使用域組策略及腳本統(tǒng)一配置防火墻

1、使用域組策略/腳本統(tǒng)一配置防火墻目前企業(yè)內(nèi)網(wǎng)多為域環(huán)境，部分企業(yè)應(yīng)用例如入侵檢測(cè)等需要客戶端統(tǒng)一開放某一端口比如Ping，如果企業(yè)環(huán)境較大，客戶端數(shù)千個(gè)逐個(gè)設(shè)置將是浪費(fèi)工作效率且不靈活的方案；所以可以通過使用域策略來統(tǒng)一設(shè)置；統(tǒng)一配置可以通過域策略中自帶的防火墻模板來設(shè)置，也可以通過使用bat腳本來配置，下面即分別演示配置方法；1域組策略統(tǒng)一配置防火墻使用域管理員登錄域控制器，打開管理工具 組策略管理”；在目標(biāo)組織單位右擊，新建 GPO；阻止鰻童/ 一 J I U 卜 |-7 一 輛違擔(dān)級(jí)單心0An）j=i±1 猱.btntl內(nèi)吝|«弗 t *拈詢追D«fauil

2、t 0oA4iinDon a m Canirol、林；btnvli. cm玄這亍氓中站逹GTO弁在掘迪展棉門選擇 Win dows Firewall/I nternet Conn ection Shari ng(ICS)倆項(xiàng)服務(wù)，并禁用該倆項(xiàng)服務(wù);選擇 Win dows Firewall/I nternet Conn ection Shari ng(ICS)倆項(xiàng)服務(wù)，并禁用該倆項(xiàng)服務(wù);1.1禁用客戶端防火墻1.1.1域策略配置右擊冃標(biāo)0U的GPO,選擇編輯 GPO,選擇 計(jì)算機(jī)配置 策略Windows設(shè)置安全設(shè)置 系統(tǒng)服務(wù)選擇 Win dows Firewall/I nternet Conn

3、ection Shari ng(ICS)倆項(xiàng)服務(wù)，并禁用該倆項(xiàng)服務(wù);選擇 Win dows Firewall/I nternet Conn ection Shari ng(ICS)倆項(xiàng)服務(wù)，并禁用該倆項(xiàng)服務(wù); y 1_步廂I冀區(qū)I國 云組議&崔理 一込林 CQB-音學(xué)-btnot ew斗 * Dentils CmtTol 匚二 ittlQH.：FErHtll5«l* 訐策歸對(duì)累亠rMr祎迭器4 j St wt «r CTOfrj姑塩f.過帝昭逢用丈件0） 掃作血 M（V）獲朋（H】中 I ?FtF| I B Sjfr冒林I融，h Act IV* Birwtwy De

4、nt 設(shè)*(崔文 OAellv* BiFMtftry tab SftfeiC '卻pHicaUcft Ixp*ri«me :殳祠SX+閱匸輯再華霜Appla eiLmBiti Appla cHiQn iRfrviliQEt *i( Jppla C4.t i «EH L«y«r 睜l 匚| 1 Apfla C4t.ii甘n林 Sackpound Isiltlli<,*n ,l3«44 FiL'IFIZlC Eh£lFk«事件曰壬g; jC-w tifieit*! Fr«pftf4.lii

5、7;Ei 枷鋼互島呷込c 1 rTW+ Fiv*iTi 4 vk i a沒育定義設(shè)檢文 i 謖鮭文 W盪n定義:? wornA*rs=/選擇 Win dows Firewall/I nternet Conn ection Shari ng(ICS)倆項(xiàng)服務(wù)，并禁用該倆項(xiàng)服務(wù);4II世i亟浚有圭文VH d “Interactive Serin ces Detection卷瀘nJw 名htJgr Cy gfebCl 140.1* 旦 ” 占心弋邑 占呻川I .U#,.手動(dòng)ft.己啟辻自動(dòng)Vl r idAVS1防火塔findrv firawtll 民牲j If indo* e Evwit L4g廈育

6、走義復(fù)有走文沒有定義15讓£型1沒能丈結(jié)果如下;1.1.2查看客戶端結(jié)果重啟XP客戶端查看結(jié)果$屋曲1/關(guān)機(jī). 賓全設(shè)比I呂饒戶楊翳：；本地輪圖I 事件曰志 期噺的細(xì) q卒魏朧齊I匂文件勲吏 iL榭砌m |二鞍安全伽I銳無紅雋m 處檢歸圖a躲件觀倒釉I應(yīng)罔程帛I殊 |囲ir戲全棒矚I J nsJ 4 于需堀咕咲 躍卩極從皇地計(jì)重啟Win7客戶端查看結(jié)果由于槪副ft務(wù)沒有運(yùn)笛i Tindni防火擂謖置無運(yùn)鼻喬盪地目勁ntioTTS FhrmftH/1ht«rn*t GwMw Shtfinc dCS）銀尋岡Ttfi ti-cLc-vs- Au.dJ.i c>-WindME

7、 Auii q In-findlaws EtriSpc:° J li ndsws Col of Sy .IindrMrs Dr iTtr F .Wi xidws Errr JU Yxjids £vtnt Co Wi iido-ws EguhIl La l|j|-firidws Firt«fell ； . fifid0*> Fehi Ctc* 詢刪 Im tall*-Iind&wi Mcdulti .Fr«senla Rea He M Tittf 1%業(yè)“ W«b Prex:/SindcwT VindovvYWi 詔 "E

8、.,皿UC,c：ffll r»fonm豐地茶垸 聿地嚴(yán)務(wù) 曲its tr葆;琨I?畔憐宿迥書 gfflhliSBV髙燒常丘赫 BUJW盍全蒂SSi殳醫(yī)ITmdMrs Ftrwtll逢裸應(yīng)勢(shì)啟迦E我r言動(dòng)叫 r手越叫CjJUctlQP Lring （J.CS）,已禁用一"屯礙二二廠一 £一莒|匚.賄釵浚有定義»4七購真K豐豐癘攜樹】說!榮雀射#If ml *r it用播:s訝最|新忖!目j!附='dHuo b1f !直 51c td CQflllii “航創(chuàng)氐網(wǎng)敢于陸止屢蓄載土覽窮坤電過hwm 罰需臼嚴(yán)曲昭K#bW i ndow s Event L

9、o百此已啟動(dòng)自動(dòng)«!Windawe Fsnt raflh4 乞劭呷 1 亡總Fire1啟.”Interactive Services DetectimiIF Heljer手動(dòng)13ZXZL)4飛啟和自動(dòng)丿自功屜111W i ndow s Event Lo百此已啟動(dòng)自動(dòng)W i ndow s Event Lo百此已啟動(dòng)自動(dòng)1.2開放客戶端防火墻端口(注：首先將上面組策略中的系統(tǒng)服務(wù)設(shè)置還原在進(jìn)行下一步的配置)1.2.1域策略配置右擊目標(biāo)GPO選擇編輯，選擇 “計(jì)算機(jī)配置 策略管理模板 網(wǎng)絡(luò)網(wǎng)絡(luò)連接Windows防火墻”，下面的子集即為 客戶端防火墻配置項(xiàng)目，此處主要包含倆個(gè)子集域配置文件”

10、和 標(biāo)準(zhǔn)配置文件”兩個(gè)策略子集，其中，域配置文件主要在包含域 DC的網(wǎng)絡(luò)中應(yīng)用，也就是主機(jī)連接到企業(yè)網(wǎng)絡(luò)時(shí)使用；標(biāo)準(zhǔn)配置文件則是用于在非域網(wǎng)絡(luò)中應(yīng)用；j binti* G b«ntlA3 二 t* - 1k SE.IE件設(shè)畫區(qū)J iri-Jcivs扌刑SMEWFirtNtUSM創(chuàng)-IbSEW-" f*誦送吉r： 35W凈粘占匸咖*aJhk磐X +曲箱攜包計(jì)劃翟庫SWIFSSL* KFir 1SSTiliJflWkiffililS!刪輕更-賽求；I童少 Tin4m If «indSFZ插辻走義Vld4*ti防尖15用獅 桂制汕IB悔儀am打満息 賞巴集實(shí)用工具可氏便

11、用ICUF ri瑯職烷其伸mir紺狀野刪 如F吟慨用回H澹求消夏。倆 不自用光VF入站陰腐護(hù)範(fàn)R - 共塑 期 小皿二肪火嵯特趙止蟲 麗也計(jì)島機(jī)上運(yùn)衍前九鞏岌世的 國!1店疔啟電I旦不w理止曲事許 尊機(jī)上運(yùn)飾Firu復(fù)醫(yī)的出詁回 !W求沁加KM聽耿覆收幕豎ICIF清斗出押1 ntr. SI £? +771 (UII1組策略設(shè)置描述Windows防火墻：保護(hù)所有網(wǎng)絡(luò)連接用于指定所有網(wǎng)絡(luò)連接都已啟用Windows防火墻。Windows防火墻：不允許例外用于指定所有未經(jīng)請(qǐng)求的傳入通信將被丟棄，包括已添加到例外列表的通信。Windows防火墻：定義程序例外用于通過應(yīng)用程序文件名定義已添加到例

12、外列表的通信。Windows防火墻：允許本地程序例外用于啟用程序例外的本地配置。Windows防火墻：允許遠(yuǎn)程管理例外用于啟用遠(yuǎn)程過程調(diào)用(RPC)和分布式組件對(duì)象模型(DCOM)，它們對(duì)于很多使用諸如Microsoft管理控制臺(tái)(MMC)和 Windows Management Instrumentation (WMI)等工具執(zhí)行的遠(yuǎn)程管理任務(wù)是必需的。Windows防火墻：允許文件和打印機(jī)共享例外用于指定是否允許文件和打印機(jī)共享通信。Windows 防火墻：允許ICMP例外用于指定允許哪些類型的非請(qǐng)求In ternet控制消息協(xié)議(ICMP)通信。Windows防火墻：允許遠(yuǎn)程桌面例外用于

13、指定計(jì)算機(jī)是否可接受基于遠(yuǎn)程桌面”的連接請(qǐng)求。Windows防火墻：允許 UPnP框架例外用于指定計(jì)算機(jī)是否可以參與UPnP發(fā)現(xiàn)。Windows防火墻：禁止通知用于在應(yīng)用程序使用新Windows防火墻應(yīng)用程序編程接口(API)請(qǐng)求已添加到例外列表的通信時(shí)禁用通知。Windows防火墻：允許日志記錄用于啟用已丟棄通信、成功連接的記錄，和配置日志文件設(shè)置。Windows防火墻：禁止對(duì)多播或廣播請(qǐng)求的單播響應(yīng)用于丟棄為響應(yīng)多播或廣播請(qǐng)求所發(fā)送的單播數(shù)據(jù)包。Windows防火墻：定義端口例外用于通過TCP和UDP端口指定已添加到例外列表的通信。Windows防火墻：允許本地端口例外用于啟用端口例外的本

14、地配置。還可以配置“Windows防火墻：允許通過驗(yàn)證的IPSec旁路”策略設(shè)置，可以在 組策略編輯器”管理單元中的以下 位置找到該設(shè)置：計(jì)算機(jī)配置管理模板網(wǎng)絡(luò)網(wǎng)絡(luò)連接Windows防火墻該策略設(shè)置允許從使用IPSec進(jìn)行驗(yàn)證的指定系統(tǒng)傳入非請(qǐng)求通信。1.2.2案例：開放客戶端 PING如上定位到 域配置文件"雙擊右側(cè)的“Windows防火墻：允許ICMP例外”呂糾色氣礙坷：幷許記錄日志.» n II litr 才, f Ard II IWindows防墻不允許碉外防吠情：允許入站文件和撲印機(jī)些享例外Windows防火刑祥ICMP例外在彈出的編輯對(duì)話框如下圖勾選已啟用”以及

15、 允許傳入回顯請(qǐng)求”并單擊應(yīng)用 確定”完成編輯;Window 瓷、融 pF <NP f（T凹里匚ir定is=2!淨(jìng)吐*r注間17廠亡甲司a黑啊疽冷d至少 Wiftdtourt )CP Pcfetiofl-Sil SP2dr黑1譚/潼m If JI卞T.k 阿詔g 場(chǎng)蟲比芹眄 Tn*erne+W<I<MP|ftMUnuwS ICMP:H VMW伍呷卯SI立詡事薛贏萍末曲 7t蘆心顯=腐 欷 MBNB - HWTfwiM 追次彈止awwM；上境初 PtfTfl ffiMBMMtTW.nirq誡包=i啦回土 趙曰"ov111.2.3案例：開放固定端口如上定位到 域配置文件

16、"雙擊右側(cè)的“Windows防火墻：定義入站端口例外11Hl Sun IB irn JJal匡忸防戲t評(píng)允許本地端口例外imuQZMiiLornii工.-i-W:! *1 碼陌起連冗/1結(jié)逵程管遽釗外vRf-.ii ih 尸 、防" 二口 =口丄在彈出的設(shè)置窗口，勾選已啟用”單擊下方 顯示"按鈕，在顯示內(nèi)容窗口中輸入“ 139:TCP:*:enabled:testport”填寫完成后單擊 確定應(yīng)用 >確定”退出編輯框（為了方便測(cè)試采用139來測(cè)試，也可以使用其他端口來測(cè)試）；釋意:139 :端口Tcp :端口類型Enabled :開放/拒絕Testport:

17、自定義入站策略名稱上一VTtt町 | I、:|r IEAq 埠LJ9 TO 4b41 #4 l*序揶t王F 奄去甘口冊(cè)卄i二叮瘁.孰49 -Windo甯垂聖戸STE上藝址二.<Port*:*Tr*npQrt>:*$c<POrt>戛牛巨列英二尋<Tr*mport> jl 'TCP*1.2.4查看客戶端結(jié)果入詁損剛重啟XP客戶端查看Ping開放結(jié)果;專搟弼tn血廠gaitCl? w“網(wǎng)-邸<+餐力擋嚇違持氓云辭* E -3" !£>X影瞬熬麟曲兌?AJtai也¥矗斤像爲(wèi)寶G).奩盤白齊畑您町L池-連.田寸吐空餐酗

18、日毛立饑d. con重啟XP客戶端端口開放情況;砒卜第規(guī)程序和服勢(shì)CL):註翩鬲豔鼬鶴歩須輯曜務(wù)翩鑒讎譽(yù)與此宓栩關(guān)血口"要打陽口, I誕鮒名稱名稱町nF框聖回附顯冊(cè)蘭好網(wǎng)路逡彳回遠(yuǎn)程棲助遠(yuǎn)程桌面|罔向BS WF 13T WF 138【亢郭協(xié)呈daguo.范園住意子網(wǎng)予網(wǎng)重啟Win7客戶端查看Ping結(jié)果;人站機(jī)則:m”:J WWJ e堆址糧琵帝ttdcIWI叫-SEkRXdCiPlh)Om *CiciPrt-iit®睡逼 苗由器南星acvz珂砧 SAi g 個(gè) BM 衆(zhòng) amwhH 0觸 -聲丹軸99止：?Mr>2衽花額V natBTf V i&Wv重啟Win

19、7客戶端查看端口開放情況;入詁損剛|雖!入站砌h(1H護(hù)金駅內(nèi) * * iMtft itpafI JC乜2<J罩邸口吐】2*1*«丨映摘I柯1西可阿劇縣5戶I協(xié)欣盹口F*檢號(hào)理址、mvqri入詁損剛?cè)朐b損剛2腳本統(tǒng)一配置防火墻2.1禁用客戶端防火墻Windows 自帶通過腳本禁用(關(guān)閉)防火墻有倆種方式，一種是通過腳本來禁用防火墻服務(wù)來實(shí)現(xiàn)，一種是通過的netsh firewall 命令來實(shí)現(xiàn)；2.1.1.1通過sc.exe禁用防火墻服務(wù)這里簡紹的sc.exe ( ServiceControl )是dos命令，該命令從 WindowsXP開始為DOS自帶，可以實(shí)現(xiàn)對(duì) Windo

20、ws服務(wù)啟動(dòng)、禁用、刪除及服務(wù)類型等操作；sc.exe常用功能簡介修改服務(wù)啟動(dòng)啟動(dòng)類型sc config 服務(wù)名稱 start= dema nd/修改服務(wù)啟動(dòng)類型為手動(dòng)啟動(dòng)sc config 服務(wù)名稱 start= disabled/修改服務(wù)啟動(dòng)類型為禁止sc config 服務(wù)名稱 start= auto/修改服務(wù)啟動(dòng)類型為自動(dòng)啟動(dòng)或停止服務(wù)sc stop/start 服務(wù)名稱(注：如果服務(wù)名稱中有空格需要使用雙引號(hào)包括)Sc.exe禁止防火墻服務(wù)；因?yàn)閟c可以禁止服務(wù)，所以可以通過禁止防火墻服務(wù)來實(shí)現(xiàn)關(guān)閉防火墻；XP 防火墻服務(wù)名稱為“ ShareAccess 顯示名稱為 “ Win do

21、ws Firewall/I nternet Co nn ection Shari ng (ICS)；Win7防火墻服務(wù)有倆個(gè)分別為：服務(wù)名稱“ MpsSvc顯示名稱 “ Windows Firewall、服務(wù)名稱 “ SharedAccess顯示名稱 “ In ternet Co nn ection Shari ng (ICS)可以將命令寫成 bat腳本通過域策略中的腳本策略統(tǒng)一部署，也可以在客戶端單獨(dú)執(zhí)行，腳本內(nèi)容如下：XP關(guān)閉防火墻腳本echo offsc stop ShareAccess: 停止 ShareAccess 服務(wù)sc config ShareAccess start= dis

22、abled: 將 ShareAccess 啟動(dòng)類型設(shè)置為禁止ExitXP 啟動(dòng)防火墻腳本echo offsc config ShareAccess start= auto: 將 ShareAccess 啟動(dòng)類型設(shè)置為自動(dòng)啟動(dòng)sc start ShareAccess: 啟動(dòng) ShareAccess 服務(wù)ExitWin7 關(guān)閉防火墻腳本echo offsc stop MpsSvc: 停止 MpsSvc 服務(wù)sc stop SharedAccess: 停止 SharedAccess 服務(wù)sc config MpsSvc start= disabled: 將 MpsSvc 啟動(dòng)類型設(shè)置為禁止sc config SharedAccess start= disabled: 將 SharedAccess 啟動(dòng)類型設(shè)置為禁止ExitWin7 啟動(dòng)防火墻腳本echo offsc config MpsSvc start= auto: 將 MpsSvc 啟動(dòng)類型設(shè)置為自動(dòng)sc config SharedAccess start= auto: 將 SharedAccess 啟動(dòng)類型設(shè)置