Konfigurace pravidel brány firewall systému Windows podle skupinových zásad

Brána Windows Firewall umožňuje omezit odchozí / příchozí síťový provoz pro konkrétní aplikaci nebo port TCP / IP a je oblíbeným prostředkem omezení přístupu k síti k (z) uživatelským pracovním stanicím nebo serverům. Pravidla brány firewall systému Windows lze konfigurovat jednotlivě v každém počítači, nebo pokud je počítač uživatele v doméně Windows, může administrátor ovládat nastavení a pravidla brány firewall systému Windows pomocí skupinových zásad.

Ve velké organizaci jsou pravidla filtrování portů obvykle prováděna na úrovni routeru, přepínačů L3 nebo vyhrazených firewallů. Nic vám však nebrání rozšířit pravidla pro omezení přístupu k bráně Windows Firewall v síti na pracovní stanice nebo servery Windows..

Obsah:

  • Zásady skupiny používané ke správě nastavení brány Windows Defender
  • Zapněte bránu Windows Firewall pomocí GPO
  • Vytvořte pravidlo brány firewall pomocí zásad skupiny
  • Kontrola zásad brány firewall systému Windows u klientů
  • Import / export pravidel brány firewall systému Windows v GPO
  • Pravidla domény a lokálního firewallu
  • Několik tipů pro správu brány Windows Firewall pomocí GPO

Zásady skupiny používané ke správě nastavení brány Windows Defender

Pomocí konzoly pro správu zásad skupiny (gpmc.msc) vytvořte novou zásadu s názvem Firewall-Policy a přejděte do režimu úprav (Upravit)..

V konzole Zásady skupiny jsou dvě sekce, kde můžete spravovat nastavení brány firewall:

  • Konfigurace počítače -> Šablony pro správu -> Síť -> Síťová připojení -> Brána Windows Firewall - Tato část GPO byla použita ke konfiguraci pravidel brány firewall pro systémy Vista / Windows Server 2008 a níže. Pokud v doméně nemáte počítače se starým operačním systémem, nakonfigurujte bránu firewall v následující části.
  • Konfigurace počítače -> Nastavení systému Windows -> Nastavení zabezpečení -> Brána Windows Firewall s pokročilým zabezpečením - Toto je skutečná část pro konfiguraci brány Windows Firewall v moderních verzích operačního systému a z hlediska rozhraní se podobá rozhraní místní konzoly pro správu brány Firewall..

Zapněte bránu Windows Firewall pomocí GPO

Aby uživatelé (i s oprávněními místního správce) nemohli vypnout službu firewall, je vhodné nakonfigurovat službu Windows Firewall tak, aby se spouštěla ​​automaticky prostřednictvím GPO. Chcete-li to provést, přejděte na Konfigurace počítače-> Nastavení systému Windows -> Nastavení zabezpečení -> Systémové služby. Najděte v seznamu služeb Windows firewall a změňte typ spuštění služby na automatický (Definujte toto nastavení zásad -> Režim spuštění služby Automaticky). Ověřte, zda uživatelé nemají oprávnění k zastavení služby..

Přejděte do sekce konzoly GPO Konfigurace počítače -> Nastavení systému Windows -> Nastavení zabezpečení. Klikněte pravým tlačítkem myši Brána Windows Firewall s pokročilým zabezpečením a otevřené vlastnosti.

Na všech třech kartách profilu domény, soukromého profilu a veřejného profilu (co je síťový profil) změňte stav brány Firewall na Zapnuto (doporučeno). V závislosti na zásadách zabezpečení ve vaší organizaci můžete určit, že všechna příchozí připojení jsou ve výchozím nastavení deaktivována (Příchozí připojení -> Blokovat) a odchozí připojení jsou povolena (Odchozí připojení -> Povolit) a změny uložte..

Vytvořte pravidlo brány firewall pomocí zásad skupiny

Nyní se pokusíme vytvořit pro každého přípustné pravidlo brány firewall. Chceme například povolit připojení k počítačům prostřednictvím protokolu RDP (TCP port 3389). Pravým tlačítkem myši klikněte na sekci Příchozí pravidla a vyberte položku nabídky Nové pravidlo..

Průvodce pravidly brány firewall je velmi podobný místnímu rozhraní brány firewall systému Windows v běžném počítači.

Vyberte typ pravidla. Můžete povolit přístup k:

  • Programy (Program) - můžete vybrat spustitelný exe program;
  • Port (Port) - vyberte port TCP / UDP nebo rozsah portů;
  • Předdefinované pravidlo (Předdefinováno) - vyberte jedno ze standardních pravidel Windows, která již mají přístupová pravidla (jsou popsány spustitelné soubory i porty) k typickým službám (například AD, Http, DFS, BranchCache, vzdálené restartování, SNMP, KMS a atd.);
  • Vlastní pravidlo - zde můžete specifikovat program, protokol (jiné protokoly kromě TCP a UDP, například ICMP, GRE, L2TP, IGMP atd.), IP adresy klienta nebo celé IP podsítě.

V našem případě zvolíme pravidlo Port. Jako protokol specifikujeme TCP, port 3389 jako port (výchozí port RDP lze změnit).

Dále musíte zvolit, co s takovým síťovým připojením musíte udělat: Povolit (Povolit připojení), Povolit, pokud je zabezpečené nebo blokovat (Blokovat připojení).

Zbývá vybrat profily brány firewall, které musí použít pravidlo. Můžete nechat všechny profily (Doména, Soukromé a Veřejné)).

V posledním kroku musíte zadat název pravidla a jeho popis. Klikněte na Dokončit a objeví se v seznamu pravidel brány firewall..

Podobně můžete nakonfigurovat další příchozí pravidla, která by se měla vztahovat na vaše klienty Windows..

Nezapomeňte, že musíte vytvořit pravidla pro příchozí a odchozí provoz.

Nyní zbývá přiřadit Firewall-Policy OU u uživatelských počítačů

Je to důležité. Před použitím zásady brány firewall na OU u produktivních počítačů se důrazně doporučuje otestovat ji na testovacích počítačích. Jinak z důvodu nesprávného nastavení brány firewall můžete paralyzovat práci podniku. Chcete-li diagnostikovat použití skupinových zásad, použijte nástroj gpresult.exe. 

Kontrola zásad brány firewall systému Windows u klientů

Aktualizujte zásady pro klienty (gpupdate / force). Ověřte, zda jsou zadané porty k dispozici v počítačích uživatelů (můžete použít rutinu Test-NetConnection cmdlet nebo nástroj Portqry).

V počítači uživatele otevřete Ovládací panely \ Systém a zabezpečení \ Windows Defender Firewall a ujistěte se, že se zobrazí následující: Z bezpečnostních důvodů jsou některá nastavení řízena zásadami skupiny. (Pro vaši bezpečnost jsou některá nastavení řízena Zásadami skupiny) a jsou použita nastavení brány firewall.

Uživatel již nemůže měnit nastavení brány firewall av seznamu Příchozí pravidla musí být uvedena všechna vytvořená pravidla.

Nastavení brány firewall můžete zobrazit také příkazem:

netsh firewall show state

Import / export pravidel brány firewall systému Windows v GPO

Proces vytváření pravidel pro bránu Windows Firewall je samozřejmě velmi pečlivý a zdlouhavý úkol (ale výsledek stojí za to). Pro zjednodušení úlohy můžete využít možnosti importu a exportu nastavení brány Windows Firewall. Chcete-li to provést, stačí nakonfigurovat pravidla místní brány firewall na běžné pracovní stanici. Poté přejděte do kořenového adresáře modulu brány firewall (Windows Defender Firewall Monitor v pokročilém zabezpečení) a vyberte Akce -> Vývozní politika.

Zásada se nahraje do souboru WFW, který lze importovat do Editoru správy zásad skupiny výběrem Importní politika a zadání cesty k souboru wfw (aktuální nastavení bude přepsáno).

Pravidla domény a lokálního firewallu

V závislosti na tom, zda chcete, aby místní správci mohli ve svých počítačích vytvářet vlastní pravidla brány firewall, by tato pravidla měla být kombinována s pravidly získanými pomocí zásad skupiny. v zásadách skupiny můžete zvolit režim kombinování pravidel. Otevřete vlastnosti zásad a věnujte pozornost nastavení v sekci Pravidlo slučování. Ve výchozím nastavení je slučování pravidel povoleno. Můžete vynutit, aby místní správce vytvořil svá vlastní pravidla pro firewall: v parametru Použijte pravidla lokálního firewallu vyberte Ano (výchozí).

Tip. Blokování pravidel brány firewall má přednost před povolením pravidel. I.e. uživatel nebude moci vytvořit své vlastní povolující přístupové pravidlo, které je v rozporu se zákazovým pravidlem nakonfigurovaným správcem prostřednictvím GPO. Uživatel však může vytvořit pravidlo lokálního odepření, i když tento přístup povoluje správce v zásadě.

Několik tipů pro správu brány Windows Firewall pomocí GPO

Pro servery a pracovní stanice samozřejmě musíte vytvořit samostatné zásady pro správu pravidel brány firewall (pro každou skupinu identických serverů budete možná muset vytvořit vlastní zásady v závislosti na jejich roli). I.e. pravidla brány firewall pro řadič domény, poštovní server Exchange a server SQL se budou lišit.

Jaké porty musíte otevřít pro konkrétní službu, kterou potřebujete vyhledat v dokumentaci na webu vývojáře. Tento proces je velmi pečlivý a na první pohled komplikovaný. Postupně je ale reálné přijít na funkční bránu Windows, která umožňuje pouze schválená připojení a blokuje vše ostatní. Ze zkušenosti chci poznamenat, že v softwaru Microsoft můžete docela rychle najít seznam použitých portů TCP / UDP.