使用组策略配置Windows防火墙设置和规则

时间:2020-01-09 10:47:03  来源:igfitidea点击:

Windows防火墙允许限制特定应用程序,协议或者TCP/IP端口的入站/出站网络流量。这是一种限制与用户工作站或者服务器之间的网络访问的简便方法。我们可以在每台计算机上分别配置Windows防火墙规则,或者,如果用户计算机已加入Active Directory域,则管理员可以使用GPO管理Windows Defender防火墙设置和规则。

在大型企业中,端口过滤规则通常在路由器,L3交换机或者专用防火墙设备级别设置。但是,没有什么可以阻止我们将Windows防火墙网络访问限制规则部署到工作站或者Windows服务器。

组策略设置以管理Windows Defender防火墙规则

使用域组策略编辑器(组策略管理控制台gpmc.msc),创建名称为Firewall-Policy的新GPO对象(策略),然后切换到编辑模式。

组策略管理控制台中有两个部分,可用于管理防火墙设置:

  • "计算机配置->管理模板->网络->网络连接-> Windows防火墙"此GPO部分用于在OS Vista/Windows Server 2008或者更早版本中配置防火墙规则。如果没有任何具有这些旧操作系统版本的计算机,请使用下一个策略部分来配置防火墙;否则,请使用下一个策略部分。
  • "计算机配置-> Windows设置->安全设置->具有高级安全性的Windows防火墙"是在现代Windows OS版本中配置Windows防火墙的实际部分,其界面类似于本地Defender防火墙管理控制台的界面。

如何使用GPO启用Windows防火墙?

为了使用户(甚至具有本地管理员权限)无法停止防火墙服务,建议使用GPO配置Windows防火墙的自动启动。为此,请转到"计算机配置">" Windows设置"->"安全设置"->"系统服务"。在服务列表中找到" Windows防火墙",并将启动模式更改为自动(定义此策略设置->服务启动模式自动)。确保用户没有停止该服务的权限。

转到GPO控制台中的"计算机配置-> Windows设置->安全设置"部分。右键单击"具有高级安全性的Windows防火墙",然后打开属性。

在所有三个选项卡中将防火墙状态更改为"打开(推荐)":域配置文件,私有配置文件和公共配置文件(Windows中的网络位置是什么?)。根据的安全策略,我们可以指定默认情况下阻止所有入站连接(入站连接->阻止),并允许出站连接(出站连接->允许)。保存更改。

如何使用GPO创建防火墙规则?

让我们尝试创建一个允许入站的Windows防火墙规则。例如,我们要允许传入的RDP连接到所有计算机(TCP 3389端口)。右键单击"入站规则"部分,然后选择"新建规则"。

防火墙规则向导的界面类似于用户台式计算机上的本地Windows防火墙。

选择规则类型。我们可以允许访问:

  • 程序中可以选择一个程序可执行文件(.exe);
  • 端口可以选择一个TCP/UDP端口或者端口范围;
  • 预定义我们可以选择一种标准Windows规则,其中已经包含对典型服务(例如,AD,HTTP,DFS,BranchCache,远程重启,SNMP,KMS等)的访问规则(描述了可执行文件和端口)。 );
  • 在此处自定义,我们可以指定程序,协议(TCP或者UDP以外的协议,例如ICMP,GRE,L2TP,IGMP等),客户端IP地址或者整个IP子网。

在我们的情况下,请选择"端口"规则。让我们将TCP指定为协议,将端口3389指定为端口(这是默认的RDP端口,但是我们可以通过注册表进行更改)。

然后,我们必须选择处理这种网络连接的方法:允许连接,允许连接是否安全或者阻止连接。

然后选择要应用规则的防火墙配置文件。我们可以使所有配置文件保持启用状态(域,私有和公共)。

在最后一步,指定规则的名称和描述。单击完成,它将出现在防火墙规则列表中。

同样,我们可以为要应用到Windows客户端的入站流量配置其他规则。不要忘记为入站和出站流量创建规则。

现在,只需将防火墙策略分配给具有用户计算机的OU。

重要。在将防火墙策略应用于具有生产能力的计算机的OU之前,强烈建议在某些测试计算机上进行尝试。否则,由于错误的防火墙设置,我们可能会使企业网络瘫痪。要诊断如何应用组策略,请使用gpresult工具。

在客户端上测试Windows防火墙策略

更新客户端上的组策略设置(gpupdate/force)。确保指定的端口在用户计算机上可用(可以使用Test-NetConnection cmdlet或者Portqry工具)。

在用户PC上,打开"控制面板"->"系统和安全性"->" Windows Defender防火墙",并确保显示消息。为了安全起见,某些设置由组策略控制,并且使用了防火墙设置。

现在,用户无法更改防火墙设置,并且我们创建的所有规则都必须出现在"入站规则"列表中。

我们还可以使用以下命令显示防火墙设置:

netsh firewall show state

如何将Windows防火墙规则导入/导出到GPO?

当然,创建Windows防火墙规则的过程是一项艰巨且耗时的任务(但是值得付出努力)。为了简化操作,我们可以导入/导出Windows防火墙设置。为此,它足以根据需要在参考工作站上配置本地防火墙设置。然后转到Windows防火墙管理单元(具有高级安全性的Windows防火墙)的根目录,然后选择操作->"导出策略"。

该策略将导出到WFW文件,可以通过选择"导入策略"选项并指定.wfw文件的路径将其导入到组策略管理编辑器中(当前策略设置将被覆盖)。

域和本地Windows Defender防火墙规则

根据我们是否希望本地管理员可以在其计算机上创建自己的防火墙规则,并将其与从组策略获得的规则进行组合,可以选择规则合并选项。打开策略属性,然后在"规则合并"部分中查看设置。默认情况下,规则合并处于启用状态。我们可以强制本地管理员创建自己的防火墙规则:在"应用本地防火墙规则"选项中选择"是(默认)"。

提示。阻止防火墙规则的优先级高于允许的规则。这意味着,如果用户与允许使用GPO的管理员配置的阻止规则相抵触,则无法创建允许访问规则。但是,即使管理员在策略中允许访问,用户也可以创建本地阻止规则。

提示:使用GPO管理Windows防火墙

当然,我们应该创建单独的策略来管理服务器和工作站的Windows防火墙规则(我们可能必须为每组相似的服务器创建单独的策略,具体取决于它们的角色)。这意味着域控制器,Exchange邮件服务器和SQL服务器的防火墙规则将有所不同。

我们可以在供应商网站上找到必须为每个服务打开哪些端口。乍看之下,这个过程非常艰巨而复杂。但是,我们最终可以得到一个有效的Windows防火墙配置,该配置仅允许批准的网络连接并阻止其他网络连接。根据我的经验,我想指出一下,我们可以快速找到Microsoft软件使用的TCP/UDP端口的列表。