在管理規模較大的網路環境時,網路安全往往是花費精力最多的一環。就拿配置Windows XP SP2的防火牆來說,如果讓網管為網內電腦逐一進行配置的話,工作量會非常大,而且在細節配置上也容易出錯。那麼,如何才能提高規模化環境內的防火牆配置效率呢?
Windows防火牆是Windows XP SP2中一個極為重要的安全設計,它可以有效地協助我們完成電腦的安全管理。今天,筆者將為大家介紹如何使用組策略(Group Policy)在機房中集中式部署Windows防火牆,提高為網內電腦配置防火牆的效率。
為什麼要集中式部署
首先,我們要瞭解組策略對Windows防火牆的作用是什麼。組策略可以決定本地管理員層級的使用者是否可以對Windows防火牆進行各種設定,可以決定Windows防火牆的哪些功能被“禁用”或“允許”……
顯然,上述幾個功能正好能夠配合域功能進行機房的安全管理,這就為組策略能夠批量化部署機房的Windows防火牆打下了基礎。此時,所有客戶機的 Windows防火牆的應用許可權將統一歸網域系統管理員管理,本地管理員對Windows防火牆的任何設定要在網域系統管理員的“批准”下方可進行。此外,網域系統管理員還可使用組策略來完成所有客戶機的Windows防火牆配置,而不必逐台進行了。
用組策略部署防火牆
在明白了集中式部署的好處後,現在讓我們一步步實現。請大家先瞭解一下本文的測試環境“Windows Server 2003網域服務器+Windows XP SP2客戶機”。本文將介紹如何在Windows Server 2003網域服務器管理的機房中的客戶機(Windows XP SP2)上,對所有安裝了Windows XP SP2的客戶機進行Windows防火牆的集中式部署。
提示:為什麼不是在網域服務器中進行組策略的建立與配置,而是在客戶機上運行?其實這很容易理解,Windows Server 2003作業系統(中文版)中還沒有Windows防火牆,所以無法進行配置。但是,這一點將會隨著Windows Server 2003 SP1中文正式版的推出而得到徹底解決。
OK!現在讓我們開始實際操作。首先,在Windows XP SP2客戶機的“運行”欄中輸入“MMC”命令並斷行符號,在開啟的“控制台”視窗中,依次單擊“檔案→添加/刪除嵌入式管理單元”,添加“群組原則物件編輯器”。
在彈出的“歡迎使用組策略嚮導”介面中,點擊“瀏覽”按鈕並在“瀏覽組策略對象”視窗中的空白處單擊滑鼠右鍵,在彈出的菜單中選擇“建立”,並命名為“firewall”即可返回控制台視窗。
提示:客戶機的當前登入賬戶必須具有管理員權限,方可建立GPO(組策略對象)。因此,臨時解決這個問題的方法就是在DC中將客戶機的賬戶添加到Administrators組,接著客戶機臨時使用管理員賬戶登入系統並進行GPO配置即可
返回控制台視窗後,在“firewall”策略集中可以看到“網域設定檔案”和“標準設定檔”兩個策略子集(圖1)。其中,網域設定檔案主要在包含域DC的網路中應用,也就是主機串連到商業網路時使用;標準設定檔則是用於在非網域網路中應用。
圖1
顯然,我們需要在網域設定檔案中進行策略的設定。下面簡單地說說如何對其中的子策略進行安全配置:
保護所有網路連接:已啟用;這樣才能強制要求客戶機啟用Windows防火牆,不受客戶機本地策略的影響。
不允許例外:未配置;這個可以讓客戶機自行安排。
定義程式例外:已啟用;即按照程式檔案名稱定義例外通訊,這樣可以集中配置機房中允許啟動並執行網路程式等。
允許本地程式例外:已禁用;如果禁用則Windows防火牆的“例外”設定部分將呈灰色。
允許遠端管理例外:已禁用;如果不允許客戶機進行遠端管理,那麼請禁用。
允許檔案和印表機共用例外:已禁用;如果某些客戶機有共用資源需要應用,那麼應該啟用。
允許ICMP例外:已禁用;如果希望使用Ping命令,則必須啟用。
允許遠端桌面例外:已禁用;即關閉客戶機可以接受基於遠端桌面的串連請求功能。
允許UPnP架構例外:已禁用;即禁止客戶機接收垃圾的UPnP方面的訊息。
阻止通知:已禁用。
允許記錄日誌:未配置;允許記錄通訊並配置記錄檔設定。
阻止對多播或廣播請求的單播響應:已啟用;即放棄因多播或廣播請求訊息而收到的單播資料包。
定義連接埠例外:已啟用;按照TCP和UDP連接埠指定例外通訊。
允許本地連接埠例外:已禁用;即禁止客戶機管理員進行連接埠的“例外”配置。
現在,讓我們通過“定義連接埠例外”項來介紹一下如何進行具體配置。首先,在“網域設定檔案”設定地區中,雙擊“Windows防火牆:定義連接埠例外”項,在彈出的屬性視窗中單擊“已啟用→顯示”,並進行“添加”。接著,使用“port:transport:scope:status:name”的格式輸入要阻止或啟用的連接埠資訊(如“80:TCP:*:enabled:Webtest”)。
提示:port是指連接埠號碼碼;transport是指TCP或UDP;scope中的“*”表示用於所有系統或允許訪問連接埠的電腦列表;status是已啟用或已禁用;name是用作此條目標籤的文本字串。
完成上述設定後,儲存策略為“firewall”檔案。現在,就得進行非常重要的一步操作,在“命令提示字元”視窗中運行“Gpupdate /force”命令強制組原則設定應用到網域網路中已經登入的電腦
驗證部署效果
完成組策略的重新整理後,先來看看本機中的Windows防火牆是否響應了策略。由於前面已經定義了“允許本地程式例外”項的狀態為“已禁用”,根據這個定義,Windows防火牆的“例外”設定部分應變為灰色。現在,讓我們開啟本機中的Windows防火牆,可以看到被禁用的部分已經呈灰色,這說明本機已回應群組原則設定了。
接著,再來看看DC是否響應了組策略。在DC伺服器的“運行”欄中輸入“dsa.msc”命令並斷行符號,彈出“Active Directory”視窗後,請進入“shyzhong.com”(請根據實際情況選擇)的屬性視窗。在“組策略”選項卡部分可以看到儲存的 firewall已經自動出現在列表中了。如果沒有出現可以手工添加(圖2)。
圖2
到了這一步,可以看出整個設定是成功的。而此後,域中任何一台使用Windows XP SP2的電腦只要登入到域,那麼該電腦就會自動下載Windows防火牆的設定並開始應用。至此,整個機房的Windows 防火牆配置操作就成功完成了。
利用組策略集中式部署SP2防火牆的操作並不複雜,但是它的效果卻是一勞永逸的。大家會發現組策略對於集中管理網路安全來說實在是一個不可多得的好助手