Share via

Параметры политики брандмауэра для подключенных к клиенту устройств в Microsoft Intune

  • Статья

Просмотрите параметры брандмауэра Microsoft Windows, которыми можно управлять, с помощью профиля брандмауэра Windows (ConfigMgr) из Intune. Профиль доступен при настройке политики брандмауэра Intune, а политика развертывается на устройствах, которыми вы управляете с помощью Configuration Manager при настройке сценария подключения клиента.

Брандмауэр Windows

  • Проверка списка отзыва сертификатов (устройство)
    CSP: MdmStore/Global/CRLcheck

    Укажите способ принудительной проверки списка отзыва сертификатов (CRL).

    • Не настроено (по умолчанию) — используйте значение по умолчанию для клиента, которое заключается в отключении проверки списка отзыва сертификатов.
    • Нет
    • Попытка
    • Обязательность

  • Отключение FTP с отслеживанием состояния (устройство)
    CSP: MdmStore/Global/DisableStatefulFtp

    • Не настроено (по умолчанию)
    • True — ftp с отслеживанием состояния отключен
    • False — брандмауэр выполняет фильтрацию по протоколу FTP с отслеживанием состояния, чтобы разрешить дополнительные подключения.

  • Включение очереди пакетов (устройство)
    CSP: MdmStore/Global/EnablePacketQueue

    Выберите один из следующих параметров, чтобы настроить масштабирование программного обеспечения на стороне получения для зашифрованного получения и прямого ввода текста для сценария шлюза туннеля IPsec. Это гарантирует сохранение порядка пакетов. По умолчанию параметры не выбраны.

    • Disabled
    • Входящие очереди
    • Исходящий трафик очереди

  • Исключения IPsec (устройство)
    CSP: MdmStore/Global/IPsecExempt

    Выберите один из следующих параметров, чтобы настроить исключения IPsec.

    • Исключение соседей, обнаруживая коды типов IPv6 ICMP из IPsec
    • Исключение ICMP из IPsec
    • Исключение маршрутизатора для обнаружения типов IPv6 ICMP из IPsec
    • Исключение трафика DHCP IPv4 и IPv6 из IPsec

  • Оппортунистически сопоставлять набор проверки подлинности на km (устройство)
    CSP: OpportunisticallyMatchAuthSetPerKM

    • Не настроено (по умолчанию)
    • True
    • False

  • Кодирование предварительного ключа (устройство)
    CSP: MdmStore/Global/PresharedKeyEncoding

    • Не настроено (по умолчанию)
    • Нет
    • UTF8

  • Время простоя ассоциации безопасности (устройство)
    CSP: MdmStore/Global/SaIdleTime

    Укажите время в секундах от 300 до 3600, в течение срока хранения связей безопасности после того, как сетевой трафик не отображается. Если значение не указано, система удаляет связь безопасности после того, как она простаивает в течение 300 секунд.

Профиль домена

  • Включение брандмауэра сети домена (устройство)
    CSP: EnableFirewall

    • Не настроено (по умолчанию) — клиент возвращает значение по умолчанию, т. е. для включения брандмауэра.
    • True — брандмауэр Windows для сетевого типа домена включен и принудительно применяется.
    • False — отключите брандмауэр.

    Если задано значение True, можно настроить следующие параметры для этого типа профиля брандмауэра:

    • Разрешить локальное слияние политик Ipsec (устройство)
      CSP: AllowLocalIpsecPolicyMerge

      • Не настроено (по умолчанию)
      • True
      • False — правила безопасности подключения из локального хранилища игнорируются и не применяются.

    • Разрешить локальное слияние политик (устройство)
      CSP: AllowLocalPolicyMerge

      • Не настроено (по умолчанию)
      • True
      • False — правила брандмауэра из локального хранилища игнорируются и не применяются.

    • Приложения проверки подлинности разрешают слияние пользователей с предварительной записью (устройство)
      CSP: AuthAppsAllowUserPrefMerge

      • Не настроено (по умолчанию)
      • True
      • False

    • Действие входящего трафика по умолчанию для профиля домена (устройство)
      CSP: DefaultInboundAction

      • Не настроено (по умолчанию)
      • Allow
      • Блокировка

    • Действие исходящего трафика по умолчанию (устройство)
      CSP: DefaultOutboundAction

      • Allow
      • Блокировка

    • Отключение входящих уведомлений (устройство)
      CSP: DisableInboundNotifications

      • Не настроено (по умолчанию)
      • True — брандмауэр не будет отображать уведомление для пользователя, если приложение не может прослушивать порт.
      • False — брандмауэр может отображать уведомление для пользователя, если приложение не может прослушивать порт.

    • Отключение скрытого режима (устройство)
      CSP: DisableStealthMode

      • Не настроено (по умолчанию)
      • True
      • False — сервер работает в невидимом режиме. Правила брандмауэра, используемые для применения скрытого режима, зависят от реализации.

    • Отключение одноадресных ответов на многоадресную широковещательную передачу (устройство)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Не настроено (по умолчанию)
      • True — одноадресный ответ на многоадресный широковещательный трафик заблокирован.
      • False

    • Глобальные порты разрешают слияние между пользователями (устройство)
      CSP: GlobalPortsAllowUserPrefMerge

      • Не настроено (по умолчанию)
      • True
      • False — правила брандмауэра для глобальных портов в локальном хранилище игнорируются и не применяются.

    • Экранированный (устройство)
      CSP: экранированный

      • Не настроено (по умолчанию)
      • True — сервер блокирует весь входящий трафик независимо от других параметров политики.
      • False

Частный профиль

  • Включение брандмауэра частной сети (устройство)
    CSP: EnableFirewall

    • Не настроено (по умолчанию) — клиент возвращает значение по умолчанию, т. е. для включения брандмауэра.
    • True — брандмауэр Windows для типа частной сети включен и принудительно применяется.
    • False — отключите брандмауэр.

    Если задано значение True, можно настроить следующие параметры для этого типа профиля брандмауэра:

    • Разрешить локальное слияние политик Ipsec (устройство)
      CSP: AllowLocalIpsecPolicyMerge

      • Не настроено (по умолчанию)
      • True
      • False — правила безопасности подключения из локального хранилища игнорируются и не применяются.

    • Разрешить локальное слияние политик (устройство)
      CSP: AllowLocalPolicyMerge

      • Не настроено (по умолчанию)
      • True
      • False — правила брандмауэра из локального хранилища игнорируются и не применяются.

    • Приложения проверки подлинности разрешают слияние пользователей с предварительной записью (устройство)
      CSP: AuthAppsAllowUserPrefMerge

      • Не настроено (по умолчанию)
      • True
      • False

    • Действие входящего трафика по умолчанию для частного профиля (устройство)
      CSP: DefaultInboundAction

      • Не настроено (по умолчанию)
      • Allow
      • Блокировка

    • Действие исходящего трафика по умолчанию (устройство)
      CSP: DefaultOutboundAction

      • Allow
      • Блокировка

    • Отключение входящих уведомлений (устройство)
      CSP: DisableInboundNotifications

      • Не настроено (по умолчанию)
      • True — брандмауэр не будет отображать уведомление для пользователя, если приложение не может прослушивать порт.
      • False — брандмауэр может отображать уведомление для пользователя, если приложение не может прослушивать порт.

    • Отключение скрытого режима (устройство)
      CSP: DisableStealthMode

      • Не настроено (по умолчанию)
      • True
      • False — сервер работает в невидимом режиме. Правила брандмауэра, используемые для применения скрытого режима, зависят от реализации.

    • Отключение одноадресных ответов на многоадресную широковещательную передачу (устройство)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Не настроено (по умолчанию)
      • True — одноадресный ответ на многоадресный широковещательный трафик заблокирован.
      • False

    • Глобальные порты разрешают слияние между пользователями (устройство)
      CSP: GlobalPortsAllowUserPrefMerge

      • Не настроено (по умолчанию)
      • True
      • False — правила брандмауэра для глобальных портов в локальном хранилище игнорируются и не применяются.

    • Экранированный (устройство)
      CSP: экранированный

      • Не настроено (по умолчанию)
      • True — сервер блокирует весь входящий трафик независимо от других параметров политики.
      • False

Общедоступный профиль

  • Включение брандмауэра общедоступной сети (устройство)
    CSP: EnableFirewall

    • Не настроено (по умолчанию) — клиент возвращает значение по умолчанию, т. е. для включения брандмауэра.
    • True — брандмауэр Windows для общедоступного сетевого типа включен и принудительно применяется.
    • False — отключите брандмауэр.

    Если задано значение True, можно настроить следующие параметры для этого типа профиля брандмауэра:

    • Разрешить локальное слияние политик Ipsec (устройство)
      CSP: AllowLocalIpsecPolicyMerge

      • Не настроено (по умолчанию)
      • True
      • False — правила безопасности подключения из локального хранилища игнорируются и не применяются.

    • Разрешить локальное слияние политик (устройство)
      CSP: AllowLocalPolicyMerge

      • Не настроено (по умолчанию)
      • True
      • False — правила брандмауэра из локального хранилища игнорируются и не применяются.

    • Приложения проверки подлинности разрешают слияние пользователей с предварительной записью (устройство)
      CSP: AuthAppsAllowUserPrefMerge

      • Не настроено (по умолчанию)
      • True
      • False

    • Действие входящего трафика по умолчанию для общедоступного профиля (устройство)
      CSP: DefaultInboundAction

      • Не настроено (по умолчанию)
      • Allow
      • Блокировка

    • Действие исходящего трафика по умолчанию (устройство)
      CSP: DefaultOutboundAction

      • Allow
      • Блокировка

    • Отключение входящих уведомлений (устройство)
      CSP: DisableInboundNotifications

      • Не настроено (по умолчанию)
      • True — брандмауэр не будет отображать уведомление для пользователя, если приложение не может прослушивать порт.
      • False — брандмауэр может отображать уведомление для пользователя, если приложение не может прослушивать порт.

    • Отключение скрытого режима (устройство)
      CSP: DisableStealthMode

      • Не настроено (по умолчанию)
      • True
      • False — сервер работает в невидимом режиме. Правила брандмауэра, используемые для применения скрытого режима, зависят от реализации.

    • Отключение одноадресных ответов на многоадресную широковещательную передачу (устройство)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Не настроено (по умолчанию)
      • True — одноадресный ответ на многоадресный широковещательный трафик заблокирован.
      • False

    • Глобальные порты разрешают слияние между пользователями (устройство)
      CSP: GlobalPortsAllowUserPrefMerge

      • Не настроено (по умолчанию)
      • True
      • False — правила брандмауэра для глобальных портов в локальном хранилище игнорируются и не применяются.

    • Экранированный (устройство)
      CSP: экранированный

      • Не настроено (по умолчанию)
      • True — сервер блокирует весь входящий трафик независимо от других параметров политики.
      • False

Дальнейшие действия

Политика безопасности конечных точек для брандмауэров