グループポリシーオタクGPOを使用してWindowsファイアウォールを制御する方法

Windowsファイアウォールは、システム管理者にとって最大の悪夢の1つです。グループポリシーの優先順位が追加されると、それは単なる頭痛の種になります。ここでは、グループポリシーを使用してWindowsファイアウォールを簡単に設定する方法と、最大の問題の1つを解決する方法を紹介します。.

我々の使命

多くのユーザーが自分のマシンにSkypeをインストールしているため、生産性が低下していることがわかりました。ユーザーがSkypeを職場で使用できないようにするためのタスクが与えられていますが、ラップトップにインストールしたままSkypeを自宅で使用したり、3G / 4G接続での休憩時間に使用したりできます。この情報を考慮して、Windowsファイアウォールとグループポリシーを利用することにします。.

メソッド

グループポリシーを使用してWindowsファイアウォールを制御する最も簡単な方法は、参照PCを設定し、Windows 7を使用してルールを作成することです。次に、そのポリシーをエクスポートしてグループポリシーにインポートできます。こうすることで、すべてのクライアントマシンに展開する前に、すべてのルールが設定されているとおりに機能しているかどうかを確認できるという利点があります。.

ファイアウォールテンプレートを作成する

Windowsファイアウォール用のテンプレートを作成するには、ネットワークと共有センターを起動する必要があります。これを行う最も簡単な方法は、ネットワークアイコンを右クリックしてコンテキストメニューから[ネットワークと共有センターを開く]を選択することです。.

ネットワークと共有センターが開いたら、左下隅にあるWindowsファイアウォールのリンクをクリックします。.

Windowsファイアウォール用のテンプレートを作成する場合は、セキュリティが強化されたWindowsファイアウォールコンソールを使用して、左側の[詳細設定]をクリックして起動することをお勧めします。.

注：この時点で私はSkype固有のルールを編集しますが、あなたはあなた自身のポート用のルールやアプリケーションさえも追加することができます。あなたがファイアウォールにする必要があるどんな修正でも今行われるべきです.

ここから、私たちのファイアウォールルールの編集を始めることができます。私たちの場合は、Skypeアプリケーションがインストールされると、skype.exeがドメイン、プライベートおよびパブリックネットワークプロファイルで通信できるように独自のファイアウォール例外を作成します。.

それでは、ルールをダブルクリックして編集するために、ファイアウォールルールを編集する必要があります。これにより、Skypeルールのプロパティが表示されます。.

[詳細設定]タブに切り替えて、[ドメイン]チェックボックスをオフにします。.

今すぐSkypeを起動しようとすると、それがドメインネットワークプロファイルで通信できるかどうかを尋ねるプロンプトが表示され、チェックボックスをオフにして[アクセスを許可]をクリックします.

インバウンドファイアウォールのルールに戻ると、2つの新しいルールがあることがわかります。これは、プロンプトが表示されたときにインバウンドSkypeトラフィックを許可しないことを選択したためです。プロファイル列を見渡すと、それらは両方ともドメインネットワークプロファイルのものであることがわかります。.

注：2つの規則があるのは、TCPとUDPに別々の規則があるためです。

これまでのところすべてうまくいっていますが、Skypeを起動してもまだログインできます。.

skype.exeのインバウンドトラフィックをブロックするようにルールを変更し、ANYプロトコルを使用してトラフィックをブロックするように設定しても、やはり戻ることができます。最初の場所で通信できないようにします。これを行うには、送信ルールに切り替えて新しいルールの作成を開始します。.

Skypeプログラム用のルールを作成したいので、次にnextをクリックし、次にSkype実行ファイルを参照してnextをクリックします。.

デフォルトのままにしておくと、接続をブロックして[次へ]をクリックすることができます。.

[Private]チェックボックスと[Public]チェックボックスをオフにし、[次へ]をクリックして続行します.

今すぐあなたのルールに名前を付けて、Finishをクリックします。

ドメインネットワークに接続しているときにSkypeを起動して起動しても、うまくいきません。

ただし、家に着いたときに接続しようとすると、問題なく接続できます。

これが、これから作成する予定のすべてのファイアウォールルールです。Skypeの場合と同じように、自分のルールをテストすることを忘れないでください。.

ポリシーのエクスポート

ポリシーをエクスポートするには、左側のウィンドウで、セキュリティが強化されたWindowsファイアウォールと表示されているツリーのルートをクリックします。それからActionをクリックし、メニューからExport Policyを選択します。.

サーバーに物理的にアクセスできる場合は、ネットワーク共有に保存するか、USBに保存する必要があります。私たちはネットワーク共有で行きます.

注：USBを使用するときはウイルスに注意してください。最後にやりたいのはサーバーをウイルスに感染させることです。

グループポリシーへのポリシーのインポート

ファイアウォールポリシーをインポートするには、既存のGPOを開くか、または新しいGPOを作成してコンピュータアカウントを含むOUにリンクする必要があります。 Geek ComputersというOUにリンクされているFirewall PolicyというGPOがあり、このOUにはすべてのコンピューターが含まれています。先に進み、このポリシーを使用します.

今すぐナビゲート：

[コンピュータの構成\ポリシー\ Windowsの設定\セキュリティの設定\セキュリティが強化されたWindowsファイアウォール]を開きます。

セキュリティが強化されたWindowsファイアウォールをクリックしてから、アクションとポリシーのインポートをクリックします。

ポリシーをインポートすると既存の設定がすべて上書きされるので、[はい]をクリックして続行し、この記事の前のセクションでエクスポートしたポリシーを参照するように指示されます。ポリシーのインポートが完了すると通知されます.

あなたが行って私たちのルールを見れば、あなたは私が作成したSkypeルールがまだそこにあることが分かるでしょう。.

テスト

注：記事の次のセクションを完了するまでは、テストを行わないでください。設定した場合、ローカルに設定されているルールはすべて守られます。私が今テストをした唯一の理由はいくつかのことを指摘することでした.

ファイアウォールルールがクライアントに展開されているかどうかを確認するには、クライアントマシンに切り替えてWindowsファイアウォール設定をもう一度開く必要があります。ご覧のとおり、ファイアウォールの規則のいくつかはシステム管理者によって管理されているというメッセージが表示されるはずです。.

左側の[Windowsファイアウォールによるプログラムまたは機能の許可]リンクをクリックします。.

ご覧のとおり、グループポリシーとローカルで作成された規則の両方によって適用される規則があります。.

ここで何が起こっているのか、そしてどうすればそれを修正できますか?

既定では、Windows 7コンピューター上のローカルファイアウォールポリシーと、それらのコンピューターを対象とするグループポリシーで指定されたファイアウォールポリシーとの間で、ルールのマージが有効になっています。つまり、ローカル管理者は独自のファイアウォールルールを作成でき、これらのルールはグループポリシーを通じて取得したルールとマージされます。この問題を解決するには、セキュリティが強化されたWindowsファイアウォールを右クリックして、コンテキストメニューからプロパティを選択します。ダイアログボックスが開いたら、設定セクションの下のカスタマイズボタンをクリックしてください。.

[ローカルファイアウォールの規則を適用する]オプションを[未構成]から[いいえ]に変更します。.

[OK]をクリックしたら、[Private]と[Public]のプロファイルに切り替えて、両方のプロファイルで同じことをします。.

これですべてです、ファイアウォールをお楽しみください。.