Защитната стена на Windows може да бъде един от най-големите кошмари, които системните администратори могат да конфигурират, като добавянето на предимство на груповата политика просто става главоболие. Тук ще отведем отначало до край как лесно да конфигурирате защитната стена на Windows чрез групова политика и като бонус ви показва как да поправите един от най-големите gotch.
Забелязахме, че много потребители имат инсталиран Skype на своите машини и ги прави по-малко продуктивни. На нас ни е дадена задачата да се уверим, че потребителите не могат да използват Skype на работното място, но те са добре дошли да го инсталират на своите лаптопи и да го използват у дома или по време на обедните почивки на 3G / 4G връзка. Предвид тази информация решаваме да използваме защитната стена и груповата политика на Windows.
Най-лесният начин да започнете контрола на защитната стена на Windows чрез групови правила е да създадете референтен компютър и да създадете правилата, като използвате Windows 7, след което може да експортирате тази политика и да я въведете в груповата политика. По този начин имаме допълнително предимство, че можем да видим дали всички правила са настроени и работят, както искаме, преди да ги разположим на всички клиентски машини.
За да създадете шаблон за защитната стена на Windows, трябва да стартирате Центъра за мрежи и споделяне, най-лесният начин да направите това е да кликнете с десния бутон на мишката върху иконата на мрежата и от контекстното меню да изберете Отворен център за мрежи и споделяне.
Когато се отвори Център за мрежи и споделяне, кликнете върху връзката Защитна стена на Windows в долния ляв ъгъл.
Когато създавате шаблон за защитната стена на Windows, най-добре е да го направите чрез защитната стена на Windows с разширена конзола за сигурност, за да стартирате това кликване върху Разширени настройки от лявата страна.
Забележка: В този момент ще редактирам специфичните за Skype правила, но можете да добавите ваши собствени правила за пристанища или дори приложения. Каквито и да са промените, които трябва да направите за защитната стена, трябва да бъдат направени сега.
Оттук можем да започнем да редактираме правилата на защитната стена, в нашия случай, когато се инсталира приложението Skype, създава свои собствени изключения от защитната стена, които позволяват skype.exe да комуникира в потребителските профили на домейни, частни и обществени мрежи.
Сега трябва да променим правилото на защитната стена, за да го редактираме, като кликнете два пъти върху правилото. Това ще доведе до свойствата на правилото на Skype.
Превключете към раздела Разширени и премахнете отметката от квадратчето Домейн.
Когато опитате да стартирате Skype сега, ще бъдете подканени да попитате дали може да комуникира в Профила на мрежата на домейна, махнете отметката от квадратчето и щракнете върху позволете достъп.
Ако сега се върнете към правилата за входящата защитна стена, ще видите, че има две нови правила, защото когато сте били подканени, сте избрали да не разрешавате трафик в Inbound Skype. Ако погледнете към колоната с потребителски профили, ще видите, че и двете са за профила на мрежата на домейна.
Забележка: Причината има две правила е, защото има отделни правила за TCP и UDP
Всичко е добро досега, но ако стартирате Skype, пак ще можете да влезете.
Дори да промените правилата за блокиране на входящия трафик за skype.exe и да го настроите да блокира трафик, използвайки всеки протокол, той все още има възможност да се върне обратно. Определянето е проста, спре да не може да комуникира на първо място. За да направите това, преминете към изходящите правила и започнете да създавате ново правило.
Тъй като искаме да създадем правило за програмата Skype, просто кликнете върху следващата, след което разгледайте изпълнимия файл на Skype и щракнете върху следващия.
Можете да оставите действието по подразбиране, което ще блокира връзката и щракнете върху следващото.
Премахнете отметките от квадратчетата Частни и обществени и кликнете върху следващия, за да продължите.
Сега дадете на правилото си име и кликнете върху края
Сега, ако се опитате да стартирате Skype, докато сте свързани към мрежа от домейни, няма да работи
Ако обаче се опитат да се свържат, когато се приберат вкъщи, ще им позволят да се свържат добре
Това са всички правила за защитната стена, които ще създадем за момента, не забравяйте да изпробвате правилата си, точно както направихме за Skype.
За да експортирате правилата, в левия прозорец кликнете върху корена на дървото, в който се казва, че защитната стена на Windows с разширена защита. След това кликнете върху Действие и изберете Експортиране на правила от менюто.
Трябва да запазите това или в мрежова връзка, или дори в USB, ако имате физически достъп до сървъра си. Ще отидем с дял от мрежата.
Забележка: Внимавайте за вируси, когато използвате USB, последното нещо, което искате да направите, е да заразите сървър с вирус
За да импортирате правилата за защитната стена, трябва да отворите съществуващо GPO или да създадете нов GPO и да го свържете с OU, който съдържа компютърни акаунти. Имаме GPO, наречено "Защитна стена", която е свързана с OU, наречена Geek Computers, тази OU съдържа всички наши компютри. Ще продължим напред и ще използваме тази политика.
Сега отидете на:
Отворете Компютърна конфигурация \ Политики \ Настройки на Windows \ Настройки за сигурност \ Защитна стена на Windows с разширена защита
Кликнете върху защитната стена на Windows с разширена защита и след това върху Правила за действие и импортиране
Ще бъдете уведомени, че ако импортирате правилата, ще презапишат всички съществуващи настройки, щракнете върху "Да", за да продължите и след това да прегледате правилата, които сте изнесли в предишната секция на тази статия. След като правилата приключат с внасянето, ще бъдете уведомени.
Ако отидете и погледнете нашите правила, ще видите, че правилата на Skype, които създадох, са все още там.
Забележка: Преди да завършите следващия раздел на статията, не трябва да правите никакви тестове. Ако го направите, всички правила, които са конфигурирани локално, ще бъдат спазени. Единствената причина, поради която направих няколко теста, беше да посоча няколко неща.
За да видите дали правилата на защитната стена са били внедрени в клиенти, ще трябва да преминете към клиентска машина и отново да отворите настройките на защитната стена на Windows.Както виждате, трябва да има съобщение, в което се казва, че някои от правилата на защитната стена се управляват от системния администратор.
Кликнете върху Разрешаване на програма или функция чрез връзката Защитна стена на Windows от лявата страна.
Както виждате сега, имаме правила, прилагани както от груповата политика, така и от правилата, създадени на място.
По подразбиране е активирано сливането на правила между местните правила за защитна стена на компютри с Windows 7 и правилата за защитната стена, посочени в правилата на групата, насочени към тези компютри. Това означава, че местните администратори могат да създават собствени правила за защитна стена и тези правила ще бъдат обединени с правилата, получени чрез групови правила. За да направите това, кликнете върху защитната стена на Windows с разширена защита и изберете свойства от контекстното меню. Когато се отвори диалоговият прозорец, кликнете върху бутона Персонализиране в секцията с настройки.
Променете опцията Прилагане на локалните защитни стени от Не е конфигурирана на Не.
Щом кликнете върху OK, преминете към профилите Частен и Обществен и направете същото и за двете.
Това е всичко, което има за него момчета, отидете да имате някои забавно защитна стена.