Inställningar för brandväggsprinciper för klientanslutna enheter i Microsoft Intune

Visa inställningarna för Microsoft Windows-brandväggen som du kan hantera med Profil för Windows-brandväggen (ConfigMgr) från Intune. Profilen är tillgänglig när du konfigurerar Intune Firewall-principen och principen distribueras till enheter som du hanterar med Configuration Manager när du har konfigurerat scenariot för klientanslutning.

Windows-brandväggen

• Verifiering av listan över återkallade certifikat (enhet)
  CSP: MdmStore/Global/CRLcheck

  Ange hur verifiering av listan över återkallade certifikat (CRL) tillämpas.

  • Inte konfigurerad (standard) – Använd klientens standardvärde, vilket är att inaktivera CRL-verifiering.
  • Ingen
  • Försök
  • Kräver

• Inaktivera tillståndskänslig Ftp (enhet)
  CSP: MdmStore/Global/DisableStatefulFtp

  • Inte konfigurerad (standard)
  • Sant – Tillståndskänslig FTP är inaktiverat
  • False – Brandväggen utför tillståndskänslig FTP-filtrering (File Transfer Protocol) för att tillåta sekundära anslutningar.

• Aktivera paketkö (enhet)
  CSP: MdmStore/Global/EnablePacketQueue

  Välj bland följande alternativ för att konfigurera skalning för programvaran på mottagarsidan för den krypterade mottagningen och rensa text framåt för scenariot med IPsec-tunnelgatewayen. Detta säkerställer att paketordningen bevaras. Som standard är inga alternativ markerade.

  • Inaktiverad
  • Inkommande kö
  • Utgående kö

• IPsec-undantag (enhet)
  CSP: MdmStore/Global/IPsecExempt

  Välj bland följande alternativ för att konfigurera IPsec-undantag.

  • Undanta granne identifierar IPv6 ICMP-typkoder från IPsec
  • Undanta ICMP från IPsec
  • Undanta router identifiera IPv6 ICMP-typkoder från IPsec
  • Undanta både IPv4- och IPv6 DHCP-trafik från IPsec

• Matcha autentiseringsuppsättning per KM (enhet) opportunistiskt
  CSP: OpportunisticallyMatchAuthSetPerKM

  • Inte konfigurerad (standard)
  • Sant
  • Falskt

• Kodning av i förväg delad nyckel (enhet)
  CSP: MdmStore/Global/PresharedKeyEncoding

  • Inte konfigurerad (standard)
  • Ingen
  • UTF8

• Inaktivitetstid för säkerhetsassociation (enhet)
  CSP: MdmStore/Global/SaIdleTime

  Ange en tid i sekunder mellan 300 och 3600 för hur länge säkerhetsassociationer sparas när nätverkstrafiken inte visas. Om du inte anger något värde tar systemet bort en säkerhetsassociation när den har varit inaktiv i 300 sekunder.

Domänprofil

• Aktivera brandvägg för domännätverk (enhet)
  CSP: EnableFirewall

  • Inte konfigurerad (standard) – Klienten återgår till standardvärdet, vilket är att aktivera brandväggen.
  • Sant – Windows-brandväggen för nätverkstypen för domänen är aktiverad och framtvingad.
  • False – Inaktivera brandväggen.

  När värdet är True kan du sedan konfigurera följande inställningar för den här brandväggsprofiltypen:

  • Tillåt sammanslagning av lokal ipsec-princip (enhet)
    CSP: AllowLocalIpsecPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Anslutningssäkerhetsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Tillåt lokal principsammanslagning (enhet)
    CSP: AllowLocalPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Brandväggsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Auth Apps Allow User Pref Merge (Device)
    CSP: AuthAppsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt

  • Standardåtgärd för inkommande trafik för domänprofil (enhet)
    CSP: DefaultInboundAction

    • Inte konfigurerad (standard)
    • Tillåt
    • Blockera

  • Standardåtgärd för utgående trafik (enhet)
    CSP: DefaultOutboundAction

    • Tillåt
    • Blockera

  • Inaktivera inkommande meddelanden (enhet)
    CSP: DisableInboundNotifications

    • Inte konfigurerad (standard)
    • Sant – Brandväggen visar inte ett meddelande för användaren när ett program blockeras från att lyssna på en port.
    • False – Brandväggen kan visa ett meddelande till användaren när ett program blockeras från att lyssna på en port.

  • Inaktivera dolt läge (enhet)
    CSP: DisableStealthMode

    • Inte konfigurerad (standard)
    • Sant
    • False – servern fungerar i dolt läge. Brandväggsreglerna som används för att framtvinga dolt läge är implementeringsspecifika.

  • Inaktivera Unicast-svar på multicast-sändning (enhet)
    CSP: DisableUnicastResponsesToMulticastBroadcast

    • Inte konfigurerad (standard)
    • Sant – Unicast-svar på multicast-sändningstrafik blockeras.
    • Falskt

  • Globala portar tillåter sammanslagning av användarförhandsanvändare (enhet)
    CSP: GlobalPortsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt – Globala portbrandväggsregler i det lokala arkivet ignoreras och framtvingas inte.

  • Avskärmad (enhet)
    CSP: Avskärmad

    • Inte konfigurerad (standard)
    • Sant – servern blockerar all inkommande trafik oavsett andra principinställningar.
    • Falskt

Privat profil

• Aktivera brandvägg för privat nätverk (enhet)
  CSP: EnableFirewall

  • Inte konfigurerad (standard) – Klienten återgår till standardvärdet, vilket är att aktivera brandväggen.
  • Sant – Windows-brandväggen för nätverkstypen privat är aktiverad och framtvingad.
  • False – Inaktivera brandväggen.

  När värdet är True kan du sedan konfigurera följande inställningar för den här brandväggsprofiltypen:

  • Tillåt sammanslagning av lokal ipsec-princip (enhet)
    CSP: AllowLocalIpsecPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Anslutningssäkerhetsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Tillåt lokal principsammanslagning (enhet)
    CSP: AllowLocalPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Brandväggsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Auth Apps Allow User Pref Merge (Device)
    CSP: AuthAppsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt

  • Standardåtgärd för inkommande trafik för privat profil (enhet)
    CSP: DefaultInboundAction

    • Inte konfigurerad (standard)
    • Tillåt
    • Blockera

  • Standardåtgärd för utgående trafik (enhet)
    CSP: DefaultOutboundAction

    • Tillåt
    • Blockera

  • Inaktivera inkommande meddelanden (enhet)
    CSP: DisableInboundNotifications

    • Inte konfigurerad (standard)
    • Sant – Brandväggen visar inte ett meddelande för användaren när ett program blockeras från att lyssna på en port.
    • False – Brandväggen kan visa ett meddelande till användaren när ett program blockeras från att lyssna på en port.

  • Inaktivera dolt läge (enhet)
    CSP: DisableStealthMode

    • Inte konfigurerad (standard)
    • Sant
    • False – servern fungerar i dolt läge. Brandväggsreglerna som används för att framtvinga dolt läge är implementeringsspecifika.

  • Inaktivera Unicast-svar på multicast-sändning (enhet)
    CSP: DisableUnicastResponsesToMulticastBroadcast

    • Inte konfigurerad (standard)
    • Sant – Unicast-svar på multicast-sändningstrafik blockeras.
    • Falskt

  • Globala portar tillåter sammanslagning av användarförhandsanvändare (enhet)
    CSP: GlobalPortsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt – Globala portbrandväggsregler i det lokala arkivet ignoreras och framtvingas inte.

  • Avskärmad (enhet)
    CSP: Avskärmad

    • Inte konfigurerad (standard)
    • Sant – servern blockerar all inkommande trafik oavsett andra principinställningar.
    • Falskt

Offentlig profil

• Aktivera brandvägg för offentligt nätverk (enhet)
  CSP: EnableFirewall

  • Inte konfigurerad (standard) – Klienten återgår till standardvärdet, vilket är att aktivera brandväggen.
  • Sant – Windows-brandväggen för nätverkstypen offentlig är aktiverad och framtvingad.
  • False – Inaktivera brandväggen.

  När värdet är True kan du sedan konfigurera följande inställningar för den här brandväggsprofiltypen:

  • Tillåt sammanslagning av lokal ipsec-princip (enhet)
    CSP: AllowLocalIpsecPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Anslutningssäkerhetsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Tillåt lokal principsammanslagning (enhet)
    CSP: AllowLocalPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Brandväggsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Auth Apps Allow User Pref Merge (Device)
    CSP: AuthAppsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt

  • Standardåtgärd för inkommande trafik för offentlig profil (enhet)
    CSP: DefaultInboundAction

    • Inte konfigurerad (standard)
    • Tillåt
    • Blockera

  • Standardåtgärd för utgående trafik (enhet)
    CSP: DefaultOutboundAction

    • Tillåt
    • Blockera

  • Inaktivera inkommande meddelanden (enhet)
    CSP: DisableInboundNotifications

    • Inte konfigurerad (standard)
    • Sant – Brandväggen visar inte ett meddelande för användaren när ett program blockeras från att lyssna på en port.
    • False – Brandväggen kan visa ett meddelande till användaren när ett program blockeras från att lyssna på en port.

  • Inaktivera dolt läge (enhet)
    CSP: DisableStealthMode

    • Inte konfigurerad (standard)
    • Sant
    • False – servern fungerar i dolt läge. Brandväggsreglerna som används för att framtvinga dolt läge är implementeringsspecifika.

  • Inaktivera Unicast-svar på multicast-sändning (enhet)
    CSP: DisableUnicastResponsesToMulticastBroadcast

    • Inte konfigurerad (standard)
    • Sant – Unicast-svar på multicast-sändningstrafik blockeras.
    • Falskt

  • Globala portar tillåter sammanslagning av användarförhandsanvändare (enhet)
    CSP: GlobalPortsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt – Globala portbrandväggsregler i det lokala arkivet ignoreras och framtvingas inte.

  • Avskärmad (enhet)
    CSP: Avskärmad

    • Inte konfigurerad (standard)
    • Sant – servern blockerar all inkommande trafik oavsett andra principinställningar.
    • Falskt

Nästa steg

Slutpunktssäkerhetsprincip för brandväggar