De Windows Firewall kan een van de grootste zijnnachtmerries die systeembeheerders kunnen configureren, met de toevoeging van voorrang voor Groepsbeleid wordt het gewoon hoofdpijn. Hier nemen we u mee van start tot finish over hoe u de Windows Firewall eenvoudig via Groepsbeleid kunt configureren en als bonus kunt u zien hoe u een van de grootste gotcha's kunt oplossen.
Onze missie
Het is ons opgevallen dat veel gebruikershebben Skype op hun machines geïnstalleerd en het maakt ze minder productief. We hebben de taak gekregen om ervoor te zorgen dat gebruikers Skype niet op het werk kunnen gebruiken, maar ze mogen het op hun laptops geïnstalleerd houden en thuis of tijdens lunchpauzes op een 3G / 4G-verbinding gebruiken. Op basis van deze informatie besluiten we gebruik te maken van Windows Firewall en Group Policy.
De methode
De eenvoudigste manier om Windows te besturenFirewall via Groepsbeleid is het opzetten van een referentie-pc en het maken van de regels met behulp van Windows 7, we kunnen dat beleid vervolgens exporteren en importeren in Groepsbeleid. Door dit te doen, hebben we het extra voordeel dat we kunnen zien of alle regels zijn ingesteld en werken zoals we willen dat ze zijn, voordat we ze op alle clientmachines implementeren.
Een firewallsjabloon maken
Om een sjabloon voor Windows te makenFirewall we moeten het Netwerkcentrum starten, de eenvoudigste manier om dit te doen is door met de rechtermuisknop op het netwerkpictogram te klikken en Netwerkcentrum te openen in het contextmenu.
Wanneer het Netwerkcentrum wordt geopend, klikt u op de link Windows Firewall in de linkerbenedenhoek.
Wanneer u een sjabloon voor Windows Firewall maakt, kunt u dit het beste doen via de Windows Firewall met geavanceerde beveiligingsconsole, om deze klik op Geavanceerde instellingen aan de linkerkant te starten.
Notitie: Op dit punt ga ik de Skype-specifieke regels bewerken, maar u kunt uw eigen regels voor poorten of zelfs toepassingen toevoegen. Welke wijzigingen u ook in de firewall moet aanbrengen, moet nu worden gedaan.
Vanaf hier kunnen we beginnen met het bewerken van onze firewallregels, in ons geval wanneer de Skype-toepassing is geïnstalleerd, creëert deze zijn eigen Firewall-uitzonderingen waarmee skype.exe kan communiceren op de domein-, privé- en openbare netwerkprofielen.
Nu moeten we onze Firewall-regel bewerken, om deze te bewerken dubbelklik op de regel. Hiermee worden de eigenschappen van de Skype-regel weergegeven.
Schakel over naar het tabblad Geavanceerd en schakel het selectievakje Domein uit.
Wanneer u Skype nu probeert te starten, wordt u gevraagd of het kan communiceren via het domeinnetwerkprofiel, schakel het selectievakje uit en klik op Toegang toestaan.
Als u nu teruggaat naar uw regels voor inkomende firewallu zult zien dat er twee nieuwe regels zijn, dit omdat u toen u werd gevraagd ervoor koos om geen inkomend Skype-verkeer toe te staan. Als u naar de profielkolom kijkt, ziet u dat ze beide voor het domeinnetwerkprofiel zijn.
Opmerking: de reden dat er twee regels zijn, is omdat er afzonderlijke regels zijn voor TCP en UDP
Tot nu toe is alles goed, maar als u Skype start, kunt u zich nog steeds aanmelden.
Zelfs als u de regels wijzigt om inkomend te blokkerenverkeer voor skype.exe en stel het in om verkeer te blokkeren met behulp van ELK protocol, het is nog steeds in staat om op de een of andere manier weer binnen te komen. Schakel hiervoor over naar Uitgaande regels en begin met het maken van een nieuwe regel.
Omdat we een regel voor het Skype-programma willen maken, klikt u gewoon op Volgende, blader dan naar het uitvoerbare Skype-bestand en klik op Volgende.
U kunt de actie standaard laten staan: de verbinding blokkeren en op Volgende klikken.
Schakel de selectievakjes Privé en Openbaar uit en klik op Volgende om door te gaan.
Geef uw regel nu een naam en klik op Voltooien
Als u nu probeert Skype te starten terwijl u verbonden bent met een domeinnetwerk, werkt het niet
Als ze echter proberen verbinding te maken wanneer ze thuiskomen, kunnen ze prima verbinding maken
Dat zijn alle Firewall-regels die we nu gaan maken. Vergeet niet uw regels uit te testen, net als voor Skype.
Het beleid exporteren
Om het beleid te exporteren, klikt u in het linkerdeelvenster op de hoofdmap van de boom met Windows Firewall met geavanceerde beveiliging. Klik vervolgens op Actie en selecteer Exportbeleid in het menu.
U moet dit opslaan op een netwerkshare of zelfs op een USB als u fysieke toegang tot uw server hebt. We gaan met een netwerkshare.
Opmerking: wees voorzichtig met virussen wanneer u een USB gebruikt, het laatste wat u wilt doen, is een server met een virus infecteren
Het beleid in groepsbeleid importeren
Om het firewallbeleid te importeren, moet u een openenbestaand groepsbeleidsobject of maak een nieuw groepsbeleidsobject en koppel dit aan een OE die computeraccounts bevat. We hebben een groepsbeleidsobject genaamd Firewallbeleid dat is gekoppeld aan een OE genaamd Geek Computers, deze OE bevat al onze computers. We zullen gewoon doorgaan en dit beleid gebruiken.
Navigeer nu naar:
Open computerconfiguratiebeleid Windows-instellingen Beveiligingsinstellingen Windows Firewall met geavanceerde beveiliging
Klik op Windows Firewall met geavanceerde beveiliging en vervolgens op Actie en importbeleid
U zult te horen krijgen dat als u het beleid importeertoverschrijft alle bestaande instellingen, klik op Ja om door te gaan en blader vervolgens naar het beleid dat u in het vorige gedeelte van dit artikel hebt geëxporteerd. Zodra het beleid is geïmporteerd, ontvangt u een melding.
Als je onze regels bekijkt, zie je dat de Skype-regels die ik heb gemaakt er nog steeds zijn.
testen
Notitie: Voer geen tests uit voordat u het volgende gedeelte van het artikel voltooit. Als u dit doet, worden alle regels die lokaal zijn geconfigureerd, nageleefd. De enige reden dat ik nu wat testen heb gedaan, was om op een paar dingen te wijzen.
Om te zien of de firewallregels zijn geïmplementeerdvoor clients moet u overschakelen naar een clientcomputer en opnieuw de Windows Firewall-instellingen openen. Zoals u kunt zien, zou er een bericht moeten zijn dat sommige firewallregels worden beheerd door uw systeembeheerder.
Klik aan de linkerkant op de link Een programma of functie toestaan via Windows Firewall.
Zoals u nu zou moeten zien, hebben we zowel regels die door Groepsbeleid worden toegepast als regels die lokaal zijn gemaakt.
Wat is hier aan de hand en hoe kan ik dit oplossen?
Standaard is samenvoegen van regels ingeschakeld tussen lokaalfirewallbeleid op Windows 7-computers en firewallbeleid gespecificeerd in Groepsbeleid die op die computers zijn gericht. Dit betekent dat lokale beheerders hun eigen firewallregels kunnen maken en deze regels worden samengevoegd met de regels die zijn verkregen via Groepsbeleid. Om dit te corrigeren, klikt u met de rechtermuisknop op Windows Firewall met geavanceerde beveiliging en selecteert u eigenschappen in het contextmenu. Wanneer het dialoogvenster wordt geopend, klikt u op de knop Aanpassen onder het gedeelte Instellingen.
Wijzig de optie Lokale firewallregels toepassen van Niet geconfigureerd in Nee.
Zodra u op OK klikt, schakelt u over naar de privé- en openbare profielen en doet u hetzelfde voor beide.
Dat is alles, jongens, ga eens wat firewallplezier maken.
