Intune 中终结点安全的防火墙策略设置
在作为终结点安全策略的一部分的 Intune 终结点安全节点中查看可在防火墙策略配置文件中配置的设置。
应用于:
- macOS
- Windows 10
- Windows 11
注意
从 2022 年 4 月 5 日开始, Windows 10 及更高版本的 平台的防火墙配置文件已替换为 Windows 平台和这些相同配置文件的新实例。 在该日期之后创建的配置文件使用设置目录中的新设置格式。 通过此更改,你无法再创建旧配置文件的新版本,并且不再开发这些配置文件。 尽管无法再创建旧配置文件的新实例,但可以继续编辑和使用以前创建的实例。
对于使用新设置格式的配置文件,Intune 不再按名称维护每个设置的列表。 相反,Microsoft Intune 管理中心中看到的每个设置的名称、配置选项及其解释性文本直接取自设置权威内容。 该内容可以提供有关设置在其适当上下文中的使用的详细信息。 查看设置信息文本时,可以使用其 “了解详细信息” 链接打开该内容。
本文中 Windows 配置文件的设置详细信息适用于那些已弃用的配置文件。
支持的平台和配置文件:
macOS:
- 配置文件: macOS 防火墙
Windows 10 及更高版本:
- 配置文件: Windows 防火墙
macOS 防火墙配置文件
防火墙
以下设置配置为 macOS 防火墙的终结点安全策略
启用防火墙
- 未配置 (默认)
- 是 - 启用防火墙。
设置为 “是”时,可以配置以下设置。
阻止所有传入连接
- 未配置 (默认)
- 是 - 阻止除基本 Internet 服务(如 DHCP、Bonjour 和 IPSec)所需的连接之外的所有传入连接。 这会阻止所有共享服务。
启用隐藏模式
- 未配置 (默认)
- 是 - 阻止计算机响应探测请求。 计算机仍会回答已授权应用的传入请求。
防火墙应用 展开下拉列表,然后选择“ 添加 ”,然后为应用的传入连接指定应用和规则。
允许传入连接
- 未配置
- 阻止
- 允许
捆绑 ID - 该 ID 标识应用。 例如: com.apple.app
Windows 防火墙配置文件
Windows 防火墙
以下设置配置为 Windows 防火墙的终结点安全策略。
有状态文件传输协议 (FTP)
CSP: MdmStore/Global/DisableStatefulFtp- 未配置 (默认)
- 允许 - 防火墙执行有状态文件传输协议 (FTP) 筛选以允许辅助连接。
- 已禁用 - 禁用有状态 FTP。
安全关联在删除之前可以处于空闲状态的秒数
CSP: MdmStore/Global/SaIdleTime指定 300 到 3600 之间的时间(以秒为单位),以便在看不到网络流量后将安全关联保留多长时间。
如果未指定任何值,系统会在安全关联处于空闲状态 300 秒后将其删除。
预共享密钥编码
CSP: MdmStore/Global/PresharedKeyEncoding如果不需要 UTF-8,则预共享密钥最初使用 UTF-8 进行编码。 之后,设备用户可以选择其他编码方法。
- 未配置 (默认)
- 无
- UTF-8。
防火墙 IP sec 没有豁免
未配置 (默认) - 如果未配置,你将有权访问可单独配置的以下 IP 秒豁免设置。
是 - 关闭所有防火墙 IP 秒豁免。 无法配置以下设置。
防火墙 IP 秒豁免允许邻居发现
CSP: MdmStore/Global/IPsecExempt- 未配置 (默认)
- 是 - 防火墙 IPsec 例外允许邻居发现。
防火墙 IP 秒豁免允许 ICMP
CSP: MdmStore/Global/IPsecExempt- 未配置 (默认)
- 是 - 防火墙 IPsec 豁免允许 ICMP。
防火墙 IP 秒豁免允许路由器发现
CSP: MdmStore/Global/IPsecExempt- 未配置 (默认)
- 是 - 防火墙 IPsec 例外允许路由器发现。
防火墙 IP 秒豁免允许 DHCP
CSP: MdmStore/Global/IPsecExempt- 未配置 (默认)
- 是 - 防火墙 IP 秒豁免允许 DHCP
证书吊销列表 (CRL) 验证
CSP: MdmStore/Global/CRLcheck指定证书吊销列表 (CRL) 验证的强制实施方式。
- 未配置 (默认) - 使用客户端默认值,即禁用 CRL 验证。
- 无
- 尝试
- 需要
要求密钥模块仅忽略它们不支持的身份验证套件
CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM- 未配置 (默认)
- Disabled
- 已启用 - 密钥模块忽略不受支持的身份验证套件。
数据包队列
CSP: MdmStore/Global/EnablePacketQueue为 IPsec 隧道网关方案指定如何在接收端为软件启用加密接收和明文转发。 这可确保保留数据包顺序。
- 未配置 (默认) - 数据包队列将返回到客户端默认值(已禁用)。
- Disabled
- 队列入站
- 队列出站
- 将两者都排队
为域网络启用 Windows 防火墙
CSP: EnableFirewall- 未配置 (默认) - 客户端将返回其默认值,即启用防火墙。
- 是 - 网络类型的 域 的 Windows 防火墙已打开并强制实施。 还可以访问此网络的其他设置。
- 否 - 禁用防火墙。
设置为“ 是”时,此网络的其他设置:
阻止隐藏模式
CSP: DisableStealthMode默认情况下,在设备上启用隐藏模式。 它有助于防止恶意用户发现有关网络设备和他们运行的服务的信息。 禁用隐藏模式会使设备容易受到攻击。
- 未配置 (默认)
- 是
- 否
启用受防护模式
CSP: 受防护- 未配置 (默认) - 使用客户端默认值,即禁用受防护模式。
- 是 - 计算机处于 受防护模式,从而将其与网络隔离。 阻止所有流量。
- 否
阻止对多播广播的单播响应
CSP: DisableUnicastResponsesToMulticastBroadcast- 未配置 (默认) - 设置将返回到客户端默认值,即允许单播响应。
- 是 - 阻止对多播广播的单播响应。
- 否 - 强制客户端默认值,即允许单播响应。
禁用入站通知
CSP DisableInboundNotifications- 未配置 (默认) - 设置将返回到客户端默认值,即允许用户通知。
- 是 - 当应用程序被入站规则阻止时,将取消用户通知。
- 否 - 允许用户通知。
阻止出站连接
此设置适用于 Windows 版本 1809 及更高版本。 CSP: DefaultOutboundAction
此规则在规则列表的末尾进行评估。
- 未配置 (默认) - 设置将返回到客户端默认值,即允许连接。
- 是 - 阻止与出站规则不匹配的所有出站连接。
- 否 - 允许与出站规则不匹配的所有连接。
阻止入站连接
CSP: DefaultInboundAction此规则在规则列表的末尾进行评估。
- 未配置 (默认) - 设置将返回到客户端默认值,即阻止连接。
- 是 - 阻止与入站规则不匹配的所有入站连接。
- 否 - 允许与入站规则不匹配的所有连接。
忽略授权的应用程序防火墙规则
CSP: AuthAppsAllowUserPrefMerge- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的授权应用程序防火墙规则。
- 否 - 遵循授权的应用程序防火墙规则。
忽略全局端口防火墙规则
CSP: GlobalPortsAllowUserPrefMerge- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的全局端口防火墙规则。
- 否 - 遵循全局端口防火墙规则。
忽略所有本地防火墙规则
CSP: IPsecExempt- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的所有防火墙规则。
- 否 - 遵循本地存储中的防火墙规则。
忽略连接安全规则 CSP: AllowLocalIpsecPolicyMerge
- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的 IPsec 防火墙规则。
- 否 - 遵循本地存储中的 IPsec 防火墙规则。
为专用网络启用 Windows 防火墙
CSP: EnableFirewall- 未配置 (默认) - 客户端将返回其默认值,即启用防火墙。
- 是 - 网络类型的 专用 Windows 防火墙已打开并强制实施。 还可以访问此网络的其他设置。
- 否 - 禁用防火墙。
设置为“ 是”时,此网络的其他设置:
阻止隐藏模式
CSP: DisableStealthMode默认情况下,在设备上启用隐藏模式。 它有助于防止恶意用户发现有关网络设备和他们运行的服务的信息。 禁用隐藏模式会使设备容易受到攻击。
- 未配置 (默认)
- 是
- 否
启用受防护模式
CSP: 受防护- 未配置 (默认) - 使用客户端默认值,即禁用受防护模式。
- 是 - 计算机处于 受防护模式,从而将其与网络隔离。 阻止所有流量。
- 否
阻止对多播广播的单播响应
CSP: DisableUnicastResponsesToMulticastBroadcast- 未配置 (默认) - 设置将返回到客户端默认值,即允许单播响应。
- 是 - 阻止对多播广播的单播响应。
- 否 - 强制客户端默认值,即允许单播响应。
禁用入站通知
CSP DisableInboundNotifications- 未配置 (默认) - 设置将返回到客户端默认值,即允许用户通知。
- 是 - 当应用程序被入站规则阻止时,将取消用户通知。
- 否 - 允许用户通知。
阻止出站连接
此设置适用于 Windows 版本 1809 及更高版本。 CSP: DefaultOutboundAction
此规则在规则列表的末尾进行评估。
- 未配置 (默认) - 设置将返回到客户端默认值,即允许连接。
- 是 - 阻止与出站规则不匹配的所有出站连接。
- 否 - 允许与出站规则不匹配的所有连接。
阻止入站连接
CSP: DefaultInboundAction此规则在规则列表的末尾进行评估。
- 未配置 (默认) - 设置将返回到客户端默认值,即阻止连接。
- 是 - 阻止与入站规则不匹配的所有入站连接。
- 否 - 允许与入站规则不匹配的所有连接。
忽略授权的应用程序防火墙规则
CSP: AuthAppsAllowUserPrefMerge- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的授权应用程序防火墙规则。
- 否 - 遵循授权的应用程序防火墙规则。
忽略全局端口防火墙规则
CSP: GlobalPortsAllowUserPrefMerge- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的全局端口防火墙规则。
- 否 - 遵循全局端口防火墙规则。
忽略所有本地防火墙规则
CSP: IPsecExempt- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的所有防火墙规则。
- 否 - 遵循本地存储中的防火墙规则。
忽略连接安全规则 CSP: AllowLocalIpsecPolicyMerge
- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的 IPsec 防火墙规则。
- 否 - 遵循本地存储中的 IPsec 防火墙规则。
为公用网络启用 Windows 防火墙
CSP: EnableFirewall- 未配置 (默认) - 客户端将返回其默认值,即启用防火墙。
- 是 - 公共网络类型的 Windows 防火墙已打开并强制实施。 还可以访问此网络的其他设置。
- 否 - 禁用防火墙。
设置为“ 是”时,此网络的其他设置:
阻止隐藏模式
CSP: DisableStealthMode默认情况下,在设备上启用隐藏模式。 它有助于防止恶意用户发现有关网络设备和他们运行的服务的信息。 禁用隐藏模式会使设备容易受到攻击。
- 未配置 (默认)
- 是
- 否
启用受防护模式
CSP: 受防护- 未配置 (默认) - 使用客户端默认值,即禁用受防护模式。
- 是 - 计算机处于 受防护模式,从而将其与网络隔离。 阻止所有流量。
- 否
阻止对多播广播的单播响应
CSP: DisableUnicastResponsesToMulticastBroadcast- 未配置 (默认) - 设置将返回到客户端默认值,即允许单播响应。
- 是 - 阻止对多播广播的单播响应。
- 否 - 强制客户端默认值,即允许单播响应。
禁用入站通知
CSP DisableInboundNotifications- 未配置 (默认) - 设置将返回到客户端默认值,即允许用户通知。
- 是 - 当应用程序被入站规则阻止时,将取消用户通知。
- 否 - 允许用户通知。
阻止出站连接
此设置适用于 Windows 版本 1809 及更高版本。 CSP: DefaultOutboundAction
此规则在规则列表的末尾进行评估。
- 未配置 (默认) - 设置将返回到客户端默认值,即允许连接。
- 是 - 阻止与出站规则不匹配的所有出站连接。
- 否 - 允许与出站规则不匹配的所有连接。
阻止入站连接
CSP: DefaultInboundAction此规则在规则列表的末尾进行评估。
- 未配置 (默认) - 设置将返回到客户端默认值,即阻止连接。
- 是 - 阻止与入站规则不匹配的所有入站连接。
- 否 - 允许与入站规则不匹配的所有连接。
忽略授权的应用程序防火墙规则
CSP: AuthAppsAllowUserPrefMerge- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的授权应用程序防火墙规则。
- 否 - 遵循授权的应用程序防火墙规则。
忽略全局端口防火墙规则
CSP: GlobalPortsAllowUserPrefMerge- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的全局端口防火墙规则。
- 否 - 遵循全局端口防火墙规则。
忽略所有本地防火墙规则
CSP: IPsecExempt- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的所有防火墙规则。
- 否 - 遵循本地存储中的防火墙规则。
忽略连接安全规则 CSP: AllowLocalIpsecPolicyMerge
- 未配置 (默认) - 设置将返回到客户端默认值,即遵循本地规则。
- 是 - 忽略本地存储中的 IPsec 防火墙规则。
- 否 - 遵循本地存储中的 IPsec 防火墙规则。
Windows 防火墙规则
此配置文件以预览版提供。
以下设置配置为 Windows 防火墙的终结点安全策略。
Windows 防火墙规则
名称
为规则指定友好名称。 此名称将显示在规则列表中,以帮助你识别它。说明
提供规则的说明。方向
- 未配置 (默认) - 此规则默认为出站流量。
- Out - 此规则适用于出站流量。
- In - 此规则适用于入站流量。
操作
- 未配置 (默认) - 规则默认为允许流量。
- 已阻止 - 流量在配置 的方向 被阻止。
- 允许 - 已配置 的方向 允许流量。
网络类型
指定规则所属的网络类型。 可以选择以下一项或多项。 如果未选择某个选项,则规则将应用于所有网络类型。- 域
- Private
- Public
- 未配置
应用程序设置
以以下规则为目标的应用程序:
包系列名称
Get-AppxPackage可以通过从 PowerShell 运行 Get-AppxPackage 命令来检索包系列名称。
文件路径
CSP: FirewallRules/FirewallRuleName/App/FilePath若要指定应用的文件路径,请在客户端设备上输入应用位置。 例如:
C:\Windows\System\Notepad.exe服务名称
FirewallRules/FirewallRuleName/App/ServiceName当服务(而不是应用程序)正在发送或接收流量时,请使用 Windows 服务短名称。 服务短名称是通过从 PowerShell 运行
Get-Service命令检索的。
端口和协议设置
指定应用此规则的本地端口和远程端口:
协议
CSP: FirewallRules/FirewallRuleName/Protocol指定此端口规则的协议。
- TCP (6) 和 UDP (17) 等传输层协议允许指定端口或端口范围。
- 对于自定义协议,请输入一个介于 0 和 255 之间的数字,表示 IP 协议。
- 如果未指定任何内容,则规则默认为 “任何”。
接口类型
指定规则所属的接口类型。 可以选择以下一项或多项。 如果未选择某个选项,则规则适用于所有接口类型:- 远程访问
- 无线
- 局域网
- 未配置
- 移动宽带 - 此选项将替换对移动宽带的上一项的使用,该条目已弃用且不再受支持。
- [不支持] 移动宽带 - 请勿使用此选项,这是原始移动宽带选项。 此选项不再正常运行。 将此选项的使用替换为较新版本的 移动宽带。
授权用户
FirewallRules/FirewallRuleName/LocalUserAuthorizationList为此规则指定已授权本地用户的列表。 如果此策略中的 服务名称 设置为 Windows 服务,则无法指定授权用户的列表。 如果未指定授权用户,则默认值为 所有用户。
IP 地址设置
指定应用此规则的本地和远程地址:
任何本地地址
未配置 (默认) - 使用以下设置 “本地地址范围”*配置要支持的地址范围。- 是 - 支持任何本地地址,并且不配置地址范围。
本地地址范围
CSP: FirewallRules/FirewallRuleName/LocalAddressRanges管理此规则的本地地址范围。 可以执行下列操作:
- 添加 一个或多个地址作为规则涵盖的本地地址的逗号分隔列表。
- 使用“LocalAddressRanges”标头导入包含本地 IP 地址范围列表的 .csv 文件。
- 将 当前本地地址范围列表导出为 .csv 文件。
有效条目 (令牌) 包括以下选项:
- 星号 - 星号 (*) 表示任何本地地址。 如果存在,则星号必须是包含的唯一标记。
- 子网 - 使用子网掩码或网络前缀表示法指定子网。 如果未指定子网掩码或网络前缀,则子网掩码默认为 255.255.255.255。
- 有效的 IPv6 地址
- IPv4 地址范围 - IPv4 范围必须采用 开始地址 - 结束地址 的格式,不包含空格,其中起始地址小于结束地址。
- IPv6 地址范围 - IPv6 范围必须采用 开始地址 - 结束地址 的格式,不包含空格,其中起始地址小于结束地址。
如果未指定任何值,则此设置默认使用 “任何地址”。
任何远程地址
未配置 (默认) - 使用以下设置 远程地址范围*配置要支持的地址范围。- 是 - 支持任何远程地址,并且不配置地址范围。
远程地址范围
CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges管理此规则的远程地址范围。 可以执行下列操作:
- 添加 一个或多个地址作为规则涵盖的远程地址的逗号分隔列表。
- 使用“RemoteAddressRanges”标头导入包含远程 IP 地址范围列表的 .csv 文件。
- 将 当前远程地址范围列表导出为 .csv 文件。
有效条目 (令牌) 包括以下项,并且不区分大小写:
- 星号 - 星号 (*) 表示任何远程地址。 如果存在,则星号必须是包含的唯一标记。
- Defaultgateway
- DHCP
- DNS
- WINS
- Intranet - 在运行 Windows 1809 或更高版本的设备上受支持。
- RmtIntranet - 在运行 Windows 1809 或更高版本的设备上受支持。
- Ply2Renders - 在运行 Windows 1809 或更高版本的设备上受支持。
- LocalSubnet - 指示本地子网上的任何本地地址。
- 子网 - 使用子网掩码或网络前缀表示法指定子网。 如果未指定子网掩码或网络前缀,则子网掩码默认为 255.255.255.255。
- 有效的 IPv6 地址
- IPv4 地址范围 - IPv4 范围必须采用 开始地址 - 结束地址 的格式,不包含空格,其中起始地址小于结束地址。
- IPv6 地址范围 - IPv6 范围必须采用 开始地址 - 结束地址 的格式,不包含空格,其中起始地址小于结束地址。
如果未指定任何值,则此设置默认使用 “任何地址”。