Articles

Konfigurace pravidla brány firewall systému Windows pomocí zásad skupiny

Každý operační systém Windows je vybaven nativní bránou firewall jako základní ochranou proti škodlivým programům. Brána firewall systému Windows řídí příchozí a odchozí provoz z místního systému a do něj na základě kritérií definovaných v pravidlech. Kritériem může být název programu, protokol, port nebo IP adresa. V doménovém prostředí může správce centrálně konfigurovat pravidlo brány Windows Firewall pomocí zásad skupiny. Tímto způsobem budou pravidla automaticky aplikována na všechny cílové počítače v doméně a zvýší se tak zabezpečení.

Jak nakonfigurovat pravidlo brány Windows Firewall pomocí zásad skupiny

Existují dva způsoby konfigurace pravidla brány Windows Firewall pomocí zásad skupiny:

  • Pomocí starší konfigurace
    Nastavení naleznete v části Konfigurace počítače > Šablony pro správu > Síť > Síťová připojení > Brána Windows Firewall. Nastavení v této části bylo určeno pro verzi systému Windows před vydáním Windows Vista a Windows Server 2008, ale stále funguje i pro novější vydání systému Windows. Nedoporučujeme je však používat, pokud v doméně spravujeme ještě zastaralý operační systém.
  • Použití nové konfigurace
    Nastavení naleznete v části Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Brána firewall systému Windows s pokročilým zabezpečením. Nastavení v této části bylo optimalizováno pro aktuální verzi systému Windows a má zcela stejné grafické rozhraní průvodce při vytváření pravidla brány firewall přímo v klientském počítači, což správci usnadňuje práci.

V tomto příkladu vytvoříme vlastní pravidlo brány firewall pomocí nové konfigurace. Scénářem je povolit aplikaci s názvem MustBeGeek.exe, která komunikuje pomocí náhodného portu TCP číslo 60000-65535 pro příchozí připojení.

Konfigurace krok za krokem je následující:

Definice objektu zásad

Otevřete konzolu pro správu zásad skupiny a rozhodněte se, zda použijete existující objekt zásad skupiny nebo vytvoříte nový. Poté upravte objekt GPO a přejděte do konfigurace v Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Brána firewall systému Windows s pokročilým zabezpečením

Nastavte, aby byla brána firewall povolena

Klikněte na Bránu firewall systému Windows s pokročilým zabezpečením v levém podokně, poté se v pravém podokně zobrazí tato nabídka níže. Klikněte na Vlastnosti brány firewall systému Windows.

Na prvních třech kartách, Profil domény, Soukromý profil a Veřejný profil, se ujistěte, že je brána firewall nastavena na hodnotu Zapnuto (doporučeno), a použijte následující konfiguraci. Tím zajistíte, že žádný počítač v doméně nebude mít vypnutou bránu firewall. Klepnutím na tlačítko OK nastavení potvrďte.

Ověřte, že přehled nyní vypadá jako na následujícím snímku obrazovky

Konfigurace pravidel brány firewall

Nyní je čas vytvořit pravidlo brány firewall. Činnost prováděná v tomto kroku se může lišit v závislosti na tom, co je třeba nakonfigurovat. V tomto příkladu bude vytvořeno příchozí pravidlo. Klikněte na položku Příchozí pravidla v levém podokně, poté klikněte pravým tlačítkem myši na prázdnou oblast v pravém podokně a vyberte možnost Nové pravidlo.

Budou vytvořeny čtyři typy pravidel. Vyberte možnost Vlastní a klepněte na tlačítko Další.

Ve vlastním pravidle můžeme podle potřeby zadat program, porty a IP adresu. Podle požadavku v tomto příkladu bude konfigurace vypadat jako na níže uvedených snímcích obrazovky.

Cesta k programu

Protokol a porty

Obsah (IP adresa)

Akce
Po zadání cesty k programu, portů a IP adresy nyní vyberte akci Povolit připojení.

Profil
Zaškrtnutím všech políček zajistíte, že toto pravidlo bude použito na všech profilech

Ukončení
Po dokončení všech nastavení zadejte pravidlu název pro účely identifikace.

Po dokončení lze v konzole pro správu zásad skupiny zobrazit souhrn nově vytvořeného pravidla.

Ověření výsledků na klientovi

Aplikujte objekt GPO na organizační jednotku počítače a zobrazte výsledek na konfiguraci brány firewall klienta. Objeví se banner s informací, že nastavení je řízeno zásadami skupiny, a stav brány firewall bude stejný jako ten, který byl nakonfigurován dříve.

Koncový uživatel již nebude moci měnit stav brány firewall a akce.

V sekci pravidel uvidíte, že nakonfigurované pravidlo bylo přidáno do seznamu.

Užitečné tipy pro správu pravidel brány firewall systému Windows pomocí zásad skupiny

Pravidlo brány firewall bude přidáno, jakmile dojde k obnovení zásad skupiny, a ruční obnovení lze vyvolat pomocí příkazu gpupdate /force

Při konfiguraci pravidel brány firewall v zásadách skupiny se nedoporučuje nastavovat pravidla brány firewall pomocí starší i nové konfigurace ve stejném objektu zásad skupiny. Systém Windows se nějakým způsobem pokusí sloučit nastavení, ale výsledek nemusí být podle očekávání. Nejlepším postupem je oddělit objekt zásad pro starší počítače.

Další praktická rada, správce může jednoduše importovat pravidla brány firewall vytvořená v jiném počítači se systémem Windows do zásad skupiny, místo aby je znovu vytvářel jedno po druhém. Tímto způsobem může ušetřit více času a úsilí při vytváření konzistentních pravidel brány firewall v celé doméně.

A to je příklad konfigurace pravidla brány firewall systému Windows pomocí zásad skupiny.

Následující dvě karty mění obsah níže.

  • Bio
  • Nejnovější příspěvky

Arranda Saputra

ITIL Certified, CCNA, CCDA, VCP6-DCV, MCSA Administering Windows Server 2012

Jsem IT praktik v reálném životě se specializací na síťovou a serverovou infrastrukturu. Mám dlouholeté zkušenosti s návrhem, analýzou, provozem a optimalizací infrastrukturních řešení pro sítě podnikového rozsahu. Můžete mi poslat zprávu na LinkedIn nebo e-mail na [email protected] pro další dotazy týkající se věcí, které jsem napsal, nebo možnosti spolupráce na projektu.

Nejnovější příspěvky od Arranda Saputra (zobrazit všechny)

  • Jak přesunout složku Dokumenty ve Windows 10 – 31. srpna, 2020
  • Jak přesunout složku plochy ve Windows 10 – 31. srpna 2020
  • Obnovení serveru DHCP ve Windows Server 2012 R2 – 9. ledna 2020