Виндовс ватрозид вам омогућава да ограничите одлазни / долазни мрежни саобраћај за одређену апликацију или ТЦП / ИП порт и представља популарно средство за ограничавање мрежног приступа (са) корисничких радних станица или сервера. Правила заштитног зида Виндовс могу се индивидуално конфигурисати на сваком рачунару или, ако је рачунар корисника укључен у Виндовс домен, администратор може контролисати подешавања и правила Виндовс заштитног зида користећи групне смернице.
У великој организацији правила филтрирања портова се обично изводе на нивоу рутера, Л3 склопки или наменских фиревалл-а. Међутим, ништа вас не спречава да проширите своја правила за ограничавање приступа Виндовс заштитног зида Виндовс радним станицама или серверима..
Садржај:
- Групне политике које се користе за управљање поставкама заштитног зида Виндовс Дефендер
- Укључите Виндовс заштитни зид користећи ГПО
- Креирајте правило заштитног зида користећи групне политике
- Провера смерница Виндовс заштитног зида на клијентима
- Увоз / извоз Виндовс заштитног зида у ГПО
- Правила домена и локалног заштитног зида
- Неколико савета за управљање Виндовс заштитним зидом кроз ГПО
Групне политике које се користе за управљање поставкама заштитног зида Виндовс Дефендер
Помоћу конзоле за управљање групним политикама (гпмц.мсц) креирајте нову политику под називом Фиревалл-Полици и пређите у режим уређивања (Едит).
Постоје два одељка на конзоли Групне политике где можете управљати поставкама заштитног зида:
- Конфигурација рачунара -> Административни предлошци -> Мрежа -> Мрежне везе -> Виндовс заштитни зид - овај одељак ГПО-а коришћен је за конфигурисање правила заштитног зида за Виста / Виндовс Сервер 2008 и старије верзије. Ако у рачунару немате рачунаре са старим ОС-ом, помоћу следећег одељка конфигуришите фиревалл.
- Конфигурација рачунара -> Подешавања оперативног система Виндовс -> Подешавања сигурности -> Виндовс заштитни зид са напредном заштитом - ово је стварни одељак за конфигурисање Виндовс заштитног зида у модерним верзијама оперативног система и у погледу интерфејса подсећа на интерфејс локалне управљачке конзоле за фиревалл..
Укључите Виндовс заштитни зид користећи ГПО
Тако да корисници (чак и с локалним администраторским привилегијама) не могу искључити услугу заштитног зида, препоручљиво је конфигурирати Виндовс заштитни зид да се аутоматски покрене путем ГПО-а. Да бисте то учинили, идите на Конфигурација рачунара-> Подешавања Виндовс -> Сигурносне поставке -> Системске услуге. Пронађите на листи услуга Виндовс заштитни зид и промените врсту покретања услуге у аутоматски (Дефинишите ову поставку смерница -> Режим покретања услуге Аутоматски). Проверите да корисници немају дозволу за заустављање услуге..
Идите на одељак ГПО конзоле Конфигурација рачунара -> Подешавања оперативног система Виндовс -> Сигурносне поставке. Десним кликом на Виндовс заштитни зид са напредном безбедношћу и отварање својстава.
На све три картице профила домена, приватног профила и јавног профила (шта је мрежни профил) промените стање заштитног зида у Укључено (препоручено). У зависности од безбедносних смерница у вашој организацији, можете да одредите да су све долазне везе подразумевано онемогућене (улазне везе -> блок), а одлазне везе су дозвољене (одлазне везе -> дозволи) и сачувајте промене.
Креирајте правило заштитног зида користећи групне политике
Сада покушајмо да створимо дозвољено правило фиревалл-а за све. На пример, желимо да омогућимо повезивање са рачунаром преко РДП-а (ТЦП порт 3389). Кликните десним тастером миша на одељак Правила улазних записа и изаберите ставку менија Ново правило..
Чаробњак за правила заштитног зида је врло сличан локалном Виндовс интерфејсу заштитног зида на обичном рачунару.
Изаберите тип правила. Можете дозволити приступ:
- Програми (програм) - можете одабрати извршни еке програм;
- Порт (Порт) - одаберите ТЦП / УДП порт или распон прикључака;
- Унапред дефинисано правило (унапред дефинисано) - изаберите једно од стандардних Виндовс правила која већ имају правила приступа (описане су и извршне датотеке и портови) уобичајеним сервисима (на пример, АД, ХТТП, ДФС, БранцхЦацхе, даљинско поновно покретање, СНМП, КМС и итд.);
- Прилагођено правило - овде можете да одредите програм, протокол (други протоколи осим ТЦП и УДП, на пример, ИЦМП, ГРЕ, Л2ТП, ИГМП, итд.), ИП адресе клијента или читаве ИП подмреже.
У нашем случају изабрат ћемо правило Порта. Навешћемо ТЦП као протокол, порт 3389 као порт (подразумевани РДП порт се може променити).
Затим морате одабрати шта треба да урадите са таквом мрежном везом: допусти (Допусти везу), дозволи да ли је сигурна или блокирај (Блокирај везу).
Остаје да одаберете профиле заштитног зида на које треба применити правило. Можете напустити све профиле (домене, приватни и јавни)).
На последњем кораку морате да одредите назив правила и његов опис. Кликните Заврши и појавиће се на листи правила заштитног зида..
Слично томе, можете да конфигуришете и друга улазна правила која би требало да се односе на ваше Виндовс клијенте..
Не заборавите да морате да направите правила за долазни и одлазни саобраћај.
Сада остаје да додијелите политику заштитног зида ОУ-у с корисничким рачунарима
Важно је. Пре него што примените политику заштитног зида на ОУ код продуктивних рачунара, високо је препоручљиво да га тестирате на тестним рачунарима. У супротном, због погрешних подешавања заштитног зида, можете парализовати рад предузећа. Да бисте дијагностицирали употребу групних полиса, користите услужни програм гпресулт.еке.Провера смерница Виндовс заштитног зида на клијентима
Ажурирајте смернице за клијенте (гпупдате / форце). Проверите да ли су портови које сте навели доступни на рачунарима корисника (можете користити цмдлет Тест-НетЦоннецтион или услужни програм Порткри).
На корисничком ПЦ-у отворите Цонтрол Панел \ Систем анд Сецурити \ Виндовс Дефендер Фиревалл и уверите се да се појављује следеће: Ради сигурности, нека подешавања управљају Гроуп Полици. (Ради ваше безбедности, неким подешавањима се управља групна политика) и користе се подешавања заштитног зида које сте навели.
Корисник више не може да мења поставке заштитног зида, а на листи улазних правила морају бити наведена сва правила која сте креирали.
Поставке заштитног зида можете приказати и помоћу наредбе:
стање мреже заштитног зида
Увоз / извоз Виндовс заштитног зида у ГПО
Наравно, поступак креирања правила за Виндовс фиревалл је веома мукотрпан и дуготрајан задатак (али резултат је вредан тога). Да бисте поједноставили задатак, можете да искористите могућност увоза и извоза поставки заштитног зида Виндовс. Да бисте то учинили, само морате конфигурирати правила локалног заштитног зида на редовној радној станици. Затим идите на коријен прикључка заштитног зида (Монитор заштитног зида Виндовс Дефендер у напредној безбедности) и изаберите Акција -> Извозна политика.
Правила се преносе у ВФВ датотеку, која се може увести у уређивач управљања групним политикама одабиром Увозна политика и навођење пута до вфв датотеке (тренутне поставке ће бити пребрисане).
Правила домена и локалног заштитног зида
Зависно од тога да ли желите да локални администратори могу да креирају сопствена правила заштитног зида на својим рачунарима, а она би требало да се комбинују са правилима добијеним коришћењем Групне политике. у групној политици можете одабрати начин комбиновања правила. Отворите својства смерница и обратите пажњу на подешавања у одељку Спајање правила. Подразумевано је омогућено спајање правила. Можете присилити локалног администратора да креира своја правила заштитног зида: у параметру Примените локална правила заштитног зида одаберите Да (задано).
Неколико савета за управљање Виндовс заштитним зидом кроз ГПО
Наравно, за сервере и радне станице морате да креирате одвојене смернице за управљање правилима заштитног зида (за сваку групу идентичних сервера можда ћете морати да креирате сопствене смернице у зависности од њихове улоге). И.е. Правила заштитног зида за контролер домена, сервер за размјену поште и СКЛ сервер ће бити различита.
Које портове требате да отворите за одређену услугу морате потражити у документацији на веб локацији програмера. Процес је прилично мукотрпан и на први поглед компликован. Али постепено је сасвим реално доћи до корисне Виндовс конфигурације заштитног зида, која омогућава само одобрене везе и блокира све остало. Из искуства желим напоменути да на Мицрософтовом софтверу прилично брзо можете наћи листу коришћених ТЦП / УДП портова.
