グループポリシーのオタク:gpoを使ってWindowsファイアウォールを制御する方法

Windowsファイアウォールは、グループポリシーの優先順位を追加するだけで、システム管理者にとって最大の悪夢の1つになります。グループポリシーでWindowsファイアウォールを簡単に構成する方法を最初から最後まで説明し、最大の問題点を修正する方法を説明します。

多くのユーザーが自分のマシンにSkypeをインストールしているため、生産性が低下しています。私たちは、ユーザーがSkypeを職場で使用できないようにする作業を行ってきましたが、家庭や3G / 4G接続の昼休み中にラップトップにインストールして使用することを歓迎します。この情報があれば、Windowsファイアウォールとグループポリシーを使用することにしました。

グループポリシーを使用してWindowsファイアウォールを制御する最も簡単な方法は、参照PCをセットアップし、Windows 7を使用してルールを作成することです。そのポリシーをエクスポートしてグループポリシーにインポートすることができます。こうすることで、すべてのルールが設定されているかどうか、またすべてのルールをすべてのクライアントマシンに展開する前に、そのルールが正しく機能しているかどうかを確認できるという利点があります。

ネットワークと共有センターを起動する必要があるWindowsファイアウォールのテンプレートを作成するには、ネットワークアイコンを右クリックし、コンテキストメニューから[ネットワークと共有センターを開く]を選択するのが最も簡単な方法です。

ネットワークと共有センターが開いたら、左下にあるWindowsファイアウォールのリンクをクリックします。

Windowsファイアウォール用のテンプレートを作成するときは、[セキュリティが強化されたWindowsファイアウォール]コンソールを使用して、この左側の[詳細設定]をクリックすることをお勧めします。

注:この時点では、Skype固有のルールを編集しますが、ポートやアプリケーションの独自のルールを追加することもできます。ファイアウォールを変更する必要がある場合は、今すぐ行う必要があります。

ここから、ファイアウォールルールの編集を開始できます。Skypeアプリケーションをインストールすると、独自のファイアウォール例外が作成され、skype.exeがドメイン、プライベート、パブリックのネットワークプロファイル上で通信できるようになります。

今度は、ルールをダブルクリックして編集するために、ファイアウォールルールを編集する必要があります。これにより、Skypeルールのプロパティが表示されます。

[詳細設定]タブに切り替え、[ドメイン]チェックボックスをオフにします。

今すぐSkypeを起動しようとすると、ドメインネットワークプロファイルで通信できるかどうかを尋ねるメッセージが表示されますので、チェックボックスをオフにしてアクセスを許可するをクリックします。

今すぐインバウンドファイアウォールルールに戻ると、2つの新しいルールがあることがわかります。これは、プロンプトが表示されたときにインバウンドSkypeトラフィックを許可しないことを選択したためです。プロファイルの列に目を通すと、両方がドメインネットワークプロファイル用であることがわかります。

注:2つのルールがある理由は、TCPとUDPのための別個のルールがあるためです

Skypeを起動してもログインできるようになります。

skype.exeのインバウンドトラフィックをブロックするようにルールを変更し、ANYプロトコルを使用してトラフィックをブロックするように設定しても、何らかの方法で戻ってくることができます。修正は簡単です。最初に通信できないようにしてください。これをOutbound Rulesに切り替えて、新しいルールの作成を開始します。

Skypeプログラムのルールを作成するには、次へをクリックしてからSkype実行可能ファイルを参照して、[次へ]をクリックします。

アクションをデフォルトのままにして、接続をブロックし、次へをクリックすることができます。

[プライベートとパブリック]チェックボックスをオフにして、[次へ]をクリックして続行します。

ルールに名前を付けて、Finishをクリックします

あなたがドメインネットワークに接続している間にSkypeを起動しようとすると、動作しません

しかし、彼らが家に帰るときに彼らが試して接続しようとすると、それは彼らが細かい接続することができます

これは今作成しているファイアウォールのルールのすべてですが、Skypeのようにルールをテストすることを忘れないでください。

ポリシーをエクスポートするには、左側のペインで、[セキュリティが強化されたWindowsファイアウォール]というツリーのルートをクリックします。次に、「アクション」をクリックし、メニューから「ポリシーのエクスポート」を選択します。

サーバーに物理的にアクセスできる場合は、ネットワーク共有、またはUSBに保存する必要があります。私たちはネットワーク共有を利用します。

注:USBを使用するときはウイルスに注意してください。最後に行うことは、サーバーにウイルスを感染させることです

ファイアウォールポリシーをインポートするには、既存のGPOを開くか、新しいGPOを作成し、コンピュータアカウントを含むOUにリンクする必要があります。 Geek ComputersというOUにリンクされたファイアウォールポリシーというGPOがあります。このOUにはすべてのコンピュータが含まれています。私たちはこのポリシーを使用します。

今すぐナビゲートする

コンピュータの構成\ポリシー\ Windowsの設定\セキュリティの設定\セキュリティを強化したWindowsファイアウォールを開く

[セキュリティが強化されたWindowsファイアウォール]をクリックし、[アクションとインポートポリシー]をクリックします。

ポリシーをインポートすると既存の設定がすべて上書きされますので、「はい」をクリックして続行し、この記事の前のセクションでエクスポートしたポリシーを参照してください。ポリシーのインポートが完了すると、通知されます。

私たちのルールを見てみると、私が作成したSkypeルールはまだそこにあることがわかります。

注:記事の次のセクションを完了する前に、テストを行うべきではありません。これを行うと、ローカルで設定されたルールが適用されます。私が今いくつかのテストをした唯一の理由は、いくつかのことを指摘することでした。

ファイアウォールルールがクライアントに展開されているかどうかを確認するには、クライアントマシンに切り替えてWindowsファイアウォールの設定を再度開く必要があります。ご覧のように、ファイアウォールルールの一部はシステム管理者によって管理されているというメッセージが表示されます。

左側の[Windowsファイアウォール経由でプログラムまたは機能を許可する]リンクをクリックします。

今見ておくと、グループポリシーとローカルで作成されたルールの両方が適用されます。

既定では、ルールマージは、Windows 7コンピュータのローカルファイアウォールポリシーと、それらのコンピュータを対象とするグループポリシーで指定されたファイアウォールポリシー間で有効になっています。つまり、ローカル管理者は独自のファイアウォールルールを作成でき、これらのルールはグループポリシーで取得したルールとマージされます。これを修正するには、セキュリティが強化されたWindowsファイアウォールを右クリックし、コンテキストメニューからプロパティを選択します。ダイアログボックスが表示されたら、設定セクションの「カスタマイズ」ボタンをクリックします。

[ローカルファイアウォールルールを適用する]オプションを[未構成]から[いいえ]に変更します。

[OK]をクリックしたら、プライベートプロフィールとパブリックプロフィールに切り替えて、両方で同じことをします。

それは皆、ファイアウォールの楽しみを持って行ってみましょう。

うーん…ファイアウォールには、ある日の特定の時間にブロックして他の人に許可する機能がないのは悲しいことです。

私はWindows 7のファイアウォールを調整しようとした時代のカウントを失ってしまった、私がファイアウォールを完全に消してしまうと、Windowsのファイアウォールには多くの問題がある。

これと同様の方法でウェブサイトをブロックする方法はありますか?

継続的に上にある米国大陸最南端は、フロリダ州のバラストキーです。