我们有一个域,这个域中有一些计算机。我们在这个域中应用了许多策略,例如密码策略等,这使我们能够更轻松地控制组织中的 PC 使用情况。现在我想知道是否可以为我们域中每台 PC 的防火墙规定某种配置,或者强制域中的每台 PC 至少阻止某些端口和 IP。有人能帮我吗?可能吗?
答案1
完全有可能创建使用 GPO 控制传入连接尝试的策略。这里是关于如何执行此操作的 Microsoft 文档页面。
前往Computer configuration,,,。Windows Settings右键单击。Security settingsWindows Firewall with advanced securityWindows Firewall with advanced security
在全局策略中,您可以选择设置它(on)、禁用它(off)或让计算机自行决定应用哪种策略(not configured)。您更喜欢强制计算机启用它(on防火墙状态选项)。然后是入站连接(默认情况下,我设置了入站连接Block)。您还可以选择允许的入站连接的日志记录选项和例外(例如,icmp这可能有助于调试目的)。
对于特定端口/IP 地址,右键单击inbound rule、new rule,选择Port,并指定您喜欢的选项。创建规则后,右键单击它,property,并Scope指定远程/本地 IP 地址。
编辑:
Computer configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall是旧配置,仅适用于 XP 或 2003 Server。
Computer configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security是针对 Windows 7 或 2008 Server 及更高版本的配置。
请注意,在其中一个位置禁用防火墙将导致两种情况下的防火墙都禁用。请查看这里