如何使用组策略集中部署Windows防火墙提高配置效率(如何关闭windows的防火墙策略)
大家好,今天就和小新一起来看看这个问题吧 。如何关闭windows的防火墙策略,如何使用组策略集中部署Windows防火墙提高配置效率很多人还不知道,现在让我们一起来看看吧!
具体分析
Windows防火墙是Windows XP SP2中一个极其重要的安全设计,它可以有效地帮助我们完成计算机的安全管理。今天,作者将向您展示如何使用组策略在机房中集中部署Windows防火墙,并提高为网络中的计算机配置防火墙的效率。
为什么要集中部署?
首先,我们需要知道组策略对于Windows防火墙的作用是什么。组策略可以确定本地管理员级别的用户是否可以在Windows防火墙上进行各种设置,以及Windows防火墙的哪些功能被“禁用”或“允许”…
显然,上述功能正好可以配合域功能管理机房安全,为组策略批量部署机房Windows防火墙奠定了基础。此时,所有客户端的Windows防火墙的应用权限将由域管理员管理,本地管理员对Windows防火墙的任何设置都可以在域管理员的“批准”下进行。此外,域管理员可以使用组策略来完成所有客户端的Windows防火墙配置,而不必一个接一个地进行配置。
使用组策略部署防火墙
了解了集中部署的好处之后,现在让我们一步一步来实现。请看一下本文的测试环境“Windows Server 2003域服务器Windows XP SP2客户端”。本文将介绍如何在Windows Server 2003域服务器管理的机房内的客户端(Windows XP SP2)上,对所有安装了Windows XP SP2的客户端集中部署Windows防火墙。
提示:为什么不在域服务器中创建和配置组策略,而是在客户端运行它?其实很好理解。Windows Server 2003操作系统(中文版)中没有Windows防火墙,所以无法配置。不过,随着Windows Server 2003 SP1正式中文版的推出,这一问题将得到彻底解决。
好吧!现在开始实际操作。首先,在Windows XP SP2客户端的“运行”列中输入MMC命令,然后按enter键。在打开的控制台窗口中,单击文件添加/删除管理单元以添加组策略对象编辑器。
在弹出的欢迎使用组策略向导界面中,单击浏览按钮并右键单击浏览组策略对象窗口的空白处,然后从弹出菜单中选择新建并将其命名为防火墙以返回控制台窗口。
提示:在创建新的GPO(组策略对象)之前,3360客户端的当前登录帐户必须具有管理员权限。因此,这个问题的临时解决方案是将客户端的帐户添加到DC的管理员组,然后客户端可以临时使用管理员帐户登录系统并配置GPO。
返回控制台窗口后,您可以在防火墙策略集中看到域配置文件和标准配置文件这两个策略子集(图1)。其中,域配置文件主要用于包含域DC的网络中,即主机连接企业网时;标准配置文件用于非域网络。
显然,我们需要在域配置文件中设置策略。下面简单说一下如何安全配置子策略3360。
保护所有网络连接3360已启用;只有这样,才能强制客户端启用Windows防火墙,而不受客户端本地策略的影响。
不允许异常,未配置3360;这个可以由客户自己安排。
定义程序异常:被启用;即根据程序文件名定义异常通信,从而可以集中配置允许在机房运行的网络程序。
“允许本地程序异常:”被禁用;如果禁用,Windows防火墙的“例外”设置部分将灰显。
允许远程管理异常:被禁用;如果不允许客户端远程管理,请将其禁用。
允许文件和打印机共享例外:被禁用;如果某些客户端有要应用的共享资源,则应该启用它们。
“允许ICMP例外:”被禁用;如果要使用Ping命令,必须启用它。
允许远程桌面例外:被禁用;即关闭客户端可以接受基于远程桌面的连接请求功能。
已禁用允许UPnP框架异常:也就是说,禁止客户端接收垃圾UPnP消息。
阻止通知:被禁用。
未配置允许记录日志3360;允许记录通信并配置日志文件设置。
块多播
定义端口例外:已启用;按照TCP和UDP端口指定例外通信。
允许本地端口例外:已禁用;即禁止客户机管理员进行端口的“例外”配置。
现在,让我们通过“定义端口例外”项来介绍一下如何进行具体配置。首先,在“域配置文件”设置区域中,双击“Windows防火墙:定义端口例外”项,在弹出的属性窗口中单击“已启用→显示”,并进行“添加”。接着,使用“port:transport:scope:status:name”的格式输入要阻止或启用的端口信息(如“80:TCP:*:enabled:Webtest”)。
提示:port是指端口号码;transport是指TCP或UDP;scope中的“*”表示用于所有系统或允许访问端口的计算机列表;status是已启用或已禁用;name是用作此条目标签的文本字符串。
完成上述设置后,保存策略为“firewall”文件。现在,就得进行非常重要的一步操作,在“命令提示符”窗口中运行“Gpupdate /force”命令强制组策略设置应用到域网络中已经登录的计算机
验证部署效果
完成组策略的刷新后,先来看看本机中的Windows防火墙是否响应了策略。由于前面已经定义了“允许本地程序例外”项的状态为“已禁用”,根据这个定义,Windows防火墙的“例外”设置部分应变为灰色。现在,让我们打开本机中的Windows防火墙,可以看到被禁用的部分已经呈灰色,这说明本机已响应组策略设置了。
接着,再来看看DC是否响应了组策略。在DC服务器的“运行”栏中输入“dsa.msc”命令并回车,弹出“Active Directory”窗口后,请进入“shyzhong.com”(请根据实际情况选择)的属性窗口。在“组策略”选项卡部分可以看到保存的 firewall已经自动出现在列表中了。如果没有出现可以手工添加(图2)。
到了这一步,可以看出整个设置是成功的。而此后,域中任何一台使用Windows XP SP2的计算机只要登录到域,那么该计算机就会自动下载Windows防火墙的设置并开始应用。至此,整个机房的Windows 防火墙配置操作就成功完成了。
利用组策略集中部署SP2防火墙的操作并不复杂,但是它的效果却是一劳永逸的。大家会发现组策略对于集中管理网络安全来说实在是一个不可多得的好助手
补充阅读:防火墙主要使用技巧
一、所有的防火墙文件规则必须更改。
尽管这种方法听起来很容易,但是由于防火墙没有内置的变动管理流程,因此文件更改对于许多企业来说都不是最佳的实践方法。如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改,那么他撞到枪口上的可能性就会比较大。但是如果这种更改抵消了之前的协议更改,会导致宕机吗?这是一个相当高发的状况。
防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础,因此团队的所有成员都必须达成共识,观察谁进行了何种更改。这样就能及时发现并修理故障,让整个协议管理更加简单和高效。
二、以最小的权限安装所有的访问规则。
另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的:即源(IP地址),目的地(网络/子网络)和服务(应用软件或者其他目的地)。为了确保每个用户都有足够的端口来访问他们所需的系统,常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络,这些规则就会变得权限过度释放,因此就会增加不安全因素。服务域的规则是开放65535个TCP端口的ANY。防火墙管理员真的就意味着为黑客开放了65535个攻击矢量?
三、根据法规协议和更改需求来校验每项防火墙的更改。
在防火墙操作中,日常工作都是以寻找问题,修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题,应用新产品和业务部门的过程中,我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神,而不仅是一篇法律条文。
四、当服务过期后从防火墙规则中删除无用的规则。
规则膨胀是防火墙经常会出现的安全问题,因为多数运作团队都没有删除规则的流程。业务部门擅长让你知道他们了解这些新规则,却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。运行无用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。
如何使用组策略集中部署Windows防火墙提高配置效率相关文章:
1.用组策略部署Windows防火墙
2.windows7组策略怎么设置
3.windows防火墙有哪些什么作用
4.电脑怎么用不了windows防火墙的解决方法
5.driodwall防火墙已禁用怎么办
这篇文章到此就结束,希望能帮助到大家。
扫描二维码推送至手机访问。
版权声明:文章内容摘自网络,如果无意之中侵犯了您的版权,请联系本站,本站将在3个工作日内删除。谢谢!