Articles

Windows Firewall-regel configureren met Groepsbeleid

Elk Windows OS wordt geleverd met een ingebouwde firewall als basisbeveiliging tegen kwaadaardige programma’s. Windows Firewall controleert het inkomende en uitgaande verkeer van en naar het lokale systeem op basis van de criteria die in de regels zijn gedefinieerd. De criteria kunnen programmanaam, protocol, poort of IP-adres zijn. In een domeinomgeving kan de beheerder de regels van Windows Firewall centraal configureren met Groepsbeleid. Op deze manier worden de regels automatisch toegepast op alle computers in het domein, waardoor de beveiliging toeneemt.

Hoe Windows Firewall-regel configureren met behulp van Groepsbeleid

Er zijn twee manieren om Windows Firewall-regel te configureren met behulp van Groepsbeleid:

  • Met behulp van de legacy-configuratie
    De instellingen zijn te vinden onder Computerconfiguratie > Administratieve sjablonen > Netwerk > Netwerkverbindingen > Windows Firewall. De instellingen in dit gedeelte zijn bedoeld voor Windows Version voor de release van Windows Vista en Windows Server 2008, maar werken nog steeds voor nieuwere releases van Windows. Het is echter niet aanbevolen om te worden gebruikt, tenzij we nog steeds het beheer van verouderde OS in het domein.
  • Met behulp van de nieuwe configuratie
    De instellingen zijn te vinden onder Computer Configuratie > Windows-instellingen > Beveiligingsinstellingen > Windows Firewall met geavanceerde beveiliging. De instellingen in dit gedeelte zijn geoptimaliseerd voor de huidige Windows versie, en het heeft dezelfde wizard GUI bij het maken van de firewall regel direct op de client computer, waardoor het gemakkelijker is voor de beheerder.

In dit voorbeeld, gaan we een aangepaste firewall regel maken met behulp van de nieuwe configuratie. Het scenario is om een toepassing met de naam MustBeGeek.exe die communiceert met behulp van willekeurige TCP-poort nummer 60000-65535 voor inkomende verbinding.

De stap voor stap configuratie is als volgt:

Het definiëren van het beleidsobject

Open Group Policy Management console en beslissen of u een bestaande GPO te gebruiken of het creëren van een nieuwe. Bewerk daarna de GPO en ga naar configuratie in Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Windows Firewall met geavanceerde beveiliging

Stel in dat de firewall moet worden ingeschakeld

Klik op de Windows Firewall met geavanceerde beveiliging in het linkerdeelvenster, waarna het onderstaande menu in het rechterdeelvenster verschijnt. Klik op Eigenschappen voor Windows Firewall.

Op de eerste drie tabbladen, Domeinprofiel, Privéprofiel en Openbaar profiel, moet u ervoor zorgen dat de firewall is ingesteld op Aan (aanbevolen), en dat de volgende configuratie wordt toegepast. Dit zal ervoor zorgen dat geen enkele computer in het domein zijn firewall heeft uitgeschakeld. Klik op OK om de instelling te bevestigen.

Het overzicht ziet er nu uit zoals in onderstaande schermafbeelding

Firewallregels configureren

Nu is het tijd om de firewallregel te maken. De actie die in deze stap wordt uitgevoerd kan variëren, afhankelijk van wat er moet worden geconfigureerd. In dit voorbeeld zal een inkomende regel worden aangemaakt. Klik op Inkomende regels in het linkerdeelvenster, klik vervolgens met de rechtermuisknop op een leeg gebied in het rechterdeelvenster en selecteer Nieuwe regel.

Er kunnen vier soorten regels worden aangemaakt. Selecteer Aangepast en klik op Volgende.

In een aangepaste regel kunnen we naar behoefte het programma, de poorten en het IP-adres opgeven. Volgens de vereisten in dit voorbeeld, zal de configuratie zijn zoals in de onderstaande screenshots.

Programmapad

Protocol en poorten

Scope (IP-adres)

Actie
Nadat u het programmapad, de poorten en het IP-adres hebt opgegeven, selecteert u nu de actie om de verbinding toe te staan.

Profiel
Vink alle vakjes aan om ervoor te zorgen dat deze regel op alle profielen wordt toegepast

Voltooiing
Wanneer alle instellingen zijn voltooid, geeft u een naam op voor de regel voor identificatiedoeleinden.

Als u klaar bent, kunt u de samenvatting van de nieuw gemaakte regel bekijken in de beheerconsole van Group Policy.

Verifieer de resultaten op de client

Toepassen van de GPO op een computer OU, en bekijk het resultaat op de configuratie van de firewall van de client. Er verschijnt een banner met de melding dat de instellingen worden gecontroleerd door Groepsbeleid en de firewallstatus is hetzelfde als wat eerder was geconfigureerd.

De eindgebruiker kan de firewallstatus en -actie niet meer wijzigen.

In het gedeelte met regels ziet u dat de geconfigureerde regel is toegevoegd aan de lijst.

Nuttige tips voor het beheren van Windows-firewallregels met behulp van Groepsbeleid

De firewallregel wordt toegevoegd zodra het Groepsbeleid wordt vernieuwd, en een handmatige vernieuwing kan worden geactiveerd met behulp van de opdracht gpupdate /force

Bij het configureren van de firewallregels in Groepsbeleid is het niet aan te raden om firewallregels in te stellen met zowel de oude als de nieuwe configuratie in hetzelfde Groepsbeleidobject. Windows zal op de een of andere manier proberen de instellingen samen te voegen, maar het resultaat kan anders zijn dan verwacht. Het beste is om het beleidsobject voor oudere computers te scheiden.

Een andere handige tip, beheerder kan eenvoudig firewall-regels importeren die in andere Windows-computers zijn gemaakt in het Groepsbeleid in plaats van ze één voor één opnieuw te maken. Op deze manier kunt u meer tijd en moeite besparen om consistente firewall-regels voor het hele domein te maken.

En dat is het voorbeeld van het configureren van Windows Firewall-regels met behulp van Group Policy.

De volgende twee tabbladen veranderen de inhoud hieronder.

  • Bio
  • Laatste berichten

Arranda Saputra

ITIL Certified, CCNA, CCDA, VCP6-DCV, MCSA Administering Windows Server 2012

Ik ben een IT-er in het echte leven met specialisatie in netwerk- en serverinfrastructuur. Ik heb jarenlange ervaring in het ontwerpen, analyseren, beheren en optimaliseren van infrastructuuroplossingen voor ondernemingsbrede netwerken. U kunt mij een bericht sturen op LinkedIn of e-mail naar [email protected] voor verdere vragen over dingen die ik heb geschreven of de mogelijkheid om samen te werken in een project.

Laatste berichten van Arranda Saputra (zie alle)

  • Hoe verplaats ik de map Documenten in Windows 10 – 31 augustus, 2020
  • Hoe de map Bureaublad verplaatsen in Windows 10 – 31 augustus 2020
  • DHCP-server herstellen in Windows Server 2012 R2 – 9 januari 2020