Как создать правило в брандмауэре windows 10

Содержание

Создание правила порта для входящие точки (Windows 10) – Windows security

Как создать правило в брандмауэре windows 10

  • 08/17/2017
  • Чтение занимает 2 мин
    • D

Относится к:Applies to

  • Windows 10Windows10
  • Windows Server2016Windows Server 2016

Чтобы разрешить входящий сетевой трафик только по указанному номеру порта TCP или UDP, создайте правила брандмауэра с помощью брандмауэра Защитник Windows с дополнительными службами безопасности в оснастке управления групповыми политиками MMC.

To allow inbound network traffic on only a specified TCP or UDP port number, use the Windows Defender Firewall with Advanced Security node in the Group Policy Management MMC snap-in to create firewall rules. Этот тип правила позволяет любой программе, которая прослушивает указанный TCP-порт или UDP-порт, получать сетевой трафик, отправленный на этот порт.

This type of rule allows any program that listens on a specified TCP or UDP port to receive network traffic sent to that port.

Учетные данные администратораAdministrative credentials

Для выполнения этих процедур необходимо быть членом группы “Администраторы домена” или получить другие делегирование разрешений на изменение таких групп.To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.

В этом разделе описывается создание стандартного правила порта для указанного протокола, номера порта TCP или UDP.This topic describes how to create a standard port rule for a specified protocol or TCP or UDP port number. Другие типы правил входящие порты см. в:For other inbound port rule types, see:

Создание правила порта для входящиеTo create an inbound port rule

  1. Откройте консоль управления групповыми политиками для Защитник Windows брандмауэра с расширенными мерами безопасности.Open the Group Policy Management Console to Windows Defender Firewall with Advanced Security.

  2. В области навигации щелкните “Правила для входящие”.In the navigation pane, click Inbound Rules.

  3. Щелкните “Действие” и выберите “Новое правило”.Click Action, and then click New rule.

  4. На странице “Тип правила” мастера “Новые правила для входящие” щелкните “Настраиваемый” и нажмите кнопку “Далее”.On the Rule Type page of the New Inbound Rule Wizard, click Custom, and then click Next.

    Примечание. Хотя правила можно создать, **** выбрав программу или порт, эти варианты ограничивают количество страниц, представленных мастером.

    Note: Although you can create rules by selecting Program or Port, those choices limit the number of pages presented by the wizard. При выборе настраиваемоговы увидите все страницы и сможете с наибольшей гибкостью создавать правила.

    If you select Custom, you see all of the pages, and have the most flexibility in creating your rules.

  5. На странице “Программа” щелкните “Все программы” и нажмите кнопку “Далее”.On the Program page, click All programs, and then click Next.

    Примечание. Этот тип правила часто используется в сочетании с программой или правилом службы.Note: This type of rule is often combined with a program or service rule.

    Если объединить типы правил, вы получите правило брандмауэра, которое ограничивает трафик указанным портом и разрешает трафик только при запуске указанной программы.If you combine the rule types, you get a firewall rule that limits traffic to a specified port and allows the traffic only when the specified program is running.

    Указанная программа не может принимать сетевой трафик через другие порты, а другие программы не могут принимать сетевой трафик на указанный порт.The specified program cannot receive network traffic on other ports, and other programs cannot receive network traffic on the specified port.

    Если вы решили сделать это, выполните действия, перечисленные в процедуре создания программы или правила службы для входящие данной процедуры, чтобы создать одно правило, которое фильтрует сетевой трафик с использованием программных и портовых критериев.

    If you choose to do this, follow the steps in the Create an Inbound Program or Service Rule procedure in addition to the steps in this procedure to create a single rule that filters network traffic using both program and port criteria.

  6. На странице “Протокол и порты” выберите тип протокола, который необходимо разрешить.On the Protocol and Ports page, select the protocol type that you want to allow.

    Чтобы ограничить правило указанным номером порта, необходимо выбрать TCP или UDP.To restrict the rule to a specified port number, you must select either TCP or UDP.

    Поскольку это входящие правила, обычно настраивается только номер локального порта.Because this is an incoming rule, you typically configure only the local port number.

    Если выбран другой протокол, то через брандмауэр будут разрешены только пакеты, поле протокола которых в IP-загорелом ip-адресе соответствует этому правилу.If you select another protocol, then only packets whose protocol field in the IP header match this rule are permitted through the firewall.

    Чтобы выбрать протокол по его **** номеру, выберите “Настраиваемый” в списке и введите номер в поле “Номер протокола”.To select a protocol by its number, select Custom from the list, and then type the number in the Protocol number box.

    Настроив протоколы и порты, нажмите кнопку “Далее”.When you have configured the protocols and ports, click Next.

  7. На странице “Область” можно указать, что правило применяется только к сетевому трафику с IP-адресов, введенного на этой странице, или с них.

    On the Scope page, you can specify that the rule applies only to network traffic to or from the IP addresses entered on this page. Настройте его соответствующим образом и нажмите кнопку “Далее”.

    Configure as appropriate for your design, and then click Next.

  8. На странице действий выберите “Разрешить подключение” и нажмите кнопку “Далее”.On the Action page, select Allow the connection, and then click Next.

  9. На странице “Профиль” выберите типы сетевых расположений, к которым применяется это правило, и нажмите кнопку “Далее”.On the Profile page, select the network location types to which this rule applies, and then click Next.

    Примечание. Если этот объект GPO ориентирован на серверные компьютеры под управлением Windows Server 2008, которые никогда не перемещаются, рассмотрите возможность изменения правил для применения во всех профилях типов сетевых расположений.

    Note: If this GPO is targeted at server computers running Windows Server 2008 that never move, consider modifying the rules to apply to all network location type profiles.

    Это предотвращает непредвиденное изменение применяемых правил, если тип сетевого расположения изменяется из-за установки новой сетевой карты или отключения существующего кабеля сетевой карты.

    This prevents an unexpected change in the applied rules if the network location type changes due to the installation of a new network card or the disconnection of an existing network card’s cable. Отключенная сетовая карта автоматически назначена типу расположения в общедоступных сетях.A disconnected network card is automatically assigned to the Public network location type.

  10. На странице “Имя” введите имя и описание правила и нажмите кнопку “Готово”.On the Name page, type a name and description for your rule, and then click Finish.

Отправить и просмотреть отзыв по

Этот продукт Эта страница Просмотреть все отзывы по странице

Источник: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/windows-firewall/create-an-inbound-port-rule

Как создать правило в брандмауэре windows 10

Как создать правило в брандмауэре windows 10

Относится к: Applies to

Эти сведения относятся к предварительным продуктам, которые могут быть изменены перед коммерческой выпуском.

This information relates to prereleased product which may be substantially modified before it’s commercially released.

Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении предоставленной здесь информации. Microsoft makes no warranties, express or implied, with respect to the information provided here.

Чтобы приступить к работе, откройте конфигурацию устройства в Intune и создайте новый профиль. To get started, open Device Configuration in Intune, then create a new profile.

Выберите Windows 10 в качестве платформы и укажите тип профиля Endpoint Protection. Choose Windows 10 as the platform, and Endpoint Protection as the profile type. Выберите брандмауэр защитника Windows.

Select Windows Defender Firewall.

Профиль защиты от конечной точки может содержать не более 150 правил брандмауэра. A single Endpoint Protection profile may contain up to a maximum of 150 firewall rules. Если на клиентском устройстве требуется более 150 правил, для него должно быть назначено несколько профилей. If a client device requires more than 150 rules, then multiple profiles must be assigned to it.

Компоненты правила брандмауэра Firewall rule components

Конфигурации правил брандмауэра в Intune используют для брандмауэра Windows 10 CSP. The firewall rule configurations in Intune use the Windows 10 CSP for Firewall. Дополнительные сведения можно найти в разделе CSP брандмауэра. For more information, see Firewall CSP.

Приложение Application

Управление подключениями для приложения или программы. Control connections for an app or program. Приложения и программы можно указывать как путь к файлу, имя семейства пакетов или краткое имя службы Windows. Apps and programs can be specified either file path, package family name, or Windows service short name.

Путь к файлу приложения — это его расположение на клиентском устройстве. The file path of an app is its location on the client device. Например, C:\Windows\Systemotepad.exe. For example, C:\Windows\Systemotepad.exe. Подробнее Learn more

Имена семейств пакетов можно получить, выполнив команду Get-AppxPackage из PowerShell. Package family names can be retrieved by running the Get-AppxPackage command from PowerShell. Подробнее Learn more

Короткие имена служб Windows используются в случаях, когда служба, а не приложение, отправляет или получает трафик. Windows service short names are used in cases when a service, not an application, is sending or receiving traffic. Стандартная архитектура НМА. Default ia All.

Используемый протокол Protocol

Выберите протокол для этого правила для порта. Select the protocol for this port rule. Протоколы транспортного уровня — TCP и UDP — позволяют указывать порты и диапазоны портов.

Transport layer protocols—TCP and UDP—allow you to specify ports or port ranges. Для дополнительных протоколов введите число от 0 до 255, представляющее протокол IP.

For custom protocols, enter a number between 0 and 255 representing the IP protocol.

Значением по умолчанию является Any. Default is Any.

Локальные порты Local ports

Список диапазонов, разделенных запятыми. Comma separated list of ranges. Например, 100-120200300-320. For example, 100-120,200,300-320. По умолчанию — все. Default is All.

Удаленные порты Remote ports

Список диапазонов, разделенных запятыми. Comma separated list of ranges. Например, 100-120200300-320. For example, 100-120,200,300-320. По умолчанию — все. Default is All.

Локальные адреса Local addresses

Список локальных адресов, разделенных запятыми, на которые распространяется правило. Comma separated list of local addresses covered by the rule. Допустимые маркеры включают в себя: Valid tokens include:

  • \ * указывает на любой локальный адрес. * indicates any local address. Если указано, это должен быть единственный включенный маркер. If present, this must be the only token included.
  • Подсеть можно указать либо с помощью маски подсети, либо из нотации префикса сети. A subnet can be specified using either the subnet mask or network prefix notation. Если не указана ни маска подсети, ни префикс сети, маска подсети по умолчанию — 255.255.255.255. If neither a subnet mask nor a network prefix is specified, the subnet mask default is 255.255.255.255.
  • Допустимый IPv6-адрес. A valid IPv6 address.
  • Диапазон IPv4-адресов в формате “начальный адрес — конечный адрес” без пробелов. An IPv4 address range in the format of “start address-end address” with no spaces included.
  • Диапазон IPv6-адресов в формате “начальный адрес — конечный адрес” без пробелов. An IPv6 address range in the format of “start address-end address” with no spaces included. По умолчанию используется любой адрес. Default is Any address.

Удаленные адреса Remote addresses

Список маркеров, разделенных запятыми, с указанием удаленных адресов, охваченных правилом. List of comma separated tokens specifying the remote addresses covered by the rule. Маркеры не чувствительны к регистру. Tokens are case insensitive. Допустимые маркеры включают в себя: Valid tokens include:

  • \ * соответствует любому удаленному адресу. * indicates any remote address. Если указано, это должен быть единственный включенный маркер. If present, this must be the only token included.
  • Defaultgateway Defaultgateway
  • DHCP DHCP
  • DNS DNS
  • ДАЕТ WINS
  • Интрасеть (поддерживается в версиях Windows 1809 +) Intranet (supported on Windows versions 1809+)
  • RmtIntranet (поддерживается в версиях Windows 1809 +) RmtIntranet (supported on Windows versions 1809+)
  • Интернет (поддерживается в версиях Windows 1809 +) Internet (supported on Windows versions 1809+)
  • Ply2Renders (поддерживается в версиях Windows 1809 +) Ply2Renders (supported on Windows versions 1809+)
  • LocalSubnet означает любой локальный адрес в локальной подсети. LocalSubnet indicates any local address on the local subnet.
  • Подсеть можно указать либо с помощью маски подсети, либо из нотации префикса сети. A subnet can be specified using either the subnet mask or network prefix notation. Если не указана ни маска подсети, но не префикс сети, маска подсети по умолчанию равна 255.255.255.255. If neither a subnet mask not a network prefix is specified, the subnet mask defaults to 255.255.255.255.
  • Допустимый IPv6-адрес. A valid IPv6 address.
  • Диапазон IPv4-адресов в формате “начальный адрес — конечный адрес” без пробелов. An IPv4 address range in the format of “start address-end address” with no spaces included.
  • Диапазон IPv6-адресов в формате “начальный адрес — конечный адрес” без пробелов. An IPv6 address range in the format of “start address-end address” with no spaces included.

По умолчанию используется любой адрес. Default is Any address.

Обход по краям (пользовательский интерфейс скоро) Edge traversal (UI coming soon)

Указывает, разрешено или запрещено обходов для этого правила. Indicates whether edge traversal is enabled or disabled for this rule.

Параметр EdgeTraversal указывает на то, что определенный входящий трафик может проходить туннелирование через NAT и другие пограничные устройства с помощью технологии туннелирования Teredo.

The EdgeTraversal setting indicates that specific inbound traffic is allowed to tunnel through NATs and other edge devices using the Teredo tunneling technology. Чтобы этот параметр работал правильно, необходимо, чтобы приложение или служба с правилом брандмауэра для входящего трафика поддерживали IPv6.

In order for this setting to work correctly, the application or service with the inbound firewall rule needs to support IPv6. Основное приложение этого параметра позволяет прослушивателям узла быть глобально адресацией через IPv6-адрес Teredo.

The primary application of this setting allows listeners on the host to be globally addressable through a Teredo IPv6 address. В новых правилах свойство EdgeTraversal отключено по умолчанию. New rules have the EdgeTraversal property disabled by default. Этот параметр можно настроить только с помощью графа Intune в настоящее время. This setting can only be configured via Intune Graph at this time.

Авторизованные пользователи Authorized users

Указывает список авторизованных локальных пользователей для этого правила. Specifies the list of authorized local users for this rule.

Список авторизованных пользователей не может быть указан, если правило предназначено для службы Windows.

A list of authorized users cannot be specified if the rule being authored is targeting a Windows service. По умолчанию — все пользователи. Default is all users.

Источник

Создание правила ICMP для входящего трафика Create an Inbound ICMP Rule

Относится к: Applies to

  • Windows 10 Windows10
  • Windows Server2016 Windows Server 2016

Чтобы разрешить входящий трафик по протоколу ICMP, используйте брандмауэр защитника Windows в разделе Advanced Security оснастки MMC “Управление групповыми политиками” для создания правил брандмауэра.

To allow inbound Internet Control Message Protocol (ICMP) network traffic, use the Windows Defender Firewall with Advanced Security node in the Group Policy Management MMC snap-in to create firewall rules. Правила этого типа позволяют отправлять и принимать ICMP-запросы и ответы для компьютеров в сети.

This type of rule allows ICMP requests and responses to be sent and received by computers on the network.

Учетные данные администратора Administrative credentials

Для выполнения описанных ниже действий необходимо быть членом группы администраторов домена или иным образом делегированными разрешениями для изменения объектов групповой политики. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.

В этой статье описано, как создать правило для порта, разрешающее входящий трафик по сети ICMP. This topic describes how to create a port rule that allows inbound ICMP network traffic. Другие типы правил портов для входящих сообщений можно найти в следующих случаях: For other inbound port rule types, see:

Создание правила ICMP для входящего трафика To create an inbound ICMP rule

В области навигации нажмите кнопку правила для входящих подключений. In the navigation pane, click Inbound Rules.

Нажмите кнопку действиеи выберите пункт создать правило. Click Action, and then click New rule.

На странице тип правила в мастере создания правила для нового входящего подключения выберите пункт Настраиваемаяи нажмите кнопку Далее. On the Rule Type page of the New Inbound Rule Wizard, click Custom, and then click Next.

На странице программы выберите пункт все программы, а затем нажмите кнопку Далее. On the Program page, click All programs, and then click Next.

На странице протокол и порты выберите ICMPv4 или ICMPv6 из списка тип протокола .

On the Protocol and Ports page, select ICMPv4 or ICMPv6 from the Protocol type list.

Если в сети используется как протокол IPv4, так и протокол IPv6, необходимо создать отдельное правило ICMP для каждого из них. If you use both IPv4 and IPv6 on your network, you must create a separate ICMP rule for each.

Нажмите кнопку настроить. Click Customize.

В диалоговом окне Настройка параметров ICMP выполните одно из указанных ниже действий. In the Customize ICMP Settings dialog box, do one of the following:

Чтобы разрешить весь сетевой трафик ICMP, выберите все типы ICMPи нажмите кнопку ОК. To allow all ICMP network traffic, click All ICMP types, and then click OK.

Чтобы выбрать один из предопределенных типов ICMP, щелкните определенные типы ICMPи выберите каждый тип в списке, который вы хотите разрешить. To select one of the predefined ICMP types, click Specific ICMP types, and then select each type in the list that you want to allow. Нажмите кнопку ОК. Click OK.

Чтобы выбрать тип ICMP, которого нет в списке, выберите пункт определенные типы ICMP, выберите в списке тип , а затем в списке выберите номер нужного кода , нажмите кнопку Добавитьи выберите только что созданный элемент в списке.

To select an ICMP type that does not appear in the list, click Specific ICMP types, select the Type number from the list, select the Code number from the list, click Add, and then select the newly created entry from the list.

Нажмите ОК Click OK

Нажмите кнопку Далее. Click Next.

На странице область вы можете указать, что правило применяется только к сетевому трафику с IP-адресами, указанными на этой странице.

On the Scope page, you can specify that the rule applies only to network traffic to or from the IP addresses entered on this page.

Настройте необходимые параметры для вашего проекта и нажмите кнопку Далее. Configure as appropriate for your design, and then click Next.

На странице действия выберите Разрешить подключение, а затем нажмите кнопку Далее. On the Action page, select Allow the connection, and then click Next.

На странице профиля выберите типы сетевых расположений, к которым применяется это правило, и нажмите кнопку Далее. On the Profile page, select the network location types to which this rule applies, and then click Next.

На странице имя введите имя и описание правила, а затем нажмите кнопку Готово. On the Name page, type a name and description for your rule, and then click Finish.

Источник

Источник: https://a174.ru/kak-sozdat-pravilo-v-brandmauere-windows-10/

Настройка правил брандмауэра Windows групповыми политиками

Как создать правило в брандмауэре windows 10

Брандмауэр Windows позволяет ограничить исходящий / входящий сетевой трафик для определенного приложения или TCP/IP порта, и является популярным средством ограничения сетевого доступа к (от) рабочим станциям пользователей или серверам.

Правила Windows Firewall можно настроить индивидуально на каждом компьютере, или, если компьютер пользователя включен в домен Windows, администратор может управлять настройками и правилами брандмауэра Windows с помощью групповых политик.

В крупных организация правила фильтрации портов обычно выносятся на уровень маршрутизатором, L3 коммутаторов или выделенных межсетевых экранах. Однако ничего не мешает вам распространить ваши правила ограничения сетевого доступа Windows Firewall к рабочим станциям или серверам Windows.

Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows

С помощью редактора доменной групповой политики (group Policy Management Console – gpmc.msc) создайте новую политику с именем Firewall-Policy и перейдите в режим редактирования (Edit).

В консоли групповой политики есть две секции, в которых можно управлять настройками брандмауэра:

  • Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall – эта секция GPO использовалась для настройки правил брандмауэра для ОС Vista / Windows Server 2008 и ниже. Если у вас в домене нет компьютеров со старыми ОС, для настройки файервола используется следующая секция.
  • Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security – это актуальный раздел для настройки Брандмауэра Windows в современных версиях ОС и по интерфейсу он напоминает интерфейс локальной консоли управления Брандмауэра.

Включаем Windows Firewall с помощью GPO

Чтобы пользователи (даже с правами локального админа) не могли выключить службу брандмауэра, желательно настроить автоматический запуск службы Windows Firewall через GPO.

Для этого перейдите в раздел Computer Configuration- > Windows Settings -> Security Settings -> System Services.

Найдите в списке служб Windows Firewall и измените тип запуск службы на автоматический (Define this policy setting -> Service startup mode Automatic). Убедитесь, что у пользователей нет прав на остановку службы.

Перейдите в раздел консоли GPO Computer Configuration -> Windows Settings -> Security Settings. Щелкните ПКМ по Windows Firewall with Advanced Security и откройте свойства.

На всех трех вкладках Domain Profile, Private Profile и Public Profile (что такое профиль сети) измените состояние Firewall state на On (recommended).

В зависимости от политик безопасности в вашей организации вы можете указать, что все входящие подключения по умолчанию запрещены(Inbound connections -> Block), а исходящие разрешены (Outbound connections -> Allow) и сохраните изменения.

Создаем правило файервола с помощью групповой политики

Теперь попробуем создать разрешающее входящее правило файервола для всех. Например, мы хотим разрешить подключение к компьютерам по RDP (порт TCP 3389). Щелкните ПКМ по разделу Inbound Rules и выберите пункт меню New Rule.

Мастер создания правила брандмауэра очень похож на интерфейс локального Windows Firewall на обычном компьютере.

Выберите тип правила. Можно разрешить доступ для:

  • Программы (Program) – можно выбрать исполняемый exe программы;
  • Порта (Port) – выбрать TCP/UDP порт или диапазон портов;
  • Преднастроенное правило (Predefined) – выбрать одно из стандартных правил Windows, в которых уже имеются правила доступа (описаны как исполняемые файлы, так и порты) к типовым службам (например, AD, Http, DFS, BranchCache, удаленная перезагрузка, SNMP, KMS и т.д.);
  • Собственное правило (Custom) – здесь можно указать программу, протокол (другие протоколы помимо TCP и UDP, например, ICMP, GRE, L2TP, IGMP и т.д.), IP адреса клиентов или целые IP подсети.

В нашем случае мы выберем правило Port. В качестве протокола укажем TCP, в качестве порта – порт 3389 (RDP порт по-умолчанию, можно изменить).

Далее нужно выбрать что нужно сделать с таким сетевым соединением: разрешить (Allow the connection), разрешить если оно безопасное или заблокировать (Block the connection).

Осталось выбрать профили файервола, которым нужно применить правило. Можно оставить все профили (Domain, Private и Public).

На последнем шаге нужно указать имя правило и его описание. Нажмите кнопку Finish и оно появится в списке правил брандмауэра.

Аналогичным образом вы можете настроить другие правила для входящего трафика, которые должны применятся к вашим клиентам Windows.

Не забываете, что нужно создать правила для входящего и исходящего трафика.

Теперь осталось назначить политику Firewall-Policy на OU с компьютерами пользователей

Важно. Прежде, чем применять политику файервола к OU с продуктивными компьютерами, настоятельно рекомендуется проверить ее на тестовых компьютерах. В противном случае из-за неправленых настроек брандмауэра вы можете парализовать работу предприятия. Для диагностики применения групповых политик используйте утилиту gpresult.exe. 

Проверка политик брандмаэера Windows на клиентах

Обновите политики на клиентах (gpupdate /force). Проверьте, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или утилиту Portqry).

На ПК пользователя откройте Панель управления\Система и безопасность\Брандмауэр Защитника Windows и убедитесь, что появилась надпись: Для обеспечения безопасности, некоторые параметры управляются групповой политикой (For your security, some settings are controlled by Group Policy), и используются заданные вами настройки брандмаэера.

Пользователь теперь не может изменить настройки брандмауэра, а в списке Inbound Rules должны быть указаны все созданные вами правила.

Также вы можете вывести настройки файервола с помощью команды:

netsh firewall show state

Импорт / экспорт правил Брандмауэра Windows в GPO

Конечно, процесс создания правил для брандмауэра Windows – очень кропотливое и долгое занятие (но результате того стоит). Для упрощения свое задачи можно воспользоваться возможностью импорт и экспорта настроек брандмауэра Windows.

Для этого вам достаточно нужным образом настроить локальные правила брандмауэра на обычном рабочей станции.

Затем встаньте на корень оснастки брандмауэра (Монитор Брандмауэра Защитника Windows в режиме повышенной безопасности) и выберите пункт Действие ->Экспорт политики.

Политика выгружается в WFW файл, который можно импортировать в редакторе Group Policy Management Editor, выбрав пункт Import Policy и указав путь к файлу wfw (текущие настройки будут перезаписаны).

Доменные и локальные правила брандмауэра

В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать на своих компьютерах собственные правила брандмауэра и эти должны быть объединены с правилами, полученными с помощью групповой политики. в групповой политике вы можете выбрать режим объединения правил.

Откройте свойства политики и обратите внимание на настройки в разделе Rule merging. По умолчанию режим объединения правил включен.

Вы можете принудительно указать, что локальный администратор может создавать собственные правила брандмауэра: в параметре Apply local firewall rules выберите Yes (default).

Несколько советов об управлении брандмауэром Windows через GPO

Конечно, для серверов и рабочих станций нужно создавать отдельные политики управления правилами брандмауэра (для каждой группы одинаковых серверов возможно придется создать собственные политики в зависимости от их роли). Т.е. правила файервола для контроллера домена, почтового Exchange сервера и сервера SQL будут отличаться.

Какие порты нужно открыть для той или иной службы нужно искать в документации на сайте разработчика. Процесс довольно кропотливый и на первый взгляд сложный.

Но постепенно вполне реальной придти к работоспособной конфигурации Windows файервола, который разрешает только одобренные подключения и блокирует все остальное.

По опыту хочу отметить, что на ПО Microsoft можно довольно быстро найти список используемых TCP/UDP портов.

Источник: https://winitpro.ru/index.php/2018/12/06/nastrojka-pravil-windows-firewall-gpo/

Настройка брандмауэра Windows 10

Как создать правило в брандмауэре windows 10

Брандмауэр предназначен для защиты ПК от атак хакеров или вредоносного ПО через интернет или локальную сеть. Он установлен на всех устройствах под управлением Windows 10. Но нужно знать, как включить брандмауэр Windows 10 и как правильно его настроить.

Где находится

Как и в предыдущих версиях операционной системы, в Windows 10 утилита находится в Панели управления.

Другой вариант ее запуска – в окне «Выполнить» ввести слово «брандмауэр». В открывшемся списке он стоит на первом месте.

Полезно! Запустить утилиту можно с помощью команды: firewall.cpl, которую введите в окне «Выполнить».

Как включить

По умолчанию эта защитная утилита в Windows 10 всегда включена. Но если вы увидели, что она не работает, нужно ее активировать.

  1. Панель управления > Брандмауэр > Включение и отключение брандмауэра Windows.
  2. Для разделов «Параметры для частной сети» и «Параметры для общественной сети» переместите указатель в положение «Включить брандмауэр Windows» и подтвердите действия нажатием кнопки Ок.

Настройка

Для корректной работы утилита должна быть правильно настроена. Поэтому очень редко юзеры используют ее установки по умолчанию.

Добавление исключений

Добавление исключений в защитник Windows 10 позволит не выключать утилиту полностью для полноценной работы той программы, которую она блокирует. Поэтому вы сможете запустить нужное приложение и не лишитесь надежного защитника.

 

  1. Панель управления > Брандмауэр > Разрешение взаимодействия с приложением или компонентом в брандмауэре Windows > нажмите кнопки «Изменить параметры» (если активна), и после этого «Разрешить другие приложения».
  2. В открывшемся окне для поиска нужного приложения нажмите «Обзор». После выбора приложения нажмите «Добавить».

  3. Программа появится в списке разрешенных программ и компонент. Установите напротив нее галочки в пунктах «Частная» и «Публичная» сети и подтвердите изменения.

Открытие портов

Для увеличения безопасности компьютера утилита блокирует все подключения по неосновным портам. Но если пользователю нужно подключить, к примеру ftp-сервер, появится трафик по порту 20 и 21. Поэтому их нужно открыть.

  1. Панель управления > Брандмауэр > Дополнительные параметры > откроется окно «Брандмауэр в режиме повышенной безопасности».
  2. Выберите слева в разделе «Правила для входящих подключений» и нажмите справа кнопку «Создать правило».
  1. В окне «Мастер создания правила для нового входящего подключения» установите указатель на пункте «Для порта».

    Важно! Если нужно сделать свободный доступ ко всем портам для определенной программы, установите переключатель в положение «Для программы».

  2. Укажите протокол, к которому будет применено правило, установив переключатель в нужную позицию: TCP или UDP.
  3. Отметьте указателем пункт «Определенные локальные порты» и укажите их номера.

    Важно! Не устанавливайте переключатель в положение «Все локальные порты», потому что злоумышленникам в этом случае будет намного легче взломать ваш ПК.

  4. После этого выберите следующие пункты:Разрешить подключение > отметьте галочками пункты «Доменный», «Частный», «Публичный» > введите название и описание правила > подтвердите изменение.

Для исходящего подключения создать правило можно аналогично в разделе «Правила для исходящих подключений».

Отключение

Отключение защитной утилиты может понадобиться, если она мешает работе определенной программы, и ее добавление в исключения не помогает. Также защитник Windows 10 лучше отключить, если вы установили на компьютер другой файервол.

В Панели управления

  1. Панель управления > Брандмауэр > Включение и отключение брандмауэра Windows
  2. Переместите переключатель на пунктах «Параметры для частной сети» и «Параметры для общественной сети» в положение «Отключить брандмауэр Windows (не рекомендуется)».

С помощью Служб

  1. Введите в окне «Выполнить» команду: services.msc.
  2. Окно «Службы» > «Брандмауэр Windows» > ПКМ > Свойства.
  3. Окно «Свойства: Брандмауэра Windows» > Тип запуска – «Отключена» > нажать кнопку «Остановить».
  1. Подтвердите изменения и перезагрузите компьютер.

На видео можно наглядно посмотреть способы настройки и отключения брандмауэра Windows.

http://windowsten.ru/lyuchenie-nastrojka-i-otklyuchenie-brandmauera-windows-10/ — link

Включение и отключение брандмауэра Windows 10 можно выполнить через Панель управления. Но делайте это только в крайнем случае, поскольку утилита является надежным защитником для вашего устройства и не позволит взломать его из интернета или локальной сети.

Источник: http://vichivisam.ru/?p=12773

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.