none
Брандмауэр и GPO. RRS feed

  • Вопрос

  • Добрый день.  Хотелось бы уточнить, есть какая-то возможность настроить Брандмауэр Windows, чтобы через GPO эти настройки распространились на некое количество компьютеров в определенном контейнере? (Запрет определенных входящих и исходящих подключений). Я бы с радостью использовал TMG Server, но клиент не особо хочет тратить денег на лицензию.
    18 февраля 2013 г. 14:34

Ответы

  • Возможность такая есть. Личного опыта не было, но нашел некоторые ссылки по теме.

    Через административный шаблон Network: http://technet.microsoft.com/en-us/library/bb490626.aspx

    Через экспорт заранее подготовленных локальных настроек в GPO: http://www.howtogeek.com/100409/group-policy-geek-how-to-control-the-windows-firewall-with-a-gpo/

    Если у вас сложности с применением политики на определенные компьютеры, то опишите ситуацию подробнее.


    Microsoft Certified Do Nothing Expert

    18 февраля 2013 г. 14:48
  • Да, есть. Управление брандмауэром Windows для Vista и выше находится в разделе политики конфигурации компьютера - в узле Computer Settings\Policies\Security Settings\Windows firewall with advanced security


    Слава России!

    18 февраля 2013 г. 14:49
  • Просто вы не сказали версий ОС клиентских компьютеров, если как правильно заметил M.V.V._ версия выше Vista, то и придумывать ничего не надо. Если знаете как "нацеливать", то ничего нового я вам не расскажу.

    А экспорт я так понимаю просто для удобства... Это можно настроить и напрямую с оснастки GPMC.

    А вообще приложения стоит блокировать другими средствами, как например Applocker(Windows 7) или Software Restriction Policies.
    18 февраля 2013 г. 15:28

Все ответы

  • Возможность такая есть. Личного опыта не было, но нашел некоторые ссылки по теме.

    Через административный шаблон Network: http://technet.microsoft.com/en-us/library/bb490626.aspx

    Через экспорт заранее подготовленных локальных настроек в GPO: http://www.howtogeek.com/100409/group-policy-geek-how-to-control-the-windows-firewall-with-a-gpo/

    Если у вас сложности с применением политики на определенные компьютеры, то опишите ситуацию подробнее.


    Microsoft Certified Do Nothing Expert

    18 февраля 2013 г. 14:48
  • Да, есть. Управление брандмауэром Windows для Vista и выше находится в разделе политики конфигурации компьютера - в узле Computer Settings\Policies\Security Settings\Windows firewall with advanced security


    Слава России!

    18 февраля 2013 г. 14:49
  • Я может чего-то не понял,а почему бы просто не создать "теневую" группу компьютеров и не использовать Security Filtering ?

    18 февраля 2013 г. 15:11
  • расскажите по подробнее о "теневой" группе компьютеров и Securiti Filtering. Задача стоит такая, что надо запретить определенным группам домена пользоваться Skype, ICQ, Mail.ru агент. Как вариант я решил использовать Брандмауэр. Например, настроить на одной из машин Брандмауэр и потом эти настройки через GPO передать на остальные ПК. Как нацеливать на группы и контейнеры я знаю. А вот как прикрутить туда брандмауэр.

    Через экспорт заранее подготовленных локальных настроек в GPO  http://www.howtogeek.com/100409/group-policy-geek-how-to-control-the-windows-firewall-with-a-gpo/

    Это походу то что нужно.

    18 февраля 2013 г. 15:22
  • Просто вы не сказали версий ОС клиентских компьютеров, если как правильно заметил M.V.V._ версия выше Vista, то и придумывать ничего не надо. Если знаете как "нацеливать", то ничего нового я вам не расскажу.

    А экспорт я так понимаю просто для удобства... Это можно настроить и напрямую с оснастки GPMC.

    А вообще приложения стоит блокировать другими средствами, как например Applocker(Windows 7) или Software Restriction Policies.
    18 февраля 2013 г. 15:28
  • ДА про версии я забыл ))) Домен Windows 2008 R2. Клиентские Windows 7 Pro и Ultimate. Да спасибо,  нашел я этот пункт. Я почему-то просмотрел, в следующий раз надо быть внимательнее. Спасибо.
    18 февраля 2013 г. 15:39
  • ДА про версии я забыл ))) Домен Windows 2008 R2. Клиентские Windows 7 Pro и Ultimate. Да спасибо,  нашел я этот пункт. Я почему-то просмотрел, в следующий раз надо быть внимательнее. Спасибо.

    Тогда лучше используйте Applocker. Хотя дело ваше =)
    18 февраля 2013 г. 15:41
  • Спасибо большое))))Вариант с Applocker мне больше нравится, чем с брандмауэром. Кстати есть еще вопрос. Как-то можно запретить через GPO открывать сайты например vk.com и т.д. Через hosts это нудно и не интересно, прокси ставить никто не хочет:(
    18 февраля 2013 г. 15:54
  • для этих целей как раз и придуманы продукты наподобие tmg, а если хотят сэкономить копейки то пусть обходятся методами "нудно и неинтересно" - производители ПО тоже не просто так деньги хотят )

    18 февраля 2013 г. 16:01
    Модератор
  • Верно. Прокси жизненно необходим для контроля траффика организации и запрета нехороших сайтов. Не хотите покупать TMG- смотрите в сторону бесплатных решений.
    18 февраля 2013 г. 16:17
    Отвечающий