Windows Firewall memungkinkan Anda membatasi lalu lintas jaringan keluar / masuk untuk aplikasi tertentu atau port TCP / IP, dan merupakan cara populer untuk membatasi akses jaringan ke (dari) workstation atau server pengguna. Aturan Windows Firewall dapat dikonfigurasi secara individual di setiap komputer, atau, jika komputer pengguna termasuk dalam domain Windows, administrator dapat mengontrol pengaturan dan aturan firewall Windows menggunakan kebijakan grup.
Dalam organisasi besar, aturan penyaringan port biasanya dilakukan pada tingkat router, sakelar L3, atau firewall khusus. Namun, tidak ada yang mencegah Anda memperluas aturan untuk membatasi akses jaringan Windows Firewall ke workstation atau server Windows..
Konten:
- Kebijakan Grup Digunakan untuk Mengelola Pengaturan Firewall Windows Defender
- Nyalakan Windows Firewall menggunakan GPO
- Buat aturan firewall menggunakan Kebijakan Grup
- Memeriksa Kebijakan Windows Firewall pada Klien
- Impor / Ekspor Aturan Windows Firewall di GPO
- Aturan domain dan firewall lokal
- Beberapa Tips untuk Mengelola Windows Firewall Melalui GPO
Kebijakan Grup Digunakan untuk Mengelola Pengaturan Firewall Windows Defender
Dengan menggunakan konsol manajemen kebijakan grup (gpmc.msc), buat kebijakan baru yang disebut Kebijakan-Firewall dan masuk ke mode edit (Edit).
Ada dua bagian di konsol Kebijakan Grup tempat Anda dapat mengelola pengaturan firewall Anda:
- Konfigurasi Komputer -> Template Administratif -> Jaringan -> Koneksi Jaringan -> Windows Firewall - bagian GPO ini digunakan untuk mengonfigurasi aturan firewall untuk Vista / Windows Server 2008 dan di bawah ini. Jika Anda tidak memiliki komputer dengan OS lama di domain, gunakan bagian berikut untuk mengonfigurasi firewall.
- Konfigurasi Komputer -> Pengaturan Windows -> Pengaturan Keamanan -> Windows Firewall dengan Keamanan Lanjutan - ini adalah bagian aktual untuk mengonfigurasi Windows Firewall dalam versi modern OS dan dalam hal antarmuka menyerupai antarmuka konsol manajemen Firewall lokal.
Nyalakan Windows Firewall menggunakan GPO
Agar pengguna (bahkan dengan hak administrator lokal) tidak dapat mematikan layanan firewall, disarankan untuk mengkonfigurasi layanan Windows Firewall untuk memulai secara otomatis melalui GPO. Untuk melakukan ini, buka Konfigurasi Komputer-> Pengaturan Windows -> Pengaturan Keamanan -> Layanan Sistem. Temukan di daftar layanan Windows firewall dan ubah jenis mulai layanan ke otomatis (Tentukan pengaturan kebijakan ini -> Mode startup layanan Otomatis). Pastikan pengguna tidak memiliki izin untuk menghentikan layanan..
Buka bagian konsol GPO Konfigurasi Komputer -> Pengaturan Windows -> Pengaturan Keamanan. Klik kanan Windows Firewall dengan Keamanan Lanjutan dan buka properti.
Pada ketiga tab Profil Domain, Profil Pribadi dan Profil Publik (apa itu profil jaringan), ubah status Firewall menjadi Aktif (disarankan). Bergantung pada kebijakan keamanan di organisasi Anda, Anda dapat menentukan bahwa semua koneksi yang masuk dinonaktifkan secara default (Koneksi masuk -> Blokir), dan koneksi keluar diizinkan (Koneksi keluar -> Izinkan) dan simpan perubahannya.
Buat aturan firewall menggunakan Kebijakan Grup
Sekarang mari kita coba membuat aturan firewall masuk permisif untuk semua orang. Misalnya, kami ingin mengizinkan koneksi ke komputer melalui RDP (TCP port 3389). Klik kanan pada bagian Aturan Masuk dan pilih item menu Aturan Baru..
Firewall Rule Wizard sangat mirip dengan antarmuka Windows Firewall lokal di komputer biasa.
Pilih jenis aturan. Anda dapat mengizinkan akses ke:
- Program (Program) - Anda dapat memilih program exe yang dapat dieksekusi;
- Port (Port) - pilih port TCP / UDP atau rentang port;
- Aturan yang ditentukan sebelumnya (Predefined) - pilih salah satu aturan Windows standar yang sudah memiliki aturan akses (file dan port yang dapat dieksekusi dijelaskan) ke layanan tipikal (misalnya, AD, Http, DFS, BranchCache, reboot jarak jauh, SNMP, KMS dan dll);
- Aturan khusus - di sini Anda dapat menentukan program, protokol (protokol lain selain TCP dan UDP, misalnya, ICMP, GRE, L2TP, IGMP, dll.), Alamat IP klien atau seluruh subnet IP.
Dalam kasus kami, kami akan memilih aturan Port. Kami akan menentukan TCP sebagai protokol, port 3389 sebagai port (port RDP default dapat diubah).
Selanjutnya, Anda harus memilih apa yang perlu Anda lakukan dengan koneksi jaringan seperti itu: izinkan (Izinkan koneksi), izinkan jika aman atau blokir (Blokir koneksi).
Tetap memilih profil firewall yang perlu menerapkan aturan. Anda dapat meninggalkan semua profil (Domain, Pribadi, dan Publik).
Pada langkah terakhir, Anda perlu menentukan nama aturan dan deskripsinya. Klik Selesai dan itu akan muncul dalam daftar aturan firewall..
Demikian pula, Anda dapat mengonfigurasi aturan masuk lain yang berlaku untuk klien Windows Anda..
Jangan lupa bahwa Anda perlu membuat aturan untuk lalu lintas masuk dan keluar.
Sekarang tinggal menetapkan Kebijakan Firewall untuk OU dengan komputer pengguna
Itu penting. Sebelum Anda menerapkan kebijakan firewall untuk OU dengan komputer produktif, Anda sangat disarankan untuk mengujinya di komputer uji. Jika tidak, karena pengaturan firewall yang salah, Anda dapat melumpuhkan pekerjaan perusahaan. Untuk mendiagnosis penggunaan kebijakan grup, gunakan utilitas gpresult.exe.Memeriksa Kebijakan Windows Firewall pada Klien
Perbarui kebijakan klien (gpupdate / force). Verifikasi bahwa port yang Anda tentukan tersedia di komputer pengguna (Anda dapat menggunakan cmdlet Test-NetConnection atau utilitas Portqry).
Pada PC pengguna, buka Control Panel \ System and Security \ Windows Defender Firewall dan pastikan bahwa yang berikut ini muncul: Untuk keamanan, beberapa pengaturan dikendalikan oleh Kebijakan Grup. (Untuk keamanan Anda, beberapa pengaturan dikendalikan oleh Kebijakan Grup), dan pengaturan firewall yang Anda tentukan digunakan.
Pengguna tidak lagi dapat mengubah pengaturan firewall, dan dalam daftar Aturan Masuk semua aturan yang Anda buat harus ditunjukkan.
Anda juga dapat menampilkan pengaturan firewall menggunakan perintah:
keadaan acara firewall netsh
Impor / Ekspor Aturan Windows Firewall di GPO
Tentu saja, proses membuat aturan untuk Windows Firewall adalah tugas yang sangat melelahkan dan panjang (tapi hasilnya sepadan). Untuk menyederhanakan tugas Anda, Anda dapat memanfaatkan kemampuan untuk mengimpor dan mengekspor pengaturan Windows Firewall. Untuk melakukan ini, Anda hanya perlu mengkonfigurasi aturan firewall lokal di workstation biasa. Lalu, pergi ke root snap-in firewall (Windows Defender Firewall Monitor dalam Advanced Security) dan pilih Action -> Kebijakan Ekspor.
Kebijakan diunggah ke file WFW, yang dapat diimpor ke Editor Manajemen Kebijakan Grup dengan memilih Kebijakan impor dan menentukan path ke file wfw (pengaturan saat ini akan ditimpa).
Aturan domain dan firewall lokal
Bergantung pada apakah Anda ingin administrator lokal dapat membuat aturan firewall sendiri di komputer mereka dan ini harus dikombinasikan dengan aturan yang diperoleh menggunakan Kebijakan Grup. dalam kebijakan grup, Anda dapat memilih mode menggabungkan aturan. Buka properti kebijakan dan perhatikan pengaturan di bagian Penggabungan aturan. Secara default, penggabungan aturan diaktifkan. Anda dapat memaksa administrator lokal untuk membuat aturan firewall mereka sendiri: pada parameter Terapkan aturan firewall lokal pilih Ya (default).
Kiat. Memblokir aturan firewall lebih diutamakan daripada mengizinkan aturan. Yaitu pengguna tidak akan dapat membuat aturan akses permisifnya sendiri yang bertentangan dengan aturan larangan yang dikonfigurasi oleh administrator melalui GPO. Namun, pengguna dapat membuat aturan tolak lokal, bahkan jika akses ini diizinkan oleh administrator dalam kebijakan.Beberapa Tips untuk Mengelola Windows Firewall Melalui GPO
Tentu saja, untuk server dan workstation, Anda perlu membuat kebijakan terpisah untuk mengelola aturan firewall (untuk setiap grup server yang identik, Anda mungkin harus membuat kebijakan sendiri tergantung pada perannya). Yaitu aturan firewall untuk pengontrol domain, server Exchange mail dan server SQL akan berbeda.
Port mana yang perlu Anda buka untuk layanan tertentu harus dicari dalam dokumentasi di situs pengembang. Prosesnya cukup melelahkan dan sekilas rumit. Tapi secara bertahap itu cukup nyata untuk datang ke konfigurasi firewall Windows yang bisa diterapkan, yang hanya mengizinkan koneksi yang disetujui dan memblokir yang lainnya. Dari pengalaman saya ingin mencatat bahwa pada perangkat lunak Microsoft Anda dapat dengan cepat menemukan daftar port TCP / UDP yang digunakan.