我正在尝试将一组高级Windows防火墙ACL部署到多个2008 R2服务器。 我想(我必须)确保没有适用本地或旧规则。
因此,我在每个configuration文件(GPO)中将“应用本地防火墙规则”设置为“否”。 这只适用于本地防火墙规则合并(顾名思义)。 由其他GPO设置的不同规则是累加和总结的。 这是有道理的,如果我想一想。
然而,这是一个问题,因为通过试验的东西在我的testing机器上变得凌乱。 因此,我创build了另一个GPO调用脚本,提前删除所有防火墙规则(netsh advfirewall防火墙删除规则名称=所有),这导致了腐败的文件和打印机共享服务。
因此,简单地说: 在采用新的方法之前,什么是最好的/推荐的方法来确保一个清晰的规则基础?
你说过,本地防火墙规则适用于不pipe“不适用本地规则”的gpo设置。 只需确认,本地防火墙规则仍然存在于“\入站规则,\出站规则”集中,但您可以通过查看“\ monitoring \ firewall”节点来查看实际的“有效”策略(local + gpo)。
如果你的OU结构中的gpo的防火墙规则有冲突,那么windows防火墙部分不会帮你。 你可以做更改你的结构,使用每台机器的安全过滤或阻止inheritance。 总体而言,尽pipe您的策略可能会通过在ou结构中添加更高级的通用gpo / fw设置,并直接在服务器上直接添加更具体的gpo / fw设置,从而设置最佳策略。