Implantar regras avançadas de firewall via GPO - Como evitar a mesclagem?

Question

Implantar regras avançadas de firewall via GPO - Como evitar a mesclagem?

#1 resposta do (1 votos)

3

Estou tentando implantar um conjunto de ACLs de firewall avançadas do Windows em vários servidores 2008 R2. Eu gostaria de (eu tenho que) garantir que nenhuma regra local ou antiga esteja sendo aplicada.

Por isso, defino "Aplicar regras de firewall locais" como "Não" em cada perfil (GPO). Isso se aplica apenas à fusão de regras de firewall local (como o nome indica). Regras diferentes que estão sendo definidas por outros GPOs são aditivas e somadas. Isso faz sentido se eu pensar nisso.

No entanto, isso é um problema, pois através de experiências, as coisas ficaram confusas em minhas máquinas de teste. Então eu criei outro GPO chamando um script que exclui todas as regras de firewall com antecedência (netsh advfirewall firewall nome da regra de exclusão = all), o que leva a um serviço de compartilhamento de impressora e arquivo corrompido.

Então, para resumir: Qual é a melhor / recomendada maneira de garantir uma base de regras limpa antes de aplicar novas regras?

windows firewall group-policy

por Matze 19.02.2014 / 09:38

1 resposta

Tags windows firewall group-policy

Localizar número de bytes TCP transmitidos Wheezy processa morrer periodicamente

score 1 · Answer 1

Você disse que as regras de firewall locais são aplicadas independentemente da configuração do gpo "não aplicar regras locais". Apenas para confirmar, a regra de firewall local ainda estará presente nas regras "\ rules de entrada, \ outbound rules", mas você pode ver as políticas "efetivas" (local + gpo) visualizando o nó "\ monitoring \ firewall".

Se você está tendo regras de firewall conflitantes entre gPOs na estrutura da UO, não há muito com o qual a parte do firewall do Windows vá ajudá-lo. Você poderia fazer coisas como alterar sua estrutura, usar filtragem de segurança por máquina ou bloquear herança. No geral, embora suas políticas provavelmente configurem melhor, adicionando configurações gpo / fw mais gerais na estrutura ou configurações de gpo / fw mais específicas diretamente nos servidores ou.