Я хочу, чтобы удаленный рабочий стол на всех компьютерах домена был доступен только с одного IP-адреса. Однако существует локальное правило разрешения входящего трафика для удаленного рабочего стола по умолчанию на всех компьютерах, которые Windows устанавливает сама по себе, и оно разрешает все IP-адреса.
Есть ли способ удалить или отключить это правило локального брандмауэра с помощью групповой политики?
Я не думаю, что это было бы практично, потому что можно создать собственное правило, и вы не сможете охватить все эти правила. Можно использовать групповую политику, чтобы не применять локальные правила, но это может что-то сломать.
Альтернативой было бы создание двух запрещающих правил. Первое правило запрещает диапазон удаленных IP-адресов 0.0.0.0-. Второе правило запрещает диапазон удаленных IP-адресов. Например, чтобы разрешить IP-адрес 10.1.2.3:
TCP / 3389 Deny rule 1: запретить диапазон удаленных адресов: 0.0.0.0-10.1.2.2
TCP / 3389 Запретить правило 2: Запретить диапазон удаленных адресов: 10.1.2.4-255.255.255.255
И, конечно же, вы должны создать разрешающее правило TCP / 3389 для своего единственного IP-адреса.
Вы также должны создать два запрещающих правила для UDP / 3389, поскольку современные операционные системы Windows могут использовать UDP, если у вас нет групповой политики, настроенной для удаленного рабочего стола, чтобы использовать только TCP. Или просто создайте одно правило отказа брандмауэра UDP / 3389 для всех адресов, если оно вам не нужно или оно вам не нужно.