我正在使用 GPO 来配置 Windows 防火墙 ACL。
正如标题所说:有没有办法刷新修改后的 ACL,而不必每次都重新启动?运行gpupdate /target:computer似乎还不够……微软认真的吗?我错过了什么?
答案1
这是一个老问题,但令人震惊的是,关于通过 GPO 进行 Windows FW 规则管理的信息并不多:
这与组策略应用的 FW 规则仅更新 hklm\software\policies\microsoft\windowsfirewall\firewallrules 处的注册表路径有关。例如,当您尝试通过 netsh advfirewall 防火墙显示规则名称 = all 枚举 FW 规则并将规则列表与 GUI (wf.msc) 进行比较时,GUI 将显示 netsh 看到的规则以及通过 GPO/上述注册表项添加的规则。
根据我的观察和测试,FW 服务 (MPSSVC) 似乎仅在初始化时读取这些键。在正常的用户和组策略处理操作下,此服务无法停止,这就是为什么您更新的 FW GPO 规则直到重新启动才会生效,而我猜测注册表项是在 gpupdate 时为您添加的。
或者,如果您必须通过 GPO 动态推送 FW 规则,我认为使用使用 new-netfirewallrule 的登录或启动脚本将它们直接添加到 Windows 托管 netsh 防火墙规则存储的任何位置可能会更简单。