設定防火牆Windows Defender最佳做法

Windows Defender具有進階安全性的防火牆提供主機型雙向網路流量篩選,並封鎖流入或流出本機裝置的未經授權網路流量。 根據下列最佳做法設定 Windows 防火牆,可協助您優化網路中裝置的保護。 這些建議涵蓋各種部署,包括家用網路和企業桌面/伺服器系統。

若要開啟 Windows 防火牆,請移至 [ 開始 ] 功能表,選取 [ 執行],輸入 WF.msc,然後選取 [ 確定]。 另請參閱 開啟 Windows 防火牆

保留預設設定

當您第一次開啟Windows Defender防火牆時,您可以看到適用于本機電腦的預設設定。 [概觀] 面板會顯示裝置可連線之每種網路類型的安全性設定。

Windows Defender第一次開啟具有進階安全性的防火牆。

圖 1:Windows Defender防火牆

  1. 網域設定檔:用於具有對 Active Directory 網域控制站進行帳戶驗證系統的網路
  2. 私人設定檔:專為專用且最適合用於私人網路,例如主機網路
  3. 公用設定檔:針對公用網路,例如Wi-Fi熱點、咖啡廳、機場、旅館或商店,以較高的安全性為設計

以滑鼠右鍵按一下左窗格中具有 [進階安全性] 節點的最上層Windows Defender [防火牆],然後選取 [屬性],以檢視每個設定檔的詳細設定。

盡可能維護 Windows Defender 防火牆中的預設設定。 這些設定是設計來保護裝置,以便在大部分的網路案例中使用。 其中一個重要範例是輸入連線的預設封鎖行為。

自動產生的行動電話描述螢幕擷取畫面。

圖 2:預設輸入/輸出設定

重要

若要維持最大安全性,請勿變更輸入連線的預設 [封鎖] 設定。

如需設定基本防火牆設定的詳細資訊,請參閱 開啟 Windows 防火牆和設定預設行為檢查清單:設定基本防火牆設定

瞭解輸入規則的規則優先順序

在許多情況下,系統管理員的下一個步驟是使用規則來自訂這些設定檔 (有時稱為篩選) ,以便使用使用者應用程式或其他類型的軟體。 例如,系統管理員或使用者可以選擇新增規則以容納程式、開啟埠或通訊協定,或允許預先定義的流量類型。

以滑鼠右鍵按一下 [輸入 規則 ] 或 [輸出 規則],然後選取 [新增規則],即可完成此新增 規則工作。 新增規則的介面看起來像這樣:

規則建立精靈。

圖 3:規則建立精靈

注意

本文未涵蓋逐步規則設定。 如需原則建立的一般指引,請參閱 具有進階安全性的 Windows 防火牆部署指南

在許多情況下,應用程式必須在網路中運作,才能允許特定類型的輸入流量。 當允許這些輸入例外狀況時,系統管理員應該記住下列規則優先順序行為。

  1. 明確定義的允許規則會優先于預設區塊設定。
  2. 明確封鎖規則的優先順序會高於任何衝突的允許規則。
  3. 較特定的規則會優先于較不明確的規則,除非有 2 中所述的明確封鎖規則。 (例如,如果規則 1 的參數包含 IP 位址範圍,而規則 2 的參數包含單一 IP 主機位址,則規則 2 會優先。)

因為 1 和 2,所以在設計一組原則時,請務必確定沒有其他明確封鎖規則可能會不小心重迭,進而防止您想要允許的流量。

建立輸入規則時的一般安全性最佳做法是盡可能明確。 不過,當必須建立使用埠或 IP 位址的新規則時,請考慮盡可能使用連續的範圍或子網,而不是個別的位址或埠。 這種方法可避免在幕後建立多個篩選、降低複雜度,並有助於避免效能降低。

注意

Windows Defender防火牆不支援傳統加權、系統管理員指派的規則排序。 您可以記住上述幾個、一致且邏輯規則行為,以建立具有預期行為的有效原則集。

第一次啟動前建立新應用程式的規則

輸入允許規則

第一次安裝時,網路應用程式和服務會發出接聽呼叫,指定它們正常運作所需的通訊協定/埠資訊。 由於防火牆Windows Defender預設封鎖動作,因此必須建立輸入例外規則以允許此流量。 應用程式或應用程式安裝程式本身通常會新增此防火牆規則。 否則,使用者 (或防火牆系統管理員代表使用者) 必須手動建立規則。

如果沒有作用中的應用程式或系統管理員定義的允許規則 () ,對話方塊會提示使用者在第一次啟動應用程式時允許或封鎖應用程式的封包,或嘗試在網路中通訊。

  • 如果使用者具有系統管理員許可權,系統會提示他們。 如果他們回應 [否] 或取消提示,將會建立封鎖規則。 通常會建立兩個規則,每個規則都適用于 TCP 和 UDP 流量。

  • 如果使用者不是本機系統管理員,則不會提示他們。 在大部分情況下,將會建立封鎖規則。

在上述任一案例中,新增這些規則之後,必須刪除它們,才能再次產生提示。 如果沒有,流量將會繼續遭到封鎖。

注意

防火牆的預設設定是針對安全性而設計的。 根據預設,允許所有輸入連線會使網路面臨各種威脅。 因此,從協力廠商軟體建立輸入連線的例外狀況,應該由信任的應用程式開發人員、使用者或代表使用者的系統管理員決定。

自動建立規則的已知問題

為您的網路設計一組防火牆原則時,最佳做法是為主機上部署的任何網路應用程式設定允許規則。 讓這些規則在使用者第一次啟動應用程式之前就緒,有助於確保順暢的體驗。

缺少這些分段規則並不一定表示應用程式最後將無法在網路上通訊。 不過,在執行時間自動建立應用程式規則所涉及的行為需要使用者互動和管理許可權。 如果非系統管理使用者預期會使用裝置,您應該遵循最佳做法,並在應用程式第一次啟動之前提供這些規則,以避免發生非預期的網路問題。

若要判斷為何某些應用程式無法在網路中通訊,請檢查下列實例:

  1. 具有足夠許可權的使用者會收到查詢通知,通知他們應用程式必須變更防火牆原則。 若未完全瞭解提示,使用者會取消或關閉提示。
  2. 使用者缺乏足夠的許可權,因此不會提示您允許應用程式進行適當的原則變更。
  3. 本機原則合併已停用,導致應用程式或網路服務無法建立本機規則。

系統管理員也可以使用 [設定] 應用程式或群組原則,在執行時間建立應用程式規則。

Windows 防火牆提示。

圖 4:允許存取的對話方塊

另請參閱 檢查清單:建立輸入防火牆規則

建立本機原則合併和應用程式規則

可以部署防火牆規則:

  1. 在本機使用防火牆嵌入式管理單元 (WF.msc)
  2. 在本機使用 PowerShell
  3. 如果裝置是 Active Directory 名稱、System Center Configuration Manager或使用工作場所加入Intune (的成員,請從遠端使用群組原則)

規則合併設定可控制如何合併來自不同原則來源的規則。 系統管理員可以為網域、私人和公用設定檔設定不同的合併行為。

規則合併設定允許或防止本機系統管理員建立自己的防火牆規則,以及從群組原則取得的規則。

自訂設定。

圖 5:規則合併設定

提示

在防火牆 設定服務提供者中,對等的設定為 AllowLocalPolicyMerge。 您可以在每個個別的設定檔節點、DomainProfilePrivateProfile 和 PublicProfile下找到此設定。* *

如果停用合併本機原則,則需要針對任何需要輸入連線的應用程式集中部署規則。

系統管理員可以在高安全性環境中停用 LocalPolicyMerge ,以更緊密地控制端點。 此設定可能會影響一些應用程式和服務,這些應用程式和服務會在安裝時自動產生本機防火牆原則,如上所述。 若要讓這些類型的應用程式和服務能夠運作,系統管理員應該透過群組原則 (GP) 、行動裝置管理 (MDM) ,或混合式或共同管理環境的 () 集中推送規則。

防火牆 CSP原則 CSP 也有可能會影響規則合併的設定。

最佳做法是列出和記錄這類應用程式,包括用於通訊的網路埠。 一般而言,您可以在應用程式的網站上找到特定服務必須開啟的埠。 若要進行更複雜或客戶的應用程式部署,可能需要使用網路封包擷取工具進行更徹底的分析。

一般而言,為了維持最大的安全性,系統管理員應該只針對判斷為合法目的的應用程式和服務推送防火牆例外狀況。

注意

應用程式規則不支援使用萬用字元模式,例如 C:*\teams.exe 。 我們目前僅支援使用應用程式 () 的完整路徑所建立的規則。

瞭解如何針對主動式攻擊使用「防護」模式

您可以用來減輕作用中攻擊期間損害的重要防火牆功能是「防護」模式。 這是非正式的詞彙,指的是防火牆系統管理員在面對主動式攻擊時可以用來暫時提高安全性的簡單方法。

您可以檢查 [封鎖所有連入連線],包括 Windows [設定] 應用程式或舊版檔案中所找到之允許應用程式設定清單中的 * 連線,firewall.cpl*。

傳入連線。

圖 6:Windows 設定應用程式/Windows 安全性/防火牆保護/網路類型

防火牆 cpl。

圖 7:舊版firewall.cpl

根據預設,Windows Defender防火牆會封鎖所有專案,除非已建立例外狀況規則。 此設定會覆寫例外狀況。

例如,遠端桌面功能會在啟用時自動建立防火牆規則。 不過,如果主機上有使用多個埠和服務的作用中惡意探索,您可以使用防護向上模式封鎖所有輸入連線,並覆寫先前的例外狀況,包括遠端桌面的規則,而不是停用個別規則。 遠端桌面規則會保持不變,但只要啟動防護功能,遠端存取將無法運作。

一旦緊急狀況結束,請取消核取設定以還原一般網路流量。

建立輸出規則

以下是設定輸出規則的一些一般指導方針。

  • 針對某些高度安全的環境,可以考慮針對輸出規則封鎖的預設設定。 不過,輸入規則組態絕對不應該以預設允許流量的方式變更
  • 建議針對大部分部署預設允許輸出,以簡化應用程式部署,除非企業偏好嚴格的安全性控制,而非便於使用
  • 在高安全性環境中,系統管理員或系統管理員必須清查所有跨企業的應用程式並加以記錄。 記錄必須包含使用的應用程式是否需要網路連線。 系統管理員必須建立每個需要網路連線能力的應用程式專用的新規則,並透過群組原則 (GP) 、行動裝置管理 (MDM) ,或混合式或共同管理環境的兩 (,集中推送這些規則)

如需建立輸出規則的相關工作,請 參閱檢查清單:建立輸出防火牆規則

記錄您的變更

建立輸入或輸出規則時,您應該指定應用程式本身的詳細資料、使用的埠範圍,以及建立日期等重要注意事項。 規則必須妥善記載,以方便您和其他系統管理員檢閱。 我們強烈建議您花點時間在日後更輕鬆地檢閱防火牆規則。 而且 絕對不要 在防火牆中建立不必要的漏洞。