Skip to content

Group Policy Geek: Jak kontrolować zaporę systemu Windows za pomocą GPO

21 de lipiec de 2021
sshot 312 1024x458 1

Zapora systemu Windows może być jednym z największych koszmarów, jakie muszą skonfigurować administratorzy systemu, a dodanie pierwszeństwa zasad grupy staje się po prostu bólem głowy. Tutaj zabierzemy Cię od początku do końca, jak łatwo skonfigurować Zaporę systemu Windows za pomocą zasad grupy, a jako bonus pokażemy, jak naprawić jeden z największych problemów.

Nasza misja

Zwróciliśmy uwagę, że wielu użytkowników ma zainstalowanego Skype’a na swoich komputerach, co zmniejsza ich produktywność. Otrzymaliśmy zadanie upewnienia się, że użytkownicy nie mogą korzystać ze Skype’a w pracy, jednak mogą go zainstalować na swoich laptopach i używać go w domu lub podczas przerw na lunch w połączeniu 3G/4G. Biorąc pod uwagę te informacje, decydujemy się skorzystać z Zapory systemu Windows i zasad grupy.

Metoda

Najłatwiejszym sposobem na rozpoczęcie kontrolowania Zapory systemu Windows za pomocą zasad grupy jest skonfigurowanie komputera odniesienia i utworzenie reguł za pomocą systemu Windows 7, a następnie możemy wyeksportować te zasady i zaimportować je do zasad grupy. Dzięki temu mamy dodatkową zaletę, że możemy sprawdzić, czy wszystkie reguły są skonfigurowane i działają tak, jak chcemy, przed wdrożeniem ich na wszystkich komputerach klienckich.

Tworzenie szablonu zapory

Aby utworzyć szablon dla Zapory systemu Windows, musimy uruchomić Centrum sieci i udostępniania, najłatwiej to zrobić, klikając prawym przyciskiem myszy ikonę sieci i wybierając opcję Otwórz Centrum sieci i udostępniania z menu kontekstowego.1626850591 688 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Po otwarciu Centrum sieci i udostępniania kliknij łącze Zapora systemu Windows w lewym dolnym rogu.

1626850592 66 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca


Tworząc szablon dla Zapory systemu Windows, najlepiej jest to zrobić za pomocą Zapory systemu Windows z konsolą zabezpieczeń zaawansowanych, aby uruchomić tę opcję, kliknij Ustawienia zaawansowane po lewej stronie.

1626850592 410 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Uwaga: W tym momencie zamierzam edytować specyficzne reguły Skype’a, jednak możesz dodać własne reguły dla portów, a nawet aplikacji. Wszelkie modyfikacje, które musisz wprowadzić w zaporze, należy wykonać teraz.

Stąd możemy rozpocząć edycję naszych reguł zapory, w naszym przypadku, gdy aplikacja Skype jest zainstalowana, tworzy ona własne wyjątki zapory, które umożliwiają skype.exe komunikowanie się w profilach sieci Domena, Prywatna i Publiczna.

1626850592 193 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Teraz musimy edytować naszą regułę zapory, aby ją edytować, kliknij dwukrotnie regułę. Spowoduje to wyświetlenie właściwości reguły Skype.

1626850592 450 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Przełącz się na zakładkę Zaawansowane i odznacz pole wyboru Domena.

1626850592 46 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Gdy spróbujesz teraz uruchomić Skype’a, zostaniesz poproszony o pytanie, czy może komunikować się w profilu sieci domeny, odznacz pole i kliknij zezwól na dostęp.

1626850592 914 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca


Jeśli teraz wrócisz do reguł zapory przychodzącej, zobaczysz, że istnieją dwie nowe reguły, ponieważ po wyświetleniu monitu zdecydowałeś, aby nie zezwalać na ruch przychodzący Skype. Jeśli spojrzysz na kolumnę profilu, zobaczysz, że oba dotyczą profilu sieci domeny.

Uwaga: Powodem istnienia dwóch reguł jest to, że istnieją osobne reguły dla TCP i UDP

1626850592 388 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Jak dotąd wszystko jest w porządku, jednak jeśli uruchomisz Skype, nadal będziesz mógł się zalogować.

1626850592 231 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Nawet jeśli zmienisz reguły, aby blokować ruch przychodzący dla skype.exe i ustawisz blokowanie ruchu przy użyciu DOWOLNEGO protokołu, nadal jest on w stanie jakoś wrócić. Poprawka jest prosta, przede wszystkim powstrzymaj go od możliwości komunikacji. Aby to zrobić, przełącz się na Reguły wychodzące i zacznij tworzyć nową regułę.

1626850593 817 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Ponieważ chcemy utworzyć regułę dla programu Skype, po prostu kliknij Dalej, a następnie wyszukaj plik wykonywalny Skype i kliknij Dalej.

1626850593 84 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Możesz pozostawić akcję domyślną, która ma zablokować połączenie i kliknąć Dalej.

1626850593 124 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca


Usuń zaznaczenie pól wyboru Prywatne i Publiczne i kliknij Dalej, aby kontynuować.

1626850593 276 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Teraz nadaj nazwę swojej regule i kliknij Zakończ

1626850593 209 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Teraz, jeśli spróbujesz uruchomić Skype’a podczas połączenia z siecią Domain, nie będzie działać

1626850593 983 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Jeśli jednak spróbują połączyć się po powrocie do domu, pozwoli im to połączyć się dobrze

1626850593 978 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

To wszystkie reguły zapory, które teraz stworzymy, nie zapomnij przetestować swoich reguł, tak jak zrobiliśmy to dla Skype’a.

Eksport Polityki

Aby wyeksportować politykę, w lewym panelu kliknij na korzeń drzewa, który mówi Zapora systemu Windows z zabezpieczeniami zaawansowanymi. Następnie kliknij Akcja i wybierz Zasady eksportu z menu.

1626850593 298 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Powinieneś zapisać to w udziale sieciowym lub nawet na USB, jeśli masz fizyczny dostęp do swojego serwera. Pójdziemy z udziałem sieciowym.


Uwaga: Uważaj na wirusy podczas korzystania z USB, ostatnią rzeczą, którą chcesz zrobić, to zainfekować serwer wirusem

1626850593 617 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Importowanie zasad do zasad grupy

Aby zaimportować zasady zapory, musisz otworzyć istniejący obiekt GPO lub utworzyć nowy obiekt GPO i połączyć go z jednostką organizacyjną zawierającą konta komputerów. Mamy GPO o nazwie Firewall Policy, który jest połączony z jednostką organizacyjną o nazwie Geek Computers, ta jednostka organizacyjna zawiera wszystkie nasze komputery. Po prostu skorzystamy z tej polityki.

1626850594 71 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Teraz przejdź do:

Otwórz Konfiguracja komputeraZasadyUstawienia systemu WindowsUstawienia zabezpieczeńZapora systemu Windows z zabezpieczeniami zaawansowanymi

Kliknij Zapora systemu Windows z zabezpieczeniami zaawansowanymi, a następnie kliknij opcję Działania i zasady importu

1626850594 310 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Zostaniesz poinformowany, że jeśli zaimportujesz zasadę, zastąpi ona wszystkie istniejące ustawienia, kliknij przycisk tak, aby kontynuować, a następnie wyszukaj zasady, które wyeksportowałeś w poprzedniej sekcji tego artykułu. Gdy zasada zostanie zaimportowana, otrzymasz powiadomienie.

1626850594 561 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Jeśli pójdziesz i spojrzysz na nasze zasady, zobaczysz, że utworzone przeze mnie reguły Skype’a nadal tam są.

1626850594 808 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Testowanie

Uwaga: nie należy wykonywać żadnych testów przed ukończeniem następnej sekcji artykułu. Jeśli to zrobisz, wszystkie reguły skonfigurowane lokalnie będą przestrzegane. Jedynym powodem, dla którego przeprowadziłem teraz pewne testy, było wskazanie kilku rzeczy.


Aby sprawdzić, czy reguły zapory zostały wdrożone na klientach, musisz przełączyć się na komputer kliencki i ponownie otworzyć Ustawienia zapory systemu Windows. Jak widać, powinien pojawić się komunikat informujący, że niektóre reguły zapory są zarządzane przez administratora systemu.

1626850594 545 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Kliknij łącze Zezwalaj programowi lub funkcji przez Zaporę systemu Windows po lewej stronie.

1626850594 374 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Jak powinieneś teraz zobaczyć, mamy reguły stosowane zarówno przez zasady grupy, jak i te tworzone lokalnie.

1626850594 728 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Co się tutaj dzieje i jak mogę to naprawić?

Domyślnie scalanie reguł jest włączone między lokalnymi zasadami zapory na komputerach z systemem Windows 7 a zasadami zapory określonymi w Zasadach grupy, które dotyczą tych komputerów. Oznacza to, że lokalni administratorzy mogą tworzyć własne reguły zapory, a te reguły zostaną połączone z regułami uzyskanymi za pomocą zasad grupy. Aby to naprawić, kliknij prawym przyciskiem myszy Zaporę systemu Windows z zabezpieczeniami zaawansowanymi i wybierz właściwości z menu kontekstowego. Po otwarciu okna dialogowego kliknij przycisk Dostosuj w sekcji ustawień.

1626850594 471 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Zmień opcję Zastosuj lokalne reguły zapory z Nieskonfigurowane na Nie.

1626850595 623 Group Policy Geek Jak kontrolowac zapore systemu Windows za pomoca

Po kliknięciu OK przełącz się na profile prywatne i publiczne i zrób to samo dla obu z nich.


To wszystko chłopaki, idźcie się zabawić z firewallem.

Czy ten post był pomocny?