Главная » Linux

Windows firewall block rule

Содержание
  1. Create an Outbound Port Rule
  2. Настройка правил брандмауэра Windows групповыми политиками
  3. Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows
  4. Включаем Windows Firewall с помощью GPO
  5. Создаем правило файервола с помощью групповой политики
  6. Проверка политик брандмаэера Windows на клиентах
  7. Импорт / экспорт правил Брандмауэра Windows в GPO
  8. Доменные и локальные правила брандмауэра
  9. Несколько советов об управлении брандмауэром Windows через GPO
  10. Windows Defender Firewall rule is blocking your connection [EXPERT FIX]
  11. How do I stop the Firewall from blocking my Internet connection?
  12. 1. Uncheck HSS DNS Leak Rule’s Firewall Permission
  13. 2. Turn Off the Windows Defender Firewall
  14. 3. Reinstall Hotspot Shield

Create an Outbound Port Rule

Applies to

  • WindowsВ 10
  • Windows Server 2016

By default, Windows Defender Firewall allows all outbound network traffic unless it matches a rule that prohibits the traffic. To block outbound network traffic on a specified TCP or UDP port number, use the Windows Defender Firewall with Advanced Security node in the Group Policy Management console to create firewall rules. This type of rule blocks any outbound network traffic that matches the specified TCP or UDP port numbers.

Administrative credentials

To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.

To create an outbound port rule

In the navigation pane, click Outbound Rules.

Click Action, and then click New rule.

On the Rule Type page of the New Outbound Rule wizard, click Custom, and then click Next.

Note:В В Although you can create rules by selecting Program or Port, those choices limit the number of pages presented by the wizard. If you select Custom, you see all of the pages, and have the most flexibility in creating your rules.

On the Program page, click All programs, and then click Next.

On the Protocol and Ports page, select the protocol type that you want to block. To restrict the rule to a specified port number, you must select either TCP or UDP. Because this is an outbound rule, you typically configure only the remote port number.

If you select another protocol, then only packets whose protocol field in the IP header match this rule are blocked by Windows Defender Firewall. Network traffic for protocols is allowed as long as other rules that match do not block it.

To select a protocol by its number, select Custom from the list, and then type the number in the Protocol number box.

When you have configured the protocols and ports, click Next.

On the Scope page, you can specify that the rule applies only to network traffic to or from the IP addresses entered on this page. Configure as appropriate for your design, and then click Next.

On the Action page, select Block the connection, and then click Next.

On the Profile page, select the network location types to which this rule applies, and then click Next.

On the Name page, type a name and description for your rule, and then click Finish.

Читайте также:  Параметры панели задач windows 10 как открыть

Настройка правил брандмауэра Windows групповыми политиками

Брандмауэр Windows позволяет ограничить исходящий / входящий сетевой трафик для определенного приложения или TCP/IP порта, и является популярным средством ограничения сетевого доступа к (от) рабочим станциям пользователей или серверам. Правила Windows Firewall можно настроить индивидуально на каждом компьютере, или, если компьютер пользователя включен в домен Windows, администратор может управлять настройками и правилами брандмауэра Windows с помощью групповых политик.

В крупных организация правила фильтрации портов обычно выносятся на уровень маршрутизатором, L3 коммутаторов или выделенных межсетевых экранах. Однако ничего не мешает вам распространить ваши правила ограничения сетевого доступа Windows Firewall к рабочим станциям или серверам Windows.

Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows

С помощью редактора доменной групповой политики (group Policy Management Console – gpmc.msc) создайте новую политику с именем Firewall-Policy и перейдите в режим редактирования (Edit).

В консоли групповой политики есть две секции, в которых можно управлять настройками брандмауэра:

  • Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall – эта секция GPO использовалась для настройки правил брандмауэра для ОС Vista / Windows Server 2008 и ниже. Если у вас в домене нет компьютеров со старыми ОС, для настройки файервола используется следующая секция.
    Network -> Network Connections -> Windows Firewall » width=»609″ height=»276″ srcset=»https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con.png 968w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-300×136.png 300w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-768×348.png 768w» sizes=»(max-width: 609px) 100vw, 609px»/>
  • Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security – это актуальный раздел для настройки Брандмауэра Windows в современных версиях ОС и по интерфейсу он напоминает интерфейс локальной консоли управления Брандмауэра.

Включаем Windows Firewall с помощью GPO

Чтобы пользователи (даже с правами локального админа) не могли выключить службу брандмауэра, желательно настроить автоматический запуск службы Windows Firewall через GPO. Для этого перейдите в раздел Computer Configuration- > Windows Settings -> Security Settings -> System Services. Найдите в списке служб Windows Firewall и измените тип запуск службы на автоматический (Define this policy setting -> Service startup mode Automatic). Убедитесь, что у пользователей нет прав на остановку службы.

Перейдите в раздел консоли GPO Computer Configuration -> Windows Settings -> Security Settings. Щелкните ПКМ по Windows Firewall with Advanced Security и откройте свойства.

На всех трех вкладках Domain Profile, Private Profile и Public Profile (что такое профиль сети) измените состояние Firewall state на On (recommended). В зависимости от политик безопасности в вашей организации вы можете указать, что все входящие подключения по умолчанию запрещены(Inbound connections -> Block), а исходящие разрешены (Outbound connections -> Allow) и сохраните изменения.

Создаем правило файервола с помощью групповой политики

Теперь попробуем создать разрешающее входящее правило файервола для всех. Например, мы хотим разрешить подключение к компьютерам по RDP (порт TCP 3389). Щелкните ПКМ по разделу Inbound Rules и выберите пункт меню New Rule.

Мастер создания правила брандмауэра очень похож на интерфейс локального Windows Firewall на обычном компьютере.

Выберите тип правила. Можно разрешить доступ для:

  • Программы (Program) – можно выбрать исполняемый exe программы;
  • Порта (Port) – выбрать TCP/UDP порт или диапазон портов;
  • Преднастроенное правило (Predefined) – выбрать одно из стандартных правил Windows, в которых уже имеются правила доступа (описаны как исполняемые файлы, так и порты) к типовым службам (например, AD, Http, DFS, BranchCache, удаленная перезагрузка, SNMP, KMS и т.д.);
  • Собственное правило (Custom) – здесь можно указать программу, протокол (другие протоколы помимо TCP и UDP, например, ICMP, GRE, L2TP, IGMP и т.д.), IP адреса клиентов или целые IP подсети.
Читайте также:  C004c060 ошибка активации windows 10

В нашем случае мы выберем правило Port. В качестве протокола укажем TCP, в качестве порта – порт 3389 (RDP порт по-умолчанию, можно изменить).

Далее нужно выбрать что нужно сделать с таким сетевым соединением: разрешить (Allow the connection), разрешить если оно безопасное или заблокировать (Block the connection).

Осталось выбрать профили файервола, которым нужно применить правило. Можно оставить все профили (Domain, Private и Public).

На последнем шаге нужно указать имя правило и его описание. Нажмите кнопку Finish и оно появится в списке правил брандмауэра.

Аналогичным образом вы можете настроить другие правила для входящего трафика, которые должны применятся к вашим клиентам Windows.

Не забываете, что нужно создать правила для входящего и исходящего трафика.

Теперь осталось назначить политику Firewall-Policy на OU с компьютерами пользователей

Проверка политик брандмаэера Windows на клиентах

Обновите политики на клиентах (gpupdate /force). Проверьте, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или утилиту Portqry).

На ПК пользователя откройте Панель управления\Система и безопасность\Брандмауэр Защитника Windows и убедитесь, что появилась надпись: Для обеспечения безопасности, некоторые параметры управляются групповой политикой (For your security, some settings are controlled by Group Policy), и используются заданные вами настройки брандмаэера.

Пользователь теперь не может изменить настройки брандмауэра, а в списке Inbound Rules должны быть указаны все созданные вами правила.

Также вы можете вывести настройки файервола с помощью команды:

netsh firewall show state

Импорт / экспорт правил Брандмауэра Windows в GPO

Конечно, процесс создания правил для брандмауэра Windows – очень кропотливое и долгое занятие (но результате того стоит). Для упрощения свое задачи можно воспользоваться возможностью импорт и экспорта настроек брандмауэра Windows. Для этого вам достаточно нужным образом настроить локальные правила брандмауэра на обычном рабочей станции. Затем встаньте на корень оснастки брандмауэра (Монитор Брандмауэра Защитника Windows в режиме повышенной безопасности) и выберите пункт Действие -> Экспорт политики.

Политика выгружается в WFW файл, который можно импортировать в редакторе Group Policy Management Editor, выбрав пункт Import Policy и указав путь к файлу wfw (текущие настройки будут перезаписаны).

Доменные и локальные правила брандмауэра

В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать на своих компьютерах собственные правила брандмауэра и эти должны быть объединены с правилами, полученными с помощью групповой политики. в групповой политике вы можете выбрать режим объединения правил. Откройте свойства политики и обратите внимание на настройки в разделе Rule merging. По умолчанию режим объединения правил включен. Вы можете принудительно указать, что локальный администратор может создавать собственные правила брандмауэра: в параметре Apply local firewall rules выберите Yes (default).

Читайте также:  Windows 10 как убрать экран с плитками

Несколько советов об управлении брандмауэром Windows через GPO

Конечно, для серверов и рабочих станций нужно создавать отдельные политики управления правилами брандмауэра (для каждой группы одинаковых серверов возможно придется создать собственные политики в зависимости от их роли). Т.е. правила файервола для контроллера домена, почтового Exchange сервера и сервера SQL будут отличаться.

Какие порты нужно открыть для той или иной службы нужно искать в документации на сайте разработчика. Процесс довольно кропотливый и на первый взгляд сложный. Но постепенно вполне реальной придти к работоспособной конфигурации Windows файервола, который разрешает только одобренные подключения и блокирует все остальное. По опыту хочу отметить, что на ПО Microsoft можно довольно быстро найти список используемых TCP/UDP портов.

Windows Defender Firewall rule is blocking your connection [EXPERT FIX]

Some users have posted on forums about an HSS DNS Leak error message that blocks their internet connections. The full error reads Contact your network administrator the Windows Defender Firewall rule HSS DNS leak is blocking your internet connection. Thus, users can’t connect to the internet when that error arises.

Follow the steps below to resolve the problem.

How do I stop the Firewall from blocking my Internet connection?

1. Uncheck HSS DNS Leak Rule’s Firewall Permission

  1. Users have confirmed that unchecking HSS DNS Leak’s Private and Public check boxes can fix the Windows Defender Firewall rule error. To do so, click the Type here to search button on Win 10’s taskbar to open the search utility.
  2. Enter ‘Windows Defender Firewall’ as the search keyword.
  3. Click Windows Defender Firewall to open that Control Panel applet.
  4. Then click Allow an app or feature through Windows Defender Firewall to open the setting shown below.
  5. Press the Change settings button.
  6. Deselect the Private and Public check boxes for HSS DSS leak rule.
  7. Click the OK button.

2. Turn Off the Windows Defender Firewall

  1. Alternatively, users can turn off Windows Defender Firewall to fix its HSS leak rule blocking the connection. Open the search utility again with the Windows key + S.
  2. Input the keyword ‘Windows firewall’ in the search box, and click Windows Defender Firewall to open that Control Panel applet.
  3. Click Turn Windows Defender Firewall on or off to open the WDF options shown directly below.
  4. Select the Turn off Windows Defender Firewall radio buttons there.
  5. Select the OK option.

3. Reinstall Hotspot Shield

  1. HSS is the Hotspot Shield VPN software, and users have said they’ve fixed the “Windows Defender Firewall rule” error by reinstalling Hotspot Shield. To do that, launch Run by pressing the Windows key + R keyboard shortcut.
  2. Input ‘appwiz.cpl’ in the Open box and click OK to open the Windows uninstaller.
  3. Select the Hotspot Shield software, and then select the Uninstall option.
  4. Click Yes to provide further confirmation to uninstall the software.
  5. Restart Windows after uninstalling Hotspot.
  6. Click Get Hotspot Shield on the software’s homepage to reinstall the latest version of the software.

RELATED ARTICLES TO CHECK OUT:

Оцените статью
© 2024 Советы по настройке компьютера