Отключить брандмауэр Windows 10 с помощью групповой политики
Обновлено: 21.11.2024
Ваш брандмауэр Windows критически важен для общей безопасности вашего компьютера. Это может остановить распространение вредоносного ПО и его атаку на ваше устройство.
Однако бывают случаи, когда брандмауэр Windows обеспечивает чрезмерную защиту и снижает эффективность некоторых приложений и программ.
К счастью, вы можете отключить его, если хотите включить поток менее ограниченных данных. В этой статье мы расскажем о нескольких различных методах и предоставим дополнительную информацию, которая поможет вам более эффективно управлять брандмауэром Windows.
Как отключить брандмауэр Windows?
Если вы используете Windows 8 или Windows 10, вы можете быстро отключить брандмауэр Windows через панель управления. Шаги просты и выглядят следующим образом:
Как отключить уведомления брандмауэра Windows?
Когда вам нужно отключить брандмауэр Windows, последнее, что вам нужно, — это получать уведомления от Windows с рекомендациями против этого. Прежде чем отключить брандмауэр, обязательно отключите и уведомления.
Наконец, просто нажмите "ОК", и вы не будете получать никаких уведомлений от системы брандмауэра Windows.
Как удаленно отключить брандмауэр Windows?
В некоторых случаях необходимо отключить брандмауэр Windows более чем на одном компьютере. Выполнение этого вручную может занять слишком много времени и в конечном итоге будет неэффективным.
В сетевой среде можно удаленно отключить брандмауэр с помощью среды автоматизации задач PowerShell, созданной Microsoft. Вот как выглядит этот процесс:
- Введите в поле поиска «Windows PowerShell» и запустите приложение.
- Введите следующую команду:
Важно отметить, что эта команда будет работать, только если вы имеете дело с несколькими компьютерами. Если у вас в системе значительное количество компьютеров, то введите эту команду:
Как отключить брандмауэр и антивирус Windows?
Когда Microsoft запустила Windows 10, они переименовали свой известный брандмауэр, известный как Защитник Windows. Теперь он называется "Защитник Windows" и обеспечивает комплексную защиту от вирусов, вредоносных и шпионских программ, которые могут поступать из приложений и из Интернета.
Если вы являетесь пользователем Windows 10, помимо доступа к панели управления для отключения брандмауэра, есть еще один способ сделать это.
Как отключить брандмауэр Windows с помощью командной строки?
Иногда быстрее использовать командную строку для отключения брандмауэра Windows. Это также позволяет пользователям Windows автоматизировать задачу или создать сценарий. Вот как можно эффективно отключить брандмауэр Windows с помощью командной строки:
- Найдите «Командная строка» в окне поиска Windows.
- Запустите приложение и введите следующую команду «netsh advfirewall set allprofiles state off»
Командная строка запустит сценарий, и ваш брандмауэр будет отключен.
Как отключить брандмауэр для программы?
Ваш брандмауэр Windows — это необходимый фильтр, защищающий ваше устройство и сеть от нежелательных атак. Однако новые программы и приложения часто блокируют его, пока вы не дадите разрешение на его хранение на своем компьютере. По сути, вам нужно сначала внести программу в белый список, чтобы использовать ее. Вот что вам нужно сделать:
Ваш брандмауэр Windows не помешает вам использовать это конкретное приложение или программу.
Как включить брандмауэр Windows без прав администратора?
Если вы используете компьютер в общественном месте, например в библиотеке, на работе или в школе, вы не сможете самостоятельно отключить брандмауэр Windows. Только администратор будет иметь эту привилегию.
Отсутствие прав администратора оставляет вам только один вариант: спросить фактического администратора, отключит ли он для вас брандмауэр.
Как отключить брандмауэр Windows в групповой политике?
Системные администраторы могут отключить брандмауэр Windows 10, развернув консоль управления групповыми политиками на сервере. Однако этот параметр доступен только для Windows 10 Корпоративная и Windows 10 для образовательных учреждений, а также для некоторых версий Windows 10 Pro. Выполните следующие действия, чтобы отключить брандмауэр с помощью групповой политики:
- Одновременно нажмите клавишу Windows и клавишу «R».
- Введите команду «gpedit.msc» и нажмите «ОК».
- Откроется редактор групповой политики. Выберите «Конфигурация компьютера» из списка в левой части окна.
- Затем выберите «Административные шаблоны», а затем «Компоненты Windows».
- Наконец выберите «Защитник Windows».
- В другом окне редактора выберите «Отключить Защитник Windows».
- Оттуда вам нужно нажать «Включено», затем «Применить», а затем нажать «ОК».
Для применения этих изменений вам потребуется перезагрузить компьютер.
Как отключить брандмауэр Windows в Защитнике?
Самый быстрый способ отключить брандмауэр Windows – открыть Защитник на панели управления. Просто запустите панель управления, выберите «Система и безопасность», а затем выберите «Брандмауэр Защитника Windows». Вы можете проверить его статус и отключить, если хотите.
Как отключить профиль домена брандмауэра Windows?
Если вы используете не частную сеть, а доменную среду, вы можете отключить брандмауэр Windows, войдя в приложение безопасности Windows в Windows 10. Действия очень похожи на отключение брандмауэра для частной сети и выполняются следующим образом. :
Дополнительные часто задаваемые вопросы
1. Следует ли отключить мой брандмауэр?
Очевидный ответ — нет. Ваш брандмауэр Windows должен оставаться активным все время. Однако бывают случаи, когда отключение брандмауэра имеет свои преимущества. Если вам нужно протестировать программу, которую вы считаете безопасной, или если вам кажется, что ваша операционная система слишком осторожна, вы можете рискнуть и отключить ее. Если вы это сделаете, имейте в виду, что вы не должны держать его выключенным слишком долго и должны включить его как можно быстрее.
2. Как снова включить брандмауэр Windows?
Вы можете легко включить брандмауэр Windows, открыв функцию Защитника на панели управления. В Windows 10 вы также можете использовать приложение "Безопасность Windows", чтобы отменить предыдущие изменения.
3. Как временно отключить брандмауэр Windows?
Когда вы отключаете брандмауэр Windows, он остается выключенным до тех пор, пока вы не включите его снова. В этом смысле это временное изменение, если вы сделаете его действительным. Когда Windows получит новое обновление, вполне возможно, что оно может изменить настройки и снова включить брандмауэр. Но это может произойти только в том случае, если ваши обновления настроены на автоматические.
4. Как навсегда отключить брандмауэр Windows?
Если вы не хотите рисковать тем, что Windows отменит ваши отключенные настройки брандмауэра, есть еще один вариант. Вы можете навсегда разрешить все входящие подключения, выполнив следующие действия: u003cbru003eu003cbru003e1. Откройте панель управления и выберите «Брандмауэр Защитника Windows». u003cbru003e2. После того, как вы выберете «Дополнительные настройки», появится новое окно. u003cbru003e3. Щелкните правой кнопкой мыши «Брандмауэр Защитника Windows в режиме повышенной безопасности на локальном компьютере». u003cbru003e4. В раскрывающемся меню выберите «Свойства». u003cbru003e5. Рядом с u0022Inbound Connections,u0022 выберите u0022Allowu0022 вместо u0022Block.u0022
5. Как разблокировать приложение в брандмауэре Windows?
Вы можете разблокировать любое приложение, которому Защитник запретил установку на ваш компьютер. Просто зайдите в «Брандмауэр u0026amp; защита сети» в приложении «Безопасность Windows» и выберите «Разрешить приложение через брандмауэр». Затем установите флажок рядом с приложением из списка.
Управление брандмауэром Windows
Очевидно, что есть несколько способов отключить брандмауэр Windows. Лучший вариант, применимый ко всем версиям Windows, — использовать панель управления. В Windows 8 и 10 приложение "Безопасность Windows" обеспечивает эффективное управление брандмауэром и антивирусом.
Кроме того, вы можете использовать командную строку или PowerShell для выполнения задания. Помните, что если вы используете компьютер в доменной сети, вам потребуются права администратора для отключения брандмауэра.
И если вам необходимо отключить брандмауэр в вашей частной сети, не делайте этого постоянно, если только в этом нет крайней необходимости.
Зачем отключать брандмауэр Windows? Дайте нам знать в разделе комментариев ниже.
В этом посте вы узнаете, как отключить Защитник Windows с помощью групповой политики. Защитник Windows — это защита от вредоносных программ, которая включена в Windows 10 и встроена в нее.
Защитник Windows помогает выявлять и удалять вирусы, шпионское и другое вредоносное ПО. Но почему тогда вы подумали об отключении Защитника Windows?.
Защитник Windows обеспечивает максимальную защиту, когда включена облачная защита. Защитник Windows работает в фоновом режиме и уведомляет вас, когда вам нужно выполнить определенное действие. Есть много способов отключить защитник Windows. Вы можете отключить его на одном компьютере, вы также можете отключить его с помощью настройки реестра.
Однако, если вы хотите отключить Защитник Windows на нескольких компьютерах в домене, лучше всего использовать метод групповой политики. Если вы используете System Center 2012 R2 Configuration Manager и Microsoft Intune, они могут обеспечить централизованное управление Защитником Windows, в том числе:
- Управление настройками
- Управление обновлениями определений
- Оповещения и управление оповещениями
- Отчеты и управление отчетами
Как отключить Защитник Windows с помощью групповой политики
Запустите консоль управления групповыми политиками. Щелкните правой кнопкой мыши домен и выберите «Создать объект групповой политики в этом домене и связать его здесь». Укажите имя объекта групповой политики. Нажмите "ОК".
После создания политики щелкните ее правой кнопкой мыши и выберите "Изменить". Это вызовет редактор управления групповыми политиками. Перейдите в раздел Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Защитник Windows.
Найдите параметр политики «Отключить Защитник Windows». Щелкните правой кнопкой мыши параметр политики и выберите "Изменить".
В параметре политики «Отключить Защитник Windows» выберите «Включено». Этот параметр политики отключает Защитник Windows. Нажмите OK и закройте консоль управления групповыми политиками.
Теперь на клиентском компьютере мы видим, что групповая политика была применена. Когда пользователь пытается открыть Защитник Windows, он показывает окно с надписью «Это приложение отключено групповой политикой». Если вы хотите включить защитник Windows, отредактируйте политику и просто измените статус той же политики с «Включено» на «Не настроено» или «Отключено».
Праджвал Десаи
Праджвал Десаи — Microsoft MVP в области корпоративной мобильности. Имея за плечами более 10 лет опыта написания контента, это одно из его любимых занятий. Его цель — писать исчерпывающие посты и руководства, всегда стремясь помочь людям важной информацией.
Брандмауэр Windows является частью операционной системы Windows с 2003 года и продолжается во всех версиях до сих пор. С момента запуска он был значительно улучшен, но иногда может вызывать проблемы с вашим компьютером с Windows 10. Если вы хотите отключить брандмауэр Windows, это легко сделать.
Мы рекомендуем отключать брандмауэр Windows, только если у вас есть другое программное обеспечение безопасности, которое управляет брандмауэрами. Ваша система не может быть в безопасности без функции брандмауэра, так как он обеспечивает повышенную безопасность вашей компьютерной сети и блокирует входящий трафик, который может вызвать любые кибератаки.
Неавторизованным пользователям запрещается вход в вашу сеть и компьютер с помощью брандмауэра.
Оглавление
Как отключить брандмауэр Windows в Windows 10
Существуют разные способы отключения функции брандмауэра в Windows 10. Вы можете воспользоваться всеми перечисленными ниже способами и выбрать тот, который вам удобен.
1. Используйте безопасность Windows
Вы можете использовать приложение "Безопасность Windows" в настройках, чтобы отключить брандмауэр Windows.
Нажмите клавишу Windows + I, чтобы открыть приложение "Настройки" и перейти в раздел "Обновление и безопасность".
Перейдите к разделу «Безопасность Windows» на левой панели Windows и нажмите «Брандмауэр и защита сети». Откройте брандмауэр и защиту сети
В окне "Безопасность Windows" вы увидите, что брандмауэр включен для всех сетей, то есть доменных, частных и общедоступных. Брандмауэр включен для общедоступной, частной и доменной сети
Вы можете отключить его по одному для каждой сети. Сначала щелкните сеть домена, а затем переключите переключатель под брандмауэром Защитника Windows влево, чтобы он был выключен. Отключить брандмауэр Защитника Windows
Вы можете вернуться к окну Брандмауэр и защита сети и таким же образом отключить брандмауэр для частной сети и общедоступной сети.
После отключения брандмауэра для всех сетей вы больше не используете брандмауэр Windows на своем компьютере.
2. Использовать брандмауэр Защитника Windows
Предположим, вы не хотите отключать брандмауэр Windows для каждой сети отдельно. В этом случае вы можете использовать брандмауэр Защитника Windows через панель управления, чтобы сделать это в одном окне для всех сетей.
Нажмите клавишу Windows + S и введите Панель управления в поле поиска меню "Пуск". Откройте панель управления из результатов поиска.
В окне панели управления щелкните Система и безопасность. Убедитесь, что для параметра «Просмотр по» установлено значение «Категория», чтобы легко находить «Система и безопасность». Откройте «Система и безопасность»
Далее нажмите Брандмауэр Защитника Windows. Откройте брандмауэр Защитника Windows
На левой панели нажмите «Включить или отключить брандмауэр Защитника Windows». Откройте «Включение или отключение Защитника Windows».
Теперь выберите «Отключить брандмауэр Защитника Windows (не рекомендуется)» в настройках частной сети и в настройках общедоступной сети.
Нажмите "ОК", чтобы сохранить изменения. Отключить брандмауэр Windows для частных и общедоступных сетей
Брандмауэр для вашего компьютера будет отключен. Вы можете снова включить его, выполнив описанный выше процесс и выбрав «Включить, а не выключить».
3. Используйте командную строку для отключения брандмауэра Windows
Если вам удобнее использовать аргументы командной строки, вы можете использовать командную строку для отключения брандмауэра в Windows 10.
Введите cmd в меню «Пуск» и нажмите «Запуск от имени администратора» для командной строки. Запустите командную строку от имени администратора
В окне терминала введите приведенную ниже команду и нажмите клавишу Enter, чтобы выполнить ее.
Приведенная выше команда отключит брандмауэр для домена, общедоступных и частных сетей. Если вы хотите отключить брандмауэр для определенной сети, вы можете выполнить следующие команды соответственно.
Команда отключения брандмауэра для текущего используемого профиля.
Команда отключения брандмауэра для сетевого профиля домена.
Команда отключения брандмауэра для профиля общедоступной сети.
Команда отключения брандмауэра для профиля частной сети.
Если вы хотите включить брандмауэр в будущем, вы можете изменить «выкл.» на «вкл.» в приведенных выше командах.
4. Используйте Windows PowerShell
Вы также можете отключить брандмауэр Windows с помощью терминала PowerShell. Команды для командной строки и терминала PowerShell различаются.
Нажмите клавишу Windows + X и выберите Windows PowerShell (Admin) в меню быстрой ссылки. Кроме того, вы можете выполнить поиск PowerShell в меню "Пуск" и открыть его из результатов поиска.
В окне PowerShell выполните приведенную ниже команду, чтобы отключить брандмауэр для всех сетей.
Вы также можете отключить брандмауэр для определенных сетей в PowerShell.
Чтобы отключить брандмауэр Windows для сетевого профиля домена.
Чтобы отключить брандмауэр Windows для профиля общедоступной сети.
Чтобы отключить брандмауэр Windows для профиля частной сети.
Если вы хотите включить брандмауэр в будущем, вы можете изменить слово «False» в приведенных выше командах на «True».
Как отключить брандмауэр Windows для определенного приложения
Если вы хотите отключить брандмауэр только для одного приложения из-за проблем при его использовании, вы можете сделать это удобным способом. Несколько изменений в настройках брандмауэра Windows помогут добавить приложение в белый список.
Перейдите в приложение "Настройки" ➜ "Обновление и безопасность" ➜ "Безопасность Windows" и нажмите "Брандмауэр и защита сети".
Прокрутите вниз и нажмите Разрешить приложению проходить через брандмауэр. Разрешить приложение через брандмауэр
В следующем окне нажмите Изменить настройки. Если запрашиваются учетные данные администратора, добавьте их. Изменить настройки брандмауэра Защитника Windows
Теперь вы можете вносить изменения, чтобы определенные приложения могли проходить через брандмауэр. Установите флажок рядом с приложением, которое вы хотите разрешить через брандмауэр. Кроме того, установите флажки для столбцов общедоступной и частной сети.
Нажмите "ОК". Разрешить Google Chrome через брандмауэр
Если приложение не может выполнять определенные функции из-за брандмауэра, вы можете отключить брандмауэр для этого приложения, выполнив описанную выше процедуру. Другими словами, вы внесете приложение в белый список.
Брандмауэр Защитника Windows больше не будет блокировать его функции и возможности. Однако будьте осторожны при этом и убедитесь, что вы не отключили брандмауэр Windows для ненадежных приложений.
Как отключить брандмауэр для компьютеров в домене
Вы можете создать и развернуть объект групповой политики в консоли управления групповыми политиками на сервере, чтобы отключить брандмауэр для компьютеров в домене. Этот способ применим для доменных сетей; если вы обычный пользователь, вы можете пропустить этот раздел.
Примечание. Это сложный способ отключения брандмауэра, требующий технических знаний, поэтому действуйте осторожно. Неверный шаг может привести к проблемам со всеми компьютерами в домене.
Нажмите клавишу Windows + R, чтобы открыть «Выполнить», и введите gpmc.msc в текстовое поле. Нажмите Enter или OK, чтобы открыть консоль управления групповыми политиками. Откройте консоль управления групповыми политиками
Теперь в окне консоли управления групповыми политиками разверните лес. Вам нужно щелкнуть правой кнопкой мыши домен, в котором вы хотите создать объект групповой политики, выбрать «Создать объект групповой политики в этом домене и связать его здесь…» в контекстном меню.
В диалоговом окне "Новый объект групповой политики" на экране введите "Отключить брандмауэр Windows" в разделе "Имя" и задайте для параметра "Исходный объект групповой политики" значение "Нет". Нажмите "ОК".
Щелкните правой кнопкой мыши объект групповой политики «Отключить брандмауэр Windows» (новый объект групповой политики) и выберите «Изменить». Откроется окно редактора управления групповыми политиками.
Перейдите в раздел Конфигурация компьютера ➜ Политики ➜ Административные шаблоны ➜ Сеть ➜ Сетевые подключения ➜ Брандмауэр Защитника Windows ➜ Профиль домена
Затем в правой части окна дважды нажмите «Брандмауэр Защитника Windows: защита всех сетевых подключений» в списке настроек.
Когда откроется диалоговое окно "Брандмауэр Защитника Windows: защита всех сетевых подключений", выберите "Отключено" и нажмите "ОК".
Вы можете повторить это для настроек стандартного профиля и закрыть окно редактора управления групповыми политиками.
Наконец создан объект групповой политики «Отключение брандмауэра Windows», и этот объект групповой политики необходимо развернуть на компьютерах домена. Для этого выполните шаги, указанные ниже.
Шаг 1. Вернитесь в консоль управления групповыми политиками и выберите объект групповой политики «Отключить брандмауэр Windows».
Шаг 2. Перейдите на вкладку "Область" и нажмите кнопку "Добавить" в разделе "Фильтрация безопасности".
Шаг 3. На экране появится диалоговое окно «Выбор пользователя, компьютера или группы». В этом диалоговом окне введите «Компьютеры домена» в качестве имени объекта и нажмите «ОК».
Теперь вы развернули объект групповой политики для всех компьютеров в выбранной вами доменной сети. Вы можете запустить gpupdate /force в окне PowerShell на клиентском компьютере, чтобы отключить брандмауэр для компьютеров домена. Это поможет вам проверить, правильно ли создан и развернут объект групповой политики.
Политика обновляется каждый раз, когда вы перезагружаете компьютер, поэтому вам не нужно время от времени запускать команду.
Заключение
Многие сторонние антивирусные программы предоставляют функцию брандмауэра для защиты вашего компьютера от кибератак. Windows также предоставляет встроенный брандмауэр с 2003 года из Windows XP. Вы также можете найти брандмауэр Windows в Windows Vista, Windows 7 и Windows 8.
Функция брандмауэра, предоставляемая Windows, была значительно улучшена в Windows 10. Однако иногда у вас могут возникать проблемы при установке приложения или использовании некоторых функций из-за брандмауэра Windows. В таких случаях вы можете отключить брандмауэр Windows для всей вашей сети.
Пользователи также отключают брандмауэр, если они используют на своих компьютерах любое другое программное обеспечение брандмауэра. Вы можете воспользоваться способами, упомянутыми выше, чтобы отключить брандмауэр Windows. Если вы хотите добавить в белый список одно конкретное приложение, приведенная выше статья также поможет вам в этом.
Брандмауэр Windows позволяет ограничивать входящий/исходящий сетевой трафик для определенного приложения, протокола или порта TCP/IP. Это простой способ ограничить сетевой доступ к/от пользовательских рабочих станций или серверов. Вы можете настроить правила брандмауэра Windows индивидуально на каждом компьютере или, если пользовательский компьютер присоединен к домену Active Directory, администратор может управлять настройками и правилами брандмауэра Защитника Windows с помощью GPO.
На крупных предприятиях правила фильтрации портов обычно устанавливаются на уровне маршрутизаторов, коммутаторов L3 или выделенных устройств брандмауэра. Однако ничто не мешает вам развернуть правила ограничения сетевого доступа брандмауэра Windows на рабочие станции или серверы Windows.
Параметры групповой политики для управления правилами брандмауэра Защитника Windows
С помощью редактора групповой политики домена (консоль управления групповыми политиками — gpmc.msc) создайте новый объект групповой политики (политику) с именем Firewall-Policy и перейдите в режим редактирования. р>
В консоли управления групповыми политиками есть два раздела, которые позволяют управлять настройками брандмауэра:
- Конфигурация компьютера -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр Windows — этот раздел объекта групповой политики использовался для настройки правил брандмауэра в ОС Vista/Windows Server 2008 или более ранних версиях. Если у вас нет компьютеров с этими старыми версиями ОС, используйте следующий раздел политики для настройки брандмауэра;
- Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Брандмауэр Windows в режиме повышенной безопасности — фактический раздел для настройки брандмауэра Windows в современных версиях ОС Windows, интерфейс которого аналогичен интерфейсу локальной консоли управления брандмауэра Defender. ол>р>
Как включить брандмауэр Windows с помощью GPO?
Чтобы пользователи (даже с правами локального администратора) не могли остановить службу брандмауэра, рекомендуется настроить автоматический запуск брандмауэра Windows с помощью GPO. Для этого перейдите в «Конфигурация компьютера» -> «Параметры Windows» -> «Параметры безопасности» -> «Системные службы». Найдите Брандмауэр Windows в списке служб и измените режим запуска на автоматический (Определите этот параметр политики -> Режим запуска службы Автоматический). Убедитесь, что у ваших пользователей нет прав на остановку службы.
Перейдите в раздел Конфигурация компьютера -> Параметры Windows -> Параметры безопасности в консоли GPO. Щелкните правой кнопкой мыши Брандмауэр Windows в режиме повышенной безопасности и откройте свойства.
Измените состояние брандмауэра на «Вкл.» (рекомендуется) на всех трех вкладках: «Профиль домена», «Частный профиль» и «Общий профиль» (Что такое сетевые расположения в Windows?). В зависимости от политик безопасности в вашей компании вы можете указать, что все входящие подключения по умолчанию блокируются (Входящие подключения -> Блокировать), а исходящие подключения разрешены (Исходящие подключения -> Разрешить). Сохраните изменения.
Как создать правило брандмауэра с помощью GPO?
Попробуем создать разрешающее правило брандмауэра Windows для входящего трафика. Например, мы хотим разрешить входящее RDP-подключение ко всем компьютерам (порт TCP 3389). Щелкните правой кнопкой мыши раздел "Правила для входящих подключений" и выберите "Новое правило".
Мастер правил брандмауэра имеет интерфейс, аналогичный интерфейсу локального брандмауэра Windows на настольном компьютере пользователя.
Выберите тип правила. Вы можете разрешить доступ к:
В нашем случае мы выберем правило порта. В качестве протокола укажем TCP, а в качестве порта — порт 3389 (это порт RDP по умолчанию, но вы можете изменить его через реестр).
Затем вы должны выбрать, что делать с таким сетевым подключением: разрешить подключение, разрешить, если оно защищено, или заблокировать подключение.
Затем выберите профили брандмауэра, к которым нужно применить правило. Вы можете оставить все профили включенными (доменные, частные и общедоступные).
На последнем шаге укажите имя и описание правила. Нажмите «Готово», и оно появится в списке правил брандмауэра.
Таким же образом вы можете настроить другие правила для входящего трафика, которые будут применяться к вашим клиентам Windows. Не забудьте создать правила для входящего и исходящего трафика.
Теперь просто назначьте политику брандмауэра организационной единице с пользовательскими компьютерами.
Важно. Прежде чем применять политику брандмауэра к OU с продуктивными компьютерами, настоятельно рекомендуется опробовать ее на нескольких тестовых компьютерах. В противном случае из-за неправильных настроек брандмауэра вы можете парализовать корпоративную сеть. Чтобы диагностировать, как применяется ваша групповая политика, используйте инструмент gpresult.
Тестирование политик брандмауэра Windows на клиентах
Обновите параметры групповой политики на своих клиентах (gpupdate /force). Убедитесь, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или инструмент Portqry).
На пользовательском ПК откройте Панель управления -> Система и безопасность -> Брандмауэр Защитника Windows и убедитесь, что есть сообщение Для вашей безопасности некоторые параметры контролируются групповой политикой и вашими настройками брандмауэра. используются.
Теперь пользователь не может изменять настройки брандмауэра, и все созданные вами правила должны отображаться в списке правил для входящих подключений.
Вы также можете отобразить настройки брандмауэра с помощью этой команды:
показать состояние брандмауэра netsh
Как импортировать/экспортировать правила брандмауэра Windows в/из объекта групповой политики?
Конечно, процесс создания правил брандмауэра Windows — кропотливая и трудоемкая задача (однако она того стоит). Чтобы упростить задачу, вы можете импортировать/экспортировать настройки брандмауэра Windows. Для этого достаточно настроить локальный брандмауэр на эталонной рабочей станции так, как вам нужно. Затем перейдите в корень оснастки брандмауэра Windows (брандмауэр Windows в режиме повышенной безопасности) и выберите «Действие» -> «Экспортировать политику».
Политика будет экспортирована в файл WFW, который можно импортировать в редактор управления групповыми политиками, выбрав параметр «Импортировать политику» и указав путь к файлу .wfw (текущие параметры политики будут перезаписаны).
Доменные и локальные правила брандмауэра Защитника Windows
В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать свои собственные правила брандмауэра на своих компьютерах для объединения с правилами, полученными из групповой политики, вы можете выбрать параметр объединения правил. Откройте свойства политики и просмотрите параметры в разделе Объединение правил. По умолчанию слияние правил включено. Вы можете разрешить локальному администратору создавать свои собственные правила брандмауэра: выберите Да (по умолчанию) в параметре Применить локальные правила брандмауэра.
Совет. Блокирующие правила брандмауэра имеют более высокий приоритет, чем разрешающие. Это означает, что пользователь не может создать разрешающее правило доступа, если оно противоречит блокирующему правилу, настроенному администратором с помощью GPO. Однако пользователь сможет создать локальное правило блокировки, даже если доступ разрешен в политике администратором.
Советы: управление брандмауэром Windows с помощью объектов групповой политики
Конечно, вам следует создать отдельные политики для управления правилами брандмауэра Windows для серверов и рабочих станций (возможно, вам придется создать отдельные политики для каждой группы похожих серверов в зависимости от их роли). Это означает, что правила брандмауэра для контроллера домена, почтового сервера Exchange и SQL-сервера будут отличаться.
Вы можете узнать, какие порты должны быть открыты для каждой службы, на веб-сайте поставщика. Процесс довольно кропотливый и сложный на первый взгляд. Однако вы, наконец, можете получить работающую конфигурацию брандмауэра Windows, которая разрешает только разрешенные сетевые подключения и блокирует другие. Из своего опыта хочу отметить, что вы можете быстро найти список используемых портов TCP/UDP для программного обеспечения Microsoft.
Читайте также: