Tűzfalszabályzat a végpontbiztonsághoz a Intune

Az Intune végpontbiztonsági tűzfalszabályzatával konfigurálhat egy beépített tűzfalat a macOS- és Windows-eszközöket futtató eszközökhöz.

Bár ugyanazokat a tűzfalbeállításokat az Endpoint Protection-profilok használatával konfigurálhatja az eszközkonfigurációhoz, az eszközkonfigurációs profilok további beállításkategóriákat is tartalmaznak. Ezek a további beállítások nem kapcsolódnak a tűzfalakhoz, és megnehezíthetik a környezet tűzfalbeállításainak konfigurálását.

Keresse meg a tűzfalak végpontbiztonsági szabályzatait a Felügyelet területen a Microsoft Intune Felügyeleti központVégpontbiztonsági csomópontjában.

A tűzfalprofilok előfeltételei

• Windows 10 rendszer esetén
• Windows 11
• R2 vagy újabb Windows Server 2012
• A macOS bármely támogatott verziója

Fontos

A Windows frissítette, hogy a Windows tűzfal konfigurációszolgáltatója (CSP) hogyan kényszeríti ki a tűzfalszabályok atomi blokkjaiból származó szabályokat. Az eszközön a Windows tűzfal CSP implementálja a tűzfalszabály-beállításokat a Intune végpontbiztonsági tűzfalszabályzatokból. A Windows következő verzióitól kezdődően a frissített CSP-viselkedés mostantól minden elemi szabályblokkból teljes vagy semmire kényszeríti a tűzfalszabályok alkalmazását:

• Windows 11 21H2
• Windows 11 22H2
• Windows 10 21H2

A Windows korábbi verzióját futtató eszközökön a CSP egyszerre egy atomi szabályblokkban, egy szabályban (vagy beállításban) dolgozza fel a tűzfalszabályokat. A cél az, hogy az adott atomi blokk összes szabályát alkalmazza, vagy egyiket sem. Ha azonban a CSP problémába ütközik a blokk bármely szabályának alkalmazásával kapcsolatban, a CSP nem alkalmazza a további szabályokat, de nem állít vissza olyan szabályt a blokkból, amely már sikeresen alkalmazva lett. Ez a viselkedés a tűzfalszabályok részleges telepítését eredményezheti az eszközön.

Tűzfalprofilok

A Intune által felügyelt eszközök

Platform: macOS:

• macOS-tűzfal – A beépített tűzfal beállításainak engedélyezése és konfigurálása macOS rendszeren.

Platform: Windows 10, Windows 11 és Windows Server:

A következő profilok beállításainak konfigurálásával kapcsolatos információkért lásd: Tűzfalkonfigurációs szolgáltató (CSP).

Megjegyzés:

2022. április 5-től a Windows 10 és újabb platformot a Windows 10, a Windows 11 és a Windows Server platform váltotta fel.

A Windows 10, a Windows 11 és a Windows Server platform támogatja a Microsoft Intune vagy Végponthoz készült Microsoft Defender keresztül kommunikáló eszközöket. Ezek a profilok támogatják a Windows Server platformot is, amelyet nem támogatnak natív módon Microsoft Intune.

Az új platform profiljai a Beállításkatalógusban található beállításformátumot használják. Az új platform minden új profilsablonja ugyanazokat a beállításokat tartalmazza, mint a korábbi profilsablon. Ezzel a módosítással már nem hozhatja létre a régi profilok új verzióit. A régi profil meglévő példányai továbbra is használhatók és szerkeszthetők maradnak.

• Windows tűzfal – A Fokozott biztonságú Windows tűzfal beállításainak konfigurálása. A Windows tűzfal gazdagépalapú, kétirányú hálózati forgalomszűrést biztosít az eszközökhöz, és megakadályozhatja a helyi eszközre irányuló vagy onnan kimenő jogosulatlan hálózati forgalmat.

• Windows tűzfalszabályok – Részletes tűzfalszabályok definiálása, beleértve az adott portokat, protokollokat, alkalmazásokat és hálózatokat, valamint a hálózati forgalom engedélyezését vagy letiltását. A profil minden példánya legfeljebb 150 egyéni szabályt támogat.

  Tipp

  Az MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP-ben leírt házirendalkalmazás-azonosító beállítás használatához a környezetnek Windows Defender alkalmazásvezérlési (WDAC) címkézést kell használnia. További információt az alábbi Windows Defender cikkekben talál:

  • Tudnivalók a Windows alkalmazásvezérléséről
  • WDAC-alkalmazásazonosító (AppId) címkézési útmutatója

• Windows Hyper-V tűzfalszabályok A Windows Hyper-V tűzfalszabályok sablon lehetővé teszi a Windows adott Hyper-V-tárolóira vonatkozó tűzfalszabályok szabályozását, beleértve az olyan alkalmazásokat is, mint a Linuxos Windows-alrendszer (WSL) és a Android rendszerhez készült Windows-alrendszer (WSA)

Újrafelhasználható beállításcsoportok hozzáadása tűzfalszabályok profiljaihoz

Nyilvános előzetes verzióban a Windows tűzfalszabály-profilok az alábbi platformokon támogatják az újrafelhasználható beállításcsoportok használatát:

• Windows 10 és Windows 11

A következő tűzfalszabály-profilbeállítások érhetők el újrahasználható beállításcsoportokban:

• Távoli IP-címtartományok
• FQDN-definíciók és automatikus feloldás

Ha tűzfalszabályt konfigurál egy vagy több újrafelhasználható beállításcsoport hozzáadására, a Művelet szabályt is konfigurálja a csoportok beállításainak felhasználásának meghatározásához.

A profilhoz hozzáadott minden szabály tartalmazhat újrafelhasználható beállításcsoportokat és a szabályhoz közvetlenül hozzáadott egyéni beállításokat is. Fontolja meg azonban az egyes szabályok használatát az újrafelhasználható beállításcsoportokhoz, vagy a közvetlenül a szabályhoz hozzáadott beállítások kezeléséhez. Ez a szétválasztás segíthet leegyszerűsíteni a jövőbeli konfigurációkat vagy módosításokat.

Az újrahasználható csoportok konfigurálásával, majd a profilhoz való hozzáadásukkal kapcsolatos előfeltételekért és útmutatásért lásd: Újrafelhasználható beállításcsoportok használata Intune házirendekkel.

A Configuration Manager által felügyelt eszközök

Tűzfal

A Configuration Manager által felügyelt eszközök támogatása előzetes verzióban érhető el.

A Configuration Manager eszközök tűzfalszabályzat-beállításainak kezelése bérlői csatolás használata esetén.

Szabályzat elérési útja:

• Végpontbiztonsági > tűzfal > Windows 10 és újabb verziók

Profilok:

• Windows tűzfal (ConfigMgr)

A Configuration Manager szükséges verziója:

• Configuration Manager aktuális ág 2006-os vagy újabb verzióját, konzolon belüli frissítéssel Configuration Manager 2006-os gyorsjavítással (KB4578605)

Támogatott Configuration Manager eszközplatformok:

• Windows 11 és újabb verziók (x86, x64, ARM64)
• Windows 10 újabb (x86, x64, ARM64)

Tűzfalszabály-összeolvadások és szabályzatütközések

Tervezze meg, hogy a tűzfalházirendek csak egy házirendet használó eszközre legyenek alkalmazva. Egyetlen házirendpéldány és szabályzattípus használata segít elkerülni, hogy két külön szabályzat különböző konfigurációkat alkalmazzon ugyanarra a beállításra, ami ütközéseket okoz. Ha ütközés áll fenn két olyan szabályzatpéldány vagy szabályzattípus között, amely ugyanazt a beállítást különböző értékekkel kezeli, a rendszer nem küldi el a beállítást az eszköznek.

• Ez a szabályzatütközési forma a Windows tűzfalprofilra vonatkozik, amely ütközhet más Windows tűzfalprofilokkal, vagy egy másik házirendtípus, például az eszközkonfiguráció által biztosított tűzfal-konfigurációval.

  A Windows tűzfalprofilok nem ütköznek a Windows tűzfalszabályok profiljaival.

Windows tűzfalszabály-profilok használatakor több szabályprofilt is alkalmazhat ugyanarra az eszközre. Ha azonban ugyanarra a dologra különböző szabályok vonatkoznak különböző konfigurációkkal, a rendszer mindkettőt elküldi az eszköznek, és ütközést hoz létre az eszközön.

• Ha például egy szabály blokkoljaTeams.exe a tűzfalon keresztül, és egy második szabály engedélyezi Teams.exe, mindkét szabály az ügyfélhez lesz kézbesítve. Ez az eredmény eltér a tűzfalbeállítások más szabályzatain keresztül létrehozott ütközésektől.

Ha több szabályprofil szabályai nem ütköznek egymással, az eszközök egyesítik a szabályokat az egyes profilokból, és létrehoznak egy kombinált tűzfalszabály-konfigurációt az eszközön. Ez a viselkedés lehetővé teszi, hogy az egyes profilok által támogatott 150 szabálynál többet telepítsen egy eszközre.

• Például két Windows tűzfalszabály-profillal rendelkezik. Az első profil lehetővé teszi Teams.exe a tűzfalon keresztül. A második profil lehetővé teszi Outlook.exe a tűzfalon keresztül. Amikor egy eszköz mindkét profilt megkapja, az eszköz úgy van konfigurálva, hogy mindkét alkalmazást engedélyezze a tűzfalon keresztül.

Tűzfalszabályzat-jelentések

A tűzfalszabályzat jelentései a felügyelt eszközök tűzfalának állapotadatait jelenítik meg. A tűzfaljelentések az alábbi operációs rendszereket futtató felügyelt eszközöket támogatják.

• Windows 10/11

Összefoglalás

A Tűzfal csomópont megnyitásakor az Összefoglalás az alapértelmezett nézet. Nyissa meg a Microsoft Intune Felügyeleti központot, majd lépjen a Végpontbiztonság>tűzfal>összegzése elemre.

Ez a nézet a következő lehetőségeket nyújtja:

• Azon eszközök összesített száma, amelyeken a tűzfal ki van kapcsolva.
• A tűzfalszabályzatok listája, beleértve a nevet, a típust, a hozzárendelését és az utolsó módosítás idejét.

Windows 10 vagy újabb rendszert futtató MDM-eszközök, tűzfal kikapcsolva

Ez a jelentés a Végpont biztonsági csomópontjában található. Nyissa meg a Microsoft Intune Felügyeleti központot, majd nyissa meg a Végpontbiztonság>Tűzfal>MDM-eszközök Windows 10 vagy újabb verzióját, ahol a tűzfal ki van kapcsolva.

Az adatokat a Windows DeviceStatus CSP jelenti, és azonosítja azokat az eszközöket, ahol a tűzfal ki van kapcsolva. Alapértelmezés szerint a látható részletek a következők:

• Eszköz neve
• Tűzfal állapota
• Egyszerű felhasználónév
• Target (Az eszközkezelés módszere)
• Utolsó beadás időpontja

MDM-tűzfal állapota Windows 10 és újabb verziókhoz

Ezt a szervezeti jelentést a Intune Jelentések című cikkben is ismertetjük.

Ez a jelentés szervezeti jelentésként a Jelentések csomópontról érhető el. Nyissa meg a Microsoft Intune Felügyeleti központot, majd lépjen a Jelentések>tűzfal>MDM-tűzfal állapota Windows 10 és újabb verziókhoz.

Az adatok a Windows DeviceStatus CSP-n keresztül, a felügyelt eszközökön pedig a tűzfal állapotáról lesznek jelentések. A jelentéshez tartozó visszaadott értékeket szűrheti egy vagy több állapotinformációs kategória használatával.

Az állapot részletei a következők:

• Engedélyezve – A tűzfal be van kapcsolva, és sikeresen jelent.
• Letiltva – A tűzfal ki van kapcsolva.
• Korlátozott – A tűzfal nem figyel minden hálózatot, vagy egyes szabályok ki vannak kapcsolva.
• Ideiglenesen letiltva (alapértelmezett) – A tűzfal átmenetileg nem figyeli az összes hálózatot
• Nem alkalmazható – Az eszköz nem támogatja a tűzfaljelentést.

A jelentéshez tartozó visszaadott értékeket szűrheti egy vagy több állapotinformációs kategória használatával.

Tűzfalszabályok problémáinak vizsgálata

A Intune tűzfalszabályairól és a gyakori problémák elhárításáról az alábbi Intune Customer Success blogban talál további információt:

• Az Intune Endpoint Security tűzfalszabály-létrehozási folyamatának nyomon követése és hibaelhárítása

További gyakori tűzfalszabály-problémák:

eseménymegtekintő: RemotePortRanges vagy LocalPortRanges "A paraméter helytelen"

• Ellenőrizze, hogy a konfigurált tartományok növekvőek-e (például: 1–5 helyes, az 5–1 okozza ezt a hibát)
• Ellenőrizze, hogy a konfigurált tartományok a 0–65535 közötti teljes porttartományon belül vannak-e
• Ha a távoli porttartományok vagy a helyi porttartományok egy szabályban vannak konfigurálva, a protokollt 6 (TCP) vagy 17 (UDP) protokollal is konfigurálni kell

eseménymegtekintő: "... Név), Eredmény: (A paraméter helytelen)"

• Ha a peremhálózati bejárás engedélyezve van egy szabályban, a szabály irányát "Ez a szabály a bejövő forgalomra vonatkozik" értékre kell állítani.

eseménymegtekintő: "... InterfaceTypes), Result: (A paraméter helytelen)"

• Ha az "Összes" illesztőtípus engedélyezve van egy szabályban, a többi illesztőtípust nem szabad kiválasztani.

Következő lépések

Végpontbiztonsági szabályzatok konfigurálása

A Windows 10 és újabb platform elavult tűzfalprofiljaiban található beállítások részleteinek megtekintése:

• Tűzfalprofil-beállítások.