Я пытаюсь развернуть набор расширенных ACL брандмауэра Windows на нескольких серверах 2008 R2. Я хотел бы (я должен) убедиться, что никакие местные или старые правила не применяются.
Поэтому я установил для параметра «Применить локальные правила брандмауэра» значение «Нет» в каждом профиле (GPO). Это относится только к объединению правил локального брандмауэра (как следует из названия). Различные правила, которые устанавливаются другими объектами групповой политики, складываются и суммируются. Если подумать, это имеет смысл.
Однако это проблема, так как из-за экспериментов на моих тестовых машинах возникла путаница. Поэтому я создал еще один объект групповой политики, вызывающий сценарий, который заранее удаляет все правила брандмауэра (netsh advfirewall firewall delete rule name = all), что приводит к повреждению службы общего доступа к файлам и принтерам.
Короче: Каков наилучший / рекомендуемый способ обеспечить чистую базу правил перед применением новых?
Вы сказали, что правила локального брандмауэра применяются независимо от параметра gpo «не применять локальные правила». Просто для подтверждения, локальное правило брандмауэра будет по-прежнему присутствовать в наборах «\ inbound rules, \ outbound rules», однако вы можете увидеть фактические «эффективные» политики (local + gpo), просмотрев узел «\ monitoring \ firewall».
Если у вас есть конфликтующие правила брандмауэра между gpo в вашей структуре OU, то часть брандмауэра Windows мало что поможет вам. Вы можете изменить свою структуру, использовать фильтрацию безопасности для каждой машины или наследование блоков. В целом, хотя ваши политики, вероятно, будут лучше всего настраиваться путем добавления более общих настроек gpo / fw выше в структуре ou и более конкретных настроек gpo / fw непосредственно на серверах ou.