Megosztás a következőn keresztül:

Tűzfalszabályzat a végpontbiztonsághoz a Intune

  • Cikk

Az Intune végpontbiztonsági tűzfalszabályzatával konfigurálhat egy beépített tűzfalat a macOS- és Windows-eszközöket futtató eszközökhöz.

Bár ugyanazokat a tűzfalbeállításokat az Endpoint Protection-profilok használatával konfigurálhatja az eszközkonfigurációhoz, az eszközkonfigurációs profilok további beállításkategóriákat is tartalmaznak. Ezek a további beállítások nem kapcsolódnak a tűzfalakhoz, és megnehezíthetik a környezet tűzfalbeállításainak konfigurálását.

Keresse meg a tűzfalak végpontbiztonsági szabályzatait a Felügyelet területen a Microsoft Intune Felügyeleti központVégpontbiztonsági csomópontjában.

A tűzfalprofilok előfeltételei

Fontos

A Windows frissítette, hogy a Windows tűzfal konfigurációszolgáltatója (CSP) hogyan kényszeríti ki a tűzfalszabályok atomi blokkjaiból származó szabályokat. Az eszközön a Windows tűzfal CSP implementálja a tűzfalszabály-beállításokat a Intune végpontbiztonsági tűzfalszabályzatokból. A Windows következő verzióitól kezdődően a frissített CSP-viselkedés mostantól minden elemi szabályblokkból teljes vagy semmire kényszeríti a tűzfalszabályok alkalmazását:

  • Windows 11 21H2
  • Windows 11 22H2
  • Windows 10 21H2

A Windows korábbi verzióját futtató eszközökön a CSP egyszerre egy atomi szabályblokkban, egy szabályban (vagy beállításban) dolgozza fel a tűzfalszabályokat. A cél az, hogy az adott atomi blokk összes szabályát alkalmazza, vagy egyiket sem. Ha azonban a CSP problémába ütközik a blokk bármely szabályának alkalmazásával kapcsolatban, a CSP nem alkalmazza a további szabályokat, de nem állít vissza olyan szabályt a blokkból, amely már sikeresen alkalmazva lett. Ez a viselkedés a tűzfalszabályok részleges telepítését eredményezheti az eszközön.

Szerepköralapú hozzáférés-vezérlés (RBAC)

A Intune tűzfalszabályzat kezeléséhez szükséges engedélyek és jogosultságok megfelelő szintjének hozzárendelésével kapcsolatos útmutatásért lásd: Assign-role-based-access-controls-for-endpoint-security-policy.

Tűzfalprofilok

A Intune által felügyelt eszközök

Platform: macOS:

  • macOS-tűzfal – A beépített tűzfal beállításainak engedélyezése és konfigurálása macOS rendszeren.

Platform: Windows:

A következő profilok beállításainak konfigurálásával kapcsolatos információkért lásd: Tűzfalkonfigurációs szolgáltató (CSP).

Megjegyzés:

2022. április 5-től a Windows 10 és újabb platformot felváltotta a Windows 10, a Windows 11 és a Windows Server platform, amelyet mostantól egyszerűen Windows néven neveznek el.

A Windows platform támogatja a Microsoft Intune vagy Végponthoz készült Microsoft Defender keresztül kommunikáló eszközöket. Ezek a profilok támogatják a Windows Server platformot is, amelyet nem támogatnak natív módon Microsoft Intune.

Az új platform profiljai a Beállításkatalógusban található beállításformátumot használják. Az új platform minden új profilsablonja ugyanazokat a beállításokat tartalmazza, mint a korábbi profilsablon. Ezzel a módosítással már nem hozhatja létre a régi profilok új verzióit. A régi profil meglévő példányai továbbra is használhatók és szerkeszthetők maradnak.

  • Windows tűzfal – A Fokozott biztonságú Windows tűzfal beállításainak konfigurálása. A Windows tűzfal gazdagépalapú, kétirányú hálózati forgalomszűrést biztosít az eszközökhöz, és megakadályozhatja a helyi eszközre irányuló vagy onnan kimenő jogosulatlan hálózati forgalmat.

  • Windows tűzfalszabályok – Részletes tűzfalszabályok definiálása, beleértve az adott portokat, protokollokat, alkalmazásokat és hálózatokat, valamint a hálózati forgalom engedélyezését vagy letiltását. A profil minden példánya legfeljebb 150 egyéni szabályt támogat.

    Tipp

    Az MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP-ben leírt házirendalkalmazás-azonosító beállítás használatához a környezetnek Windows Defender alkalmazásvezérlő (WDAC) címkézést kell használnia. További információkért tekintse meg az alábbi Windows Defender-cikkeket:

  • Windows Hyper-V tűzfalszabályok A Windows Hyper-V tűzfalszabályok sablon lehetővé teszi a Windows adott Hyper-V-tárolóira vonatkozó tűzfalszabályok szabályozását, beleértve az olyan alkalmazásokat is, mint a Linuxos Windows-alrendszer (WSL) és a Android rendszerhez készült Windows-alrendszer (WSA)

Újrafelhasználható beállításcsoportok hozzáadása tűzfalszabályok profiljaihoz

Nyilvános előzetes verzióban a Windows tűzfalszabály-profilok az alábbi platformokon támogatják az újrafelhasználható beállításcsoportok használatát:

  • Windows 10
  • Windows 11

A következő tűzfalszabály-profilbeállítások érhetők el újrahasználható beállításcsoportokban:

  • Távoli IP-címtartományok
  • FQDN-definíciók és automatikus feloldás

Ha tűzfalszabályt konfigurál egy vagy több újrafelhasználható beállításcsoport hozzáadására, a Művelet szabályt is konfigurálja a csoportok beállításainak felhasználásának meghatározásához.

A profilhoz hozzáadott minden szabály tartalmazhat újrafelhasználható beállításcsoportokat és a szabályhoz közvetlenül hozzáadott egyéni beállításokat is. Fontolja meg azonban az egyes szabályok használatát az újrafelhasználható beállításcsoportokhoz, vagy a közvetlenül a szabályhoz hozzáadott beállítások kezeléséhez. Ez a szétválasztás segíthet leegyszerűsíteni a jövőbeli konfigurációkat vagy módosításokat.

Megjegyzés:

A bejövő FQDN-szabályok natív módon nem támogatottak. A hidratálási szkriptek használatával azonban létrehozhat bejövő IP-bejegyzéseket a szabályhoz. További információ: A Windows tűzfal dinamikus kulcsszavai a Windows tűzfal dokumentációjában.

Az újrahasználható csoportok konfigurálásával, majd a profilhoz való hozzáadásukkal kapcsolatos előfeltételekért és útmutatásért lásd: Újrafelhasználható beállításcsoportok használata Intune házirendekkel.

A Configuration Manager által felügyelt eszközök

Tűzfal

A Configuration Manager által felügyelt eszközök támogatása előzetes verzióban érhető el.

A Configuration Manager eszközök tűzfalszabályzat-beállításainak kezelése bérlői csatolás használata esetén.

Szabályzat elérési útja:

  • Végpontbiztonsági > tűzfal

Profilok:

  • Windows tűzfal (ConfigMgr)

A Configuration Manager szükséges verziója:

  • Configuration Manager aktuális ág 2006-os vagy újabb verzióját, konzolon belüli frissítéssel Configuration Manager 2006-os gyorsjavítással (KB4578605)

Támogatott Configuration Manager eszközplatformok:

  • Windows 11 és újabb verziók (x86, x64, ARM64)
  • Windows 10 újabb (x86, x64, ARM64)

Tűzfalszabály-összeolvadások és szabályzatütközések

Tervezze meg, hogy a tűzfalházirendek csak egy házirendet használó eszközre legyenek alkalmazva. Egyetlen házirendpéldány és szabályzattípus használata segít elkerülni, hogy két külön szabályzat különböző konfigurációkat alkalmazzon ugyanarra a beállításra, ami ütközéseket okoz. Ha ütközés áll fenn két olyan szabályzatpéldány vagy szabályzattípus között, amely ugyanazt a beállítást különböző értékekkel kezeli, a rendszer nem küldi el a beállítást az eszköznek.

  • Ez a szabályzatütközési forma a Windows tűzfalprofilra vonatkozik, amely ütközhet más Windows tűzfalprofilokkal, vagy egy másik házirendtípus, például az eszközkonfiguráció által biztosított tűzfal-konfigurációval.

    A Windows tűzfalprofilok nem ütköznek a Windows tűzfalszabályok profiljaival.

Windows tűzfalszabály-profilok használatakor több szabályprofilt is alkalmazhat ugyanarra az eszközre. Ha azonban ugyanarra a dologra különböző szabályok vonatkoznak különböző konfigurációkkal, a rendszer mindkettőt elküldi az eszköznek, és ütközést hoz létre az eszközön.

  • Ha például egy szabály blokkoljaTeams.exe a tűzfalon keresztül, és egy második szabály engedélyezi Teams.exe, mindkét szabály az ügyfélhez lesz kézbesítve. Ez az eredmény eltér a tűzfalbeállítások más szabályzatain keresztül létrehozott ütközésektől.

Ha több szabályprofil szabályai nem ütköznek egymással, az eszközök egyesítik a szabályokat az egyes profilokból, és létrehoznak egy kombinált tűzfalszabály-konfigurációt az eszközön. Ez a viselkedés lehetővé teszi, hogy az egyes profilok által támogatott 150 szabálynál többet telepítsen egy eszközre.

  • Például két Windows tűzfalszabály-profillal rendelkezik. Az első profil lehetővé teszi Teams.exe a tűzfalon keresztül. A második profil lehetővé teszi Outlook.exe a tűzfalon keresztül. Amikor egy eszköz mindkét profilt megkapja, az eszköz úgy van konfigurálva, hogy mindkét alkalmazást engedélyezze a tűzfalon keresztül.

Tűzfalszabályzat-jelentések

A tűzfalszabályzat jelentései a felügyelt eszközök tűzfalának állapotadatait jelenítik meg. A tűzfaljelentések az alábbi operációs rendszereket futtató felügyelt eszközöket támogatják.

  • Windows 10/11

Összefoglalás

A Tűzfal csomópont megnyitásakor az Összefoglalás az alapértelmezett nézet. Nyissa meg a Microsoft Intune Felügyeleti központot, majd lépjen a Végpontbiztonság>tűzfal>összegzése elemre.

Ez a nézet a következő lehetőségeket nyújtja:

  • Azon eszközök összesített száma, amelyeken a tűzfal ki van kapcsolva.
  • A tűzfalszabályzatok listája, beleértve a nevet, a típust, a hozzárendelését és az utolsó módosítás idejét.

Windows 10 vagy újabb rendszert futtató MDM-eszközök, tűzfal kikapcsolva

Ez a jelentés a Végpont biztonsági csomópontjában található. Nyissa meg a Microsoft Intune Felügyeleti központot, majd nyissa meg a Végpontbiztonság>Tűzfal>MDM-eszközök Windows 10 vagy újabb verzióját, ahol a tűzfal ki van kapcsolva.

Az adatokat a Windows DeviceStatus CSP jelenti, és azonosítja azokat az eszközöket, ahol a tűzfal ki van kapcsolva. Alapértelmezés szerint a látható részletek a következők:

  • Eszköz neve
  • Tűzfal állapota
  • Egyszerű felhasználónév
  • Target (Az eszközkezelés módszere)
  • Utolsó beadás időpontja

A tűzfal kikapcsolása

MDM-tűzfal állapota Windows 10 és újabb verziókhoz

Ezt a szervezeti jelentést a Intune Jelentések című cikkben is ismertetjük.

Ez a jelentés szervezeti jelentésként a Jelentések csomópontról érhető el. Nyissa meg a Microsoft Intune Felügyeleti központot, majd lépjen a Jelentések>tűzfal>MDM-tűzfal állapota Windows 10 és újabb verziókhoz.

Tűzfaljelentések kiválasztása

Az adatok a Windows DeviceStatus CSP-n keresztül, a felügyelt eszközökön pedig a tűzfal állapotáról lesznek jelentések. A jelentéshez tartozó visszaadott értékeket szűrheti egy vagy több állapotinformációs kategória használatával.

Az állapot részletei a következők:

  • Engedélyezve – A tűzfal be van kapcsolva, és sikeresen jelent.
  • Letiltva – A tűzfal ki van kapcsolva.
  • Korlátozott – A tűzfal nem figyel minden hálózatot, vagy egyes szabályok ki vannak kapcsolva.
  • Ideiglenesen letiltva (alapértelmezett) – A tűzfal átmenetileg nem figyeli az összes hálózatot
  • Nem alkalmazható – Az eszköz nem támogatja a tűzfaljelentést.

A jelentéshez tartozó visszaadott értékeket szűrheti egy vagy több állapotinformációs kategória használatával.

A tűzfal állapotjelentésének megtekintése

Tűzfalszabályok problémáinak vizsgálata

A Intune tűzfalszabályairól és a gyakori problémák elhárításáról az alábbi Intune Customer Success blogban talál további információt:

További gyakori tűzfalszabály-problémák:

eseménymegtekintő: RemotePortRanges vagy LocalPortRanges "A paraméter helytelen"

RemotePortRangesFailure

  • Ellenőrizze, hogy a konfigurált tartományok növekvőek-e (például: 1–5 helyes, az 5–1 okozza ezt a hibát)
  • Ellenőrizze, hogy a konfigurált tartományok a 0–65535 közötti teljes porttartományon belül vannak-e
  • Ha a távoli porttartományok vagy a helyi porttartományok egy szabályban vannak konfigurálva, a protokollt 6 (TCP) vagy 17 (UDP) protokollal is konfigurálni kell

eseménymegtekintő: "... Név), Eredmény: (A paraméter helytelen)"

A névhiba képernyőképe

  • Ha a peremhálózati bejárás engedélyezve van egy szabályban, a szabály irányát "Ez a szabály a bejövő forgalomra vonatkozik" értékre kell állítani.

eseménymegtekintő: "... InterfaceTypes), Result: (A paraméter helytelen)"

Képernyőfelvétel az illesztőtípusok hibájáról

  • Ha az "Összes" illesztőtípus engedélyezve van egy szabályban, a többi illesztőtípust nem szabad kiválasztani.

Következő lépések

Végpontbiztonsági szabályzatok konfigurálása

Tekintse meg az elavult Windows 10 és újabb platform elavult tűzfalprofiljainak beállításait: