我們有一個網域,這個網域中有一些電腦。我們對此網域應用了密碼策略等許多策略,這使我們更容易控制組織中使用的 PC。現在我想知道是否可以為我們網域中的每台 PC 的防火牆規定某種配置,或者強制域中的每台 PC 至少阻止某些特定端口,也許是 IP。誰能幫我?是否可以?
答案1
完全可以建立一個策略來裁決與 GPO 的傳入連線嘗試。這裡是有關如何執行此操作的 Microsoft 文件頁面。
去Computer configuration,Windows Settings,Security settings,Windows Firewall with advanced security。右鍵單擊Windows Firewall with advanced security.
對於全域策略,您可以選擇設定它 ( on)、停用它 ( off) 或讓電腦自行決定要套用哪個策略 ( not configured)。您喜歡強制電腦啟用它(on防火牆狀態選項)。然後是入站連接(預設情況下,我將入站連接設定為Block)。您也可以為允許的入站連線選擇日誌記錄選項和例外(例如icmp可能有助於偵錯目的。
對於特定連接埠/IP 位址,右鍵點選inbound rule、new rule,選擇Port,然後指定您喜歡的選項。建立規則後,右鍵單擊它,property和Scope來指定遠端/本機 IP 位址。
編輯:
Computer configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall是舊配置,僅適用於 XP 或 2003 Server。
Computer configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security是 Windows 7 或 2008 Server 及更高版本的設定。
請注意,在這些地方之一停用防火牆將在這兩種情況下停用防火牆。看一看這裡