Общие сведения о развертывании брандмауэра Защитник Windows в режиме повышенной безопасности

Вы можете использовать оснастку MMC "Брандмауэр в режиме повышенной безопасности" Защитник Windows на устройствах под управлением по крайней мере Windows Vista или Windows Server 2008, чтобы защитить устройства и данные, которые они совместно используют по сети.

Для управления доступом к устройству из сети можно использовать брандмауэр Защитник Windows. Вы можете создать правила, которые разрешают или блокируют сетевой трафик в любом направлении в зависимости от бизнес-требований. Вы также можете создать правила безопасности подключения IPsec, которые помогут защитить данные при их перемещении по сети с устройства на устройство.

Сведения об этом руководстве

Это руководство предназначено для использования системными администраторами и системными инженерами. В нем содержится подробное руководство по развертыванию проекта брандмауэра Защитник Windows в режиме повышенной безопасности, выбранного вами или специалистом по инфраструктуре или системным архитектором в вашей организации.

Начните с изучения сведений в разделе Планирование развертывания Защитник Windows брандмауэра с расширенной безопасностью.

Если вы еще не выбрали проект, рекомендуется подождать, чтобы выполнить инструкции в этом руководстве, пока вы не изучите варианты проектирования в руководстве по проектированию брандмауэра в режиме повышенной безопасности Защитник Windows и не выберете наиболее подходящий для вашей организации.

Выбрав проект и собрав необходимые сведения о зонах (изоляция, граница и шифрование), операционных системах для поддержки и других сведениях, вы можете использовать это руководство для развертывания Защитник Windows брандмауэра с повышенной безопасностью в рабочей среде. В этом руководстве приведены инструкции по развертыванию любого из следующих основных проектов, описанных в руководстве по проектированию:

Используйте контрольные списки в разделе Реализация плана разработки брандмауэра Защитник Windows с расширенной безопасностью, чтобы определить, как лучше всего использовать инструкции в этом руководстве для развертывания конкретной структуры.

Осторожностью

Мы рекомендуем использовать описанные в этом руководстве методы только для объектов групповой политики, которые должны быть развернуты на большинстве устройств в организации, и только в том случае, если иерархия подразделений в домене Active Directory не соответствует потребностям развертывания этих объектов групповой политики. Эти характеристики типичны для объектов групповой политики для сценариев изоляции серверов и доменов, но не являются типичными для большинства других объектов групповой политики. Если иерархия подразделений поддерживает его, разверните объект групповой политики, связав его с подразделением нижнего уровня, содержащим все учетные записи, к которым применяется объект групповой политики.

В крупной корпоративной среде с сотнями или тысячами объектов групповой политики использование этого метода со слишком большим количеством объектов групповой политики может привести к созданию учетных записей пользователей или устройств, которые являются членами чрезмерного количества групп. это создание учетных записей может привести к проблемам с сетевым подключением в случае превышения ограничений сетевого протокола.  

Что не предоставляется в этом руководстве

В этом руководстве не содержатся следующие сведения:

  • Руководство по созданию правил брандмауэра для определенных сетевых приложений. Эти сведения см. в разделе Параметры планирования для базовой политики брандмауэра руководства по проектированию брандмауэра Защитник Windows с расширенной безопасностью.

  • Руководство по настройке доменные службы Active Directory (AD DS) для поддержки групповая политика.

  • Руководство по настройке центров сертификации (ЦС) для создания сертификатов для проверки подлинности на основе сертификатов.

Дополнительные сведения о брандмауэре Защитник Windows с расширенной безопасностью см. в статье Общие сведения о брандмауэре Защитник Windows с расширенной безопасностью.