מדיניות קבוצתית חנון כיצד לשלוט בחומת האש של Windows עם GPO
חומת האש של Windows יכולה להיות אחד הסיוטים הגדולים ביותר עבור מנהלי מערכת כדי להגדיר, עם תוספת של מדיניות קבוצתית קדימות זה פשוט הופך לכאב ראש. כאן ניקח אותך מתחילתו ועד סופו על איך בקלות להגדיר את חומת האש של Windows באמצעות מדיניות קבוצתית כמו בונוס להראות לך איך לתקן אחד gotchas הגדול ביותר.
המשימה שלנו
זה הגיע לידיעתנו כי הרבה משתמשים יש סקייפ מותקן על המכונות שלהם וזה עושה אותם פחות פרודוקטיביים. קיבלנו את המשימה של לוודא כי משתמשים לא יכולים להשתמש בסקייפ בעבודה, אולם הם מוזמנים לשמור את זה מותקן על המחשבים הניידים שלהם ולהשתמש בו בבית או במהלך הפסקות צהריים על חיבור 3G / 4G. בהינתן מידע זה אנו מחליטים לעשות שימוש בחומת האש של Windows ובמדיניות הקבוצתית.
השיטה
הדרך הקלה ביותר להתחיל לשלוט בחומת האש של Windows באמצעות מדיניות קבוצתית היא להגדיר מחשב הפניה וליצור את הכללים באמצעות Windows 7, לאחר מכן נוכל לייצא את המדיניות ולייבא אותה למדיניות קבוצתית. בעשותנו זאת, יש לנו את היתרון הנוסף של היכולת לראות אם כל הכללים נקבעים ועובדים כפי שאנחנו רוצים שהם יהיו, לפני פריסת אותם לכל מכונות הלקוח.
יצירת תבנית חומת אש
כדי ליצור תבנית עבור חומת האש של Windows, עלינו להפעיל את 'מרכז הרשת והשיתוף', הדרך הקלה ביותר לעשות זאת היא ללחוץ לחיצה ימנית על סמל הרשת ולבחור פתח את 'מרכז הרשת והשיתוף' מתפריט ההקשר.
כאשר מרכז הרשת והשיתוף נפתח, לחץ על הקישור חומת האש של Windows בפינה השמאלית התחתונה.
בעת יצירת תבנית עבור חומת האש של Windows, מומלץ לעשות זאת באמצעות קונסולת האבטחה של Windows עם חומת האש המתקדמת, כדי להפעיל את הקליק על הגדרות מתקדמות בצד שמאל.
הערה: בשלב זה אני הולך לערוך את הכללים הספציפיים של סקייפ, אבל אתה יכול להוסיף את הכללים שלך עבור יציאות או אפילו יישומים. לא משנה מה השינויים שאתה צריך לעשות את חומת האש צריך להיעשות עכשיו.
מכאן אנו יכולים להתחיל לערוך את כללי חומת האש שלנו, במקרה שלנו כאשר יישום Skype מותקן זה יוצר חריגים משלהם Firewall המאפשרים skype.exe לתקשר על דומיין, פרטיים פרופילים רשת ציבורית.
עכשיו אנחנו צריכים לערוך את כלל חומת האש שלנו, כדי לערוך אותו לחיצה כפולה על הכלל. זה יביא את המאפיינים של הכלל סקייפ.
עבור לכרטיסייה מתקדם ובטל את הסימון בתיבת הסימון תחום.
כאשר תנסה להפעיל את Skype כעת, תתבקש לשאול אם הוא יכול לתקשר בפרופיל Domain Network, בטל את הסימון בתיבה ולחץ על אפשר גישה.
אם אתה חוזר כעת לחוקי Firewall הנכנסים שלך, תראה כי ישנם שני כללים חדשים, הסיבה לכך היא שכאשר התבקשת בחרת שלא לאפשר תנועה נכנסת של סקייפ. אם תעיין בעמודה 'פרופיל' תראה שתיהן הן עבור פרופיל הרשת של התחום.
הערה: הסיבה שיש שני כללים היא כי יש כללים נפרדים עבור TCP ו- UDP
הכל טוב עד כה, אבל אם אתה מפעיל את סקייפ עדיין תוכל להיכנס.
גם אם תשנה את הכללים כדי לחסום תנועה נכנסת עבור skype.exe ולהגדיר את זה כדי לחסום את התנועה באמצעות כל פרוטוקול שלה הוא עדיין מסוגל איכשהו לחזור פנימה לתקן את זה פשוט, לעצור אותו מלהיות מסוגל לתקשר מלכתחילה. לשם כך, עבור לכללים היוצאים והתחל ביצירת כלל חדש.
מכיוון שאנחנו רוצים ליצור כלל לתוכנית סקייפ פשוט לחץ על הבא, ואז לחפש את קובץ ההפעלה Skype ולחץ על הבא.
באפשרותך להשאיר את הפעולה בברירת המחדל שהיא לחסום את החיבור ולחץ על הבא.
בטל את הבחירה בתיבות הסימון פרטיות וציבוריות ולחץ על הבא כדי להמשיך.
עכשיו תן את הכלל שלך שם ולחץ לסיים
עכשיו אם אתה מנסה להפעיל את סקייפ בזמן מחובר לרשת תחום זה לא יעבוד
עם זאת, אם הם מנסים להתחבר כאשר הם מגיעים הביתה זה יאפשר להם להתחבר בסדר
זה כל כללי חומת האש שאנחנו הולכים ליצור לעת עתה, אל תשכח לבדוק את הכללים שלך בדיוק כמו שעשינו עבור סקייפ.
ייצוא המדיניות
כדי לייצא את המדיניות, בחלונית השמאלית לחץ על השורש של העץ אשר אומר חומת האש של Windows עם אבטחה מתקדמת. לאחר מכן לחץ על פעולה ובחר מדיניות ייצוא מהתפריט.
אתה צריך לשמור את זה או לשתף רשת, או אפילו USB אם יש לך גישה פיזית לשרת שלך. נלך עם נתח רשת.
הערה: היזהר מפני וירוסים בעת שימוש ב- USB, הדבר האחרון שאתה רוצה לעשות זה להדביק שרת עם וירוס
ייבוא המדיניות למדיניות קבוצתית
כדי לייבא את מדיניות חומת האש עליך לפתוח GPO קיים או ליצור GPO חדש ולקשר אותו OU המכיל חשבונות מחשב. יש לנו GPO שנקרא מדיניות חומת אש כי הוא מקושר OU בשם חנון מחשבים, זה OU מכיל את כל המחשבים שלנו. אנחנו פשוט נמשיך להשתמש במדיניות זו.
כעת נווט אל:
פתח את תצורת המחשב \ מדיניות \ הגדרות Windows \ הגדרות אבטחה \ חומת האש של Windows עם אבטחה מתקדמת
לחץ על חומת האש של Windows עם אבטחה מתקדמת ולאחר מכן לחץ על מדיניות פעולה וייבוא
ייאמר לך שאם תייבא את המדיניות היא תחליף את כל ההגדרות הקיימות, לחץ על כן כדי להמשיך ולאחר מכן חפש את המדיניות שייצאת בחלק הקודם של מאמר זה. לאחר שהמדיניות תסתיים בייבוא, תקבל הודעה.
אם אתה הולך להסתכל על הכללים שלנו תראה כי הכללים סקייפ יצרתי עדיין שם.
בדיקה
הערה: אין לבצע בדיקה כלשהי לפני שתשלים את הקטע הבא של המאמר. אם תעשה זאת, כל הכללים שתצורתם נקבעה באופן מקומי יידבקו בהם. הסיבה היחידה שעשיתי כמה בדיקות עכשיו היה להצביע על כמה דברים.
כדי לבדוק אם כללי חומת האש נפרסו ללקוחות, יהיה עליך לעבור למכונת לקוח ולאחר מכן לפתוח את הגדרות חומת האש של Windows. כפי שאתה יכול לראות שם צריך להיות הודעה אומר כי כמה כללי חומת האש מנוהלים על ידי מנהל המערכת שלך.
לחץ על אפשר תוכנית או תכונה דרך הקישור חומת האש של Windows בצד שמאל.
כפי שאתה אמור לראות עכשיו, יש לנו כללים החלים על ידי מדיניות קבוצתית כמו גם אלה שנוצרו מקומית.
מה קורה כאן וכיצד אני יכול לתקן את זה?
כברירת מחדל, מיזוג כללי מופעל בין מדיניות חומת אש מקומית במחשבי Windows 7 ובמדיניות חומת אש המפורטת במדיניות קבוצתית הממוקדת למחשבים אלה. פירוש הדבר שמנהלים מקומיים יכולים ליצור כללי חומת אש משלהם, וכללים אלה ימוזגו עם הכללים שהתקבלו באמצעות מדיניות קבוצתית. כדי לתקן את הזכות לחץ על חומת האש של Windows עם אבטחה מתקדמת ובחר מאפיינים מתוך תפריט ההקשר. כאשר תיבת הדו-שיח נפתחת לחץ על הלחצן התאמה אישית בקטע ההגדרות.
שנה את האפשרות 'חלת כללי חומת אש מקומית' מ'לא מוגדר 'ל'לא'.
לאחר שתלחץ על אישור, עבור לפרופילים הפרטיים והפומביים ולעשות את אותו הדבר עבור שניהם.
זה כל מה שיש לבחורים האלה, לכו לעשות קצת חומת אש.
