Ustawienia zasad zapory dla zabezpieczeń punktu końcowego w usłudze Intune

  • Artykuł

Wyświetl ustawienia, które można skonfigurować w profilach zasad zapory w węźle zabezpieczeń punktu końcowego usługi Intune w ramach zasad zabezpieczeń punktu końcowego.

Dotyczy:

  • macOS
  • Windows 10
  • Windows 11

Uwaga

Począwszy od 5 kwietnia 2022 r., profile zapory dla platformy Windows 10 i nowszej zostały zastąpione przez platformę Windows 10, Windows 11 i Windows Server oraz nowe wystąpienia tych samych profilów. Profile utworzone po tej dacie używają nowego formatu ustawień, jak można znaleźć w katalogu ustawień. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu i nie są one już opracowywane. Mimo że nie można już tworzyć nowych wystąpień starszego profilu, możesz nadal edytować i używać utworzonych wcześniej wystąpień.

W przypadku profilów korzystających z nowego formatu ustawień usługa Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśnienia widoczne w centrum administracyjnym Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.

Szczegóły ustawień profilów systemu Windows w tym artykule dotyczą tych przestarzałych profilów.

Obsługiwane platformy i profile:

  • macOS:

    • Profil: zapora systemu macOS

  • Windows 10 i nowsze:

    • Profil: Zapora systemu Windows

Profil zapory systemu macOS

Zapory

Następujące ustawienia są konfigurowane jako zasady zabezpieczeń punktu końcowego dla zapór systemu macOS

  • Włączanie zapory

    • Nie skonfigurowano (wartość domyślna)
    • Tak — włącz zaporę.

    Po ustawieniu opcji Tak można skonfigurować następujące ustawienia.

    • Blokuj wszystkie połączenia przychodzące

      • Nie skonfigurowano (wartość domyślna)
      • Tak — blokuj wszystkie połączenia przychodzące z wyjątkiem połączeń wymaganych dla podstawowych usług internetowych, takich jak DHCP, Bonjour i IPSec. Blokuje to wszystkie usługi udostępniania.

    • Włączanie trybu niewidzialności

      • Nie skonfigurowano (wartość domyślna)
      • Tak — uniemożliwia komputerowi odpowiadanie na żądania sondowania. Komputer nadal odpowiada na przychodzące żądania dotyczące autoryzowanych aplikacji.

    • Aplikacje zapory Rozwiń listę rozwijaną, a następnie wybierz pozycję Dodaj , aby określić aplikacje i reguły dla połączeń przychodzących dla aplikacji.

      • Zezwalaj na połączenia przychodzące

        • Nie skonfigurowano
        • Blokuj
        • Zezwalaj

      • Identyfikator pakietu — identyfikator identyfikuje aplikację. Na przykład: com.apple.app

Profil Zapory systemu Windows

Zapora systemu Windows

Następujące ustawienia są konfigurowane jako zasady zabezpieczeń punktu końcowego dla zapór systemu Windows.

  • Stanowy protokół transferu plików (FTP)
    Zasady zabezpieczeń zawartości: MdmStore/Global/DisableStatefulFtp

    • Nie skonfigurowano (wartość domyślna)
    • Zezwalaj — zapora wykonuje stanowe filtrowanie protokołu FTP (File Transfer Protocol), aby zezwolić na połączenia pomocnicze.
    • Wyłączone — stanowy protokół FTP jest wyłączony.

  • Liczba sekund bezczynności skojarzenia zabezpieczeń przed jego usunięciem
    Dostawca usług kryptograficznych: MdmStore/Global/SaIdleTime

    Określ czas w sekundach z zakresu od 300 do 3600, aby określić czas przechowywania skojarzeń zabezpieczeń po tym, jak ruch sieciowy nie będzie widoczny.

    Jeśli nie określisz żadnej wartości, system usunie skojarzenie zabezpieczeń po bezczynności przez 300 sekund.

  • Kodowanie klucza wstępnie udostępnionego
    Dostawca usług kryptograficznych: MdmStore/Global/PresharedKeyEncoding

    Jeśli nie potrzebujesz formatu UTF-8, klucze wstępnie współudostępnione są początkowo kodowane przy użyciu formatu UTF-8. Następnie użytkownicy urządzeń mogą wybrać inną metodę kodowania.

    • Nie skonfigurowano (wartość domyślna)
    • Brak
    • UTF8

  • Brak wykluczeń dla adresu IP zapory s

    • Nie skonfigurowano (ustawienie domyślne) — jeśli nie skonfigurowano, będziesz mieć dostęp do następujących ustawień wykluczenia ip sec, które można skonfigurować indywidualnie.

    • Tak — wyłącz wszystkie wykluczenia z protokołu IP zapory. Następujące ustawienia nie są dostępne do skonfigurowania.

    • Wykluczenia protokołu IP zapory umożliwiają odnajdywanie sąsiadów
      Dostawca usług kryptograficznych: MdmStore/Global/IPsecExempt

      • Nie skonfigurowano (wartość domyślna)
      • Tak — wykluczenia protokołu IPsec zapory zezwalają na odnajdywanie sąsiadów.

    • Wykluczenia protokołu IP zapory zezwalają na protokół ICMP
      Dostawca usług kryptograficznych: MdmStore/Global/IPsecExempt

      • Nie skonfigurowano (wartość domyślna)
      • Tak — wykluczenia protokołu IPsec zapory zezwalają na protokół ICMP.

    • Wykluczenia protokołu IP zapory zezwalają na odnajdywanie routerów
      Dostawca usług kryptograficznych: MdmStore/Global/IPsecExempt

      • Nie skonfigurowano (wartość domyślna)
      • Tak — wykluczenia protokołu IPsec zapory zezwalają na odnajdywanie routerów.

    • Wykluczenia protokołu IP zapory zezwalają na protokół DHCP
      Dostawca usług kryptograficznych: MdmStore/Global/IPsecExempt

      • Nie skonfigurowano (wartość domyślna)
      • Tak — wykluczenia protokołu IP zapory zezwalają na protokół DHCP

  • Weryfikacja listy odwołania certyfikatów (CRL)
    Dostawca usług kryptograficznych: MdmStore/Global/CRLcheck

    Określ sposób wymuszania weryfikacji listy odwołania certyfikatów (CRL).

    • Nie skonfigurowano (wartość domyślna) — użyj domyślnego klienta, czyli wyłączenia weryfikacji listy CRL.
    • Brak
    • Próba
    • Wymagają

  • Wymagaj, aby moduły kluczy ignorowały tylko zestawy uwierzytelniania, których nie obsługują
    Zasady zabezpieczeń zawartości: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Nie skonfigurowano (wartość domyślna)
    • Wyłączona
    • Włączone — moduły kluczy ignorują nieobsługiwany zestaw uwierzytelniania.

  • Kolejkowanie pakietów
    Zasady zabezpieczeń zawartości: MdmStore/Global/EnablePacketQueue

    Określ, jak włączyć skalowanie dla oprogramowania po stronie odbierającego dla zaszyfrowanego odbierania i zwykłego tekstu do przodu dla scenariusza bramy tunelu IPsec. Dzięki temu kolejność pakietów jest zachowywana.

    • Nie skonfigurowano (ustawienie domyślne) — kolejkowanie pakietów jest zwracane do domyślnej wartości klienta, która jest wyłączona.
    • Wyłączona
    • Ruch przychodzący kolejki
    • Ruch wychodzący kolejki
    • Kolejkowanie obu

  • Włączanie zapory systemu Windows dla sieci domenowych
    Zasady zabezpieczeń zawartości: EnableFirewall

    • Nie skonfigurowano (wartość domyślna) — klient powraca do wartości domyślnej, czyli włączenia zapory.
    • Tak — zapora systemu Windows dla typu sieci domeny jest włączona i wymuszana. Uzyskasz również dostęp do dodatkowych ustawień dla tej sieci.
    • Nie — wyłącz zaporę.

    Dodatkowe ustawienia dla tej sieci po ustawieniu wartości Tak:

    • Blokuj tryb niewidzialności
      Zasady zabezpieczeń zawartości: DisableStealthMode

      Domyślnie tryb niewidzialności jest włączony na urządzeniach. Ułatwia to złośliwym użytkownikom odnajdywanie informacji o urządzeniach sieciowych i uruchomionych usługach. Wyłączenie trybu niewidzialności może sprawić, że urządzenia będą narażone na ataki.

      • Nie skonfigurowano(wartość domyślna)
      • Tak
      • Nr

    • Włączanie trybu osłony
      Dostawca usług kryptograficznych: z osłoną

      • Nie skonfigurowano(ustawienie domyślne) — użyj domyślnego klienta, czyli wyłączenia trybu osłony.
      • Tak — maszyna jest przełączona w tryb osłony, który izoluje ją od sieci. Cały ruch jest zablokowany.
      • Nr

    • Blokuj odpowiedzi emisji pojedynczej na emisje multiemisji
      Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcast

      • Nieskonfigurowane(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na odpowiedzi emisji pojedynczej.
      • Tak — odpowiedzi emisji pojedynczej na emisje multiemisji są blokowane.
      • Nie — wymuś wartość domyślną klienta, czyli zezwalaj na odpowiedzi emisji pojedynczej.

    • Wyłączanie powiadomień przychodzących
      CSP DisableInboundNotifications

      • Nieskonfigurowane(ustawienie domyślne) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na powiadomienie użytkownika.
      • Tak — powiadomienie użytkownika jest pomijane, gdy aplikacja jest blokowana przez regułę ruchu przychodzącego.
      • Nie — powiadomienia użytkowników są dozwolone.

    • Blokuj połączenia wychodzące

      To ustawienie dotyczy systemu Windows w wersji 1809 lub nowszej. Dostawca usług kryptograficznych: DefaultOutboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na połączenia.
      • Tak — wszystkie połączenia wychodzące, które nie są zgodne z regułą ruchu wychodzącego, są blokowane.
      • Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu wychodzącego, są dozwolone.

    • Blokuj połączenia przychodzące
      Zasady zabezpieczeń zawartości: DefaultInboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do domyślnej wartości klienta, czyli do blokowania połączeń.
      • Tak — wszystkie połączenia przychodzące, które nie są zgodne z regułą ruchu przychodzącego, są blokowane.
      • Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu przychodzącego, są dozwolone.

    • Ignoruj reguły zapory autoryzowanej aplikacji
      Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMerge

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — reguły zapory autoryzowanej aplikacji w magazynie lokalnym są ignorowane.
      • Nie — reguły zapory autoryzowanej aplikacji są przestrzegane.

    • Ignoruj globalne reguły zapory portów
      Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMerge

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — globalne reguły zapory portów w magazynie lokalnym są ignorowane.
      • Nie — globalne reguły zapory portów są przestrzegane.

    • Ignoruj wszystkie lokalne reguły zapory
      Zasady zabezpieczeń zawartości: IPsecExempt

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — wszystkie reguły zapory w magazynie lokalnym są ignorowane.
      • Nie — reguły zapory w magazynie lokalnym są honorowane.

    • Ignoruj reguły zabezpieczeń połączeń Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMerge

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — reguły zapory protokołu IPsec w magazynie lokalnym są ignorowane.
      • Nie — reguły zapory IPsec w magazynie lokalnym są honorowane.

  • Włączanie zapory systemu Windows dla sieci prywatnych
    Zasady zabezpieczeń zawartości: EnableFirewall

    • Nie skonfigurowano (wartość domyślna) — klient powraca do wartości domyślnej, czyli włączenia zapory.
    • Tak — Zapora systemu Windows dla typu sieci prywatnej jest włączona i wymuszana. Uzyskasz również dostęp do dodatkowych ustawień dla tej sieci.
    • Nie — wyłącz zaporę.

    Dodatkowe ustawienia dla tej sieci po ustawieniu wartości Tak:

    • Blokuj tryb niewidzialności
      Zasady zabezpieczeń zawartości: DisableStealthMode

      Domyślnie tryb niewidzialności jest włączony na urządzeniach. Ułatwia to złośliwym użytkownikom odnajdywanie informacji o urządzeniach sieciowych i uruchomionych usługach. Wyłączenie trybu niewidzialności może sprawić, że urządzenia będą narażone na ataki.

      • Nie skonfigurowano(wartość domyślna)
      • Tak
      • Nr

    • Włączanie trybu osłony
      Dostawca usług kryptograficznych: z osłoną

      • Nie skonfigurowano(ustawienie domyślne) — użyj domyślnego klienta, czyli wyłączenia trybu osłony.
      • Tak — maszyna jest przełączona w tryb osłony, który izoluje ją od sieci. Cały ruch jest zablokowany.
      • Nr

    • Blokuj odpowiedzi emisji pojedynczej na emisje multiemisji
      Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcast

      • Nieskonfigurowane(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na odpowiedzi emisji pojedynczej.
      • Tak — odpowiedzi emisji pojedynczej na emisje multiemisji są blokowane.
      • Nie — wymuś wartość domyślną klienta, czyli zezwalaj na odpowiedzi emisji pojedynczej.

    • Wyłączanie powiadomień przychodzących
      CSP DisableInboundNotifications

      • Nieskonfigurowane(ustawienie domyślne) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na powiadomienie użytkownika.
      • Tak — powiadomienie użytkownika jest pomijane, gdy aplikacja jest blokowana przez regułę ruchu przychodzącego.
      • Nie — powiadomienia użytkowników są dozwolone.

    • Blokuj połączenia wychodzące

      To ustawienie dotyczy systemu Windows w wersji 1809 lub nowszej. Dostawca usług kryptograficznych: DefaultOutboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na połączenia.
      • Tak — wszystkie połączenia wychodzące, które nie są zgodne z regułą ruchu wychodzącego, są blokowane.
      • Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu wychodzącego, są dozwolone.

    • Blokuj połączenia przychodzące
      Zasady zabezpieczeń zawartości: DefaultInboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do domyślnej wartości klienta, czyli do blokowania połączeń.
      • Tak — wszystkie połączenia przychodzące, które nie są zgodne z regułą ruchu przychodzącego, są blokowane.
      • Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu przychodzącego, są dozwolone.

    • Ignoruj reguły zapory autoryzowanej aplikacji
      Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMerge

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — reguły zapory autoryzowanej aplikacji w magazynie lokalnym są ignorowane.
      • Nie — reguły zapory autoryzowanej aplikacji są przestrzegane.

    • Ignoruj globalne reguły zapory portów
      Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMerge

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — globalne reguły zapory portów w magazynie lokalnym są ignorowane.
      • Nie — globalne reguły zapory portów są przestrzegane.

    • Ignoruj wszystkie lokalne reguły zapory
      Zasady zabezpieczeń zawartości: IPsecExempt

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — wszystkie reguły zapory w magazynie lokalnym są ignorowane.
      • Nie — reguły zapory w magazynie lokalnym są honorowane.

    • Ignoruj reguły zabezpieczeń połączeń Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMerge

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — reguły zapory protokołu IPsec w magazynie lokalnym są ignorowane.
      • Nie — reguły zapory IPsec w magazynie lokalnym są honorowane.

  • Włączanie zapory systemu Windows dla sieci publicznych
    Zasady zabezpieczeń zawartości: EnableFirewall

    • Nie skonfigurowano (wartość domyślna) — klient powraca do wartości domyślnej, czyli włączenia zapory.
    • Tak — Zapora systemu Windows dla typu sieci publicznego jest włączona i wymuszana. Uzyskasz również dostęp do dodatkowych ustawień dla tej sieci.
    • Nie — wyłącz zaporę.

    Dodatkowe ustawienia dla tej sieci po ustawieniu wartości Tak:

    • Blokuj tryb niewidzialności
      Zasady zabezpieczeń zawartości: DisableStealthMode

      Domyślnie tryb niewidzialności jest włączony na urządzeniach. Ułatwia to złośliwym użytkownikom odnajdywanie informacji o urządzeniach sieciowych i uruchomionych usługach. Wyłączenie trybu niewidzialności może sprawić, że urządzenia będą narażone na ataki.

      • Nie skonfigurowano(wartość domyślna)
      • Tak
      • Nr

    • Włączanie trybu osłony
      Dostawca usług kryptograficznych: z osłoną

      • Nie skonfigurowano(ustawienie domyślne) — użyj domyślnego klienta, czyli wyłączenia trybu osłony.
      • Tak — maszyna jest przełączona w tryb osłony, który izoluje ją od sieci. Cały ruch jest zablokowany.
      • Nr

    • Blokuj odpowiedzi emisji pojedynczej na emisje multiemisji
      Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcast

      • Nieskonfigurowane(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na odpowiedzi emisji pojedynczej.
      • Tak — odpowiedzi emisji pojedynczej na emisje multiemisji są blokowane.
      • Nie — wymuś wartość domyślną klienta, czyli zezwalaj na odpowiedzi emisji pojedynczej.

    • Wyłączanie powiadomień przychodzących
      CSP DisableInboundNotifications

      • Nieskonfigurowane(ustawienie domyślne) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na powiadomienie użytkownika.
      • Tak — powiadomienie użytkownika jest pomijane, gdy aplikacja jest blokowana przez regułę ruchu przychodzącego.
      • Nie — powiadomienia użytkowników są dozwolone.

    • Blokuj połączenia wychodzące

      To ustawienie dotyczy systemu Windows w wersji 1809 lub nowszej. Dostawca usług kryptograficznych: DefaultOutboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na połączenia.
      • Tak — wszystkie połączenia wychodzące, które nie są zgodne z regułą ruchu wychodzącego, są blokowane.
      • Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu wychodzącego, są dozwolone.

    • Blokuj połączenia przychodzące
      Zasady zabezpieczeń zawartości: DefaultInboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do domyślnej wartości klienta, czyli do blokowania połączeń.
      • Tak — wszystkie połączenia przychodzące, które nie są zgodne z regułą ruchu przychodzącego, są blokowane.
      • Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu przychodzącego, są dozwolone.

    • Ignoruj reguły zapory autoryzowanej aplikacji
      Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMerge

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — reguły zapory autoryzowanej aplikacji w magazynie lokalnym są ignorowane.
      • Nie — reguły zapory autoryzowanej aplikacji są przestrzegane.

    • Ignoruj globalne reguły zapory portów
      Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMerge

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — globalne reguły zapory portów w magazynie lokalnym są ignorowane.
      • Nie — globalne reguły zapory portów są przestrzegane.

    • Ignoruj wszystkie lokalne reguły zapory
      Zasady zabezpieczeń zawartości: IPsecExempt

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — wszystkie reguły zapory w magazynie lokalnym są ignorowane.
      • Nie — reguły zapory w magazynie lokalnym są honorowane.

    • Ignoruj reguły zabezpieczeń połączeń Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMerge

      • Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
      • Tak — reguły zapory protokołu IPsec w magazynie lokalnym są ignorowane.
      • Nie — reguły zapory IPsec w magazynie lokalnym są honorowane.

Reguły zapory systemu Windows

Ten profil jest w wersji zapoznawczej.

Następujące ustawienia są konfigurowane jako zasady zabezpieczeń punktu końcowego dla zapór systemu Windows.

Reguła zapory systemu Windows

  • Nazwa
    Określ przyjazną nazwę reguły. Ta nazwa zostanie wyświetlona na liście reguł, które ułatwiają jej identyfikację.

  • Opis
    Podaj opis reguły.

  • Kierunek

    • Nie skonfigurowano (wartość domyślna) — ta reguła domyślnie określa ruch wychodzący.
    • Out — ta reguła ma zastosowanie do ruchu wychodzącego.
    • W — ta reguła ma zastosowanie do ruchu przychodzącego.

  • Akcja

    • Nie skonfigurowano (wartość domyślna) — reguła domyślnie zezwala na ruch.
    • Zablokowane — ruch jest blokowany w skonfigurowanym kierunku .
    • Dozwolone — ruch jest dozwolony w skonfigurowanym kierunku .

  • Typ sieci
    Określ typ sieci, do którego należy reguła. Możesz wybrać co najmniej jedną z następujących opcji. Jeśli nie wybierzesz opcji, reguła ma zastosowanie do wszystkich typów sieci.

    • Domain (Domena)
    • Prywatny
    • Publiczny
    • Nie skonfigurowano

Ustawienia aplikacji

Aplikacje objęte tą regułą:

  • Nazwa rodziny pakietów
    Get-AppxPackage

    Nazwy rodzin pakietów można pobrać, uruchamiając polecenie Get-AppxPackage z programu PowerShell.

  • Ścieżka pliku
    Dostawca usług kryptograficznych: FirewallRules/FirewallRuleName/App/FilePath

    Aby określić ścieżkę pliku aplikacji, wprowadź lokalizację aplikacji na urządzeniu klienckim. Przykład: C:\Windows\System\Notepad.exe

  • Nazwa usługi
    FirewallRules/FirewallRuleName/App/ServiceName

    Użyj krótkiej nazwy usługi systemu Windows, gdy usługa, a nie aplikacja, wysyła lub odbiera ruch. Krótkie nazwy usługi są pobierane przez uruchomienie Get-Service polecenia z programu PowerShell.

Ustawienia portów i protokołów

Określ porty lokalne i zdalne, do których ma zastosowanie ta reguła:

  • Protocol (Protokół)
    Dostawca usług kryptograficznych: FirewallRules/FirewallRuleName/Protocol

    Określ protokół dla tej reguły portu.

    • Protokoły warstw transportu, takie jak TCP(6) i UDP(17), umożliwiają określanie portów lub zakresów portów.
    • W przypadku protokołów niestandardowych wprowadź liczbę z zakresu od 0 do 255 reprezentującą protokół IP.
    • Gdy nic nie zostanie określone, reguła jest domyślnie dowolna.

  • Typy interfejsów
    Określ typy interfejsów, do których należy reguła. Możesz wybrać co najmniej jedną z następujących opcji. Jeśli nie wybierzesz opcji, reguła ma zastosowanie do wszystkich typów interfejsów:

    • Dostęp zdalny
    • Bezprzewodowy
    • Sieć lokalna
    • Nie skonfigurowano
    • Mobile Broadband — ta opcja zastępuje użycie poprzedniego wpisu dla usługi Mobile Broadband, która jest przestarzała i nie jest już obsługiwana.
    • [Nieobsługiwane] Mobile Broadband — nie używaj tej opcji, która jest oryginalną opcją Mobile Broadband. Ta opcja nie działa już poprawnie. Zastąp użycie tej opcji nowszą wersją usługi Mobile Broadband.

  • Autoryzowani użytkownicy
    FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Określ listę autoryzowanych użytkowników lokalnych dla tej reguły. Nie można określić listy autoryzowanych użytkowników, jeśli nazwa usługi w tych zasadach jest ustawiona jako usługa systemu Windows. Jeśli nie określono autoryzowanego użytkownika, ustawieniem domyślnym jest wszyscy użytkownicy.

Ustawienia adresów IP

Określa adresy lokalne i zdalne, do których ma zastosowanie ta reguła:

  • Dowolny adres lokalny
    Nie skonfigurowano (ustawienie domyślne) — użyj następującego ustawienia , Zakresy adresów lokalnych*, aby skonfigurować zakres adresów do obsługi.

    • Tak — obsługa dowolnego adresu lokalnego i nie konfiguruj zakresu adresów.

  • Zakresy adresów lokalnych
    Zasady zabezpieczeń zawartości: FirewallRules/FirewallRuleName/LocalAddressRanges

    Zarządzaj zakresami adresów lokalnych dla tej reguły. Można:

    • Dodaj co najmniej jeden adres jako rozdzielaną przecinkami listę adresów lokalnych, które są objęte regułą.
    • Zaimportuj plik .csv zawierający listę adresów do użycia jako zakresy adresów lokalnych.
    • Wyeksportuj bieżącą listę zakresów adresów lokalnych jako plik .csv.

    Prawidłowe wpisy (tokeny) obejmują następujące opcje:

    • Gwiazdka — gwiazdka (*) wskazuje dowolny adres lokalny. Jeśli jest obecna, gwiazdka musi być jedynym dołączonym tokenem.
    • Podsieć — określ podsieci przy użyciu maski podsieci lub notacji prefiksu sieci. Jeśli nie określono maski podsieci lub prefiksu sieci, maska podsieci domyślnie ma wartość 255.255.255.255.
    • Prawidłowy adres IPv6
    • Zakres adresów IPv4 — zakresy IPv4 muszą być w formacie adresu początkowego — adresu końcowego bez uwzględniania spacji, gdzie adres początkowy jest mniejszy niż adres końcowy.
    • Zakres adresów IPv6 — zakresy IPv6 muszą mieć format adresu początkowego — adres końcowy bez żadnych spacji, gdzie adres początkowy jest mniejszy niż adres końcowy.

    Jeśli nie określono żadnej wartości, to ustawienie domyślnie używa dowolnego adresu.

  • Dowolny adres zdalny
    Nie skonfigurowano (ustawienie domyślne) — użyj następującego ustawienia , Zakresy adresów zdalnych* w celu skonfigurowania zakresu adresów do obsługi.

    • Tak — obsługa dowolnego adresu zdalnego i nie konfiguruj zakresu adresów.

  • Zakresy adresów zdalnych
    Zasady zabezpieczeń zawartości: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Zarządzaj zakresami adresów zdalnych dla tej reguły. Można:

    • Dodaj co najmniej jeden adres jako rozdzielaną przecinkami listę adresów zdalnych, które są objęte regułą.
    • Zaimportuj plik .csv zawierający listę adresów do użycia jako zakresy adresów zdalnych.
    • Wyeksportuj bieżącą listę zakresów adresów zdalnych jako plik .csv.

    Prawidłowe wpisy (tokeny) obejmują następujące elementy i nie uwzględniają wielkości liter:

    • Gwiazdka — gwiazdka (*) wskazuje dowolny adres zdalny. Jeśli jest obecna, gwiazdka musi być jedynym dołączonym tokenem.
    • Domyślna brama
    • DHCP
    • DNS
    • WINS
    • Intranet — obsługiwane na urządzeniach z systemem Windows 1809 lub nowszym.
    • RmtIntranet — obsługiwane na urządzeniach z systemem Windows 1809 lub nowszym.
    • Ply2Renders — obsługiwane na urządzeniach z systemem Windows 1809 lub nowszym.
    • LocalSubnet — wskazuje dowolny adres lokalny w podsieci lokalnej.
    • Podsieć — określ podsieci przy użyciu maski podsieci lub notacji prefiksu sieci. Jeśli nie określono maski podsieci lub prefiksu sieci, maska podsieci domyślnie ma wartość 255.255.255.255.
    • Prawidłowy adres IPv6
    • Zakres adresów IPv4 — zakresy IPv4 muszą być w formacie adresu początkowego — adresu końcowego bez uwzględniania spacji, gdzie adres początkowy jest mniejszy niż adres końcowy.
    • Zakres adresów IPv6 — zakresy IPv6 muszą mieć format adresu początkowego — adres końcowy bez żadnych spacji, gdzie adres początkowy jest mniejszy niż adres końcowy.

    Jeśli nie określono żadnej wartości, to ustawienie domyślnie używa dowolnego adresu.

Następne kroki

Zasady zabezpieczeń punktu końcowego dla zapór