我们有一个域,这个域中有一些计算机。我们在这个域中应用了许多策略,例如密码策略等,这使我们能够更轻松地控制组织中的 PC 使用情况。现在我想知道是否可以为我们域中每台 PC 的防火墙规定某种配置,或者强制域中的每台 PC 至少阻止某些端口和 IP。有人能帮我吗?可能吗?
答案1
完全有可能创建使用 GPO 控制传入连接尝试的策略。这里是关于如何执行此操作的 Microsoft 文档页面。
前往Computer configuration
,,,。Windows Settings
右键单击。Security settings
Windows Firewall with advanced security
Windows Firewall with advanced security
在全局策略中,您可以选择设置它(on
)、禁用它(off
)或让计算机自行决定应用哪种策略(not configured
)。您更喜欢强制计算机启用它(on
防火墙状态选项)。然后是入站连接(默认情况下,我设置了入站连接Block
)。您还可以选择允许的入站连接的日志记录选项和例外(例如,icmp
这可能有助于调试目的)。
对于特定端口/IP 地址,右键单击inbound rule
、new rule
,选择Port
,并指定您喜欢的选项。创建规则后,右键单击它,property
,并Scope
指定远程/本地 IP 地址。
编辑:
Computer configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall
是旧配置,仅适用于 XP 或 2003 Server。
Computer configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security
是针对 Windows 7 或 2008 Server 及更高版本的配置。
请注意,在其中一个位置禁用防火墙将导致两种情况下的防火墙都禁用。请查看这里