Criteri di gruppo Geek: come controllare Windows Firewall con un oggetto Criteri di gruppo

Video: Criteri di gruppo Geek: come controllare Windows Firewall con un oggetto Criteri di gruppo

Video: Acquisire Diapositive e trasparenti con lo scanner - YouTube 2024, Novembre

2024 Autore: Geoffrey Carr | [email protected]. Ultima modifica: 2023-12-17 10:55

Windows Firewall può essere uno dei più grandi incubi per gli amministratori di sistema da configurare, con l'aggiunta della precedenza di Criteri di gruppo che diventa un vero problema. Qui vi porteremo dall'inizio alla fine su come configurare facilmente Windows Firewall tramite i Criteri di gruppo e come bonus mostrarvi come risolvere uno dei più grandi trucchi.

La nostra missione

Abbiamo notato che molti utenti hanno installato Skype sui loro computer e li sta rendendo meno produttivi. Ci è stato affidato il compito di assicurarci che gli utenti non possano utilizzare Skype sul posto di lavoro, tuttavia sono invitati a tenerlo installato sui loro laptop e a utilizzarlo a casa o durante le pause pranzo su una connessione 3G / 4G. Alla luce di queste informazioni, decidiamo di utilizzare Windows Firewall e Criteri di gruppo.

Il metodo

Il modo più semplice per iniziare a controllare Windows Firewall tramite i Criteri di gruppo consiste nell'impostare un PC di riferimento e creare le regole utilizzando Windows 7, quindi è possibile esportare tale politica e importarla in Criteri di gruppo. In questo modo, abbiamo il vantaggio di essere in grado di vedere se tutte le regole sono impostate e funzionano come vogliamo, prima di distribuirle a tutte le macchine client.

Creazione di un modello di firewall

Per creare un modello per Windows Firewall, è necessario avviare il Centro connessioni di rete e condivisione, il modo più semplice per farlo è fare clic con il pulsante destro del mouse sull'icona della rete e selezionare Apri Centro connessioni di rete e condivisione dal menu di scelta rapida.

Quando si apre il Centro connessioni di rete e condivisione, fare clic sul collegamento Windows Firewall nell'angolo in basso a sinistra.

Quando si crea un modello per Windows Firewall, è meglio farlo tramite Windows Firewall con la console di sicurezza avanzata, per avviare questo clic su Impostazioni avanzate sul lato sinistro.

Nota: a questo punto ho intenzione di modificare le regole specifiche di Skype, tuttavia è possibile aggiungere le proprie regole per le porte o anche per le applicazioni. Qualunque sia la modifica da apportare al firewall dovrebbe essere fatta ora.

Da qui possiamo iniziare a modificare le regole del nostro firewall, nel nostro caso quando l'applicazione Skype viene installata crea le proprie eccezioni del firewall che consentono a skype.exe di comunicare sui profili di rete Domain, Private e Public.

Ora dobbiamo modificare la nostra regola del Firewall, per modificarla fare doppio clic sulla regola. Questo farà apparire le proprietà della regola di Skype.

Passa alla scheda Avanzate e deseleziona la casella di controllo Dominio.

Quando provi a lanciare Skype ora, ti verrà chiesto se può comunicare sul profilo della rete di dominio, deseleziona la casella e fai clic su consenti accesso.

Se ora torni alle regole del tuo firewall in entrata vedrai che ci sono due nuove regole, questo perché quando ti è stato richiesto hai scelto di non consentire il traffico in entrata su Skype. Se si guarda alla colonna del profilo, si vedrà che sono entrambi per il profilo di rete del dominio.

Nota: il motivo per cui esistono due regole è perché esistono regole separate per TCP e UDP

Tutto è buono finora, tuttavia se avvii Skype sarai comunque in grado di accedere.

Anche se si modificano le regole per bloccare il traffico in entrata per skype.exe e impostarlo per bloccare il traffico utilizzando QUALSIASI protocollo, è comunque in grado di rientrare in qualche modo. La correzione è semplice, impedendole di essere in grado di comunicare in primo luogo. Per fare ciò, passa a Regole in uscita e inizia a creare una nuova regola.

Poiché vogliamo creare una regola per il programma Skype, fai clic su Avanti, quindi cerca il file eseguibile Skype e fai clic su Avanti.

Puoi lasciare l'azione al valore predefinito che è quello di bloccare la connessione e fare clic su Avanti.

Deseleziona le caselle di controllo Pubblico e Privato e fai clic su Avanti per continuare.

Ora dai un nome alla regola e fai clic su Fine

Ora se provi a lanciare Skype mentre sei connesso a una rete di domini non funzionerà

Tuttavia, se provano a connettersi quando arrivano a casa, permetteranno loro di connettersi bene

Ecco tutte le regole del firewall che creeremo per ora, non dimenticare di testare le tue regole come abbiamo fatto per Skype.

Esportare la politica

Per esportare la politica, nel riquadro a sinistra fare clic sulla radice dell'albero che dice Windows Firewall con sicurezza avanzata. Quindi fare clic su Azione e selezionare Esporta politica dal menu.

Dovresti salvare questo in una condivisione di rete o anche in una USB se hai accesso fisico al tuo server. Andremo con una condivisione di rete.

Nota: fare attenzione ai virus quando si utilizza una USB, l'ultima cosa che si vuole fare è infettare un server con un virus

Importazione della politica in Criteri di gruppo

Per importare il criterio firewall è necessario aprire un oggetto Criteri di gruppo esistente o creare un nuovo oggetto Criteri di gruppo e collegarlo a un'unità organizzativa che contiene account computer. Abbiamo un oggetto Criteri di gruppo denominato Firewall Policy collegato a un'unità organizzativa chiamata Geek Computers, questa unità organizzativa contiene tutti i nostri computer. Andremo avanti e useremo questa politica.


Open Computer ConfigurationPoliciesWindows SettingsSecurity SettingsWindows Firewall with Advanced Security

Fare clic su Windows Firewall con sicurezza avanzata e quindi fare clic su Azione e politica di importazione

Ti verrà detto che se si importa la politica sovrascriverà tutte le impostazioni esistenti, fare clic su Sì per continuare e quindi cercare la politica che è stata esportata nella sezione precedente di questo articolo. Una volta che la politica ha finito di essere importata, sarai avvisato.

Se vai a vedere le nostre regole, vedrai che le regole di Skype che ho creato sono ancora lì.

analisi

Nota: non dovresti eseguire alcun test prima di completare la sezione successiva dell'articolo.Se lo fai, tutte le regole che sono state configurate in locale verranno rispettate. L'unica ragione per cui ho fatto un po 'di prove ora era di evidenziare alcune cose.

Per verificare se le regole del firewall sono state distribuite ai client, sarà necessario passare a un computer client e aprire nuovamente le impostazioni di Windows Firewall. Come puoi vedere, dovrebbe esserci un messaggio che dice che alcune regole del firewall sono gestite dal tuo amministratore di sistema.

Fare clic su Consenti programma o funzionalità tramite il collegamento Windows Firewall sul lato sinistro.

Come dovresti vedere ora, abbiamo regole applicate sia dai Criteri di gruppo sia da quelli creati localmente.

Cosa sta succedendo qui e come posso risolverlo?

Per impostazione predefinita, l'unione delle regole è abilitata tra i criteri del firewall locale sui computer Windows 7 e i criteri del firewall specificati in Criteri di gruppo destinati a tali computer. Ciò significa che gli amministratori locali possono creare le proprie regole firewall e queste regole verranno unite alle regole ottenute tramite i Criteri di gruppo. Per risolvere questo problema, fare clic con il pulsante destro del mouse su Windows Firewall con sicurezza avanzata e selezionare Proprietà dal menu di scelta rapida. Quando si apre la finestra di dialogo, fare clic sul pulsante Personalizza nella sezione delle impostazioni.