Articles

Group Policy Central


V tomto článku se budu zabývat tím, jak lze pomocí zásad skupiny ovládat bránu firewall, která je součástí systému Windows, ale nejprve vám chci přiblížit historii vývoje brány firewall v systému Windows založené na hostiteli. Brány firewall existují již dlouhá léta a chrání vnitřní podnikové sítě před útočníky zvenčí (viz obrázek níže).

Firewall

S rozmachem mobilních pracovníků na konci 90. let stále více lidí připojovalo své notebooky přímo k internetu bez výhod ochrany firemní brány firewall. V důsledku toho se ještě na počátku roku 2000 staly produkty firewall třetích stran, jako je ZoneAlarm, velmi oblíbeným způsobem zabezpečení proti útokům. Společnost Microsoft pak s vydáním systému Windows XP/2003 přidala hostitelský firewall, který byl bohužel ve výchozím nastavení vypnutý. V důsledku výchozího vypnutí brány firewall se objevila řada počítačových červů, z nichž nejznámější byly červy Blaster a Sasser, které se šířily rychlostí blesku prakticky na všech počítačích se systémem Windows, které nebyly speciálně zabezpečeny.

V důsledku toho se společnost Microsoft rozhodla s vydáním Service Packu 2 provést zásadní změnu v konfiguraci systému Windows XP. Při instalaci Service Packu 2 byli nyní uživatelé vyzváni k zapnutí brány firewall, čímž byli chráněni před škodlivou komunikací. Problém se zapnutím brány firewall však spočívá v tom, že ve výchozím nastavení obvykle blokujete veškerý příchozí provoz, což znamená, že produkty jako Skype a/nebo Windows Messenger již nemohou přijímat příchozí hovory nebo zprávy. Aby se tento problém obešel, budou koncoví uživatelé vyzváni, když aplikace bude chtít otevřít příchozí port v síti. Firemní IT pracovníci by to mohli pro uživatele kontrolovat pomocí zásad skupiny v sekci Brána firewall systému Windows v části Šablony pro správu > Síť > Síťová připojení.

image

To byl dobrý první krok, nicméně vytvoření sady pravidel brány firewall pomocí nativního nastavení zásad skupiny v části Brána firewall systému Windows bylo přinejmenším náročné, protože tam bylo nutné většinu nastavení konfigurovat ručně.

S vydáním systému Windows Vista/2008 společnost Microsoft zcela přepracovala bránu Windows Firewall, aby umožnila mnohem jednodušší správu. Správci IT mají nyní mnohem podrobnější kontrolu nad tím, jak mohou spravovat pravidla brány firewall, a mají nyní možnost řídit příchozí i odchozí komunikaci a také možnost selektivně povolovat pravidla podle toho, k jaké síti je počítač připojen. Změnili také místo, kde se firewall konfiguruje prostřednictvím zásad skupiny, na Nastavení systému Windows > Nastavení zabezpečení > Brána firewall systému Windows s pokročilým zabezpečením, což umožnilo některé skvělé funkce, jako je import a export pravidel brány firewall, kterým se budu věnovat později.

image

Níže uvedu příklad správce IT, který chce nastavit výchozí sadu pravidel brány firewall pro přenosné počítače se systémem Windows 7 a s pravidlem, které povoluje Skype při připojení doma a na internetu, ale ne při připojení k doméně. Za normálních okolností byste v reálném světě měli mnohem více příchozích výjimek, nicméně měli byste být schopni použít tento příklad jako vodítko, které vám pomůže začít vytvářet nastavení pravidel brány firewall konkrétně pro vaše prostředí.

Než začnete: Pokud jste již nakonfigurovali nastavení brány firewall ve starší části „Brána firewall systému Windows“, budou tato pravidla zásad platit také a obě sady pravidel se pokusí sloučit s nepředvídatelnými výsledky. Doporučuji, abyste se ujistili, že na počítačích se systémem Vista/2008 a novějším není použito žádné nastavení „Brány firewall systému Windows“, a abyste na tyto novější počítače použili výhradně nastavení brány firewall prostřednictvím možnosti zabezpečení zásad skupiny „Brána firewall systému Windows s pokročilým zabezpečením“.

Konfigurace pravidla brány firewall systému Windows

Nejprve nastavíme referenční počítač s pravidlem brány firewall tak, jak chceme, a poté je prozkoumáme, abychom je mohli importovat do zásad skupiny. Konfigurace pravidel brány firewall nejprve na tomto počítači nám dává možnost pravidla řádně otestovat před jejich nasazením do ostatních počítačů. Pokud nám také umožní exportovat všechna pravidla v rámci jedné akce, abychom nemuseli procházet zdlouhavým procesem ručního nastavování všech pravidel jedno po druhém.

V tomto příkladu je na tomto počítači nainstalován systém Windows 7 a je na něm již nainstalována aplikace Skype 4.2.

Krok 1. Klepněte pravým tlačítkem myši na ikonu stavu sítě v systémové liště a klepněte na „Otevřít Centrum síťových připojení a sdílení“

image

Krok 2. Klepněte na tlačítko „Otevřít“. V levém dolním rohu klikněte na „Brána firewall systému Windows“

image

Krok 3 volitelně. Budeme mít rychlý přehled o pravidlech brány firewall na vysoké úrovni kliknutím na „Povolit program nebo funkci prostřednictvím brány firewall systému Windows“ v levém panelu.

image

Jak vidíte, Skype byl nastaven pro práci v profilech Domain, Private a Public. V tomto příkladu jej nakonfigurujeme tak, aby fungoval pouze v profilech Domácí/Pracovní a Veřejný, aby uživatelé nemohli používat Skype, pokud jsou připojeni k firemní doméně prostřednictvím sítě LAN.

Poznamenejte: že možnosti zde jsou uzamčeny, protože jste ještě nepovýšili pověření.

Krok 4 je volitelný. Klepněte na tlačítko Zrušit

image

Krok 5: Klepněte na tlačítko Zrušit. Klikněte na „Rozšířená nastavení“ na levém panelu.

image

Krok 6. Klikněte na „Rozšířená nastavení“ na levém panelu. Klikněte na „Příchozí pravidla“ a poté dvakrát klikněte na položku pravidla brány firewall „Skype“ v pravém sloupci.

Poznámka: Aktuálně nakonfigurovaný profil je nastaven na „Vše“

image

Nyní nakonfigurujeme pravidlo Skype tak, aby bylo zakázáno pomocí profilu domény, nicméně můžete také použít toto dialogové okno vlastností pro konfiguraci dalších podrobných nastavení. Doporučuji, abyste si prošli všechny tyto záložky a seznámili se se všemi nastaveními, která můžete pomocí tohoto dialogového okna ovládat.

Krok 7. Zjistěte, zda je nastavení možné ovládat pomocí tohoto dialogového okna. Klepněte na kartu „Upřesnit“

image

Krok 8. Klikněte na kartu „Upřesnit“. Zrušte zaškrtnutí políčka „Doména“ a klikněte na tlačítko „OK“

image

Poznámka: Profil je nyní nakonfigurován na „Soukromý, veřejný“

image

Pokud se vrátíte do volby „Povolit programům komunikovat myslel bránu Windows Firewall“, uvidíte, že možnost Doména pro Skype byla zrušena.

image

Nyní je třeba otestovat nastavené pravidlo brány firewall, abyste se ujistili, že se chová podle vašich představ. Za předpokladu, že je vše v pořádku, pak vyexportujte pravidla brány firewall, abyste je mohli importovat do zásad skupiny. Možná si také budete chtít uložit export sady pravidel, než začnete, abyste měli jistotu, že se máte k čemu vrátit v případě, že sadu pravidel úplně zpřeházíte a rozbijete síť.

Exportování pravidel brány firewall systému Windows

Krok 1. Zkontrolujte, zda je sada pravidel v pořádku. V části Brána firewall systému Windows s pokročilým zabezpečením klikněte v nabídce na položku „Akce“ a poté na položku „Exportovat zásady“

image

Krok 2. Klikněte na položku „Exportovat zásady“. Vyberte umístění pro uložení pravidel brány firewall a poté zadejte název souboru, do kterého je chcete uložit (např. default_rules.wfw), a klikněte na tlačítko „Uložit“.

Poznámka: Pokud jste se museli povýšit jako jiný uživatel, abyste mohli upravit pravidla brány firewall, pak budete soubor ukládat do profilu účtů správce.

image

Krok 3. V případě, že jste se museli povýšit jako jiný uživatel, uložte soubor do profilu účtů správce. Klepněte na tlačítko „OK“

image

Importování pravidel brány firewall systému Windows do zásad skupiny

Když jste exportovali pravidla brány firewall, budeme nyní importovat exportovaný soubor do zásad skupiny, abyste mohli použít stejnou sadu pravidel na všechny pracovní stanice v síti.

Krok 1. Klepněte na tlačítko „OK“. Upravte objekt zásad skupiny (GPO), který je zaměřen na počítač, na který chcete aplikovat tato pravidla brány firewall.

Krok 2. Uveďte, zda chcete použít tato pravidla brány firewall. Otevřete Konfigurace počítače > Zásady > Nastavení systému Windows > Nastavení zabezpečení > Brána firewall systému Windows s pokročilým zabezpečením a klikněte na „Brána firewall systému Windows s pokročilým zabezpečením“

image

Krok 3. Klikněte na „Brána firewall systému Windows s pokročilým zabezpečením“. V nabídce klikněte na „Akce“ a poté na „Importovat zásady…“.

image

Krok 4. V případě, že se vám to nelíbí, klikněte na tlačítko . Klikněte na „Ano“

Poznámka: Pokud jste to ještě nedělali, je to v pořádku, nicméně pokud to děláte podruhé, možná budete chtít vytvořit nový objekt zásad GPO a importovat pravidla do něj, abyste si nezničili stávající pravidla zásad.

image

Krok 5. Klikněte na „Ano“. Vyberte soubor s exportem pravidel brány firewall, který jste vytvořili dříve, a klikněte na tlačítko „Otevřít“

image

Počkejte…

image

Krok 6. Vyberte soubor s exportem pravidel brány firewall, který jste vytvořili dříve. Klikněte na tlačítko „OK“

image

Dokončeno.

Nyní můžete zkontrolovat pravidla, která byla importována do objektu GPO.

Poznámka: Můžete vidět, jak je pravidlo Skype nakonfigurováno jako Soukromé, Veřejné, jak jsme předtím nakonfigurovali na místním počítači. Pokud chcete opět změnit, můžete jednoduše dvakrát kliknout na pravidlo a přizpůsobit pravidlo, jak chcete, odsud.

image

Můžete také selektivně zakázat pravidla a vyjmout, kopírovat & vložit pravidla mezi jednotlivými GPO. Takto byste sloučili pravidla, pokud byste zpětně v kroku 4 importovali sadu pravidel do nového GPO.

Jak zkopírovat, odstranit nebo zakázat pravidlo…
image

Jak vložit pravidlo do existující zásady…
image

Ve všech dialogových oknech brány firewall (viz obrázky níže) na pracovní stanici byste nyní měli být upozorněni, že zásady brány firewall jsou nyní řízeny prostřednictvím zásad skupiny.

image

image

Všimněte si nového sloupce, který uvádí, že počasí je konfigurováno pomocí zásad skupiny. Každé pravidlo je uvedeno dvakrát, protože jedno představuje pravidlo brány firewall řízené prostřednictvím zásad skupiny, které nelze nakonfigurovat, a druhé představuje místní pravidlo, které může místní správce ještě povolit.

image

Jak výhradně aplikovat pravidla brány firewall podle zásad skupiny

Pokud nechcete, aby místní správce mohl v síti aplikovat další pravidla brány firewall, pak je také můžete nakonfigurovat tak, aby se pravidla zásad skupiny aplikovala výhradně na místní bránu firewall.

Krok 1. Zkonfigurujte pravidla brány firewall podle zásad skupiny. Opět otevřete stejný objekt GPO, na který jste aplikovali pravidla brány firewall, a přejděte do Konfigurace počítače > Zásady > Nastavení systému Windows > Nastavení zabezpečení > Brána firewall systému Windows s pokročilým zabezpečením a klikněte pravým tlačítkem myši na „Brána firewall systému Windows s pokročilým zabezpečením“ a klikněte na „Vlastnosti“

image

Krok 2. Klikněte na „Brána firewall systému Windows s pokročilým zabezpečením“. Klikněte na tlačítko „Přizpůsobit…“ v části Nastavení

image

Krok 3. Klikněte na tlačítko „Přizpůsobit…“. Změňte možnost „Použít místní pravidla brány firewall:“ na „Ne“ a klikněte na tlačítko OK

image

Pokud se nyní vrátíte do části „Povolené programy“ v části „Brána firewall systému Windows“, zjistíte, že sloupec Doména je nyní zcela zašedlý a na profil domény nelze použít žádná pravidla, i když jste místní správce.

image

Snad vám to bude stačit k tomu, abyste mohli začít ovládat bránu firewall systému Windows pomocí zásad skupiny.

Pokud se cítíte opravdu odvážně, můžete totéž udělat i se svými servery, abyste je zabezpečili, protože mají mnohem statičtější požadavky na pravidla brány firewall, což ještě více usnadňuje jejich správu. Můžete například exportovat pravidla brány firewall svého serveru SQL a poté je importovat do objektu GPO, který se aplikuje na všechny ostatní servery SQL. Tímto způsobem se při každém přesunu počítačového objektu do jednotky SQL Server OU automaticky nastaví a vynutí pravidla brány firewall… Pěkné.