使用組策略設定規則

本文包含如何使用 Windows 防火牆搭配 進階安全性控制台來設定 Windows 防火牆規則的範例。

使用進階安全性控制台存取 Windows 防火牆

如果您要設定加入 Active Directory 網域的裝置,若要完成這些程式,您必須是網域系統管理員群組的成員,或是具有修改網域中 GPO 的委派許可權。 若要使用進階安全性控制台存取 Windows 防火牆,請 (GPO) 建立或編輯組策略對象,然後展開 [計算機>>設定原則][Windows 設定>安全性設定][具有進階安全性的 >Windows 防火牆] 節點。

如果您要設定單一裝置,則必須具有裝置的系統管理許可權。 在此情況下,若要使用進階安全性控制台存取 Windows 防火牆 ,請選取 [開始],輸入 wf.msc,然後按 ENTER

建立輸入 ICMP 規則

這種類型的規則可讓網路上的裝置接收ICMP要求和回應。 若要建立輸入 ICMP 規則:

  1. 使用進階安全性控制台開啟 Windows 防火牆
  2. 在瀏覽窗格中,選取 [ 輸入規則]
  3. 取 [動作],然後選取 [ 新增規則]
  4. 在 [新增輸入規則精靈] 的 [ 規則類型 ] 頁面上,選取 [ 自定義],然後選取 [ 下一步]
  5. 在 [ 程式] 頁面上,選取 [ 所有程式],然後選取 [ 下一步]
  6. 在 [通訊協定和埠] 頁面上,從 [通訊協定類型] 列表中選取 [ICMPv4] 或 [ICMPv6]。 如果您在網路上同時使用 IPv4 和 IPv6,則必須為每個規則建立個別的 ICMP 規則
  7. 取 [自定義]
  8. 在 [ 自定義 ICMP 設定 ] 對話框中,執行下列其中一項:
    • 若要允許所有ICMP網路流量,請選取 [所有ICMP類型],然後選取 [ 確定]
    • 若要選取其中一個預先定義的ICMP類型,請選取 [特定ICMP類型],然後在清單中選取您想要允許的每個類型。 選取 [確定]
    • 若要選取未出現在清單中的ICMP類型,請選取 [特定ICMP類型],從清單中選取 [類型 ] 編號,從清單中選取 [ 程式代碼 編號],選取 [ 新增],然後從清單中選取新建立的專案。 選取 [確定]
  9. 選取 [下一步]
  10. 在 [ 範圍] 頁面上,您可以指定規則只套用至此頁面上所輸入IP位址的網路流量。 設定為適合您的設計,然後選取 [ 下一步]
  11. 在 [ 動作] 頁面上,選取 [ 允許連線],然後選取 [ 下一步]
  12. 在 [ 配置檔] 頁面上,選取套用此規則的網路位置類型,然後選取 [ 下一步]
  13. 在 [ 名稱] 頁面上,輸入規則的名稱和描述,然後選取 [ 完成]

建立輸入連接埠規則

這種類型的規則可讓任何接聽指定 TCP 或 UDP 埠的程式接收傳送至該埠的網路流量。 若要建立輸入埠規則:

  1. 使用進階安全性控制台開啟 Windows 防火牆
  2. 在瀏覽窗格中,選取 [ 輸入規則]
  3. 取 [動作],然後選取 [ 新增規則]
  4. 在 [新增輸入規則精靈] 的 [ 規則類型 ] 頁面上,選取 [ 自定義],然後選取 [ 下一步]

    注意

    雖然您可以選取 [程式 ] 或 [ ] 來建立規則,但這些選項會限制精靈所呈現的頁面數目。 如果您選 取 [自定義],您會看到所有頁面,而且在建立規則時具有最大的彈性。

  5. 在 [ 程式] 頁面上,選取 [ 所有程式],然後選取 [ 下一步]

    注意

    這種類型的規則通常會與程式或服務規則結合。 如果您結合規則類型,您會取得防火牆規則,將流量限製為指定的埠,並且只在指定的程序執行時才允許流量。 指定的程式無法接收其他埠上的網路流量,而且其他程式無法在指定的埠上接收網路流量。 如果您選擇這樣做,請遵循建立輸入 程式或服務規則 程式中的步驟,以及此程式中的步驟來建立單一規則,以使用程式和埠準則來篩選網路流量。

  6. 在 [通訊 協定和埠 ] 頁面上,選取您想要允許的通訊協議類型。 若要將規則限制為指定的埠號碼,您必須選取 TCPUDP。 由於這是傳入規則,因此您通常只會設定本機埠號碼 如果您選取其他通訊協定,則只有IP標頭中通訊協定欄位符合此規則的封包才能通過防火牆。
    若要依其編號選取通訊協定,請從清單中選取 [ 自定義 ],然後在 [通訊 協定編號 ] 方塊中輸入該號碼。
    當您已設定通訊協定和埠時,請選取 [ 下一步]
  7. 在 [ 範圍] 頁面上,您可以指定規則只套用至此頁面上所輸入IP位址的網路流量。 設定為適合您的設計,然後選取 [ 下一步]
  8. 在 [ 動作] 頁面上,選取 [ 允許連線],然後選取 [ 下一步]
  9. 在 [ 配置檔] 頁面上,選取套用此規則的網路位置類型,然後選取 [ 下一步]

    注意

    如果此 GPO 是以執行 Windows Server 2008 且永遠不會移動的伺服器電腦為目標,請考慮修改規則以套用至所有網路位置類型配置檔。 如果網路位置類型因安裝新的網路卡或現有網路卡纜線中斷連線而變更,這可防止套用的規則發生非預期的變更。 已中斷連線的網路卡會自動指派給公用網路位置類型。

  10. 在 [ 名稱] 頁面上,輸入規則的名稱和描述,然後選取 [ 完成]

建立輸出連接埠規則

根據預設,Windows 防火牆允許所有輸出網路流量,除非其符合禁止流量的規則。 這種類型的規則會封鎖符合指定 TCP 或 UDP 連接埠號碼的任何輸出網路流量。 若要建立輸出埠規則:

  1. 使用進階安全性控制台開啟 Windows 防火牆
  2. 在瀏覽窗格中,選取 [ 輸出規則]
  3. 取 [動作],然後選取 [ 新增規則]
  4. 在 [新增輸出規則精靈] 的 [ 規則類型 ] 頁面上,選取 [ 自定義],然後選取 [ 下一步]

    注意

    雖然您可以選取 [程式 ] 或 [ ] 來建立規則,但這些選項會限制精靈所呈現的頁面數目。 如果您選 取 [自定義],您會看到所有頁面,而且在建立規則時具有最大的彈性。

  5. 在 [ 程式] 頁面上,選取 [ 所有程式],然後選取 [ 下一步]
  6. 在 [通訊 協定和埠 ] 頁面上,選取您要封鎖的通訊協議類型。 若要將規則限制為指定的埠號碼,您必須選取 TCPUDP。 因為此規則是輸出規則,所以您通常只會設定遠端埠號碼如果您選取其他通訊協定,則只有IP標頭中通訊協定欄位符合此規則的封包會被 Windows Defender 防火牆封鎖。 只要其他相符的規則不會封鎖通訊協議的網路流量,就會允許。 若要依其編號選取通訊協定,請從清單中選取 [ 自定義 ],然後在 [通訊 協定編號 ] 方塊中輸入該號碼。 當您設定通訊協定和埠時,請選取 [ 下一步]
  7. 在 [ 範圍] 頁面上,您可以指定規則只套用至此頁面上所輸入IP位址的網路流量。 設定為適合您的設計,然後選取 [ 下一步]
  8. 在 [ 動作] 頁面上,選取 [ 封鎖連線],然後選取 [ 下一步]
  9. 在 [ 配置檔] 頁面上,選取套用此規則的網路位置類型,然後選取 [ 下一步]
  10. 在 [ 名稱] 頁面上,輸入規則的名稱和描述,然後選取 [ 完成]

建立輸入程式或服務規則

這種類型的規則可讓程式接聽和接收任何埠上的輸入網路流量。

注意

這種類型的規則通常會與程式或服務規則結合。 如果您結合規則類型,您會取得防火牆規則,將流量限製為指定的埠,並且只在指定的程序執行時才允許流量。 程式無法接收其他埠上的網路流量,而且其他程式無法在指定的埠上接收網路流量。 若要將程式和埠規則類型結合成單一規則,請遵循建立輸入 埠規則 程式中的步驟,以及此程式中的步驟。

若要建立程式或服務的輸入防火牆規則:

  1. 使用進階安全性控制台開啟 Windows 防火牆

  2. 在瀏覽窗格中,選取 [ 輸入規則]

  3. 取 [動作],然後選取 [ 新增規則]

  4. 在 [新增輸入規則精靈] 的 [ 規則類型 ] 頁面上,選取 [ 自定義],然後選取 [ 下一步]

    注意

    即使略過,即使您可以選取 [程式 ] 或 [ ] 來建立規則,使用者也應該注意的資訊,這些選項會限制精靈所呈現的頁面數目。 如果您選 取 [自定義],您會看到所有頁面,而且在建立規則時具有最大的彈性。

  5. 在 [ 程式] 頁面上,選取 [此程序路徑]

  6. 在文字框中輸入程序的路徑。 如果適用,請使用環境變數,以確保安裝在不同計算機上不同位置的程式正常運作。

  7. 執行下列其中一項:

    • 如果可執行檔包含單一程式,請選取 [下一步]
    • 如果可執行檔是多個服務的容器,且必須全部允許這些服務接收輸入網路流量,請選取 [自定義],選取 [ 僅套用至服務],選取 [ 確定],然後選取 [ 下一步]
    • 如果可執行檔是單一服務的容器,或包含多個服務,但規則只適用於其中一個服務,請選取 [自定義],選取 [ 套用至此服務],然後從清單中選取服務。 如果服務未出現在清單中,請選取 [ 使用此服務簡短名稱套用至服務],然後在文本框中輸入服務的簡短名稱。 選取 [確定],然後選取 [ 下一步]

    重要

    若要使用 [ 套用至此服務 ] 或 [使用 此服務簡短名稱套用至服務 ] 選項,必須使用安全標識碼 (SID) 類型 為 RESTRICTEDUNRESTRICTED 來設定服務。 若要檢查服務的 SID 類型,請執行下列命令: sc qsidtype <ServiceName>

    如果結果為 NONE,則防火牆規則無法套用至該服務。

    若要在服務上設定 SID 類型,請執行下列命令: sc sidtype <ServiceName> <Type>

    在上述指令中, 值 <Type> 可以是 UNRESTRICTEDRESTRICTED。 雖然命令也允許的 NONE值,但該設定表示服務無法在防火牆規則中使用,如這裡所述。 根據預設,Windows 中的大部分服務都會設定為 UNRESTRICTED。 如果您將 SID 類型變更為 RESTRICTED,服務可能無法啟動。 建議您只在想要用於防火牆規則的服務上變更 SID 類型,並將 SID 類型變更為 UNRESTRICTED

  8. 最佳做法是將程式的防火牆規則限其需要運作的埠。 在 [通訊 協定和埠 ] 頁面上,您可以指定允許流量的埠號碼。 如果程式嘗試接聽不同於此處指定的埠,則會封鎖該埠。 如需通訊協定和埠選項的詳細資訊,請參閱 建立輸入埠規則。 設定通訊協定和埠選項之後,請選取 [ 下一步]

  9. 在 [ 範圍] 頁面上,您可以指定規則只套用至此頁面上所輸入IP位址的網路流量。 設定為適合您的設計,然後選取 [ 下一步]

  10. 在 [ 動作] 頁面上,選取 [ 允許連線],然後選取 [ 下一步]

  11. 在 [ 配置檔] 頁面上,選取套用此規則的網路位置類型,然後選取 [ 下一步]

  12. 在 [ 名稱] 頁面上,輸入規則的名稱和描述,然後選取 [ 完成]

建立輸出程式或服務規則

根據預設,Windows Defender 防火牆允許所有輸出網路流量,除非其符合禁止流量的規則。 這種類型的規則可防止程式在任何埠上傳送任何輸出網路流量。 若要建立程式或服務的輸出防火牆規則:

  1. 使用進階安全性控制台開啟 Windows 防火牆
  2. 在瀏覽窗格中,選取 [ 輸出規則]
  3. 取 [動作],然後選取 [ 新增規則]
  4. 在 [新增輸出規則精靈] 的 [ 規則類型 ] 頁面上,選取 [ 自定義],然後選取 [ 下一步]

    注意

    雖然您可以選取 [程式 ] 或 [ ] 來建立許多規則,但這些選擇會限制精靈所呈現的頁面數目。 如果您選 取 [自定義],您會看到所有頁面,而且在建立規則時具有最大的彈性。

  5. 在 [ 程式] 頁面上,選取 [此程序路徑]
  6. 在文字框中輸入程序的路徑。 視需要使用環境變數,以確保安裝在不同電腦上不同位置的程式正常運作
  7. 執行下列其中一項:
    • 如果可執行檔包含單一程式,請選取 [下一步]
    • 如果可執行檔是多個必須封鎖才能傳送輸出網路流量之服務的容器,請選取 [自定義],選取 [ 僅套用至服務],選取 [ 確定],然後選取 [ 下一步]
    • 如果可執行檔是單一服務的容器,或包含多個服務,但規則只適用於其中一個服務,請選取 [自定義],選取 [ 套用至此服務],然後從清單中選取服務。 如果服務未出現在清單中,請選取 [ 套用至具有此服務簡短名稱的服務],然後在文本框中輸入服務的簡短名稱。 選取 [確定],然後選取 [ 下一步]
  8. 如果您想要允許程式在某些埠上傳送,但封鎖在其他埠上傳送,您可以限制防火牆規則只封鎖指定的埠或通訊協定。 在 [通訊 協定和埠 ] 頁面上,您可以指定封鎖流量的埠號碼或通訊協議號碼。 如果程式嘗試從不同於此處指定的埠號碼來回傳送,或使用不同於此處指定的通訊協議號碼,則預設的輸出防火牆行為會允許流量。 如需通訊協定和埠選項的詳細資訊,請參閱 建立輸出埠規則。 當您已設定通訊協定和埠選項時,請選取 [ 下一步]
  9. 在 [ 範圍] 頁面上,您可以指定規則只套用至此頁面上所輸入IP位址的網路流量。 設定為適合您的設計,然後選取 [ 下一步]
  10. 在 [ 動作] 頁面上,選取 [ 封鎖連線],然後選取 [ 下一步]
  11. 在 [ 配置檔] 頁面上,選取套用此規則的網路位置類型,然後選取 [ 下一步]
  12. 在 [ 名稱] 頁面上,輸入規則的名稱和描述,然後選取 [ 完成]

建立輸入規則以支援 RPC

若要允許輸入遠端過程調用 (RPC) 網路流量,您必須建立兩個防火牆規則:

  • 第一個規則允許將 TCP 連接埠 135 上的傳入網路封包傳送到 RPC 端點對應程式服務。 傳入流量包含與指定網路服務通訊的要求。 RPC 端點對應程式會以動態指派的埠號碼回復,客戶端必須使用此號碼來與服務通訊
  • 第二個規則允許傳送至動態指派埠號碼的網路流量

使用本主題中所述的兩個規則,僅允許來自已接收 RPC 動態埠重新導向之裝置的網路流量,以及只允許 RPC 端點對應程式指派的 TCP 連接埠號碼,來協助保護您的裝置。

RPC 端點對應程式服務

  1. 使用進階安全性控制台開啟 Windows 防火牆
  2. 在瀏覽窗格中,選取 [ 輸入規則]
  3. 取 [動作],然後選取 [ 新增規則]
  4. 在 [新增輸入規則精靈] 的 [ 規則類型 ] 頁面上,選取 [ 自定義],然後選取 [ 下一步]
  5. 在 [ 程式] 頁面上,選取 [此程序路徑],然後輸入 %systemroot%\system32\svchost.exe
  6. 取 [自定義]
  7. 在 [ 自定義服務設定 ] 對話框中,選取 [ 套用至此服務],選 取 [遠端過程調用 (RPC) 名稱為 RpcSs,選取 [ 確定],然後選取 [ 下一步]
  8. 在 Windows 服務強化規則的警告上,選取 [ 是]
  9. 在 [通訊 協定和埠 ] 對話框中,針對 [通訊 協定類型] 選取 [TCP]
  10. 針對 [本機埠],選取 [RPC 端點對應程式],然後選取 [ 下一步]
  11. 在 [ 範圍] 頁面上,您可以指定規則只套用至此頁面上所輸入IP位址的網路流量。 設定為適合您的設計,然後選取 [ 下一步]
  12. 在 [ 動作] 頁面上,選取 [ 允許連線],然後選取 [ 下一步]
  13. 在 [ 配置檔] 頁面上,選取套用此規則的網路位置類型,然後選取 [ 下一步]
  14. 在 [ 名稱] 頁面上,輸入規則的名稱和描述,然後選取 [ 完成]

已啟用 RPC 的網路服務

  1. 在您在上述程式中編輯的相同 GPO 上,選取 [ 動作],然後選取 [ 新增規則]
  2. 在 [新增輸入規則精靈] 的 [ 規則類型 ] 頁面上,選取 [ 自定義],然後選取 [ 下一步]
  3. 在 [ 程式] 頁面上,選取 [此程序路徑],然後輸入裝載網络服務之可執行文件的路徑。 選 取 [自定義]
  4. 在 [ 自定義服務設定 ] 對話框中,選取 [ 套用至此服務],然後選取您想要允許的服務。 如果服務未出現在清單中,請選取 [ 套用至具有此服務簡短名稱的服務],然後在文本框中輸入服務的簡短名稱
  5. 選取 [確定],然後選取 [ 下一步]
  6. 在 [通訊 協定和埠 ] 對話框中,針對 [通訊 協定類型] 選取 [TCP]
  7. 針對 [本機埠],選取 [RPC 動態埠],然後選取 [ 下一步]
  8. 在 [ 範圍] 頁面上,您可以指定規則只套用至此頁面上所輸入IP位址的網路流量。 設定為適合您的設計,然後選取 [ 下一步]
  9. 在 [ 動作] 頁面上,選取 [ 允許連線],然後選取 [ 下一步]
  10. 在 [ 配置檔] 頁面上,選取套用此規則的網路位置類型,然後選取 [ 下一步]
  11. 在 [ 名稱] 頁面上,輸入規則的名稱和描述,然後選取 [ 完成]