程式或功能透過Windows防火牆連結。
正如您現在應該看到的,我們有由組策略和本地建立的規則應用的規則。
預設情況下,在Windows 7計算機上的本地防火牆策略和以這些計算機為目標的組策略中指定的防火牆策略之間啟用規則合併。這意味著本地管理員可以建立自己的防火牆規則,這些規則將與透過組策略獲得的規則合併。要解決此問題,請右鍵單擊具有高階安全性的Windows防火牆,然後從上下文選單中選擇“屬性”。當對話方塊開啟時,單擊“設定”部分下的“自定義”按鈕。
將“應用本地防火牆規則”選項從“未配置”更改為“否”。
單擊ok後,切換到Private和Public配置檔案,並對它們執行相同的操作。
就這些傢伙,去玩防火牆吧。
... 如果您使用的是Windows 10 Pro,則可以使用組策略編輯器來執行此操作。型別gpedit.msc軟體開啟“開始”選單,然後瀏覽到以下物件: ...
...落,或者聽到了IT部門的閒聊,那麼您可能已經聽說了組策略。但除非你在裡面工作過,否則你可能從來沒用過。 ...
... 實現這一點的主要方法是透過組策略編輯器,該編輯器通常僅在Windows10Pro中可用。 ...
...公共的還是私有的Windows不會自動知道。您可以稍後在“控制面板”或“設定”應用程式中為網路更改此選項。 如果您信任某個應用程式並希望使用其所有功能,則應該允許訪問。如果不允許訪問PC遊戲,則可能無法承載多人遊...
...” 在下一個螢幕上,您必須選擇要開啟的埠是使用傳輸控制協議(TCP)還是使用者資料報協議(UDP)。不幸的是,由於不同的應用程式使用不同的協議,我們無法具體告訴您要使用哪個。埠號的範圍從0到65535,最多1023個埠是為...
...地命名為Windows Firewall with advanced Security。為此,請導航到控制面板並選擇“Windows防火牆”。在“Windows防火牆”視窗中,單擊左側的“高階設定”連結。 注意:高階介面中有很多內容,我們鼓勵您密切關注,不要將教程範圍之...
...可以保護您的計算機免受感染。 軟體防火牆允許您輕鬆控制每個應用程式的網路訪問。除了控制傳入流量外,軟體防火牆還可以在計算機上的應用程式要連線到Internet時提示您,並允許您阻止應用程式連線到網路。此功能很容易...
...計算機(或本地網路)和另一個網路(如Internet)之間,控制傳入和傳出的網路流量。如果沒有防火牆,任何事情都會發生。有了防火牆,防火牆的規則決定了哪些流量可以透過,哪些流量不能透過。 為什麼計算機包括防火牆 ...
...言。這與命令提示符有點不同,但也不難理解。 相關:極客學校:學習如何用PowerShell自動化Windows 要執行這些步驟,您需要以管理許可權啟動PowerShell。單擊“開始”,鍵入“powershell”,右鍵單擊搜尋結果中的powershell圖示,然...