Nastavení zásad brány firewall pro zařízení připojená k tenantovi v Microsoft Intune

  • Článek

Podívejte se na nastavení brány Microsoft Windows Firewall, která můžete spravovat pomocí profilu brány Windows Firewall (ConfigMgr) z Intune. Profil je k dispozici, když nakonfigurujete zásady brány Intune Firewall, a když nakonfigurujete scénář připojení tenanta, nasadí se do zařízení, která spravujete pomocí Configuration Manager.

Windows Firewall

  • Ověření seznamu odvolaných certifikátů (zařízení)
    CSP: MdmStore/Global/CRLcheck

    Určete, jak se má vynucovat ověření seznamu odvolaných certifikátů (CRL).

    • Nenakonfigurováno (výchozí) – Použijte výchozí nastavení klienta, kterým je zakázat ověřování seznamu CRL.
    • Žádné
    • Pokus o
    • Vyžadují

  • Zakázání stavové ftp (zařízení)
    CSP: MdmStore/Global/DisableStatefulFtp

    • Nenakonfigurováno (výchozí)
    • True – Stavový protokol FTP je zakázaný.
    • False – brána firewall provádí stavové filtrování protokolu FTP (File Transfer Protocol), aby umožňovala sekundární připojení.

  • Povolit frontu paketů (zařízení)
    CSP: MdmStore/Global/EnablePacketQueue

    Vyberte z následujících možností a nakonfigurujte škálování pro software na straně příjmu pro šifrovaný příjem a přeposílání nezašifrovaného textu pro scénář brány tunelu IPsec. Tím se zajistí zachování pořadí paketů. Ve výchozím nastavení nejsou vybrány žádné možnosti.

    • Zakázáno
    • Příchozí fronta
    • Odchozí fronta

  • Výjimky protokolu IPsec (zařízení)
    CSP: MdmStore/Global/IPsecExempt

    Pokud chcete nakonfigurovat výjimky protokolu IPsec, vyberte některou z následujících možností.

    • Vyloučení kódů typů ICMP protokolu IPv6 od souseda z protokolu IPsec
    • Vyloučení protokolu ICMP z protokolu IPsec
    • Vyloučení kódů typů PROTOKOLU ICMP protokolu IPv6 směrovače z protokolu IPsec
    • Vyloučení provozu DHCP IPv4 i IPv6 z protokolu IPsec

  • Oportunistické porovnání ověřovací sady na km (zařízení)
    CSP: OportunisticicallyMatchAuthSetPerKM

    • Nenakonfigurováno (výchozí)
    • Pravda
    • Nepravda

  • Kódování předsdíleného klíče (zařízení)
    CSP: MdmStore/Global/PresharedKeyEncoding

    • Nenakonfigurováno (výchozí)
    • Žádné
    • UTF8

  • Doba nečinnosti přidružení zabezpečení (zařízení)
    CSP: mdmStore/Global/SaIdleTime

    Zadejte dobu v sekundách mezi 300 a 3600, jak dlouho se přidružení zabezpečení uchovávají, když se nezobrazí síťový provoz. Pokud nezadáte žádnou hodnotu, systém odstraní přidružení zabezpečení poté, co je 300 sekund nečinné.

Profil domény

  • Povolení brány firewall sítě domény (zařízení)
    CSP: EnableFirewall

    • Nenakonfigurováno (výchozí) – Klient se vrátí do výchozího stavu, kterým je povolení brány firewall.
    • True – Brána Windows Firewall pro typ sítě domény je zapnutá a vynucovaná.
    • False – Zakažte bránu firewall.

    Pokud je nastavená hodnota True, můžete pro tento typ profilu brány firewall nakonfigurovat následující nastavení:

    • Povolit sloučení místních zásad Ipsec (zařízení)
      CSP: AllowLocalIpsecPolicyMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – pravidla zabezpečení připojení z místního úložiště se ignorují a nevynucují.

    • Povolit sloučení místních zásad (zařízení)
      CSP: AllowLocalPolicyMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – pravidla brány firewall z místního úložiště se ignorují a nevynucují.

    • Aplikace ověřování umožňují sloučení pref uživatele (zařízení)
      CSP: AuthAppsAllowUserPrefMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda

    • Výchozí příchozí akce pro profil domény (zařízení)
      CSP: DefaultInboundAction

      • Nenakonfigurováno (výchozí)
      • Povolit
      • Blokování

    • Výchozí odchozí akce (zařízení)
      CSP: DefaultOutboundAction

      • Povolit
      • Blokování

    • Zakázání příchozích oznámení (zařízení)
      CSP: DisableInboundNotifications

      • Nenakonfigurováno (výchozí)
      • True – brána firewall nezobrazí oznámení uživateli, když je aplikace blokovaná v naslouchání na portu.
      • Nepravda – brána firewall může uživateli zobrazit oznámení, když je aplikace blokovaná v naslouchání na portu.

    • Zakázat neviditelný režim (zařízení)
      CSP: DisableStealthMode

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – server funguje v neviditelném režimu. Pravidla brány firewall používaná k vynucení neviditelného režimu jsou specifická pro implementaci.

    • Zakázání odpovědí jednosměrového vysílání na všesměrové vysílání (zařízení)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Nenakonfigurováno (výchozí)
      • True – Jednosměrová odpověď na provoz všesměrového vysílání je blokovaná.
      • Nepravda

    • Globální porty umožňují sloučení pref uživatele (zařízení)
      CSP: GlobalPortsAllowUserPrefMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – globální pravidla brány firewall portu v místním úložišti se ignorují a nevynucují.

    • Stíněné (zařízení)
      CSP: Stíněný

      • Nenakonfigurováno (výchozí)
      • True – Server blokuje veškerý příchozí provoz bez ohledu na další nastavení zásad.
      • Nepravda

Privátní profil

  • Povolení brány firewall privátní sítě (zařízení)
    CSP: EnableFirewall

    • Nenakonfigurováno (výchozí) – Klient se vrátí do výchozího stavu, kterým je povolení brány firewall.
    • True – Brána Windows Firewall pro typ privátní sítě je zapnutá a vynucená.
    • False – Zakažte bránu firewall.

    Pokud je nastavená hodnota True, můžete pro tento typ profilu brány firewall nakonfigurovat následující nastavení:

    • Povolit sloučení místních zásad Ipsec (zařízení)
      CSP: AllowLocalIpsecPolicyMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – pravidla zabezpečení připojení z místního úložiště se ignorují a nevynucují.

    • Povolit sloučení místních zásad (zařízení)
      CSP: AllowLocalPolicyMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – pravidla brány firewall z místního úložiště se ignorují a nevynucují.

    • Aplikace ověřování umožňují sloučení pref uživatele (zařízení)
      CSP: AuthAppsAllowUserPrefMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda

    • Výchozí příchozí akce pro privátní profil (zařízení)
      CSP: DefaultInboundAction

      • Nenakonfigurováno (výchozí)
      • Povolit
      • Blokování

    • Výchozí odchozí akce (zařízení)
      CSP: DefaultOutboundAction

      • Povolit
      • Blokování

    • Zakázání příchozích oznámení (zařízení)
      CSP: DisableInboundNotifications

      • Nenakonfigurováno (výchozí)
      • True – brána firewall nezobrazí oznámení uživateli, když je aplikace blokovaná v naslouchání na portu.
      • Nepravda – brána firewall může uživateli zobrazit oznámení, když je aplikace blokovaná v naslouchání na portu.

    • Zakázat neviditelný režim (zařízení)
      CSP: DisableStealthMode

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – server funguje v neviditelném režimu. Pravidla brány firewall používaná k vynucení neviditelného režimu jsou specifická pro implementaci.

    • Zakázání odpovědí jednosměrového vysílání na všesměrové vysílání (zařízení)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Nenakonfigurováno (výchozí)
      • True – Jednosměrová odpověď na provoz všesměrového vysílání je blokovaná.
      • Nepravda

    • Globální porty umožňují sloučení pref uživatele (zařízení)
      CSP: GlobalPortsAllowUserPrefMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – globální pravidla brány firewall portu v místním úložišti se ignorují a nevynucují.

    • Stíněné (zařízení)
      CSP: Stíněný

      • Nenakonfigurováno (výchozí)
      • True – Server blokuje veškerý příchozí provoz bez ohledu na další nastavení zásad.
      • Nepravda

Veřejný profil

  • Povolit bránu firewall veřejné sítě (zařízení)
    CSP: EnableFirewall

    • Nenakonfigurováno (výchozí) – Klient se vrátí do výchozího stavu, kterým je povolení brány firewall.
    • True – Brána Windows Firewall pro typ veřejné sítě je zapnutá a vynucená.
    • False – Zakažte bránu firewall.

    Pokud je nastavená hodnota True, můžete pro tento typ profilu brány firewall nakonfigurovat následující nastavení:

    • Povolit sloučení místních zásad Ipsec (zařízení)
      CSP: AllowLocalIpsecPolicyMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – pravidla zabezpečení připojení z místního úložiště se ignorují a nevynucují.

    • Povolit sloučení místních zásad (zařízení)
      CSP: AllowLocalPolicyMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – pravidla brány firewall z místního úložiště se ignorují a nevynucují.

    • Aplikace ověřování umožňují sloučení pref uživatele (zařízení)
      CSP: AuthAppsAllowUserPrefMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda

    • Výchozí příchozí akce pro veřejný profil (zařízení)
      CSP: DefaultInboundAction

      • Nenakonfigurováno (výchozí)
      • Povolit
      • Blokování

    • Výchozí odchozí akce (zařízení)
      CSP: DefaultOutboundAction

      • Povolit
      • Blokování

    • Zakázání příchozích oznámení (zařízení)
      CSP: DisableInboundNotifications

      • Nenakonfigurováno (výchozí)
      • True – brána firewall nezobrazí oznámení uživateli, když je aplikace blokovaná v naslouchání na portu.
      • Nepravda – brána firewall může uživateli zobrazit oznámení, když je aplikace blokovaná v naslouchání na portu.

    • Zakázat neviditelný režim (zařízení)
      CSP: DisableStealthMode

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – server funguje v neviditelném režimu. Pravidla brány firewall používaná k vynucení neviditelného režimu jsou specifická pro implementaci.

    • Zakázání odpovědí jednosměrového vysílání na všesměrové vysílání (zařízení)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Nenakonfigurováno (výchozí)
      • True – Jednosměrová odpověď na provoz všesměrového vysílání je blokovaná.
      • Nepravda

    • Globální porty umožňují sloučení pref uživatele (zařízení)
      CSP: GlobalPortsAllowUserPrefMerge

      • Nenakonfigurováno (výchozí)
      • Pravda
      • Nepravda – globální pravidla brány firewall portu v místním úložišti se ignorují a nevynucují.

    • Stíněné (zařízení)
      CSP: Stíněný

      • Nenakonfigurováno (výchozí)
      • True – Server blokuje veškerý příchozí provoz bez ohledu na další nastavení zásad.
      • Nepravda

Další kroky

Zásady zabezpečení koncových bodů pro brány firewall