Criteri di gruppo Geek Come controllare il firewall di Windows con un oggetto Criteri di gruppo
Windows Firewall può essere uno dei più grandi incubi per gli amministratori di sistema da configurare, con l'aggiunta della precedenza di Criteri di gruppo che diventa un mal di testa. Qui vi porteremo dall'inizio alla fine su come configurare facilmente Windows Firewall tramite i Criteri di gruppo e come bonus mostrarvi come risolvere uno dei trucchi più grandi.
La nostra missione
Abbiamo notato che molti utenti hanno installato Skype sulle loro macchine e le sta rendendo meno produttive. Ci è stato affidato il compito di assicurarci che gli utenti non possano utilizzare Skype al lavoro, tuttavia sono invitati a tenerlo installato sui loro laptop e a utilizzarlo a casa o durante le pause pranzo su una connessione 3G / 4G. Alla luce di queste informazioni, decidiamo di utilizzare Windows Firewall e Criteri di gruppo.
Il metodo
Il modo più semplice per iniziare a controllare Windows Firewall tramite i Criteri di gruppo consiste nell'impostare un PC di riferimento e creare le regole utilizzando Windows 7, quindi è possibile esportare tale politica e importarla in Criteri di gruppo. In questo modo, abbiamo l'ulteriore vantaggio di poter vedere se tutte le regole sono impostate e funzionanti come vogliamo, prima di distribuirle a tutte le macchine client.
Creazione di un modello di firewall
Per creare un modello per Windows Firewall, è necessario avviare il Centro connessioni di rete e condivisione, il modo più semplice per farlo è fare clic con il pulsante destro del mouse sull'icona della rete e selezionare Apri Centro connessioni di rete e condivisione dal menu di scelta rapida.
Quando si apre il Centro connessioni di rete e condivisione, fare clic sul collegamento Windows Firewall nell'angolo in basso a sinistra.
Quando si crea un modello per Windows Firewall è meglio farlo attraverso la console Windows Firewall con sicurezza avanzata, per avviare questo fare clic su Impostazioni avanzate sul lato sinistro.
Nota: a questo punto ho intenzione di modificare le regole specifiche di Skype, tuttavia è possibile aggiungere le proprie regole per le porte o anche per le applicazioni. Qualunque sia la modifica da apportare al firewall dovrebbe essere fatta ora.
Da qui possiamo iniziare a modificare le regole del nostro firewall, nel nostro caso quando l'applicazione Skype viene installata crea le proprie eccezioni del firewall che consentono a skype.exe di comunicare sul dominio, profili di rete privati e pubblici.
Ora dobbiamo modificare la nostra regola del Firewall, per modificarla fare doppio clic sulla regola. Questo farà apparire le proprietà della regola di Skype.
Passa alla scheda Avanzate e deseleziona la casella di controllo Dominio.
Quando provi a lanciare Skype ora, ti verrà chiesto se può comunicare sul profilo della rete di dominio, deseleziona la casella e fai clic su consenti accesso.
Se ora torni alle regole del tuo firewall in entrata vedrai che ci sono due nuove regole, questo perché quando ti è stato richiesto hai scelto di non consentire il traffico in entrata di Skype. Se si guarda alla colonna del profilo, si vedrà che sono entrambi per il profilo di rete del Dominio.
Nota: il motivo per cui esistono due regole è perché esistono regole separate per TCP e UDP
Tutto è andato bene finora, tuttavia se avvii Skype sarai comunque in grado di accedere.
Anche se si modificano le regole per bloccare il traffico in entrata per skype.exe e impostarlo per bloccare il traffico utilizzando QUALSIASI protocollo, è comunque in grado di rientrare in qualche modo. La correzione è semplice, impedendole di essere in grado di comunicare in primo luogo. Per fare ciò, passa a Regole in uscita e inizia a creare una nuova regola.
Poiché vogliamo creare una regola per il programma Skype, fai clic su Avanti, quindi cerca il file eseguibile Skype e fai clic su Avanti.
È possibile lasciare l'azione al valore predefinito che è quello di bloccare la connessione e fare clic su Avanti.
Deseleziona le caselle di controllo Pubblico e Privato e fai clic su Avanti per continuare.
Ora dai un nome alla regola e fai clic su Fine
Ora se provi a lanciare Skype mentre sei connesso a una rete Domain non funzionerà
Tuttavia, se provano a connettersi quando arrivano a casa, permetteranno loro di connettersi bene
Ecco tutte le regole del firewall che creeremo per ora, non dimenticare di testare le tue regole come abbiamo fatto per Skype.
Esportare la politica
Per esportare la politica, nel riquadro a sinistra fare clic sulla radice dell'albero che dice Windows Firewall con sicurezza avanzata. Quindi fare clic su Azione e selezionare Esporta politica dal menu.
È necessario salvare questo in una condivisione di rete o anche in una USB se si dispone di accesso fisico al server. Andremo con una condivisione di rete.
Nota: fare attenzione ai virus quando si utilizza una USB, l'ultima cosa che si vuole fare è infettare un server con un virus
Importazione della politica in Criteri di gruppo
Per importare il criterio firewall è necessario aprire un oggetto Criteri di gruppo esistente o creare un nuovo oggetto Criteri di gruppo e collegarlo a un'unità organizzativa che contiene account computer. Abbiamo un oggetto Criteri di gruppo denominato Firewall Policy collegato a un'unità organizzativa chiamata Geek Computers, questa unità organizzativa contiene tutti i nostri computer. Andremo avanti e useremo questa politica.
Ora vai a:
Apri Configurazione computer \ Criteri \ Impostazioni di Windows \ Impostazioni di protezione \ Windows Firewall con sicurezza avanzata
Fare clic su Windows Firewall con sicurezza avanzata e quindi fare clic su Azione e politica di importazione
Ti verrà detto che se si importa la politica sovrascriverà tutte le impostazioni esistenti, fare clic su Sì per continuare e quindi cercare la politica che è stata esportata nella sezione precedente di questo articolo. Una volta che la politica ha finito di essere importata, sarai avvisato.
Se vai a vedere le nostre regole, vedrai che le regole di Skype che ho creato sono ancora lì.
analisi
Nota: non dovresti eseguire alcun test prima di completare la sezione successiva dell'articolo. Se lo fai, tutte le regole che sono state configurate in locale verranno rispettate. L'unica ragione per cui ho fatto alcuni test adesso è stata quella di sottolineare alcune cose.
Per verificare se le regole del firewall sono state distribuite ai client, sarà necessario passare a un computer client e aprire nuovamente le impostazioni di Windows Firewall. Come puoi vedere, dovrebbe esserci un messaggio che dice che alcune regole del firewall sono gestite dal tuo amministratore di sistema.
Fare clic su Consenti programma o funzionalità tramite il collegamento Windows Firewall sul lato sinistro.
Come dovresti vedere ora, abbiamo regole applicate sia dai Criteri di gruppo che da quelli creati localmente.
Cosa sta succedendo qui e come posso risolverlo?
Per impostazione predefinita, l'unione delle regole è abilitata tra i criteri del firewall locale sui computer Windows 7 e i criteri del firewall specificati in Criteri di gruppo destinati a tali computer. Ciò significa che gli amministratori locali possono creare le proprie regole firewall e queste regole verranno unite alle regole ottenute tramite i Criteri di gruppo. Per risolvere questo problema, fare clic con il pulsante destro del mouse su Windows Firewall con sicurezza avanzata e selezionare Proprietà dal menu di scelta rapida. Quando si apre la finestra di dialogo, fare clic sul pulsante Personalizza nella sezione delle impostazioni.
Modificare l'opzione Applica regole firewall locali da Non configurato a No.
Dopo aver fatto clic su OK, passa ai profili Privato e Pubblico e fai la stessa cosa per entrambi.
Questo è tutto, ragazzi, vai a divertirti con il firewall.