Назад | Перейти на главную страницу

Брандмауэр Windows: применение правил локального брандмауэра

У меня есть среда, в которой у нас есть GPO, который мы установили для всех профилей, чтобы иметь настройку: Применить правила локального брандмауэра: Нет

Я подтвердил, что GP успешно применяется с помощью gpresult / rsop.

Иногда MPSSVC добавляет в систему локально правило блокировки, что препятствует работе моего клиентского приложения. У нас также есть явное разрешающее правило для того же процесса, который добавляется GPO. Мы можем вручную удалить правило блокировки, но в конечном итоге оно возвращается.

Как это правило добавляется, несмотря на наличие GPO для правил локального брандмауэра?

Документация говорит, что эти настройки используются, когда пользователь «нажимает Разрешить в уведомлении».

Все работает по назначению, Microsoft никогда не говорила, что правила, созданные «чем-то другим», применяться не будут.

Применить правила локального брандмауэра: Да. Мы рекомендуем вам разрешить пользователям создавать и использовать локальные правила брандмауэра. Если вы установите для этого параметра значение «Нет», то, когда пользователь нажимает «Разрешить» в уведомлении, чтобы разрешить трафик для новой программы, Windows не создает новое правило брандмауэра, и трафик остается заблокированным.

Настройки apply local firewall rules "да" или "нет" ведет себя именно так, как следует из названия. Неважно, как появляется «местное» правило. Если установлено НЕТ, ЛОКАЛЬНОЕ правило НЕ применяется. Более вероятно, что второй объект групповой политики добавляет другое правило, которое затем будет применяться, поскольку оно не является локальным.

Вы можете отслеживать последний набор правил в узле мониторинга / брандмауэра на затронутом клиенте и посмотреть, так ли это.

смотрите также: Разверните расширенные правила брандмауэра через GPO - как избежать слияния?