Microsoft Intune 中租户附加设备的防火墙策略设置

查看可从 Intune 使用 Windows 防火墙 (ConfigMgr) 配置文件管理的Microsoft Windows 防火墙 设置。 配置 Intune 防火墙策略时,配置文件可用,在配置 租户附加 方案时,该策略部署到使用 Configuration Manager 管理的设备。

Windows 防火墙

  • 设备) (证书吊销列表验证
    CSP: MdmStore/Global/CRLcheck

    指定证书吊销列表 (CRL) 验证的强制实施方式。

    • 未配置 (默认) - 使用客户端默认值,即禁用 CRL 验证。
    • 尝试
    • 需要
  • 禁用有状态 Ftp (设备)
    CSP: MdmStore/Global/DisableStatefulFtp

    • 未配置 (默认)
    • True - 有状态 FTP 已禁用
    • False - 防火墙执行有状态文件传输协议 (FTP) 筛选以允许辅助连接。
  • 启用数据包队列 (设备)
    CSP: MdmStore/Global/EnablePacketQueue

    从以下选项中进行选择,为 IPsec 隧道网关方案的加密接收和明文转发配置接收端软件的缩放。 这可确保保留数据包顺序。 默认情况下,不选择任何选项。

    • Disabled
    • 队列入站
    • 队列出站
  • 设备) (IPsec 异常
    CSP: MdmStore/Global/IPsecExempt

    从以下选项中进行选择以配置 IPsec 异常。

    • 从 IPsec 中免除邻居发现 IPv6 ICMP 类型代码
    • 从 IPsec 中免除 ICMP
    • 从 IPsec 中免除路由器发现 IPv6 ICMP 类型代码
    • 从 IPsec 中免除 IPv4 和 IPv6 DHCP 流量
  • 机会匹配每个 KM (设备) 的身份验证集
    CSP: 机会性MatchAuthSetPerKM

    • 未配置 (默认)
    • True
    • False
  • 设备) 预共享密钥编码 (
    CSP: MdmStore/Global/PresharedKeyEncoding

    • 未配置 (默认)
    • UTF-8。
  • 设备) (安全关联空闲时间
    CSP: MdmStore/Global/SaIdleTime

    指定 300 到 3600 之间的时间(以秒为单位),以便在看不到网络流量后将安全关联保留多长时间。 如果未指定任何值,系统会在安全关联处于空闲 状态 300 秒后将其删除。

域配置文件

  • (设备) 启用域网络防火墙
    CSP: EnableFirewall

    • 未配置 (默认) - 客户端将返回其默认值,即启用防火墙。
    • True - 网络类型的 的 Windows 防火墙已打开并强制实施。
    • False - 禁用防火墙。

    如果设置为 True,则可以为此防火墙配置文件类型配置以下设置:

    • 允许本地 Ipsec 策略 (设备) 合并
      CSP: AllowLocalIpsecPolicyMerge

      • 未配置 (默认)
      • True
      • False - 忽略本地存储区中的连接安全规则,并且不会强制实施。
    • 允许本地策略合并 (设备)
      CSP: AllowLocalPolicyMerge

      • 未配置 (默认)
      • True
      • False - 忽略本地存储中的防火墙规则,并且不会强制实施。
    • 身份验证应用允许用户 (设备) 进行预合并
      CSP: AuthAppsAllowUserPrefMerge

      • 未配置 (默认)
      • True
      • False
    • 域配置文件 (设备) 的默认入站操作
      CSP: DefaultInboundAction

      • 未配置 (默认)
      • 允许
      • 阻止
    • 默认出站操作 (设备)
      CSP: DefaultOutboundAction

      • 允许
      • 阻止
    • 禁用设备) (入站通知
      CSP: DisableInboundNotifications

      • 未配置 (默认)
      • True - 当阻止应用程序侦听端口时,防火墙不会向用户显示通知。
      • False - 当阻止应用程序侦听端口时,防火墙可能会向用户显示通知。
    • 禁用设备) (隐藏模式
      CSP: DisableStealthMode

      • 未配置 (默认)
      • True
      • False - 服务器在隐藏模式下运行。 用于强制实施隐藏模式的防火墙规则特定于实现。
    • 禁用对多播广播 (设备) 的单播响应
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • 未配置 (默认)
      • True - 阻止对多播广播流量的单播响应。
      • False
    • 全局端口允许用户 (设备) 进行预合并
      CSP: GlobalPortsAllowUserPrefMerge

      • 未配置 (默认)
      • True
      • False - 本地存储区中的全局端口防火墙规则将被忽略且未强制实施。
    • 受防护 (设备)
      CSP: 受防护

      • 未配置 (默认)
      • True - 服务器阻止所有传入流量,而不考虑其他策略设置。
      • False

专用配置文件

  • (设备) 启用专用网络防火墙
    CSP: EnableFirewall

    • 未配置 (默认) - 客户端将返回其默认值,即启用防火墙。
    • True - 启用并强制实施 专用 网络类型的 Windows 防火墙。
    • False - 禁用防火墙。

    如果设置为 True,则可以为此防火墙配置文件类型配置以下设置:

    • 允许本地 Ipsec 策略 (设备) 合并
      CSP: AllowLocalIpsecPolicyMerge

      • 未配置 (默认)
      • True
      • False - 忽略本地存储区中的连接安全规则,并且不会强制实施。
    • 允许本地策略合并 (设备)
      CSP: AllowLocalPolicyMerge

      • 未配置 (默认)
      • True
      • False - 忽略本地存储中的防火墙规则,并且不会强制实施。
    • 身份验证应用允许用户 (设备) 进行预合并
      CSP: AuthAppsAllowUserPrefMerge

      • 未配置 (默认)
      • True
      • False
    • 专用配置文件 (设备) 的默认入站操作
      CSP: DefaultInboundAction

      • 未配置 (默认)
      • 允许
      • 阻止
    • 默认出站操作 (设备)
      CSP: DefaultOutboundAction

      • 允许
      • 阻止
    • 禁用设备) (入站通知
      CSP: DisableInboundNotifications

      • 未配置 (默认)
      • True - 当阻止应用程序侦听端口时,防火墙不会向用户显示通知。
      • False - 当阻止应用程序侦听端口时,防火墙可能会向用户显示通知。
    • 禁用设备) (隐藏模式
      CSP: DisableStealthMode

      • 未配置 (默认)
      • True
      • False - 服务器在隐藏模式下运行。 用于强制实施隐藏模式的防火墙规则特定于实现。
    • 禁用对多播广播 (设备) 的单播响应
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • 未配置 (默认)
      • True - 阻止对多播广播流量的单播响应。
      • False
    • 全局端口允许用户 (设备) 进行预合并
      CSP: GlobalPortsAllowUserPrefMerge

      • 未配置 (默认)
      • True
      • False - 本地存储区中的全局端口防火墙规则将被忽略且未强制实施。
    • 受防护 (设备)
      CSP: 受防护

      • 未配置 (默认)
      • True - 服务器阻止所有传入流量,而不考虑其他策略设置。
      • False

公共配置文件

  • (设备) 启用公用网络防火墙
    CSP: EnableFirewall

    • 未配置 (默认) - 客户端将返回其默认值,即启用防火墙。
    • True - 公共网络类型的 Windows 防火墙已打开并强制实施。
    • False - 禁用防火墙。

    如果设置为 True,则可以为此防火墙配置文件类型配置以下设置:

    • 允许本地 Ipsec 策略 (设备) 合并
      CSP: AllowLocalIpsecPolicyMerge

      • 未配置 (默认)
      • True
      • False - 忽略本地存储区中的连接安全规则,并且不会强制实施。
    • 允许本地策略合并 (设备)
      CSP: AllowLocalPolicyMerge

      • 未配置 (默认)
      • True
      • False - 忽略本地存储中的防火墙规则,并且不会强制实施。
    • 身份验证应用允许用户 (设备) 进行预合并
      CSP: AuthAppsAllowUserPrefMerge

      • 未配置 (默认)
      • True
      • False
    • 公共配置文件 (设备) 的默认入站操作
      CSP: DefaultInboundAction

      • 未配置 (默认)
      • 允许
      • 阻止
    • 默认出站操作 (设备)
      CSP: DefaultOutboundAction

      • 允许
      • 阻止
    • 禁用设备) (入站通知
      CSP: DisableInboundNotifications

      • 未配置 (默认)
      • True - 当阻止应用程序侦听端口时,防火墙不会向用户显示通知。
      • False - 当阻止应用程序侦听端口时,防火墙可能会向用户显示通知。
    • 禁用设备) (隐藏模式
      CSP: DisableStealthMode

      • 未配置 (默认)
      • True
      • False - 服务器在隐藏模式下运行。 用于强制实施隐藏模式的防火墙规则特定于实现。
    • 禁用对多播广播 (设备) 的单播响应
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • 未配置 (默认)
      • True - 阻止对多播广播流量的单播响应。
      • False
    • 全局端口允许用户 (设备) 进行预合并
      CSP: GlobalPortsAllowUserPrefMerge

      • 未配置 (默认)
      • True
      • False - 本地存储区中的全局端口防火墙规则将被忽略且未强制实施。
    • 受防护 (设备)
      CSP: 受防护

      • 未配置 (默认)
      • True - 服务器阻止所有传入流量,而不考虑其他策略设置。
      • False

后续步骤

防火墙的终结点安全策略