ドメインがあり、このドメインにはコンピューターが数台あります。このドメインにパスワード ポリシーなどの多くのポリシーを適用し、組織内の PC の使用を制御しやすくしました。ここで疑問に思うのは、ドメイン内のすべての PC のファイアウォールに特定の構成を規定したり、ドメイン内のすべての PC に少なくとも特定のポートと IP をブロックさせたりできるかどうかです。どなたか助けていただけませんか? 可能ですか?
答え1
GPO を使用して着信接続試行を規制するポリシーを作成することは完全に可能です。ここその方法については、Microsoft のドキュメント ページをご覧ください。
Computer configuration、、、Windows Settingsに移動しますSecurity settings。Windows Firewall with advanced securityを右クリックしますWindows Firewall with advanced security。
グローバル ポリシーでは、設定するか ( on)、無効にするか ( off)、またはコンピュータがどのポリシーを適用するかを独自に決定するようにするか ( not configured) を選択できます。コンピュータに強制的に有効にすることを希望します (onファイアウォール状態のオプション)。次に、受信接続 (デフォルトでは、受信接続を に設定しています)。また、許可された受信接続のログ記録オプションと例外 (デバッグに役立つ可能性のあるBlockなど) を選択することもできます。icmp
特定のポート/IP アドレスの場合は、 を右クリックしinbound rule、new ruleを選択してPort、必要なオプションを指定します。ルールが作成されたら、それを右クリックし、 をクリックしてproperty、Scopeリモート/ローカル IP アドレスを指定します。
編集:
Computer configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewallこれは、XP または 2003 Server にのみ適用されるレガシー構成です。
Computer configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Securityこれは Windows 7 または 2008 Server 以降用の構成です。
これらの場所のいずれかでファイアウォールを無効にすると、両方の場合でファイアウォールが無効になることに注意してください。ここ