- Настройка правил брандмауэра Windows групповыми политиками
- Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows
- Включаем Windows Firewall с помощью GPO
- Создаем правило файервола с помощью групповой политики
- Проверка политик брандмаэера Windows на клиентах
- Импорт / экспорт правил Брандмауэра Windows в GPO
- Доменные и локальные правила брандмауэра
- Несколько советов об управлении брандмауэром Windows через GPO
- Создание и развертывание политик брандмауэра Windows для Endpoint Protection в Configuration Manager Create and deploy Windows Firewall policies for Endpoint Protection in Configuration Manager
- Развертывание политики брандмауэра Windows To deploy a Windows Firewall policy
Настройка правил брандмауэра Windows групповыми политиками
Брандмауэр Windows позволяет ограничить исходящий / входящий сетевой трафик для определенного приложения или TCP/IP порта, и является популярным средством ограничения сетевого доступа к (от) рабочим станциям пользователей или серверам. Правила Windows Firewall можно настроить индивидуально на каждом компьютере, или, если компьютер пользователя включен в домен Windows, администратор может управлять настройками и правилами брандмауэра Windows с помощью групповых политик.
В крупных организация правила фильтрации портов обычно выносятся на уровень маршрутизатором, L3 коммутаторов или выделенных межсетевых экранах. Однако ничего не мешает вам распространить ваши правила ограничения сетевого доступа Windows Firewall к рабочим станциям или серверам Windows.
Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows
С помощью редактора доменной групповой политики (group Policy Management Console – gpmc.msc) создайте новую политику с именем Firewall-Policy и перейдите в режим редактирования (Edit).
В консоли групповой политики есть две секции, в которых можно управлять настройками брандмауэра:
- Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall – эта секция GPO использовалась для настройки правил брандмауэра для ОС Vista / Windows Server 2008 и ниже. Если у вас в домене нет компьютеров со старыми ОС, для настройки файервола используется следующая секция.
Network -> Network Connections -> Windows Firewall » width=»609″ height=»276″ srcset=»https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con.png 968w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-300×136.png 300w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-768×348.png 768w» sizes=»(max-width: 609px) 100vw, 609px»/> - Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security – это актуальный раздел для настройки Брандмауэра Windows в современных версиях ОС и по интерфейсу он напоминает интерфейс локальной консоли управления Брандмауэра.
Network -> Network Connections -> Windows Firewall » width=»609″ height=»276″ srcset=»https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con.png 968w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-300×136.png 300w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-768×348.png 768w» sizes=»(max-width: 609px) 100vw, 609px»/>Включаем Windows Firewall с помощью GPO
Чтобы пользователи (даже с правами локального админа) не могли выключить службу брандмауэра, желательно настроить автоматический запуск службы Windows Firewall через GPO. Для этого перейдите в раздел Computer Configuration- > Windows Settings -> Security Settings -> System Services. Найдите в списке служб Windows Firewall и измените тип запуск службы на автоматический (Define this policy setting -> Service startup mode Automatic). Убедитесь, что у пользователей нет прав на остановку службы.
Перейдите в раздел консоли GPO Computer Configuration -> Windows Settings -> Security Settings. Щелкните ПКМ по Windows Firewall with Advanced Security и откройте свойства.
На всех трех вкладках Domain Profile, Private Profile и Public Profile (что такое профиль сети) измените состояние Firewall state на On (recommended). В зависимости от политик безопасности в вашей организации вы можете указать, что все входящие подключения по умолчанию запрещены(Inbound connections -> Block), а исходящие разрешены (Outbound connections -> Allow) и сохраните изменения.
Создаем правило файервола с помощью групповой политики
Теперь попробуем создать разрешающее входящее правило файервола для всех. Например, мы хотим разрешить подключение к компьютерам по RDP (порт TCP 3389). Щелкните ПКМ по разделу Inbound Rules и выберите пункт меню New Rule.
Мастер создания правила брандмауэра очень похож на интерфейс локального Windows Firewall на обычном компьютере.
Выберите тип правила. Можно разрешить доступ для:
- Программы (Program) – можно выбрать исполняемый exe программы;
- Порта (Port) – выбрать TCP/UDP порт или диапазон портов;
- Преднастроенное правило (Predefined) – выбрать одно из стандартных правил Windows, в которых уже имеются правила доступа (описаны как исполняемые файлы, так и порты) к типовым службам (например, AD, Http, DFS, BranchCache, удаленная перезагрузка, SNMP, KMS и т.д.);
- Собственное правило (Custom) – здесь можно указать программу, протокол (другие протоколы помимо TCP и UDP, например, ICMP, GRE, L2TP, IGMP и т.д.), IP адреса клиентов или целые IP подсети.
В нашем случае мы выберем правило Port. В качестве протокола укажем TCP, в качестве порта – порт 3389 (RDP порт по-умолчанию, можно изменить).
Далее нужно выбрать что нужно сделать с таким сетевым соединением: разрешить (Allow the connection), разрешить если оно безопасное или заблокировать (Block the connection).
Осталось выбрать профили файервола, которым нужно применить правило. Можно оставить все профили (Domain, Private и Public).
На последнем шаге нужно указать имя правило и его описание. Нажмите кнопку Finish и оно появится в списке правил брандмауэра.
Аналогичным образом вы можете настроить другие правила для входящего трафика, которые должны применятся к вашим клиентам Windows.
Не забываете, что нужно создать правила для входящего и исходящего трафика.
Теперь осталось назначить политику Firewall-Policy на OU с компьютерами пользователей
Проверка политик брандмаэера Windows на клиентах
Обновите политики на клиентах (gpupdate /force). Проверьте, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или утилиту Portqry).
На ПК пользователя откройте Панель управления\Система и безопасность\Брандмауэр Защитника Windows и убедитесь, что появилась надпись: Для обеспечения безопасности, некоторые параметры управляются групповой политикой (For your security, some settings are controlled by Group Policy), и используются заданные вами настройки брандмаэера.
Пользователь теперь не может изменить настройки брандмауэра, а в списке Inbound Rules должны быть указаны все созданные вами правила.
Также вы можете вывести настройки файервола с помощью команды:
netsh firewall show state
Импорт / экспорт правил Брандмауэра Windows в GPO
Конечно, процесс создания правил для брандмауэра Windows – очень кропотливое и долгое занятие (но результате того стоит). Для упрощения свое задачи можно воспользоваться возможностью импорт и экспорта настроек брандмауэра Windows. Для этого вам достаточно нужным образом настроить локальные правила брандмауэра на обычном рабочей станции. Затем встаньте на корень оснастки брандмауэра (Монитор Брандмауэра Защитника Windows в режиме повышенной безопасности) и выберите пункт Действие -> Экспорт политики.
Политика выгружается в WFW файл, который можно импортировать в редакторе Group Policy Management Editor, выбрав пункт Import Policy и указав путь к файлу wfw (текущие настройки будут перезаписаны).
Доменные и локальные правила брандмауэра
В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать на своих компьютерах собственные правила брандмауэра и эти должны быть объединены с правилами, полученными с помощью групповой политики. в групповой политике вы можете выбрать режим объединения правил. Откройте свойства политики и обратите внимание на настройки в разделе Rule merging. По умолчанию режим объединения правил включен. Вы можете принудительно указать, что локальный администратор может создавать собственные правила брандмауэра: в параметре Apply local firewall rules выберите Yes (default).
Несколько советов об управлении брандмауэром Windows через GPO
Конечно, для серверов и рабочих станций нужно создавать отдельные политики управления правилами брандмауэра (для каждой группы одинаковых серверов возможно придется создать собственные политики в зависимости от их роли). Т.е. правила файервола для контроллера домена, почтового Exchange сервера и сервера SQL будут отличаться.
Какие порты нужно открыть для той или иной службы нужно искать в документации на сайте разработчика. Процесс довольно кропотливый и на первый взгляд сложный. Но постепенно вполне реальной придти к работоспособной конфигурации Windows файервола, который разрешает только одобренные подключения и блокирует все остальное. По опыту хочу отметить, что на ПО Microsoft можно довольно быстро найти список используемых TCP/UDP портов.
Создание и развертывание политик брандмауэра Windows для Endpoint Protection в Configuration Manager Create and deploy Windows Firewall policies for Endpoint Protection in Configuration Manager
Область применения: Configuration Manager (Current Branch) Applies to: Configuration Manager (current branch)
Политики брандмауэра для Endpoint Protection в Configuration Manager позволяют выполнять основные задачи по настройке и обслуживанию брандмауэра Windows на клиентских компьютерах в иерархии. Firewall policies for Endpoint Protection in Configuration Manager let you perform basic Windows Firewall configuration and maintenance tasks on client computers in your hierarchy. Политики брандмауэра Windows можно использовать для выполнения следующих задач: You can use Windows Firewall policies to perform the following tasks:
включение и отключение брандмауэра Windows; Control whether Windows Firewall is turned on or off.
управление разрешением входящих подключений к клиентским компьютерам; Control whether incoming connections are allowed to client computers.
настройка оповещений пользователей о блокировании новых программ брандмауэром Windows. Control whether users are notified when Windows Firewall blocks a new program.
В консоли Configuration Manager щелкните элемент Активы и соответствие. In the Configuration Manager console, click Assets and Compliance.
В рабочей области Активы и соответствие разверните узел Endpoint Protectionи щелкните Политики брандмауэра Windows. In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Firewall Policies.
На вкладке Главная в группе Создать щелкните элемент Создать политику брандмауэра Windows. On the Home tab, in the Create group, click Create Windows Firewall Policy.
На странице Общие мастера создания политики брандмауэра Windowsукажите имя и описание (необязательно) для этой политики брандмауэра, затем нажмите кнопку Далее. On the General page of the Create Windows Firewall Policy Wizard, specify a name and an optional description for this firewall policy, and then click Next.
На странице Параметры профиля мастера настройте перечисленные ниже параметры для сетевых профилей. On the Profile Settings page of the wizard, configure the following settings for each network profile:
Дополнительные сведения о сетевых профилях см. в документации Windows. For more information about network profiles, see the Windows documentation.
Включение брандмауэра Windows Enable Windows Firewall
Если переключатель Включить брандмауэр Windows не установлен, другие параметры на этой странице мастера недоступны. If Enable Windows Firewall is not enabled, the other settings on this page of the wizard are unavailable.
Блокирование всех входящих подключений, включая подключения, указанные в списке разрешенных программ Block all incoming connections, including those in the list of allowed programs
Уведомлять пользователя, когда брандмауэр Windows блокирует новую программу Notify the user when Windows Firewall blocks a new program
На странице мастера Сводка просмотрите список необходимых действий и завершите работу мастера. On the Summary page of the wizard, review the actions to be taken, and then complete the wizard.
Убедитесь в том, что новая политика брандмауэра Windows отображается в списке Политики брандмауэра Windows . Verify that the new Windows Firewall policy is displayed in the Windows Firewall Policies list.
Развертывание политики брандмауэра Windows To deploy a Windows Firewall policy
В консоли Configuration Manager щелкните элемент Активы и соответствие. In the Configuration Manager console, click Assets and Compliance.
В рабочей области Активы и соответствие разверните узел Endpoint Protectionи щелкните Политики брандмауэра Windows. In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Firewall Policies.
В списке Политики брандмауэра Windows выберите политику брандмауэра Windows для развертывания. In the Windows Firewall Policies list, select the Windows Firewall policy that you want to deploy.
На вкладке Главная в группе Развертывание нажмите кнопку Развернуть. On the Home tab, in the Deployment group, click Deploy.
В диалоговом окне Развернуть политику брандмауэра Windows укажите коллекцию, которой требуется назначить эту политику брандмауэра, и задайте расписание назначения. In the Deploy Windows Firewall Policy dialog box, specify the collection to which you want to assign this Windows Firewall policy, and specify an assignment schedule. Политика брандмауэра Windows выполнит проверку соответствия по этому расписанию и изменит параметры брандмауэра на клиентах в соответствии с данной политикой. The Windows Firewall policy evaluates for compliance by using this schedule and the Windows Firewall settings on clients to reconfigure to match the Windows Firewall policy.
Нажмите кнопку ОК , чтобы закрыть диалоговое окно Развернуть политику брандмауэра Windows и развернуть политику брандмауэра Windows. Click OK to close the Deploy Windows Firewall Policy dialog box and to deploy the Windows Firewall policy.
При развертывании политики брандмауэра Windows для коллекции она применяется к компьютерам в произвольном порядке в течение двухчасового периода, что позволяет избежать перегрузки сети. When you deploy a Windows Firewall policy to a collection, this policy is applied to computers in a random order over a 2 hour period to avoid flooding the network.
