Varje Windows operativsystem har en inbyggd brandvägg som ett grundläggande skydd mot skadliga program. Windows Firewall kontrollerar inkommande och utgående trafik från och till det lokala systemet baserat på de kriterier som definieras i reglerna. Kriterierna kan vara programnamn, protokoll, port eller IP-adress. I en domänmiljö kan administratören centralt konfigurera Windows-brandväggsregeln med hjälp av grupprinciper. På så sätt tillämpas reglerna automatiskt på alla målinriktade datorer i domänen, vilket ökar säkerheten.

Hur man konfigurerar Windows brandväggsregel med hjälp av grupprincip

Det finns två sätt att konfigurera Windows brandväggsregel med hjälp av grupprincip:

• Med hjälp av den gamla konfigurationen
  Inställningarna finns under Datorkonfiguration > Administrativa mallar > Nätverk > Nätverksanslutningar > Windows Firewall. Inställningarna i det här avsnittet var avsedda för Windows-versionen innan Windows Vista och Windows Server 2008 släpptes, men fungerar fortfarande för nyare versioner av Windows. Det rekommenderas dock inte att användas om vi inte fortfarande hanterar föråldrade operativsystem i domänen.
• Använda den nya konfigurationen
  Inställningarna finns under Datorkonfiguration > Windowsinställningar > Säkerhetsinställningar > Windows Firewall med avancerad säkerhet. Inställningarna i det här avsnittet har optimerats för den aktuella Windows-versionen och har samma guiden GUI när du skapar brandväggsregeln direkt på klientdatorn, vilket underlättar för administratören.

I det här exemplet ska vi skapa en anpassad brandväggsregel med hjälp av den nya konfigurationen. Scenariot är att tillåta ett program som heter MustBeGeek.exe som kommunicerar med hjälp av slumpmässiga TCP-portnummer 60000-65535 för inkommande anslutning.

Steg för steg-konfigurationen är följande:

Definiering av principobjektet

Öppna konsolen för hantering av grupprinciper och bestäm om du vill använda ett befintligt GPO eller skapa ett nytt. Redigera sedan GPO:n och gå till konfigurationen i Datorkonfiguration > Windows-inställningar > Säkerhetsinställningar > Windows-brandväggen med avancerad säkerhet

Sätt brandväggen att aktiveras

Klicka på Windows-brandväggen med avancerad säkerhet i den vänstra rutan, så visas den här menyn nedan i den högra rutan. Klicka på Egenskaper för Windows-brandväggen.

På de tre första flikarna, Domänprofil, Privat profil och Offentlig profil, ska du se till att brandväggen är inställd på På (rekommenderas) och att följande konfiguration tillämpas. Detta kommer att se till att ingen dator i domänen har sin brandvägg avstängd. Klicka på OK för att bekräfta inställningen.

Verifiera att översikten nu ser ut som i skärmdumpen nedan

Konfigurera brandväggsregler

Nu är det dags att skapa brandväggsregeln. Den åtgärd som utförs i det här steget kan variera beroende på vad som behöver konfigureras. I det här exemplet kommer en regel för inkommande trafik att skapas. Klicka på Inkommande regler i den vänstra rutan, högerklicka sedan på ett tomt område i den högra rutan och välj Ny regel.

Det kommer att finnas fyra typer av regler som ska skapas. Välj Anpassad och klicka på Nästa.

I en anpassad regel kan vi ange program, portar och IP-adress vid behov. Enligt kravet i det här exemplet kommer konfigurationen att se ut som i skärmdumparna nedan.

Programväg

Protokoll och portar

Räckvidd (IP-adress)

Åtgärd
När du har angett programsökväg, portar och IP-adress väljer du nu åtgärden för att tillåta anslutningen.

Profil
Kryssa i alla rutor för att se till att regeln tillämpas på alla profiler

Fullständighet
När alla inställningar är färdiga ger du regeln ett namn för identifiering.

När det är gjort kan sammanfattningen av den nyligen skapade regeln ses i konsolen för hantering av grupprinciper.

Verifiera resultat på klienten

Applicera grupprincipobjektet på en dator OU och se resultatet på klientens brandväggskonfiguration. Det kommer att finnas en banner som säger att inställningarna styrs av grupprincipen och brandväggstillståndet kommer att vara detsamma som det som har konfigurerats tidigare.

Endanvändaren kommer inte längre att kunna ändra brandväggstillståndet och åtgärden.

På regelavsnittet ser du att den konfigurerade regeln har lagts till i listan.

Nyttiga tips för hantering av Windows brandväggsregel med hjälp av grupprincip

Brandväggsregeln läggs till så snart grupprincipen uppdateras, och en manuell uppdatering kan utlösas med hjälp av kommandot gpupdate /force

När du konfigurerar brandväggsreglerna i grupprincipen rekommenderas inte att ställa in brandväggsregler med hjälp av både äldre och ny konfiguration i samma grupprincipobjekt. Windows kommer på något sätt att försöka slå samman inställningarna men resultatet kanske inte blir som förväntat. Den bästa metoden är att separera principobjektet för äldre datorer.

Ett annat praktiskt tips är att administratören helt enkelt kan importera brandväggsregler som skapats i en annan Windows-dator till grupprincipen i stället för att skapa dem en och en igen. Detta sätt kan spara mer tid och arbete för att skapa konsekventa brandväggsregler i hela domänen.

Och det är exemplet för att konfigurera Windows brandväggsregel med hjälp av grupprincip.

Följande två flikar ändrar innehåll nedan.

• Bio
• Senaste inlägg

Arranda Saputra

ITIL Certified, CCNA, CCDA, VCP6-DCV, MCSA Administering Windows Server 2012

Jag är IT-praktiker i verkligheten med specialisering inom nätverks- och serverinfrastruktur. Jag har många års erfarenhet av design, analys, drift och optimering av infrastrukturlösningar för företagsskaliga nätverk. Du kan skicka mig ett meddelande på LinkedIn eller e-post till [email protected] för ytterligare förfrågningar om saker som jag skrivit eller möjlighet att samarbeta i ett projekt.

Senaste inlägg av Arranda Saputra (se alla)

• Så här flyttar du mappen Dokument i Windows 10 – 31 augusti, 2020
• Hur man flyttar skrivbordsmapp i Windows 10 – 31 augusti 2020
• Återställ DHCP Server i Windows Server 2012 R2 – 9 januari 2020