我们有一个域名,这个域名中有一些电脑。 我们将一些诸如密码策略等许多策略应用于这个域,这使我们更容易控制组织中的使用PC。 现在我想知道是否有可能为我们的域中的每个PC的防火墙规定一定的configuration,或者强制域中的每个PC至less阻塞某些特定的端口和IP。 谁能帮我? 可能吗?
这是完全有可能创build一个政策裁决传入连接尝试与GPO。 这里是Microsoft文档页面上如何做到这一点。
转到Computer configuration , Windows Settings , Security settings , Windows Firewall with advanced security 。 Windows Firewall with advanced security权利。
在全局策略中,您可以select将其设置为( on ),禁用( off )或让计算机自行决定应用哪个策略( not configured )。 您更喜欢强制计算机启用它(select防火墙状态)。 然后,入站连接(默认情况下,我设置入站连接到Block )。 您还可以select日志选项和例外,以允许入站连接(如icmp ,这可能有助于debugging目的。
对于特定的端口/ IP地址,右键单击inbound rule , new rule ,selectPort ,然后指定您喜欢的选项。 一旦创build了规则,右键点击它, property和Scope来指定远程/本地IP地址。
编辑:
Computer configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall是传统configuration,只适用于XP或2003 Server。
Computer configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security是针对Windows 7或2008 Server及更高版本的configuration。
请注意,在这些地方禁用防火墙将禁用这两种情况下的防火墙。 看看这里