假设我在位于子网 192.168.1.0/24 上的 Windows 客户端上安装特定程序时,它会创建一个本地防火墙规则,允许从任何子网到端口 1234 的入站连接。这是常见的做法:防病毒软件、VNC 等远程访问软件都会这样做,以避免部署期间出现防火墙问题。
我想使用组策略创建一个更严格的防火墙规则集,仅允许从特定远程子网(例如 192.168.101.0/24)到端口 1234 的入站连接。因此,我通过组策略添加了一条新的 Windows 防火墙规则,以允许从网络 192.168.101.0/24 到端口 1234 的入站连接。
目前,在我的环境中,通过域组策略设置的 Windows 客户端的 Windows 防火墙规则配置为与本地 Windows 防火墙规则合并。最终结果是,更宽松的本地规则似乎优先于使用域策略设置的防火墙规则。具体来说,我仍然可以从任何子网通过端口 1234 访问客户端,而不仅仅是从 192.168.101.0/24 访问。
如果可能的话,我想使用组策略防火墙设置来更改、删除或取消本地防火墙设置(而不是使用启动脚本来删除不需要的防火墙规则)。我认为最简单的方法是指定某种防火墙规则优先级,其中通用本地规则被更具体的域规则所取代。但是,我不确定这是否可行。
有什么建议么?
答案1
我 4 年前就发过这个问题,但没人回答。我最终做了以下事情:
创建第二个域防火墙规则,以明确阻止来自不应访问该端口的子网的入站连接。
具体来说,针对问题中概述的场景,我使用域策略创建了两个防火墙规则:
ALLOW access to local port 1234 from remote address 192.168.101.0/24
BLOCK access to local port 1234 from remote address localsubnet,192.168.2.0/24,192.168.3.0/24,etc.
我不知道是否有更好的方法来解决这个问题,但这就是我最终所做的。