我正在尝试将一组高级 Windows 防火墙 ACL 部署到几台 2008 R2 服务器。我想(必须)确保不应用任何本地或旧规则。
因此,我在每个配置文件 (GPO) 中将“应用本地防火墙规则”设置为“否”。这仅适用于本地防火墙规则合并(顾名思义)。其他 GPO 设置的不同规则是相加的,并且相加。如果我仔细想想,这是有道理的。
然而,这是一个问题,因为通过实验,我的测试机器上的事情变得一团糟。所以我创建了另一个 GPO,调用一个脚本来提前删除所有防火墙规则 (netsh advfirewall firewall delete rule name=all),这会导致文件和打印机共享服务损坏。
简而言之:在应用新规则之前,确保规则库清洁的最佳/推荐方法是什么?
答案1
您说无论“不应用本地规则” gpo 设置如何,都会应用本地防火墙规则。只需确认一下,本地防火墙规则仍将存在于“\入站规则、\出站规则”集合中,但您可以通过查看“\监控\防火墙”节点来查看实际的“有效”策略(本地 + gpo)。
如果您的 OU 结构中的 gpo 之间存在冲突的防火墙规则,那么 Windows 防火墙部分将无法为您提供太多帮助。您可以执行的操作包括更改 OU 结构、使用每台机器的安全过滤或阻止继承。但总体而言,您的策略可能最好通过在 OU 结构中更高的位置添加更多通用的 gpo/fw 设置以及直接在服务器 OU 上添加更具体的 gpo/fw 设置来设置。