Articles

Group Policy Central


Ebben a cikkben arról fogok beszélni, hogyan használhatja a csoportházirendet a Windows dobozában lévő tűzfal vezérlésére, de először szeretnék egy kis történetet adni a Windows gazdabázisú tűzfalának fejlődéséről. A tűzfalak már régóta léteznek, hogy megvédjék a belső vállalati hálózatokat a külső támadóktól (lásd az alábbi képet).

Firewall

A 90-es évek végén a mobil munkavállalók számának robbanásszerű növekedésével egyre többen csatlakoztatták a laptopjukat közvetlenül az internetre anélkül, hogy a vállalati tűzfal védelmét élvezték volna. Ennek eredményeként a 2000-es évek elején a harmadik féltől származó tűzfaltermékek, mint például a ZoneAlarm, nagyon népszerűvé váltak a támadások elleni védelemben. A Microsoft aztán a Windows XP/2003 megjelenésével egy gazdabázisú tűzfalat is bevezetett, amely sajnos alapértelmezés szerint ki volt kapcsolva. A tűzfal alapértelmezett kikapcsolásának eredményeként számos számítógépes féreg jelent meg, amelyek közül a Blaster féreg és a Sasser féreg terjedt el futótűzként szinte minden olyan Windows számítógépen, amely nem volt külön biztosítva.

Ennek eredményeképpen a Microsoft úgy döntött, hogy a Service Pack 2 kiadásával jelentős változtatásokat eszközöl a Windows XP konfigurálásában. Amikor a felhasználók telepítették a Service Pack 2-t, most már felszólították őket a tűzfal bekapcsolására, így védve őket a rosszindulatú kommunikációtól. A tűzfal bekapcsolásával azonban az a probléma, hogy alapértelmezés szerint minden bejövő forgalmat blokkol, ami azt jelenti, hogy az olyan termékek, mint a Skype és/vagy a Windows Messenger nem fogadhatnak bejövő hívásokat vagy üzeneteket. Ennek a problémának a megkerülése érdekében a végfelhasználóknak figyelmeztetést kell kapniuk, amikor egy alkalmazás meg akar nyitni egy bejövő portot a hálózaton. A vállalati informatikusok ezt a felhasználók számára a csoportházirend segítségével szabályozhatják a Windows tűzfal szakaszán keresztül a Felügyeleti sablonok > Hálózat > Hálózati kapcsolatok alatt.

image

Ez egy jó első lépés volt, azonban a tűzfalszabályok létrehozása a Windows tűzfal alatti natív csoportházirend-beállítás használatával a legjobb esetben is kihívást jelentett, mivel a legtöbb beállítást kézzel kellett konfigurálni.

A Windows Vista/2008 megjelenésével a Microsoft teljesen átalakította a Windows tűzfalat, hogy sokkal könnyebb legyen az adminisztráció. Az IT-adminisztrátorok mostantól sokkal részletesebben szabályozhatják a tűzfalszabályok kezelését, és mostantól lehetőségük van mind a bejövő, mind a kimenő kommunikáció szabályozására, valamint a szabályok szelektív engedélyezésére attól függően, hogy a számítógép milyen hálózathoz van csatlakoztatva. Azt is megváltoztatták, hogy a tűzfalat a csoportházirenden keresztül a Windows Settings > Security Settings > Windows Firewall with Advanced Security > Windows Firewall with Advanced Security (Fokozott biztonságú Windows tűzfal) menüpontban konfiguráljuk, ami lehetővé tett néhány remek funkciót, például a tűzfalszabályok importálását és exportálását, amire később kitérek.

image

Az alábbiakban egy olyan példát mutatok be, amikor az IT-adminisztrátor egy Windows 7 laptop számítógépek alapértelmezett tűzfalszabályait szeretné beállítani, és egy olyan szabályt, amely engedélyezi a Skype használatát, amikor otthon és az interneten csatlakozik, de a tartományhoz csatlakozva nem. Normális esetben a való világban sokkal több bejövő kivétel lenne, azonban ezt a példát útmutatásként használhatja ahhoz, hogy elkezdje a tűzfalszabályok beállítását kifejezetten az Ön környezetének megfelelően kialakítani.

Before you begin: Ha már konfigurált tűzfalbeállításokat a régebbi “Windows tűzfal” szakasz alatt, akkor ezek a házirend-szabályok is érvényesek lesznek, és a két szabálykészlet megpróbál egyesülni, kiszámíthatatlan eredményekkel. Javaslom, hogy győződjön meg arról, hogy a Vista/2008 vagy annál újabb számítógépeken nem alkalmaznak “Windows tűzfal” beállítást, és kizárólag ezekre az újabb számítógépekre alkalmazza a tűzfalbeállítást a “Windows tűzfal fokozott biztonsággal” csoportos házirend biztonsági beállításán keresztül.

Windows tűzfalszabály beállítása

Először egy referencia számítógépen állítjuk be a tűzfalszabályokat a kívánt módon, majd vizsgáljuk meg őket, hogy importálni tudjuk őket a csoportos házirendbe. A tűzfalszabályok beállítása először a számítógépen lehetőséget ad arra, hogy megfelelően teszteljük a szabályokat, mielőtt más számítógépekre telepítjük őket. Ha azt is lehetővé teszi számunkra, hogy az összes szabályt egy műveletben exportáljuk, így nem kell az összes szabály kézzel történő beállításának hosszadalmas folyamatán egyesével végigmennünk.

Ebben a példában ez a számítógép Windows 7 rendszert futtat, és már telepítve van rajta a Skype 4.2 verziója.

1. lépés. Kattintson a jobb gombbal a hálózati állapot ikonra a tálcán, majd kattintson a “Hálózati és megosztási központ megnyitása”

image

2. lépés. Kattintson a bal alsó sarokban a “Windows tűzfal”-ra.

image

3. lépés opcionális. A tűzfalszabályok gyors, magas szintű áttekintését fogjuk elvégezni, ha a bal oldali ablakban a “Program vagy funkció engedélyezése a Windows tűzfalon keresztül” gombra kattintunk.

image

Mint láthatjuk, a Skype beállításai a tartományi, a privát és a nyilvános profilban működnek. Ebben a példában úgy fogjuk beállítani, hogy csak az otthoni/munkahelyi és a nyilvános profilokban működjön, így a felhasználók nem használhatják a Skype-ot, amikor a vállalati tartományhoz a LAN-on keresztül csatlakoznak.

Megjegyezzük, hogy a lehetőségek itt ki vannak zárva, mivel még nem emeltük meg a hitelesítő adatokat.

4. lépés opcionális. Kattintson a Mégse gombra

image

5. lépés. Kattintson a bal oldali ablaktáblán a “Speciális beállítások” gombra.

image

6. lépés. Kattintson a “Bejövő szabályok”-ra, majd kattintson duplán a “Skype” tűzfalszabály bejegyzésre a jobb oldali oszlopban.

Megjegyzés: A jelenleg konfigurált profil “Minden”

image

Most a Skype-szabály letiltását a tartományi profil használatával fogjuk beállítani, azonban a tulajdonságok párbeszédpanelen más részletes beállításokat is megadhat. Javaslom, hogy nézze végig ezeket a lapokat, és ismerje meg az összes olyan beállítást, amelyet ezzel a párbeszédpanellel vezérelhet.

7. lépés. Kattintson a “Speciális” fülre

image

8. lépés. Vegye ki a jelölőnégyzetet a “Tartomány” jelölőnégyzetből, majd kattintson az “OK”

image

Figyelem: A profil mostantól “Privát, nyilvános”

image

Ha visszamegy a “Programok kommunikációjának engedélyezése a Windows tűzfalra gondolt” opcióba, akkor most már látni fogja, hogy a Skype tartományi beállításai ki lettek pipálva.

image

Most tesztelnie kell a tűzfal szabálykészletét, hogy megbizonyosodjon arról, hogy az az elvárásoknak megfelelően viselkedik. Feltételezve, hogy minden rendben van, akkor exportálja a tűzfalszabályokat, hogy importálni tudja őket egy csoportházirendbe. Azért is érdemes elmenteni a szabálykészlet exportálását, mielőtt elkezdi, hogy legyen mire visszamennie, ha esetleg teljesen elrontaná a szabálykészletet, és tönkretenné a hálózatot.

A Windows tűzfalszabályok exportálása

1. lépés. Kattintson a Windows Firewall with Advance Security részben a “Action” menüpontra, majd a “Export Policy”

image

Step 2. Válassza ki a tűzfalszabályok mentésének helyét, majd írja be a mentendő fájl nevét (pl. default_rules.wfw), majd kattintson a “Mentés” gombra.

Figyelem: Ha a tűzfalszabályok módosításához más felhasználóként kellett felemelkednie, akkor a fájlt a rendszergazdai fiókok profiljába fogja menteni.

image

3. lépés. Kattintson az “OK”

image

A Windows tűzfalszabályok importálása csoportházirendbe

Most, hogy exportáltuk a tűzfalszabályokat, most importáljuk az exportált fájlt egy csoportházirendbe, hogy ugyanazt a szabálykészletet alkalmazhassuk a hálózat összes munkaállomásán.

1. lépés. Szerkessze meg azt a csoportházirend-objektumot (GPO), amely azt a számítógépet célozza meg, amelyre ezeket a tűzfalszabályokat szeretné alkalmazni.

2. lépés. Nyissa meg a Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security > és kattintson a “Windows Firewall with Advanced Security”

image

Step 3. A menüben kattintson a “Művelet”, majd a “Házirend importálása…” menüpontra.

image

4. lépés. Kattintson az “Igen”

Megjegyzés: Ez rendben van, ha még nem csinálta ezt korábban, azonban ha már másodszor csinálja ezt, akkor érdemes létrehozni egy új GPO-t, és abba importálni a szabályokat, hogy ne fújja el a meglévő házirend szabályait.

image

5. lépés. Válassza ki a korábban létrehozott tűzfalszabály exportfájlt, és kattintson a “Megnyitás”

image

Várjon…

image

Szint 6. lépés. Kattintson az “OK”

image

Kész.

Most már áttekintheti a GPO-ba importált szabályokat.

Megjegyzés: Láthatja, hogy a Skype-szabály a helyi számítógépen a korábban konfigurált Private, Public (Privát, Nyilvános) beállításoknak megfelelően van beállítva. Ha újra meg akarja változtatni, akkor egyszerűen duplán kattinthat a szabályra, és itt belülről testre szabhatja a szabályt, ahogyan szeretné.

image

A szabályokat szelektíven letilthatja, és kivághatja, másolhatja & beillesztheti a szabályokat különálló GPO-k között. Így egyesítené a szabályokat, ha a 4. lépésben importálta a szabálykészletet egy új GPO-ba.

Hogyan másolhat, törölhet vagy tilthat le egy szabályt…
image

Hogyan illeszthet be egy szabályt egy meglévő házirendbe…
image

A munkaállomás összes tűzfal párbeszédpaneljén (lásd az alábbi képeket) most már jeleznie kell, hogy a tűzfal házirend vezérlése most már csoportházirenddel történik.

image

image

Figyeljen az új oszlopra, amely szerint az időjárás a csoportházirenddel van beállítva. Minden szabály kétszer szerepel a listában, mivel az egyik a csoportházirenddel vezérelt tűzfalszabály, amely nem konfigurálható, a másik pedig a helyi szabály, amelyet a helyi rendszergazda még engedélyezhet.

image

A csoportházirend tűzfalszabályainak kizárólagos alkalmazása

Ha nem szeretné, hogy a helyi rendszergazda további tűzfalszabályokat alkalmazhasson a hálózaton, akkor úgy is beállíthatja, hogy a csoportházirend szabályait kizárólag a helyi tűzfalra alkalmazza.

1. lépés. Nyissa meg ismét ugyanazt a GPO-t, amelyben a tűzfalszabályokat alkalmazza, és navigáljon a Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security, majd kattintson a jobb gombbal a “Windows Firewall with Advanced Security”-re, és kattintson a “Properties”

image

Step 2. Kattintson a “Testreszabás..” gombra a Beállítások szakaszban

image

3. lépés. Módosítsa a “Helyi tűzfalszabályok alkalmazása:” opciót “Nem”-re, majd kattintson az OK gombra

image

Ha most visszamegy a “Windows tűzfal” alatt az “Engedélyezett programok” menüpontba, akkor észre fogja venni, hogy a Tartomány oszlop most teljesen szürke, és a tartományi profilra nem lehet szabályokat alkalmazni, még akkor sem, ha Ön helyi rendszergazda.

image

Ez remélhetőleg elegendő információt adott ahhoz, hogy a Windows tűzfalát a csoportházirend segítségével kezdje el szabályozni.

Ha igazán kalandvágyónak érzed magad, ugyanezt megteheted a szervereiddel is, hogy biztonságban tartsd őket, mivel sokkal statikusabbak a tűzfal szabálykövetelményekkel, ami még könnyebben kezelhetővé teszi őket. Például exportálhatod az SQL szervered tűzfalszabályait, majd importálhatod őket egy GPO-ba, amelyet az összes többi SQL szerveredre is alkalmazol. Így valahányszor egy számítógépes objektumot áthelyez az SQL Server OU-ba, a tűzfalszabályok automatikusan beállításra és érvényesítésre kerülnek… Szép….