"Group Policy Geek": "Kaip valdyti" Windows "ugniasienę su GPO

Video: "Group Policy Geek": "Kaip valdyti" Windows "ugniasienę su GPO

Video: HARRY POTTER STUDIO TOUR LONDON | COMPLETE WALK THROUGH - YouTube 2024, Balandis

2024 Autorius: Geoffrey Carr | [email protected]. Paskutinį kartą keistas: 2023-12-17 10:53

"Windows" užkarda gali būti viena iš didžiausių kolegijų, kurią sistemos administratoriai gali sukonfigūruoti, pridedant Grupės politikos pirmenybę, ji tiesiog tampa galvos skausmu. Čia jums nuo pradžios iki pabaigos turėsime išsiaiškinti, kaip lengvai konfigūruoti "Windows" užkardą per grupės politiką, ir kaip premiją parodysite, kaip ištaisyti vieną iš didžiausių "gotchas".

Mūsų misija

Pastebėjome, kad daugelis vartotojų įdiegė "Skype" savo mašinose ir daro juos mažiau produktyviais. Mums buvo suteikta užduotis užtikrinti, kad vartotojai negalėtų naudotis "Skype" darbe, tačiau jie gali būti įdiegti į savo nešiojamus kompiuterius ir naudoti jį namuose arba pietų pertraukėlėse per 3G / 4G ryšį. Atsižvelgdami į šią informaciją nusprendžiame pasinaudoti "Windows" užkarda ir grupės politika.

Metodas

Lengviausias būdas pradėti valdyti "Windows" ugniasienę per grupės politiką - nustatyti atskaitos kompiuterį ir sukurti taisykles naudojant "Windows 7", tada galime eksportuoti šią politiką ir importuoti ją į grupės politiką. Tokiu būdu turime papildomo pranašumo, nes galime pamatyti, ar visos taisyklės yra nustatytos ir veikia, kaip mes norime, kad jie būtų, prieš juos įdiegiant į visas kliento mašinas.

"Firewall" šablono kūrimas

Norint sukurti "Windows" ugniasienės šabloną, turime paleisti "Tinklo ir bendrinimo centrą". Lengviausias būdas tai padaryti yra dešiniuoju pelės mygtuku spustelėkite tinklo piktogramą ir kontekstinio meniu pasirinkite Atidaryti tinklą ir bendrinimo centrą.

Kai atidaromas "Network and Sharing Center", spustelėkite "Windows" užkardos nuorodą apatiniame kairiajame kampe.

Kuriant šabloną "Windows" ugniasienei, tai geriausia padaryti naudojant "Windows" ugniasienę su "Advanced Security" konsolę, kad galėtumėte paleisti šį spragtelėjimą kairėje pusėje esančią "Išplėstiniai nustatymai".

Pastaba: šiuo metu aš ketinu redaguoti konkrečias "Skype" taisykles, tačiau galite pridėti savo taisykles prievadams ar net programoms. Bet kokie pakeitimai, kuriuos turite atlikti ugniasiene, turėtų būti atliekami dabar.

Čia mes galime pradėti redaguoti mūsų ugniasienės taisykles, šiuo atveju, kai įdiegta "Skype" programa, sukuria savo ugniasienės išimtis, kurios leidžia skype.exe bendrauti domeno, privataus ir viešojo tinklo profiliuose.

Dabar turime redaguoti mūsų ugniasienės taisyklę, ją redaguoti dukart spustelėkite taisyklę. Tai atskleidžia "Skype" taisyklės savybes.

Perjunkite "Advanced" skirtuką ir atžymėkite žymės langelį "Domain".

Kai bandysite paleisti "Skype" dabar, būsite paraginti paklausti, ar jis gali bendrauti domeno tinklo profilyje, atžymėkite laukelį ir spustelėkite leisti pasiekti.

Jei dabar grįšite prie savo įeinančių užkardos taisyklių, pamatysite, kad yra dvi naujos taisyklės, tai yra tai, kad kai jums buvo pasiūlyta, pasirinkote neleisti įeinantys "Skype" srauto. Jei peržiūrėsite profilio stulpelį, pamatysite, kad jie abu yra domeno tinklo profilyje.

Pastaba: priežastys yra dvi taisyklės, nes yra atskiros TCP ir UDP taisyklės

Viskas yra gerai, tačiau jei paleisite "Skype", vis tiek galėsite prisijungti.

Net jei pakeisite taisykles, kad blokuotumėte skype.exe įeinantį srautą ir nustatytumėte, kad jis blokuoja srautą naudodamas bet kurį protokolą, jis vis tiek sugeba kažkaip sugrįžti. Fiksavimas yra paprastas, sustabdydamas ryšį pirmiausia. Norėdami tai padaryti, perjunkite į išvykstamas taisykles ir pradėkite kurti naują taisyklę.

Kadangi mes norime sukurti "Skype" programos taisyklę, spustelėkite kitą, tada suraskite "Skype" vykdomąjį failą ir spustelėkite "Next".

Galite palikti veiksmą pagal numatytuosius nustatymus, kad blokuotumėte ryšį ir spustelėkite kitą.

Pažymėkite laukus "Privačios ir viešosios" žymėjimą ir spustelėkite toliau, kad tęstumėte.

Dabar suteikite savo taisyklę vardą ir spustelėkite baigti

Dabar, jei bandysite paleisti "Skype", kai prisijungsite prie domeno tinklo, tai neveiks

Tačiau jei jie bando prisijungti, kai jie grįš į namus, jie galės tinkamai prisijungti

Štai visi "Firewall" taisyklės, kurias ketiname kurti dabar, nepamirškite išbandyti savo taisyklių, kaip ir "Skype".

Eksporto politika

Norėdami eksportuoti politiką, kairiojoje srityje spustelėkite medžio šaknį, kuriame nurodyta "Windows" ugniasienė su "Advanced Security". Tada spustelėkite veiksmą ir meniu pasirinkite Eksportuoti politiką.

Jei turite fizinę prieigą prie savo serverio, turėtumėte išsaugoti tai tinklo daliai arba net USB. Mes einame su tinklo dalimi.

Pastaba: naudodamiesi USB, būkite atsargūs virusų, o paskutinis dalykas, kurį norite padaryti, yra užkrėsti virusą turinčiu serveriu

Politikos importavimas į grupės politiką

Norėdami importuoti ugniasienės politiką, turite atidaryti esamą GPO, sukurti naują GPO ir susieti jį su OU, kuriame yra kompiuterių paskyros. Mes turime GPO, vadinamą užkardos politika, kuri yra susieta su OU, pavadinta "Geek Computers", šiame OU yra visi mūsų kompiuteriai. Mes tiesiog einame į priekį ir naudosime šią politiką.


Open Computer ConfigurationPoliciesWindows SettingsSecurity SettingsWindows Firewall with Advanced Security

Spustelėkite "Windows" ugniasienę su "Advanced Security", tada spustelėkite veiksmo ir importo politiką

Jums bus pranešta, kad jei importuosite politiką, ji pakeis visus esamus nustatymus, spustelėkite "Taip", kad tęstumėte, tada peržiūrėkite politiką, kurią eksportate ankstesniame šio straipsnio skyriuje. Kai politika baigs būti "Importuota", jums bus pranešta.

Jei eisi ir pažvelgsite į mūsų taisykles, pamatysite, kad "Skype" taisyklės, kurias aš sukūriau, vis dar yra.

Testavimas

Pastaba: prieš atlikdami kitą straipsnio dalį neturėtumėte atlikti jokių bandymų.Jei tai padarysite, bus laikomasi bet kokių taisyklių, kurios buvo sukonfigūruotos lokaliai. Vienintelė priežastis, dėl kurios kai kuriuos bandymus atlieku, buvo keletas dalykų.

Norėdami patikrinti, ar ugniasienės taisyklės buvo įdiegtos klientams, turėsite pereiti prie kliento kompiuterio ir vėl atidaryti "Windows" ugniasienės nustatymus. Kaip matote, turėtų būti pranešimas, kad kai kurių ugniasienės taisyklių tvarko jūsų sistemos administratorius.

Kairėje pusėje spustelėkite leisti programą ar funkciją per "Windows" užkardos nuorodą.

Kaip jūs turėtumėte pamatyti dabar, mes turime taisykles, kurios taikomos ir Grupės politikai, ir vietiniams.

Kas vyksta čia ir kaip tai ištaisyti?

Pagal numatytuosius nustatymus komandų eilutės sujungimas įjungiamas tarp "Windows 7" kompiuterių vietinės užkardos politikos ir "Group Policy" nurodytos užkardos politikos, skirtos tiems kompiuteriams. Tai reiškia, kad vietos administratoriai gali sukurti savo ugniasienės taisykles, o šios taisyklės bus sujungtos su taisyklėmis, gautomis naudojant grupės politiką. Norėdami išspręsti šią problemą, spustelėkite "Windows" užkardą su "Advanced Security" ir kontekstinio meniu pasirinkite savybes. Kai atidaromas dialogo langas, spustelėkite mygtuką "Tinkinti", esantį skyriuje "Nustatymai".

Pakeiskite parinktį Taikyti vietinio ugniasienės taisykles iš Nekonfigūruotos į Nr.

Kai spustelėsite "Gerai", pereikite prie privataus ir viešojo profilių ir atlikite tą patį abiejuose veiksmuose.

Tai viskas, ko jums reikia, vaikinai, eikite, kai ugniasienė įdomu.

Rekomenduojamas:

10 geriausių "Group Policy Editor" tweaks "Windows 8"

Yra keletas būdų, kaip galite įveikti "Windows", nesvarbu, ar norite tobulinti našumą, pašalinti susierzinimus, pagerinti saugumą ar pakeisti nepatogių dalykų išvaizdą. Kai kurie nustatymai gali būti keičiami per valdymo skydą, kai kurie naudoja trečiųjų šalių įrankį tweaking, arba galbūt norėsite pabandyti šiek tiek redaguoti registro. Tačiau jei turite "Professional" versiją "Windows 8", taip pat yra grupės strategijos redagavimo priemonė, ir č