Я пытался выяснить настройки GPO в течение нескольких дней и не могу понять, как применить какой-то фильтр к брандмауэру Windows, чтобы включить его, когда какой-либо сотрудник не находится в домене (10.0.-.-), что происходит при использовании VPN, работе из дома и т. д.
Я на правильном месте? Я решил, что могу каким-то образом применить фильтр к «Брандмауэру Windows: защитить все сетевые подключения», но я не могу найти правильный способ сделать это.
Отключение Защитить все сетевые подключения из Профиль домена делает именно то, что вы хотите. Также проверьте, что этот параметр для Стандартный профиль включен. Определение сетевого профиля не выполняется по подсети и маске: компьютеры домена будут защищены за пределами корпоративной сети, даже если сеть имеет тот же диапазон IP-адресов. В Осведомленность о сетевом местоположении (NLA) сервис делает это определение. Начиная с Windows 7, процесс был таким:
В DNS-имя для конкретного подключения сравнивается с ключом реестра. (Win XP использовала только это).
HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName
При совпадении NLA пытается связаться с контроллером домена с помощью LDAP. На 1 + 2: Domain Profile
.
Если оба не совпадают, NLA оценит характеристики сети, чтобы знать сеть профили.
Если сеть неизвестна, пользователю будет предложено выбрать между сеть профили:
Однажды сетевой профиль определяется, правильно профиль брандмауэра Public
/ Private
применяется.