loader

Gruppenrichtlinien-Geek: Steuern der Windows-Firewall mithilfe eines Gruppenrichtlinienobjekts

Anonim

Die Windows-Firewall kann für Systemadministratoren einer der größten Alpträume sein, der konfiguriert werden muss. Durch das Hinzufügen von Gruppenrichtlinien wird dies zu einem Problem. Wir zeigen Ihnen von Anfang bis Ende, wie Sie die Windows-Firewall einfach über Gruppenrichtlinien konfigurieren können, und zeigen Ihnen als Bonus, wie Sie einen der größten Probleme beheben können.

Unsere Aufgabe

Es ist uns aufgefallen, dass viele Benutzer Skype auf ihren Computern installiert haben und dadurch weniger produktiv werden. Wir haben die Aufgabe gestellt, sicherzustellen, dass Benutzer Skype nicht bei der Arbeit verwenden können. Sie können Skype jedoch auch auf ihren Laptops installieren und zu Hause oder in der Mittagspause über eine 3G / 4G-Verbindung verwenden. Aufgrund dieser Informationen beschließen wir, die Windows-Firewall und die Gruppenrichtlinie zu verwenden.

Die Methode

Die einfachste Möglichkeit, die Steuerung der Windows-Firewall mithilfe von Gruppenrichtlinien zu starten, besteht darin, einen Referenz-PC einzurichten und die Regeln mit Windows 7 zu erstellen. Diese Richtlinie kann dann exportiert und in die Gruppenrichtlinie importiert werden. Auf diese Weise haben wir den zusätzlichen Vorteil, dass wir sehen können, ob alle Regeln eingerichtet sind und wie sie wollen, bevor sie auf allen Client-Computern bereitgestellt werden.

Erstellen einer Firewall-Vorlage

Um eine Vorlage für die Windows-Firewall zu erstellen, müssen Sie das Netzwerk- und Freigabecenter starten. Am einfachsten klicken Sie mit der rechten Maustaste auf das Netzwerksymbol und wählen im Kontextmenü die Option Netzwerk- und Freigabecenter öffnen.

Wenn das Netzwerk- und Freigabecenter geöffnet wird, klicken Sie unten links auf den Link Windows-Firewall.

Wenn Sie eine Vorlage für die Windows-Firewall erstellen, gehen Sie am besten über die Konsole Windows-Firewall mit erweiterter Sicherheit. Klicken Sie dazu auf der linken Seite Erweiterte Einstellungen auf Erweiterte Einstellungen.

Hinweis: An dieser Stelle werde ich die Skype-spezifischen Regeln bearbeiten. Sie können jedoch eigene Regeln für Ports oder sogar Anwendungen hinzufügen. Alle erforderlichen Änderungen an der Firewall sollten jetzt vorgenommen werden.

Von hier aus können wir die Firewall-Regeln bearbeiten. In diesem Fall werden bei der Installation der Skype-Anwendung eigene Firewall-Ausnahmen erstellt, die es skype.exe ermöglichen, in den Profilen Domäne, Privates und Öffentliches Netzwerk zu kommunizieren.

Jetzt müssen wir unsere Firewall-Regel bearbeiten, um sie zu bearbeiten, doppelklicken Sie auf die Regel. Dadurch werden die Eigenschaften der Skype-Regel angezeigt.

Wechseln Sie zur Registerkarte Erweitert und deaktivieren Sie das Kontrollkästchen Domäne.

Wenn Sie versuchen, Skype jetzt zu starten, werden Sie gefragt, ob es mit dem Domänen-Netzwerkprofil kommunizieren kann. Deaktivieren Sie das Kontrollkästchen und klicken Sie auf Zugriff zulassen.

Wenn Sie jetzt zu den Regeln für eingehende Firewall zurückkehren, werden Sie feststellen, dass es zwei neue Regeln gibt. Wenn Sie dazu aufgefordert wurden, haben Sie sich entschieden, den eingehenden Skype-Verkehr nicht zuzulassen. Wenn Sie zur Profilspalte hinüberblicken, werden Sie sehen, dass beide für das Domänen-Netzwerkprofil gelten.

Hinweis: Es gibt zwei Regeln, weil TCP und UDP getrennt sind

Alles ist soweit gut, aber wenn Sie Skype starten, können Sie sich trotzdem anmelden.

Selbst wenn Sie die Regeln ändern, um den eingehenden Datenverkehr für skype.exe zu blockieren, und den Datenverkehr mithilfe des Protokolls ANY blockieren, kann er trotzdem irgendwie wieder in den Status "Zugriff" gelangen. Die Problembehebung ist einfach: Sie können überhaupt nicht miteinander kommunizieren. Wechseln Sie dazu zu Ausgangsregeln und beginnen Sie mit dem Erstellen einer neuen Regel.

Da wir eine Regel für das Skype-Programm erstellen möchten, klicken Sie auf "Weiter", suchen Sie dann nach der ausführbaren Skype-Datei und klicken Sie auf "Weiter".

Sie können die Aktion auf dem Standard belassen, der die Verbindung blockiert, und klicken Sie auf Weiter.

Deaktivieren Sie die Kontrollkästchen Privat und Öffentlich und klicken Sie auf Weiter, um fortzufahren.

Geben Sie Ihrer Regel nun einen Namen und klicken Sie auf Fertig stellen

Wenn Sie nun Skype starten und starten, während Sie mit einem Domänennetzwerk verbunden sind, funktioniert es nicht

Wenn sie jedoch versuchen, eine Verbindung herzustellen, wenn sie nach Hause kommen, können sie die Verbindung problemlos herstellen

Das sind alle Firewall-Regeln, die wir vorerst erstellen werden. Vergessen Sie nicht, Ihre Regeln genau wie wir für Skype auszuprobieren.

Die Richtlinie exportieren

Um die Richtlinie zu exportieren, klicken Sie im linken Fensterbereich auf die Wurzel der Baumstruktur mit der Bezeichnung Windows-Firewall mit erweiterter Sicherheit. Klicken Sie dann auf Aktion und wählen Sie im Menü die Option Richtlinie exportieren.

Sie sollten dies entweder auf einer Netzwerkfreigabe oder sogar auf einem USB-Stick speichern, wenn Sie physischen Zugriff auf Ihren Server haben. Wir werden mit einer Netzwerkfreigabe gehen.

Hinweis: Achten Sie bei der Verwendung eines USB-Geräts auf Viren. Das letzte, was Sie tun möchten, ist, einen Server mit einem Virus zu infizieren

Importieren der Richtlinie in die Gruppenrichtlinie

Zum Importieren der Firewall-Richtlinie müssen Sie ein vorhandenes Gruppenrichtlinienobjekt öffnen oder ein neues Gruppenrichtlinienobjekt erstellen und mit einer Organisationseinheit verknüpfen, die Computerkonten enthält. Wir haben ein Gruppenrichtlinienobjekt namens Firewall Policy, das mit einer Organisationseinheit namens Geek Computers verbunden ist. Diese Organisationseinheit enthält alle unsere Computer. Wir werden einfach weitermachen und diese Politik anwenden.

Navigiere jetzt zu:

Öffnen Sie Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Windows-Firewall mit erweiterter Sicherheit

Klicken Sie auf Windows-Firewall mit erweiterter Sicherheit und anschließend auf Aktion und Importrichtlinie

Wenn Sie die Richtlinie importieren, werden alle vorhandenen Einstellungen überschrieben. Klicken Sie auf Ja, um fortzufahren, und suchen Sie nach der Richtlinie, die Sie im vorherigen Abschnitt dieses Artikels exportiert haben. Sobald der Import der Richtlinie abgeschlossen ist, werden Sie benachrichtigt.

Wenn Sie sich unsere Regeln ansehen, werden Sie feststellen, dass die von mir erstellten Skype-Regeln noch vorhanden sind.

Testen

Hinweis: Sie sollten keine Tests durchführen, bevor Sie den nächsten Abschnitt des Artikels abschließen. Wenn Sie dies tun, werden alle lokal konfigurierten Regeln eingehalten. Der einzige Grund, warum ich ein paar Tests gemacht habe, war, einige Dinge aufzuzeigen.

Um festzustellen, ob die Firewall-Regeln auf Clients bereitgestellt wurden, müssen Sie zu einem Client-Computer wechseln und die Windows-Firewall-Einstellungen erneut öffnen. Wie Sie sehen, sollte eine Meldung angezeigt werden, dass einige Firewall-Regeln von Ihrem Systemadministrator verwaltet werden.

Klicken Sie auf der linken Seite auf den Link Programm oder Funktion durch die Windows-Firewall zulassen.

Wie Sie jetzt sehen sollten, haben wir Regeln, die sowohl von Gruppenrichtlinien als auch von lokalen Regeln angewendet werden.

Was ist hier los und wie kann ich es beheben?

Standardmäßig ist das Zusammenführen von Regeln zwischen lokalen Firewall-Richtlinien auf Windows 7-Computern und Firewall-Richtlinien aktiviert, die in Gruppenrichtlinien festgelegt sind, die auf diese Computer abzielen. Dies bedeutet, dass lokale Administratoren eigene Firewall-Regeln erstellen können. Diese Regeln werden mit den über Gruppenrichtlinien erhaltenen Regeln zusammengeführt. Um dies zu beheben, klicken Sie mit der rechten Maustaste auf Windows-Firewall mit erweiterter Sicherheit und wählen Sie Eigenschaften aus dem Kontextmenü. Wenn das Dialogfeld geöffnet wird, klicken Sie auf die Schaltfläche Anpassen unter den Einstellungen.

Ändern Sie die Option Lokale Firewallregeln anwenden von Nicht konfiguriert in Nein.

Sobald Sie auf OK geklickt haben, wechseln Sie zu den privaten und öffentlichen Profilen und führen Sie dasselbe für beide aus.

Das ist alles, was es drauf gibt, Jungs, macht ein bisschen Spaß mit der Firewall.