共用方式為


Intune 中端點安全性的防火牆原則設定

檢視您可以在 Intune 端點安全性節點的 防火牆 原則配置檔中設定的設定,作為 端點安全策略的一部分。

適用於:

  • macOS
  • Windows 10
  • Windows 11

注意事項

從 2022 年 4 月 5 日開始, Windows 10 和 更新版本平臺的防火牆配置檔已由 Windows 平臺和這些相同配置檔的新實例取代。 在該日期之後建立的配置檔會使用 [設定目錄] 中找到的新設定格式。 透過這項變更,您就無法再建立舊配置檔的新版本,也無法再進行開發。 雖然您無法再建立舊版配置檔的新實例,但您可以繼續編輯並使用您先前建立的檔案實例。

針對使用新設定格式的配置檔,Intune 不再依名稱維護每個設定的清單。 相反地,每個設定的名稱、其組態選項,以及您在 Microsoft Intune 系統管理中心看到的說明文字,都會直接從設定授權內容取得。 該內容可以提供有關在其適當內容中使用設定的詳細資訊。 檢視設定資訊文字時,您可以使用其 [ 深入瞭解] 鏈接來開啟該內容。

本文中 Windows 設定檔的設定詳細資料適用於已淘汰的配置檔。

支援的平台與設定檔:

  • macOS:

    • 配置檔: macOS 防火牆
  • Windows 10 和更新版本

    • 配置檔: Windows 防火牆

macOS 防火牆配置檔

防火牆

下列設定設定 為macOS防火牆的端點安全策略

  • 啟用防火牆

    • 未設定 ()
    • - 啟用防火牆。

    當設定為 [是] 時,您可以設定下列設定。

    • 封鎖所有連入連線

      • 未設定 ()
      • - 封鎖所有連入連線,但基本因特網服務所需的連線除外,例如 DHCP、Bonjour 和 IPSec。 這會封鎖所有共享服務。
    • 啟用隱形模式

      • 未設定 ()
      • - 防止計算機回應探查要求。 計算機仍會回答授權應用程式的傳入要求。
    • 防火牆應用程式 展開下拉式清單,然後選取 [新增 ],然後針對應用程式的連入連線指定應用程式和規則。

      • 允許連入連線

        • 尚未設定
        • 封鎖
        • 允許
      • 套件組合識別 碼 - 識別碼可識別應用程式。 例如: com.apple.app

Windows 防火牆配置檔

Windows 防火牆

下列設定會設定 為 Windows 防火牆的端點安全策略

  • 具狀態檔傳輸通訊協定 (FTP)
    CSP: MdmStore/Global/DisableStatefulFtp

    • 未設定 ()
    • 允許 - 防火牆會執行具狀態檔傳輸通訊協定 (FTP) 篩選以允許次要連線。
    • 已停用 - 已停用具狀態 FTP。
  • 安全性關聯在刪除前可以閑置的秒數
    CSP: MdmStore/Global/SaIdleTime

    指定介於 300 到 3600 之間的秒數時間,以瞭解在看不到網路流量之後,安全性關聯的保留時間長度。

    如果您未指定任何值,系統會在閑置 300 秒之後刪除安全性關聯。

  • 預先共用的金鑰編碼
    CSP: MdmStore/Global/PresharedKeyEncoding

    如果您不需要 UTF-8,則預先共用的金鑰一開始會使用UTF-8進行編碼。 之後,裝置使用者可以選擇另一個編碼方法。

    • 未設定 ()
    • UTF-8
  • 防火牆 IP 沒有豁免秒

    • 未設定 (預設) - 未設定時,您可以存取可個別設定的下列 IP 秒豁免設定。

    • - 關閉所有防火牆 IP 秒豁免。 下列設定無法進行設定。

    • 防火牆 IP 秒豁免允許芳鄰探索
      CSP: MdmStore/Global/IPsecExempt

      • 未設定 ()
      • - 防火牆 IPsec 豁免允許芳鄰探索。
    • 防火牆 IP 秒豁免允許 ICMP
      CSP: MdmStore/Global/IPsecExempt

      • 未設定 ()
      • - 防火牆 IPsec 豁免允許 ICMP。
    • 防火牆 IP 秒豁免允許路由器探索
      CSP: MdmStore/Global/IPsecExempt

      • 未設定 ()
      • -防火牆 IPsec 豁免允許路由器探索。
    • 防火牆 IP 秒豁免允許 DHCP
      CSP: MdmStore/Global/IPsecExempt

      • 未設定 ()
      • -防火牆 IP 秒豁免允許 DHCP
  • CRL) 驗證 (證書吊銷清單
    CSP: MdmStore/Global/CRLcheck

    指定如何強制執行 CRL) 驗證 (證書吊銷清單。

    • 未設定 (預設) - 使用用戶端預設值,也就是停用 CRL 驗證。
    • 嘗試
    • 需要
  • 要求金鑰模組只忽略不支援的驗證套件
    CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • 未設定 ()
    • Disabled
    • 已啟用 - 金鑰處理模組會忽略不支援的驗證套件。
  • 封包佇列
    CSP: MdmStore/Global/EnablePacketQueue

    針對 IPsec 通道閘道閘道的加密接收和純文字轉寄,指定如何在接收端啟用軟體的調整。 這可確保保留封包順序。

    • 未設定 (預設) - 封包佇列會傳回至停用的客戶端預設值。
    • Disabled
    • 佇列輸入
    • 佇列輸出
    • 將兩者排入佇列
  • 開啟網域網路的 Windows 防火牆
    CSP: EnableFirewall

    • 未設定 (預設) - 用戶端會回到其預設值,也就是啟用防火牆。
    • - 已開啟並強制執行網 網路類型的 Windows 防火牆。 您也可以存取此網路的其他設定。
    • - 停用防火牆。

    設定為 [ ] 時,此網络的其他設定:

    • 封鎖隱形模式
      CSP: DisableStealthMode

      根據預設,會在裝置上啟用隱形模式。 它有助於防止惡意使用者探索網路裝置及其執行服務的相關信息。 停用隱形模式可能會使裝置容易遭受攻擊。

      • 沒有設定 預設 ()
    • 啟用受防護模式
      CSP: 受防護

      • 未設定 (預設) - 使用用戶端預設值,也就是停用受防護模式。
      • - 機器會進入 受防護模式,這會將其與網路隔離。 所有流量都會遭到封鎖。
    • 封鎖多播廣播的單播回應
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是允許單播回應。
      • - 封鎖多播廣播的單播回應。
      • - 強制執行客戶端預設值,也就是允許單播回應。
    • 停用輸入通知
      CSP DisableInboundNotifications

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是允許使用者通知。
      • - 當輸入規則封鎖應用程式時,會隱藏使用者通知。
      • - 允許使用者通知。
    • 封鎖輸出連線

      此設定適用於 Windows 1809 版和更新版本。 CSP: DefaultOutboundAction

      此規則會在規則清單的結尾進行評估。

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是允許連線。
      • - 所有不符合輸出規則的輸出連線都會遭到封鎖。
      • - 允許所有不符合輸出規則的連線。
    • 封鎖輸入連線
      CSP: DefaultInboundAction

      此規則會在規則清單的結尾進行評估。

      • 未設定 (預設) - 此設定會回到客戶端預設值,也就是封鎖連線。
      • - 所有不符合輸入規則的輸入連線都會遭到封鎖。
      • - 允許所有不符合輸入規則的連線。
    • 忽略授權的應用程式防火牆規則
      CSP: AuthAppsAllowUserPrefMerge

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • -忽略本地存儲中已授權的應用程式防火牆規則。
      • - 接受授權的應用程式防火牆規則。
    • 忽略全域埠防火牆規則
      CSP: GlobalPortsAllowUserPrefMerge

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • - 會忽略本地存儲中的全域埠防火牆規則。
      • - 接受全域埠防火牆規則。
    • 忽略所有本機防火牆規則
      CSP: IPsecExempt

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • - 會忽略本地存儲中的所有防火牆規則。
      • - 接受本地存儲中的防火牆規則。
    • 忽略連線安全性規則 CSP: AllowLocalIpsecPolicyMerge

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • -忽略本地存儲中的 IPsec 防火牆規則。
      • - 接受本地存儲中的 IPsec 防火牆規則。
  • 開啟專用網的 Windows 防火牆
    CSP: EnableFirewall

    • 未設定 (預設) - 用戶端會回到其預設值,也就是啟用防火牆。
    • - 已開啟並強制執行 私人 網路類型的 Windows 防火牆。 您也可以存取此網路的其他設定。
    • - 停用防火牆。

    設定為 [ ] 時,此網络的其他設定:

    • 封鎖隱形模式
      CSP: DisableStealthMode

      根據預設,會在裝置上啟用隱形模式。 它有助於防止惡意使用者探索網路裝置及其執行服務的相關信息。 停用隱形模式可能會使裝置容易遭受攻擊。

      • 沒有設定 預設 ()
    • 啟用受防護模式
      CSP: 受防護

      • 未設定 (預設) - 使用用戶端預設值,也就是停用受防護模式。
      • - 機器會進入 受防護模式,這會將其與網路隔離。 所有流量都會遭到封鎖。
    • 封鎖多播廣播的單播回應
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是允許單播回應。
      • - 封鎖多播廣播的單播回應。
      • - 強制執行客戶端預設值,也就是允許單播回應。
    • 停用輸入通知
      CSP DisableInboundNotifications

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是允許使用者通知。
      • - 當輸入規則封鎖應用程式時,會隱藏使用者通知。
      • - 允許使用者通知。
    • 封鎖輸出連線

      此設定適用於 Windows 1809 版和更新版本。 CSP: DefaultOutboundAction

      此規則會在規則清單的結尾進行評估。

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是允許連線。
      • - 所有不符合輸出規則的輸出連線都會遭到封鎖。
      • - 允許所有不符合輸出規則的連線。
    • 封鎖輸入連線
      CSP: DefaultInboundAction

      此規則會在規則清單的結尾進行評估。

      • 未設定 (預設) - 此設定會回到客戶端預設值,也就是封鎖連線。
      • - 所有不符合輸入規則的輸入連線都會遭到封鎖。
      • - 允許所有不符合輸入規則的連線。
    • 忽略授權的應用程式防火牆規則
      CSP: AuthAppsAllowUserPrefMerge

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • -忽略本地存儲中已授權的應用程式防火牆規則。
      • - 接受授權的應用程式防火牆規則。
    • 忽略全域埠防火牆規則
      CSP: GlobalPortsAllowUserPrefMerge

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • - 會忽略本地存儲中的全域埠防火牆規則。
      • - 接受全域埠防火牆規則。
    • 忽略所有本機防火牆規則
      CSP: IPsecExempt

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • - 會忽略本地存儲中的所有防火牆規則。
      • - 接受本地存儲中的防火牆規則。
    • 忽略連線安全性規則 CSP: AllowLocalIpsecPolicyMerge

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • -忽略本地存儲中的 IPsec 防火牆規則。
      • - 接受本地存儲中的 IPsec 防火牆規則。
  • 開啟公用網路的 Windows 防火牆
    CSP: EnableFirewall

    • 未設定 (預設) - 用戶端會回到其預設值,也就是啟用防火牆。
    • - 已開啟並強制執行 用網路類型的 Windows 防火牆。 您也可以存取此網路的其他設定。
    • - 停用防火牆。

    設定為 [ ] 時,此網络的其他設定:

    • 封鎖隱形模式
      CSP: DisableStealthMode

      根據預設,會在裝置上啟用隱形模式。 它有助於防止惡意使用者探索網路裝置及其執行服務的相關信息。 停用隱形模式可能會使裝置容易遭受攻擊。

      • 沒有設定 預設 ()
    • 啟用受防護模式
      CSP: 受防護

      • 未設定 (預設) - 使用用戶端預設值,也就是停用受防護模式。
      • - 機器會進入 受防護模式,這會將其與網路隔離。 所有流量都會遭到封鎖。
    • 封鎖多播廣播的單播回應
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是允許單播回應。
      • - 封鎖多播廣播的單播回應。
      • - 強制執行客戶端預設值,也就是允許單播回應。
    • 停用輸入通知
      CSP DisableInboundNotifications

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是允許使用者通知。
      • - 當輸入規則封鎖應用程式時,會隱藏使用者通知。
      • - 允許使用者通知。
    • 封鎖輸出連線

      此設定適用於 Windows 1809 版和更新版本。 CSP: DefaultOutboundAction

      此規則會在規則清單的結尾進行評估。

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是允許連線。
      • - 所有不符合輸出規則的輸出連線都會遭到封鎖。
      • - 允許所有不符合輸出規則的連線。
    • 封鎖輸入連線
      CSP: DefaultInboundAction

      此規則會在規則清單的結尾進行評估。

      • 未設定 (預設) - 此設定會回到客戶端預設值,也就是封鎖連線。
      • - 所有不符合輸入規則的輸入連線都會遭到封鎖。
      • - 允許所有不符合輸入規則的連線。
    • 忽略授權的應用程式防火牆規則
      CSP: AuthAppsAllowUserPrefMerge

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • -忽略本地存儲中已授權的應用程式防火牆規則。
      • - 接受授權的應用程式防火牆規則。
    • 忽略全域埠防火牆規則
      CSP: GlobalPortsAllowUserPrefMerge

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • - 會忽略本地存儲中的全域埠防火牆規則。
      • - 接受全域埠防火牆規則。
    • 忽略所有本機防火牆規則
      CSP: IPsecExempt

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • - 會忽略本地存儲中的所有防火牆規則。
      • - 接受本地存儲中的防火牆規則。
    • 忽略連線安全性規則 CSP: AllowLocalIpsecPolicyMerge

      • 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
      • -忽略本地存儲中的 IPsec 防火牆規則。
      • - 接受本地存儲中的 IPsec 防火牆規則。

Windows 防火牆規則

此配置檔處於預覽狀態

下列設定會設定 為 Windows 防火牆的端點安全策略

Windows 防火牆規則

  • 名稱
    指定規則的易記名稱。 此名稱會出現在規則清單中,以協助您識別它。

  • 描述
    提供規則的描述。

  • 方向

    • 未設定 (預設) - 此規則預設為輸出流量。
    • Out - 此規則適用於輸出流量。
    • In - 此規則適用於輸入流量。
  • 動作

    • 未設定 (預設) - 規則預設為允許流量。
    • 已封鎖 - 流量會以您已設定 的方向 封鎖。
    • 允許 - 您已設定 的方向 允許流量。
  • 網路類型
    指定規則所屬的網路類型。 您可以選擇下列一或多個專案。 如果您未選取選項,此規則會套用至所有網路類型。

    • 網域
    • Private
    • Public
    • 未設定

應用程式設定

以此規則為目標的應用程式:

  • 套件系列名稱
    Get-AppxPackage

    您可以從 PowerShell 執行 Get-AppxPackage 命令來擷取套件系列名稱。

  • 檔案路徑
    CSP: FirewallRules/FirewallRuleName/App/FilePath

    若要指定應用程式的檔案路徑,請輸入用戶端裝置上的應用程式位置。 例如:C:\Windows\System\Notepad.exe

  • 服務名稱
    FirewallRules/FirewallRuleName/App/ServiceName

    當服務不是應用程式正在傳送或接收流量時,請使用 Windows 服務簡短名稱。 從 PowerShell 執行 命令可擷取 Get-Service 服務簡短名稱。

埠和通訊協議設定

指定套用此規則的本機和遠端埠:

  • Protocol (通訊協定)
    CSP: FirewallRules/FirewallRuleName/Protocol

    指定此埠規則的通訊協定。

    • TCP (6) UDP (17 等傳輸層通訊協定) 可讓您指定埠或埠範圍。
    • 針對自定義通訊協議,輸入介於 0255 之間的數位,代表 IP 通訊協定。
    • 未指定任何專案時,規則會預設為 Any
  • 介面類型
    指定規則所屬的介面類型。 您可以選擇下列一或多個專案。 如果您未選取選項,此規則會套用至所有介面類型:

    • 遠端存取
    • 無線電
    • 局域網路
    • 未設定
    • 行動寬頻 - 此選項會取代行動寬頻先前專案的使用,該專案已被取代且不再支援。
    • [不支援] 行動寬带 - 請勿使用此選項,這是原始的行動寬带選項。 此選項已無法正常運作。 將此選項的使用取代為較新版本的行動 寬頻
  • 授權的使用者
    FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    為此規則指定授權的本機用戶清單。 如果此原則中的 服務名稱 設定為 Windows 服務,則無法指定授權使用者的清單。 如果未指定授權的使用者,則預設值為 所有使用者

IP 位址設定

指定套用此規則的本機和遠端位址:

  • 任何本機位址
    未設定 (預設) - 使用下列設定 [ 本機位址範圍] * 來設定要支援的位址範圍。

    • - 支援任何本機位址,但不設定位址範圍。
  • 本機位址範圍
    CSP: FirewallRules/FirewallRuleName/LocalAddressRanges

    管理此規則的本機位址範圍。 您可以:

    • 一或多個位址新增為規則所涵蓋的本機位址逗號分隔清單。
    • 使用 'LocalAddressRanges' 標頭匯入包含本機 IP 位址範圍列表的 .csv 檔案。
    • 目前的本機位址範圍清單匯出為 .csv 檔案。

    權杖 (的有效專案) 包含下列選項:

    • 星號 - 星號 (*) 表示任何本機位址。 如果存在,星號必須是唯一包含的令牌。
    • 子網 - 使用子網掩碼或網路前綴表示法來指定子網。 如果未指定子網掩碼或網路前綴,則子網掩碼預設為 255.255.255.255。
    • 有效的 IPv6 位址
    • IPv4 位址範圍 - IPv4 範圍的格式必須是 起始位址 - 不含空格的結束位址,其中起始位址小於結束位址。
    • IPv6 位址範圍 - IPv6 範圍的格式必須是 起始位址 - 不含空格的結束位址,其中起始位址小於結束位址。

    未指定任何值時,此設定預設為使用 [任何位址]

  • 任何遠端位址
    未設定 (預設) - 使用下列設定[ 遠端位址範圍] * 來設定要支援的位址範圍。

    • - 支援任何遠端位址,但不設定位址範圍。
  • 遠端位址範圍
    CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    管理此規則的遠端位址範圍。 您可以:

    • 一或多個位址新增為規則所涵蓋遠端位址的逗號分隔清單。
    • 使用 'RemoteAddressRanges' 標頭匯入包含遠端 IP 位址範圍清單的 .csv 檔案。
    • 目前的遠端位址範圍清單匯出為 .csv 檔案。

    令牌 (的有效專案) 包含下列專案,且不區分大小寫:

    • 星號 - 星號 (*) 表示任何遠端位址。 如果存在,星號必須是唯一包含的令牌。
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • 內部網路 - 在執行 Windows 1809 或更新版本的裝置上支援。
    • RmtIntranet - 在執行 Windows 1809 或更新版本的裝置上支援。
    • Ply2Renders - 在執行 Windows 1809 或更新版本的裝置上支援。
    • LocalSubnet - 指出本機子網上的任何本機位址。
    • 子網 - 使用子網掩碼或網路前綴表示法來指定子網。 如果未指定子網掩碼或網路前綴,則子網掩碼預設為 255.255.255.255。
    • 有效的 IPv6 位址
    • IPv4 位址範圍 - IPv4 範圍的格式必須是 起始位址 - 不含空格的結束位址,其中起始位址小於結束位址。
    • IPv6 位址範圍 - IPv6 範圍的格式必須是 起始位址 - 不含空格的結束位址,其中起始位址小於結束位址。

    未指定任何值時,此設定預設為使用 [任何位址]

後續步驟

防火牆的端點安全策略