1.如何使用组策略部署Windows防火墙?
Windows防火墙是Windows XP SP2中一个极为重要的安全设计,它可以有效地协助我们完成计算机的安全管理。
今天,笔者将为大家介绍如何使用组策略(Group Policy)在机房中集中部署Windows防火墙,提高为网内计算机配置防火墙的效率。 为什么要集中部署 首先,我们要了解组策略对Windows防火墙的作用是什么。
组策略可以决定本地管理员级别的用户是否可以对Windows防火墙进行各种设置,可以决定Windows防火墙的哪些功能被“禁用”或“允许”…… 显然,上述几个功能正好能够配合域功能进行机房的安全管理,这就为组策略能够批量化部署机房的Windows防火墙打下了基础。此时,所有客户机的 Windows防火墙的应用权限将统一归域管理员管理,本地管理员对Windows防火墙的任何设置要在域管理员的“批准”下方可进行。
此外,域管理员还可使用组策略来完成所有客户机的Windows防火墙配置,而不必逐台进行了。 用组策略部署防火墙 在明白了集中部署的好处后,现在让我们一步步实现。
请大家先了解一下本文的测试环境“Windows Server 2003域服务器+Windows XP SP2客户机”。本文将介绍如何在Windows Server 2003域服务器管理的机房中的客户机(Windows XP SP2)上,对所有安装了Windows XP SP2的客户机进行Windows防火墙的集中部署。
提示:为什么不是在域服务器中进行组策略的新建与配置,而是在客户机上运行?其实这很容易理解,Windows Server 2003操作系统(中文版)中还没有Windows防火墙,所以无法进行配置。但是,这一点将会随着Windows Server 2003 SP1中文正式版的推出而得到彻底解决。
OK!现在让我们开始实际操作。首先,在Windows XP SP2客户机的“运行”栏中输入“MMC”命令并回车,在打开的“控制台”窗口中,依次单击“文件→添加/删除管理单元”,添加“组策略对象编辑器”。
在弹出的“欢迎使用组策略向导”界面中,点击“浏览”按钮并在“浏览组策略对象”窗口中的空白处单击鼠标右键,在弹出的菜单中选择“新建”,并命名为“firewall”即可返回控制台窗口。 提示:客户机的当前登录账户必须具有管理员权限,方可新建GPO(组策略对象)。
因此,临时解决这个问题的方法就是在DC中将客户机的账户添加到Administrators组,接着客户机临时使用管理员账户登录系统并进行GPO配置即可 返回控制台窗口后,在“firewall”策略集中可以看到“域配置文件”和“标准配置文件”两个策略子集(图1)。其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用。
图1 显然,我们需要在域配置文件中进行策略的设置。下面简单地说说如何对其中的子策略进行安全配置: 保护所有网络连接:已启用;这样才能强制要求客户机启用Windows防火墙,不受客户机本地策略的影响。
不允许例外:未配置;这个可以让客户机自行安排。 定义程序例外:已启用;即按照程序文件名定义例外通信,这样可以集中配置机房中允许运行的网络程序等。
允许本地程序例外:已禁用;如果禁用则Windows防火墙的“例外”设置部分将呈灰色。 允许远程管理例外:已禁用;如果不允许客户机进行远程管理,那么请禁用。
允许文件和打印机共享例外:已禁用;如果某些客户机有共享资源需要应用,那么应该启用。 允许ICMP例外:已禁用;如果希望使用Ping命令,则必须启用。
允许远程桌面例外:已禁用;即关闭客户机可以接受基于远程桌面的连接请求功能。 允许UPnP框架例外:已禁用;即禁止客户机接收垃圾的UPnP方面的消息。
阻止通知:已禁用。 允许记录日志:未配置;允许记录通信并配置日志文件设置。
阻止对多播或广播请求的单播响应:已启用;即放弃因多播或广播请求消息而收到的单播数据包。 定义端口例外:已启用;按照TCP和UDP端口指定例外通信。
允许本地端口例外:已禁用;即禁止客户机管理员进行端口的“例外”配置。 现在,让我们通过“定义端口例外”项来介绍一下如何进行具体配置。
首先,在“域配置文件”设置区域中,双击“Windows防火墙:定义端口例外”项,在弹出的属性窗口中单击“已启用→显示”,并进行“添加”。接着,使用“port:transport:scope:status:name”的格式输入要阻止或启用的端口信息(如“80:TCP:*:enabled:Webtest”)。
提示:port是指端口号码;transport是指TCP或UDP;scope中的“*”表示用于所有系统或允许访问端口的计算机列表;status是已启用或已禁用;name是用作此条目标签的文本字符串。 完成上述设置后,保存策略为“firewall”文件。
现在,就得进行非常重要的一步操作,在“命令提示符”窗口中运行“Gpupdate /force”命令强制组策略设置应用到域网络中已经登录的计算机 验证部署效果 完成组策略的刷新后,先来看看本机中的Windows防火墙是否响应了策略。由于前面已经定义了“允许本地程序例外”项的状态为“已禁用”,根据这个定义,Windows防火墙的“例外”设置部分应变为灰色。
现在,让我们打开本机中的Windows防火墙,可以看。
2.如何使用组策略部署Windows防火墙
使用组策略管理单元来修改相应的 GPO 中的 Windows 防火墙设置。
完成以下配置 Windows 防火墙设置的步骤后,可以等待标准刷新周期将这些设置应用到客户端计算机,也可以在客户端计算机上使用 GPUpdate 实用程序来完成刷新。默认情况下,刷新周期为 90 分钟,随机偏移量为 +/-30 分钟。
下一次刷新计算机配置组策略时,将会下载新的 Windows 防火墙设置,然后将其应用于运行 Windows XP SP2 的计算机。使用组策略配置 Windows 防火墙设置1、在 Windows XP SP2 桌面上,依次单击“开始”、“运行”,键入 mmc,然后单击“确定”。
2、在“文件”菜单中,单击“添加/删除管理单元”。3、在“独立”选项卡上,单击“添加”。
4、在“可用的独立管理单元”列表中,找到并单击“组策略对象编辑器”,然后单击“添加”。5、在“选择组策略对象”对话框中,单击“浏览”。
6、选择“测试客户端 Windows 防火墙策略 GPO”,然后依次单击“确定”和“完成”。7、单击“关闭”关闭“添加独立管理单元”框,然后在“添加/删除管理单元”框中单击“确定”。
8、在组策略对象编辑器的控制台树中,依次打开“计算机配置”、“管理模板”、“网络”、“网络连接”和“Windows 防火墙”9、选择“域配置文件”或“标准配置文件”。
3.如何关win10防火墙 组策略
一、关闭Windows10自带杀毒软件的方法
Windows10可以“组策略”关闭自带的杀毒软件,具体步骤如下:
1、如下图,按win键+R,呼出“运行”,输入“gpedit.msc”,再按“确定”:
2、如下图,依次“计算机配置”→“管理模版”→“Windows Defender”,鼠标双击右边的“关闭Windows Defender”,点选“已启用”,最后点击“确定”,重启电脑后,Windows10自带的杀毒软件的彻底关闭了:
二、关闭Windows10防火墙的方法(不建议关闭)
1、如下图,打开Windows10“控制面板”,控制面板界面右上角的“查看方式”切换到“小图标”,之后就可以在下方找到“Windows防火墙”这一项,点击打开此项:
2、如下图,点击“启用或关闭Windows防火墙”,进入关闭Windows防火墙即可,同样需要重启电脑,Windows10防火墙就关闭了。再次提醒,不建议关闭Windows防火墙,因为这是一个资源占用少而安全效果显著的安全防护,而且在安装了第三方防火墙后,Windows防火墙也会自动关闭,无需人工关闭:
4.如何使用组策略集中部署Windows防火墙提高配置效率
管理规模较网络环境网络安全往往花费精力环拿配置Windows XP SP2防火墙说让网管网内计算机逐进行配置工作量非且细节配置容易错何才能提高规模化环境内防火墙配置效率呢? Windows防火墙Windows XP SP2极重要安全设计效协助我完计算机安全管理今笔者家介绍何使用组策略(Group Policy)机房集部署Windows防火墙提高网内计算机配置防火墙效率 要集部署 首先我要解组策略Windows防火墙作用组策略决定本管理员级别用户否Windows防火墙进行各种设置决定Windows防火墙哪些功能“禁用”或“允许”…… 显述几功能能够配合域功能进行机房安全管理组策略能够批量化部署机房Windows防火墙打基础所客户机 Windows防火墙应用权限统归域管理员管理本管理员Windows防火墙任何设置要域管理员“批准”进行外域管理员使用组策略完所客户机Windows防火墙配置必逐台进行 用组策略部署防火墙 明白集部署处现让我步步实现请家先解本文测试环境“Windows Server 2003域服务器+Windows XP SP2客户机”本文介绍何Windows Server 2003域服务器管理机房客户机(Windows XP SP2)所安装Windows XP SP2客户机进行Windows防火墙集部署 提示:域服务器进行组策略新建与配置客户机运行?其实容易理解Windows Server 2003操作系统(文版)没Windows防火墙所进行配置点随着Windows Server 2003 SP1文式版推彻底解决 OK!现让我始实际操作首先Windows XP SP2客户机“运行”栏输入“MMC”命令并车打“控制台”窗口依单击“文件→添加/删除管理单元”添加“组策略象编辑器” 弹“欢迎使用组策略向导”界面点击“浏览”按钮并“浏览组策略象”窗口空白处单击鼠标右键弹菜单选择“新建”并命名“firewall”即返控制台窗口 提示:客户机前登录账户必须具管理员权限新建GPO(组策略象)临解决问题DC客户机账户添加Administrators组接着客户机临使用管理员账户登录系统并进行GPO配置即 返控制台窗口“firewall”策略集看“域配置文件”“标准配置文件”两策略集(图1)其域配置文件主要包含域DC网络应用主机连接企业网络使用;标准配置文件则用于非域网络应用 图1 显我需要域配置文件进行策略设置面简单说说何其策略进行安全配置: 保护所网络连接:已启用;才能强制要求客户机启用Windows防火墙受客户机本策略影响 允许例外:未配置;让客户机自行安排 定义程序例外:已启用;即按照程序文件名定义例外通信集配置机房允许运行网络程序等 允许本程序例外:已禁用;禁用则Windows防火墙“例外”设置部呈灰色 允许远程管理例外:已禁用;允许客户机进行远程管理请禁用 允许文件打印机共享例外:已禁用;某些客户机共享资源需要应用应该启用 允许ICMP例外:已禁用;希望使用Ping命令则必须启用 允许远程桌面例外:已禁用;即关闭客户机接受基于远程桌面连接请求功能 允许UPnP框架例外:已禁用;即禁止客户机接收垃圾UPnP面消息 阻止通知:已禁用 允许记录志:未配置;允许记录通信并配置志文件设置 阻止播或广播请求单播响应:已启用;即放弃播或广播请求消息收单播数据包 定义端口例外:已启用;按照TCPUDP端口指定例外通信 允许本端口例外:已禁用;即禁止客户机管理员进行端口“例外”配置 现让我通“定义端口例外”项介绍何进行具体配置首先“域配置文件”设置区域双击“Windows防火墙:定义端口例外”项弹属性窗口单击“已启用→显示”并进行“添加”接着使用“port:transport:scope:status:name”格式输入要阻止或启用端口信息(“80:TCP:*:enabled:Webtest”) 提示:port指端口号码;transport指TCP或UDP;scope“*”表示用于所系统或允许访问端口计算机列表;status已启用或已禁用;name用作条目标签文本字符串 完述设置保存策略“firewall”文件现进行非重要步操作“命令提示符”窗口运行“Gpupdate /force”命令强制组策略设置应用域网络已经登录计算机 验证部署效 完组策略刷新先看看本机Windows防火墙否响应策略由于前面已经定义“允许本程序例外”项状态“已禁用”根据定义Windows防火墙“例外”设置部应变灰色现让我打本机Windows防火墙看禁用部已经呈灰色说明本机已响应组策略设置 接着再看看DC否响应组策略DC服务器“运行”栏输入“dsa”(请根据实际情况选择)属性窗口“组策略”选项卡部看保存 firewall已经自现列表没现手工添加(图2) 图2 步看整设置功域任何台使用Windows XP SP2计算机要登录域该计算机自载Windows防火墙设置并始应用至整机房Windows 防火墙配置操作功完 利用组策略集部署SP2防火墙操作并复杂效却劳永逸家发现组策略于集管理网络安全说实助手。
5.怎么用组策略关闭防火墙
1、首先,在电脑桌面点击左下角的开始图标,在开始菜单中找到运行程序,并打开。
2、然后,在运行的对话窗口输入组策略命令“gpedit.msc”,再点击确定按钮。
3、接着,进入组策略在计算机配置下面的管理模板——Windows组件,就可以看到关闭Windows Defender这一选项了。双击关闭Windows Defender。
4、之后,在关闭Windows Defender界面, 点选已启用,再点击底部的确定按钮。
5、最后,在控制面板中再运行一下Windows Defender即可。
6.win10怎样关闭防火墙,win10怎样启用防火墙
Win10防火墙怎么关闭?Win10关闭防火墙设置方法
步骤1、在Win10桌面这台电脑图标上右键,然后选择“属性”,
步骤2、进入这台电脑属性之后,再点击左上角的“控制面板主页”,
步骤3、进入Win10控制面板后,依次进入【系统和安全】-【Windows防火墙】,然后再点击左侧的【启用或关闭Windows防火墙】,
步骤4、最后将防火墙设置中的“专用网络设置”和“公用网络设置”中的选项设置为“关闭Windows防火墙(不推荐)”完成后,点击底部的“确定”保存即可。
通过以上几步设置,就可以成功关闭Win10自带的防火墙了。
7.如何正确设置win10中的防火墙
一、防火墙配置出错 开始-->运行-->gpedit.msc 这时 打开了组策略 在左面 分级展开 计算机配置-->管理模板-->网络-->网络连接-->Windows 防火墙 然后在这下面 就是组策略强制限制的一些选项 找到你所需要的配置 定义成启用 再设置回"未配置" 就可以了 (有些软件 更改的注册表,有时 在组策略里显示不出来,可能更改以后 组策略里仍然是未配置的,所以要配置一下,再配置回来)二、安全中心被关闭 防火墙启用的选项变成灰色,无法启用,并用提示“由于安全考虑,某些设置由组策略控制” 运行services.msc打开“服务” 将Security Center设为自动,并且启用。
将Windows Firewall/Internet Connection Sharing(ICS)设为自动并且启用。 将Application Layer Gateway Service 设为自动并且启用。
如果仍然不能启用防火墙,执行以下步骤: 运行regedit.exe打开注册表,删除下面两项: HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ WindowsFirewall HKEY_CURRENT_USER \ SOFTWARE \ Policies \ Microsoft \ WindowsFirewall (至少能找到一项) 在服务中重启Windows Firewall/Internet Connection Sharing(ICS) 如果继续提示“由于安全考虑,某些设置由组策略控制”,不会影响使用。三、系统文件丢失 由于SharedAccess.reg文件丢失或损坏,SharedAccess.reg文件代表了Windows防火墙服务。
注意:Windows防火墙服务在Windows XP sp2替换在早期版本的WindowsXP中Internet连接防火墙(ICF)服务。要解决此问题,使用下列方法之一。
[方法1]:调用“安装 API InstallHinfSection”函数以安装Windows防火墙 要安装Windows防火墙, 请按照下列步骤: 1.单击 开始 , 单击 运行 , 类型 cmd然后单击 确定 。 2.在命令提示符下,键入以下命令行,回车: Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf 3.重新启动计算机 4.单击 开始-运行(快捷键 Windows + R),输入cmd,确定。
5.在命令提示符,键入以下命令:Netsh firewall reset,回车。 6.单击 开始-运行,输入firewall.cpl,回车。
7.在Windows防火墙对话框中单击 On(推荐),确定。 [方法2]:Windows防火墙项添加到注册表 警告:如果正确修改注册表通过注册表编辑器或通过其他方法可能发生Serious问题。
这些问题可能需要重新安装操作系统。Microsoft不能保证能够解决这些问题。
修改注册表需要您自担风险。 要将Windows防火墙项添加到注册表, 请按照下列步骤操作: 1.将以下文本复制到记事本,然后保存文件为 Sharedaccess.reg: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00,00 "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network." "DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:00002cd0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standar。
8.windows10 defender组策略怎么打开
windows10 defender组策略怎么打开
win10系统遇到提示Windows Defender已经关闭的解决方法:
1 在“开始菜单”的搜索栏中输入“Windows Defender”进行搜索;
2 进入组策略在计算机配置下面的管理模板;
3 找到“Windows Defender”双击打开;
4 选择”启用“即可。
注意:如果安装了其他杀毒软件且能够保持该软件正常运行,那么不建议开启Windows Defender(可能会发生冲突)。
转载请注明出处windows之家 » win10如何用组策略控制防火墙