组策略 计算机配置 安全设置,使用组策略配置 Windows 防火墙设置

使用组策略管理单元来修改相应的 GPO 中的 Windows 防火墙设置。

完成以下配置 Windows 防火墙设置的步骤后,可以等待标准刷新周期将这些设置应用到客户端计算机,也可以在客户端计算机上使用

GPUpdate 实用程序来完成刷新。默认情况下,刷新周期为 90 分钟,随机偏移量为 +/-30

分钟。下一次刷新计算机配置组策略时,将会下载新的 Windows 防火墙设置,然后将其应用于运行 Windows XP SP2

的计算机。

使用组策略配置 Windows 防火墙设置

在 Windows XP SP2 桌面上,依次单击“开始”、“运行”,键入

mmc,然后单击“确定”。

在“文件”菜单中,单击“添加/删除管理单元”。

在“独立”选项卡上,单击“添加”。

在“可用的独立管理单元”列表中,找到并单击“组策略对象编辑器”,然后单击“添加”。

在“选择组策略对象”对话框中,单击“浏览”。

选择“测试客户端 Windows 防火墙策略 GPO”,然后依次单击“确定”和“完成”。

单击“关闭”关闭“添加独立管理单元”框,然后在“添加/删除管理单元”框中单击“确定”。

在组策略对象编辑器的控制台树中,依次打开“计算机配置”、“管理模板”、“网络”、“网络连接”和“Windows

防火墙”(如下面的屏幕快照所示)。

a4c26d1e5885305701be709a3d33442f.png

选择“域配置文件”(如下面的屏幕快照所示)或“标准配置文件”。

a4c26d1e5885305701be709a3d33442f.png

下表汇总了域配置文件和标准配置文件的 Windows 防火墙组策略建议设置。

表 2. Windows 防火墙的建议设置

设置

描述

域配置文件

标准配置文件

保护所有网络连接

指定所有网络连接都启用 Windows 防火墙。

启用。

启用。

不允许例外

指定将所有未经请求的传入通信丢弃,包括例外通信。

未配置。

除非必须配置程序例外,否则为启用。

定义程序例外

根据程序文件名定义例外通信。

启用,通过网络中运行 Windows XP SP2 的计算机所使用的程序(应用程序和服务)来配置。

启用,通过网络中运行 Windows XP SP2 的计算机所使用的程序(应用程序和服务)来配置。

允许本地程序例外

允许本地配置程序例外。

除非希望本地管理员在本地配置程序例外,否则为禁用

禁用。

允许远程管理例外

使用工具启用远程配置。

除非您希望能够使用 MMC 管理单元远程管理计算机,否则为禁用。

禁用。

允许文件和打印共享例外

指定是否允许文件和打印机共享通信。

除非运行 Windows XP SP2 的计算机要共享本地资源,否则为禁用。

禁用。

允许 ICMP 例外

指定允许的 ICMP 消息的类型。

除非希望使用 ping 命令排除故障,否则为禁用。

禁用。

允许远程桌面例外

指定计算机是否可以接受基于远程桌面的连接请求。

启用。

启用。

允许 UPnP 框架例外

指定计算机是否可以接收未经请求的 UPnP 消息。

禁用。

禁用。

禁止通知

禁用通知。

禁用。

禁用。

允许记录日志

允许记录通信日志并配置日志文件设置。

未配置。

未配置。

禁止对多播或广播请求进行单播响应

丢弃接收到的响应多播或广播请求消息的单播数据包。

启用。

启用。

定义端口例外

指定 TCP 和 UDP 格式的例外通信。

禁用。

禁用。

允许本地端口例外

启用本地配置端口例外。

禁用。

禁用。

双击表 2 中列出的每个设置,单击“启用”、“禁用”或者“未配置”,然后单击“确定”。

启用端口例外

启用端口例外

在“域配置文件”或“标准配置文件”设置区域中,双击“Windows

防火墙:定义端口例外”。此时将显示以下对话框。

a4c26d1e5885305701be709a3d33442f.png

选择“启用”,然后单击“显示”。此时将显示“显示内容”对话框(如下面的屏幕快照所示)。

a4c26d1e5885305701be709a3d33442f.png

单击“添加”,此时将显示“添加项”对话框。键入希望阻止或启用的端口的相关信息。语法如下:

port:transport:scope:status:name

port 是端口号

transport 为“TCP”或“UDP”

scope 为 *(应用于所有计算机)或者有权访问该端口的计算机列表

status 为“enabled”或“disabled”

name 是用作此条目的标签的文本字符串

以下屏幕快照中显示的示例名为 WebTest,它对所有连接启用 TCP 端口 80。

a4c26d1e5885305701be709a3d33442f.png

在输入信息后,单击“确定”关闭“添加项”对话框。此时将显示“显示内容”对话框(如下面的屏幕快照所示)。

a4c26d1e5885305701be709a3d33442f.png

单击“确定”关闭“显示内容”对话框。

单击“确定”关闭“Windows 防火墙:定义端口例外属性”。

启用程序例外

启用程序例外

在“域配置文件”或“标准配置文件”设置区域中,双击“Windows 防火墙:定义程序例外”。此时将显示以下对话框。

a4c26d1e5885305701be709a3d33442f.png

选择“启用”,然后单击“显示”。此时将显示“显示内容”对话框(如下面的屏幕快照所示)。

a4c26d1e5885305701be709a3d33442f.png

单击“添加”,此时将显示“添加项”对话框。键入希望阻止或启用的程序的相关信息。语法如下:

path:scope:status:name

path 是程序路径和文件名

scope 为 *(应用于所有计算机)或者有权访问该程序的计算机列表

status 为“enabled”或“disabled”

name 是用作此条目的标签的文本字符串

以下屏幕快照中显示的示例名为 Messenger,它对所有连接启用 Windows Messenger 程序,该程序位于

%program files%\messenger\msmsgs.exe。

a4c26d1e5885305701be709a3d33442f.png

在输入信息后,单击“确定”关闭“添加项”对话框。此时将显示“显示内容”对话框(如下面的屏幕快照所示)。

a4c26d1e5885305701be709a3d33442f.png

单击“确定”关闭“显示内容”对话框。

单击“确定”关闭“Windows 防火墙:定义程序例外属性”。

配置基本 ICMP 选项

配置基本 ICMP 选项

在“域配置文件”或“标准配置文件”设置区域中,双击“Windows 防火墙:允许 ICMP

例外”。此时将显示以下对话框。

a4c26d1e5885305701be709a3d33442f.png

选择“启用”,然后选择要启用的一个或多个适当的 ICMP 例外。此屏幕快照中的示例选择了“允许传入回显请求”。

您还可以选择“禁用”以禁用一个或多个 ICMP 例外。

单击“确定”关闭“Windows 防火墙:允许 ICMP 例外属性”。

记录被丢弃的数据包和成功的连接

记录被丢弃的数据包和成功的连接

在“域配置文件”或“标准配置文件”设置区域中,双击“Windows 防火墙:允许记录日志”。此时将显示以下对话框。

a4c26d1e5885305701be709a3d33442f.png

依次选择“启用”、“记录被丢弃的数据包”,然后选择“记录成功的连接”。键入“日志文件的路径和名称”,保持日志文件大小为默认“大小限制(KB)”。单击“确定”。

注意 请确保日志文件保存在安全的位置,以防止有意或无意的修改。

完成对 Windows 防火墙设置的更改后,请关闭控制台。

注意 关闭控制台时,系统会提示您保存控制台。不管您是否保存了控制台,都将保存

GPO 设置。

如果提示您保存控制台设置,请单击“否”。

使用 GPUpdate 应用配置

GPUpdate 实用程序用于刷新基于 Active Directory

的组策略设置。配置组策略后,可以等待标准刷新周期将这些设置应用到客户端计算机。默认情况下,刷新周期为 90 分钟,随机偏移量为

+/-30 分钟。若要立即刷新组策略,可以使用 GPUpdate 实用程序。

执行此任务的要求

您需要满足以下条件才能完成此任务:

凭据。您必须登录到作为 Active Directory 域客户端的 Windows XP

SP2 计算机,而且必须使用 Domain Users 组成员的帐户。

运行 GPUpdate

运行 GPUpdate

在 Windows XP SP2 桌面上,单击“开始”,然后单击“运行”。

在“运行”对话框中,键入 cmd,然后单击“确定”。

在命令提示符下,键入 GPUpdate,然后按 Enter 键。屏幕显示如下所示:

a4c26d1e5885305701be709a3d33442f.png

若要关闭命令提示符,请键入 Exit,然后按 Enter 键。

检验 Windows 防火墙设置是否已应用

注意 使用组策略配置

Windows 防火墙时,本地管理员可以阻止访问某些配置元素。如果阻止了访问,则“Windows

防火墙”对话框中的某些选项卡和选项在用户的本地计算机上不可用。

执行此任务的要求

您需要满足以下条件才能完成此任务:

凭据。您必须登录到作为 Active Directory 域客户端的 Windows XP

SP2 计算机,而且必须使用 Domain Users 组成员的帐户。

检验 Windows 防火墙设置是否已应用

在 Windows XP SP2 桌面上,单击“开始”,然后单击“控制面板”。

在“选择一个类别”下,单击“安全中心”。此时将显示如下屏幕。

a4c26d1e5885305701be709a3d33442f.png

在“管理安全性设置”下,单击“Windows 防火墙”。

依次单击“常规”、“例外”和“高级”选项卡,然后检验组策略中的配置是否还应用到了客户端计算机上的 Windows

防火墙。

如果未应用配置设置,则必须排除应用组策略的故障。为此,请参阅以下内容:

"Microsoft 下载中心网站上的 Troubleshooting Group Policy in Microsoft Windows

Server(英文),网址为:http://go.microsoft.com/fwlink/?linkid=35481。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:深蓝海洋 设计师:CSDN官方博客 返回首页
评论
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值