Ustawienia zasad zapory dla zabezpieczeń punktu końcowego w usłudze Intune
Wyświetl ustawienia, które można skonfigurować w profilach zasad zapory w węźle zabezpieczeń punktu końcowego usługi Intune w ramach zasad zabezpieczeń punktu końcowego.
Dotyczy:
- macOS
- Windows 10
- Windows 11
Uwaga
Począwszy od 5 kwietnia 2022 r., profile zapory dla systemu Windows 10 i nowszej platformy zostały zastąpione przez platformę systemu Windows i nowe wystąpienia tych samych profilów. Profile utworzone po tej dacie używają nowego formatu ustawień, jak można znaleźć w katalogu ustawień. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu i nie są one już opracowywane. Mimo że nie można już tworzyć nowych wystąpień starszego profilu, możesz nadal edytować i używać utworzonych wcześniej wystąpień.
W przypadku profilów korzystających z nowego formatu ustawień usługa Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśniający widoczny w centrum administracyjnym usługi Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.
Szczegóły ustawień profilów systemu Windows w tym artykule dotyczą tych przestarzałych profilów.
Obsługiwane platformy i profile:
macOS:
- Profil: zapora systemu macOS
System Windows 10 i nowsze:
- Profil: Zapora systemu Windows
Profil zapory systemu macOS
Zapora
Następujące ustawienia są konfigurowane jako zasady zabezpieczeń punktu końcowego dla zapór systemu macOS
Włączanie zapory
- Nie skonfigurowano (wartość domyślna)
- Tak — włącz zaporę.
Po ustawieniu opcji Tak można skonfigurować następujące ustawienia.
Blokuj wszystkie połączenia przychodzące
- Nie skonfigurowano (wartość domyślna)
- Tak — blokuj wszystkie połączenia przychodzące z wyjątkiem połączeń wymaganych dla podstawowych usług internetowych, takich jak DHCP, Bonjour i IPSec. Blokuje to wszystkie usługi udostępniania.
Włączanie trybu niewidzialności
- Nie skonfigurowano (wartość domyślna)
- Tak — uniemożliwia komputerowi odpowiadanie na żądania sondowania. Komputer nadal odpowiada na przychodzące żądania dotyczące autoryzowanych aplikacji.
Aplikacje zapory Rozwiń listę rozwijaną, a następnie wybierz pozycję Dodaj , aby określić aplikacje i reguły dla połączeń przychodzących dla aplikacji.
Zezwalaj na połączenia przychodzące
- Nie skonfigurowano
- Blokuj
- Zezwalaj
Identyfikator pakietu — identyfikator identyfikuje aplikację. Na przykład: com.apple.app
Profil Zapory systemu Windows
Zapora systemu Windows
Następujące ustawienia są konfigurowane jako zasady zabezpieczeń punktu końcowego dla zapór systemu Windows.
Stanowy protokół transferu plików (FTP)
Zasady zabezpieczeń zawartości: MdmStore/Global/DisableStatefulFtp- Nie skonfigurowano (wartość domyślna)
- Zezwalaj — zapora wykonuje stanowe filtrowanie protokołu FTP (File Transfer Protocol), aby zezwolić na połączenia pomocnicze.
- Wyłączone — stanowy protokół FTP jest wyłączony.
Liczba sekund bezczynności skojarzenia zabezpieczeń przed jego usunięciem
Dostawca usług kryptograficznych: MdmStore/Global/SaIdleTimeOkreśl czas w sekundach z zakresu od 300 do 3600, aby określić czas przechowywania skojarzeń zabezpieczeń po tym, jak ruch sieciowy nie będzie widoczny.
Jeśli nie określisz żadnej wartości, system usunie skojarzenie zabezpieczeń po bezczynności przez 300 sekund.
Kodowanie klucza wstępnie udostępnionego
Dostawca usług kryptograficznych: MdmStore/Global/PresharedKeyEncodingJeśli nie potrzebujesz formatu UTF-8, klucze wstępnie współudostępnione są początkowo kodowane przy użyciu formatu UTF-8. Następnie użytkownicy urządzeń mogą wybrać inną metodę kodowania.
- Nie skonfigurowano (wartość domyślna)
- Brak
- UTF8
Brak wykluczeń dla adresu IP zapory s
Nie skonfigurowano (ustawienie domyślne) — jeśli nie skonfigurowano, będziesz mieć dostęp do następujących ustawień wykluczenia ip sec, które można skonfigurować indywidualnie.
Tak — wyłącz wszystkie wykluczenia z protokołu IP zapory. Następujące ustawienia nie są dostępne do skonfigurowania.
Wykluczenia protokołu IP zapory umożliwiają odnajdywanie sąsiadów
Dostawca usług kryptograficznych: MdmStore/Global/IPsecExempt- Nie skonfigurowano (wartość domyślna)
- Tak — wykluczenia protokołu IPsec zapory zezwalają na odnajdywanie sąsiadów.
Wykluczenia protokołu IP zapory zezwalają na protokół ICMP
Dostawca usług kryptograficznych: MdmStore/Global/IPsecExempt- Nie skonfigurowano (wartość domyślna)
- Tak — wykluczenia protokołu IPsec zapory zezwalają na protokół ICMP.
Wykluczenia protokołu IP zapory zezwalają na odnajdywanie routerów
Dostawca usług kryptograficznych: MdmStore/Global/IPsecExempt- Nie skonfigurowano (wartość domyślna)
- Tak — wykluczenia protokołu IPsec zapory zezwalają na odnajdywanie routerów.
Wykluczenia protokołu IP zapory zezwalają na protokół DHCP
Dostawca usług kryptograficznych: MdmStore/Global/IPsecExempt- Nie skonfigurowano (wartość domyślna)
- Tak — wykluczenia protokołu IP zapory zezwalają na protokół DHCP
Weryfikacja listy odwołania certyfikatów (CRL)
Dostawca usług kryptograficznych: MdmStore/Global/CRLcheckOkreśl sposób wymuszania weryfikacji listy odwołania certyfikatów (CRL).
- Nie skonfigurowano (wartość domyślna) — użyj domyślnego klienta, czyli wyłączenia weryfikacji listy CRL.
- Brak
- Próba
- Wymagać
Wymagaj, aby moduły kluczy ignorowały tylko zestawy uwierzytelniania, których nie obsługują
Zasady zabezpieczeń zawartości: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM- Nie skonfigurowano (wartość domyślna)
- Wyłączona
- Włączone — moduły kluczy ignorują nieobsługiwany zestaw uwierzytelniania.
Kolejkowanie pakietów
Zasady zabezpieczeń zawartości: MdmStore/Global/EnablePacketQueueOkreśl, jak włączyć skalowanie dla oprogramowania po stronie odbierającego dla zaszyfrowanego odbierania i zwykłego tekstu do przodu dla scenariusza bramy tunelu IPsec. Dzięki temu kolejność pakietów jest zachowywana.
- Nie skonfigurowano (ustawienie domyślne) — kolejkowanie pakietów jest zwracane do domyślnej wartości klienta, która jest wyłączona.
- Wyłączona
- Ruch przychodzący kolejki
- Ruch wychodzący kolejki
- Kolejkowanie obu
Włączanie zapory systemu Windows dla sieci domenowych
Zasady zabezpieczeń zawartości: EnableFirewall- Nie skonfigurowano (wartość domyślna) — klient powraca do wartości domyślnej, czyli włączenia zapory.
- Tak — zapora systemu Windows dla typu sieci domeny jest włączona i wymuszana. Uzyskasz również dostęp do dodatkowych ustawień dla tej sieci.
- Nie — wyłącz zaporę.
Dodatkowe ustawienia dla tej sieci po ustawieniu wartości Tak:
Blokuj tryb niewidzialności
Zasady zabezpieczeń zawartości: DisableStealthModeDomyślnie tryb niewidzialności jest włączony na urządzeniach. Ułatwia to złośliwym użytkownikom odnajdywanie informacji o urządzeniach sieciowych i uruchomionych usługach. Wyłączenie trybu niewidzialności może sprawić, że urządzenia będą narażone na ataki.
- Nie skonfigurowano(wartość domyślna)
- Tak
- Nie
Włączanie trybu osłony
Dostawca usług kryptograficznych: z osłoną- Nie skonfigurowano(ustawienie domyślne) — użyj domyślnego klienta, czyli wyłączenia trybu osłony.
- Tak — maszyna jest przełączona w tryb osłony, który izoluje ją od sieci. Cały ruch jest zablokowany.
- Nie
Blokuj odpowiedzi emisji pojedynczej na emisje multiemisji
Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcast- Nieskonfigurowane(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na odpowiedzi emisji pojedynczej.
- Tak — odpowiedzi emisji pojedynczej na emisje multiemisji są blokowane.
- Nie — wymuś wartość domyślną klienta, czyli zezwalaj na odpowiedzi emisji pojedynczej.
Wyłączanie powiadomień przychodzących
CSP DisableInboundNotifications- Nieskonfigurowane(ustawienie domyślne) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na powiadomienie użytkownika.
- Tak — powiadomienie użytkownika jest pomijane, gdy aplikacja jest blokowana przez regułę ruchu przychodzącego.
- Nie — powiadomienia użytkowników są dozwolone.
Blokuj połączenia wychodzące
To ustawienie dotyczy systemu Windows w wersji 1809 lub nowszej. Dostawca usług kryptograficznych: DefaultOutboundAction
Ta reguła jest oceniana na samym końcu listy reguł.
- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na połączenia.
- Tak — wszystkie połączenia wychodzące, które nie są zgodne z regułą ruchu wychodzącego, są blokowane.
- Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu wychodzącego, są dozwolone.
Blokuj połączenia przychodzące
Zasady zabezpieczeń zawartości: DefaultInboundActionTa reguła jest oceniana na samym końcu listy reguł.
- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do domyślnej wartości klienta, czyli do blokowania połączeń.
- Tak — wszystkie połączenia przychodzące, które nie są zgodne z regułą ruchu przychodzącego, są blokowane.
- Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu przychodzącego, są dozwolone.
Ignoruj reguły zapory autoryzowanej aplikacji
Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMerge- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — reguły zapory autoryzowanej aplikacji w magazynie lokalnym są ignorowane.
- Nie — reguły zapory autoryzowanej aplikacji są przestrzegane.
Ignoruj globalne reguły zapory portów
Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMerge- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — globalne reguły zapory portów w magazynie lokalnym są ignorowane.
- Nie — globalne reguły zapory portów są przestrzegane.
Ignoruj wszystkie lokalne reguły zapory
Zasady zabezpieczeń zawartości: IPsecExempt- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — wszystkie reguły zapory w magazynie lokalnym są ignorowane.
- Nie — reguły zapory w magazynie lokalnym są honorowane.
Ignoruj reguły zabezpieczeń połączeń Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMerge
- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — reguły zapory protokołu IPsec w magazynie lokalnym są ignorowane.
- Nie — reguły zapory IPsec w magazynie lokalnym są honorowane.
Włączanie zapory systemu Windows dla sieci prywatnych
Zasady zabezpieczeń zawartości: EnableFirewall- Nie skonfigurowano (wartość domyślna) — klient powraca do wartości domyślnej, czyli włączenia zapory.
- Tak — Zapora systemu Windows dla typu sieci prywatnej jest włączona i wymuszana. Uzyskasz również dostęp do dodatkowych ustawień dla tej sieci.
- Nie — wyłącz zaporę.
Dodatkowe ustawienia dla tej sieci po ustawieniu wartości Tak:
Blokuj tryb niewidzialności
Zasady zabezpieczeń zawartości: DisableStealthModeDomyślnie tryb niewidzialności jest włączony na urządzeniach. Ułatwia to złośliwym użytkownikom odnajdywanie informacji o urządzeniach sieciowych i uruchomionych usługach. Wyłączenie trybu niewidzialności może sprawić, że urządzenia będą narażone na ataki.
- Nie skonfigurowano(wartość domyślna)
- Tak
- Nie
Włączanie trybu osłony
Dostawca usług kryptograficznych: z osłoną- Nie skonfigurowano(ustawienie domyślne) — użyj domyślnego klienta, czyli wyłączenia trybu osłony.
- Tak — maszyna jest przełączona w tryb osłony, który izoluje ją od sieci. Cały ruch jest zablokowany.
- Nie
Blokuj odpowiedzi emisji pojedynczej na emisje multiemisji
Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcast- Nieskonfigurowane(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na odpowiedzi emisji pojedynczej.
- Tak — odpowiedzi emisji pojedynczej na emisje multiemisji są blokowane.
- Nie — wymuś wartość domyślną klienta, czyli zezwalaj na odpowiedzi emisji pojedynczej.
Wyłączanie powiadomień przychodzących
CSP DisableInboundNotifications- Nieskonfigurowane(ustawienie domyślne) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na powiadomienie użytkownika.
- Tak — powiadomienie użytkownika jest pomijane, gdy aplikacja jest blokowana przez regułę ruchu przychodzącego.
- Nie — powiadomienia użytkowników są dozwolone.
Blokuj połączenia wychodzące
To ustawienie dotyczy systemu Windows w wersji 1809 lub nowszej. Dostawca usług kryptograficznych: DefaultOutboundAction
Ta reguła jest oceniana na samym końcu listy reguł.
- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na połączenia.
- Tak — wszystkie połączenia wychodzące, które nie są zgodne z regułą ruchu wychodzącego, są blokowane.
- Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu wychodzącego, są dozwolone.
Blokuj połączenia przychodzące
Zasady zabezpieczeń zawartości: DefaultInboundActionTa reguła jest oceniana na samym końcu listy reguł.
- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do domyślnej wartości klienta, czyli do blokowania połączeń.
- Tak — wszystkie połączenia przychodzące, które nie są zgodne z regułą ruchu przychodzącego, są blokowane.
- Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu przychodzącego, są dozwolone.
Ignoruj reguły zapory autoryzowanej aplikacji
Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMerge- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — reguły zapory autoryzowanej aplikacji w magazynie lokalnym są ignorowane.
- Nie — reguły zapory autoryzowanej aplikacji są przestrzegane.
Ignoruj globalne reguły zapory portów
Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMerge- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — globalne reguły zapory portów w magazynie lokalnym są ignorowane.
- Nie — globalne reguły zapory portów są przestrzegane.
Ignoruj wszystkie lokalne reguły zapory
Zasady zabezpieczeń zawartości: IPsecExempt- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — wszystkie reguły zapory w magazynie lokalnym są ignorowane.
- Nie — reguły zapory w magazynie lokalnym są honorowane.
Ignoruj reguły zabezpieczeń połączeń Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMerge
- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — reguły zapory protokołu IPsec w magazynie lokalnym są ignorowane.
- Nie — reguły zapory IPsec w magazynie lokalnym są honorowane.
Włączanie zapory systemu Windows dla sieci publicznych
Zasady zabezpieczeń zawartości: EnableFirewall- Nie skonfigurowano (wartość domyślna) — klient powraca do wartości domyślnej, czyli włączenia zapory.
- Tak — Zapora systemu Windows dla typu sieci publicznego jest włączona i wymuszana. Uzyskasz również dostęp do dodatkowych ustawień dla tej sieci.
- Nie — wyłącz zaporę.
Dodatkowe ustawienia dla tej sieci po ustawieniu wartości Tak:
Blokuj tryb niewidzialności
Zasady zabezpieczeń zawartości: DisableStealthModeDomyślnie tryb niewidzialności jest włączony na urządzeniach. Ułatwia to złośliwym użytkownikom odnajdywanie informacji o urządzeniach sieciowych i uruchomionych usługach. Wyłączenie trybu niewidzialności może sprawić, że urządzenia będą narażone na ataki.
- Nie skonfigurowano(wartość domyślna)
- Tak
- Nie
Włączanie trybu osłony
Dostawca usług kryptograficznych: z osłoną- Nie skonfigurowano(ustawienie domyślne) — użyj domyślnego klienta, czyli wyłączenia trybu osłony.
- Tak — maszyna jest przełączona w tryb osłony, który izoluje ją od sieci. Cały ruch jest zablokowany.
- Nie
Blokuj odpowiedzi emisji pojedynczej na emisje multiemisji
Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcast- Nieskonfigurowane(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na odpowiedzi emisji pojedynczej.
- Tak — odpowiedzi emisji pojedynczej na emisje multiemisji są blokowane.
- Nie — wymuś wartość domyślną klienta, czyli zezwalaj na odpowiedzi emisji pojedynczej.
Wyłączanie powiadomień przychodzących
CSP DisableInboundNotifications- Nieskonfigurowane(ustawienie domyślne) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na powiadomienie użytkownika.
- Tak — powiadomienie użytkownika jest pomijane, gdy aplikacja jest blokowana przez regułę ruchu przychodzącego.
- Nie — powiadomienia użytkowników są dozwolone.
Blokuj połączenia wychodzące
To ustawienie dotyczy systemu Windows w wersji 1809 lub nowszej. Dostawca usług kryptograficznych: DefaultOutboundAction
Ta reguła jest oceniana na samym końcu listy reguł.
- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli zezwalania na połączenia.
- Tak — wszystkie połączenia wychodzące, które nie są zgodne z regułą ruchu wychodzącego, są blokowane.
- Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu wychodzącego, są dozwolone.
Blokuj połączenia przychodzące
Zasady zabezpieczeń zawartości: DefaultInboundActionTa reguła jest oceniana na samym końcu listy reguł.
- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do domyślnej wartości klienta, czyli do blokowania połączeń.
- Tak — wszystkie połączenia przychodzące, które nie są zgodne z regułą ruchu przychodzącego, są blokowane.
- Nie — wszystkie połączenia, które nie są zgodne z regułą ruchu przychodzącego, są dozwolone.
Ignoruj reguły zapory autoryzowanej aplikacji
Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMerge- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — reguły zapory autoryzowanej aplikacji w magazynie lokalnym są ignorowane.
- Nie — reguły zapory autoryzowanej aplikacji są przestrzegane.
Ignoruj globalne reguły zapory portów
Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMerge- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — globalne reguły zapory portów w magazynie lokalnym są ignorowane.
- Nie — globalne reguły zapory portów są przestrzegane.
Ignoruj wszystkie lokalne reguły zapory
Zasady zabezpieczeń zawartości: IPsecExempt- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — wszystkie reguły zapory w magazynie lokalnym są ignorowane.
- Nie — reguły zapory w magazynie lokalnym są honorowane.
Ignoruj reguły zabezpieczeń połączeń Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMerge
- Nie skonfigurowano(wartość domyślna) — ustawienie powraca do wartości domyślnej klienta, czyli do przestrzegania reguł lokalnych.
- Tak — reguły zapory protokołu IPsec w magazynie lokalnym są ignorowane.
- Nie — reguły zapory IPsec w magazynie lokalnym są honorowane.
Reguły zapory systemu Windows
Ten profil jest w wersji zapoznawczej.
Następujące ustawienia są konfigurowane jako zasady zabezpieczeń punktu końcowego dla zapór systemu Windows.
Reguła zapory systemu Windows
Nazwa
Określ przyjazną nazwę reguły. Ta nazwa zostanie wyświetlona na liście reguł, które ułatwiają jej identyfikację.Opis
Podaj opis reguły.Kierunek
- Nie skonfigurowano (wartość domyślna) — ta reguła domyślnie określa ruch wychodzący.
- Out — ta reguła ma zastosowanie do ruchu wychodzącego.
- W — ta reguła ma zastosowanie do ruchu przychodzącego.
Akcja
- Nie skonfigurowano (wartość domyślna) — reguła domyślnie zezwala na ruch.
- Zablokowane — ruch jest blokowany w skonfigurowanym kierunku .
- Dozwolone — ruch jest dozwolony w skonfigurowanym kierunku .
Typ sieci
Określ typ sieci, do którego należy reguła. Możesz wybrać co najmniej jedną z następujących opcji. Jeśli nie wybierzesz opcji, reguła ma zastosowanie do wszystkich typów sieci.- Domain (Domena)
- Prywatny
- Publiczny
- Nie skonfigurowano
Ustawienia aplikacji
Aplikacje objęte tą regułą:
Nazwa rodziny pakietów
Get-AppxPackageNazwy rodzin pakietów można pobrać, uruchamiając polecenie Get-AppxPackage z programu PowerShell.
Ścieżka pliku
Dostawca usług kryptograficznych: FirewallRules/FirewallRuleName/App/FilePathAby określić ścieżkę pliku aplikacji, wprowadź lokalizację aplikacji na urządzeniu klienckim. Przykład:
C:\Windows\System\Notepad.exe
Nazwa usługi
FirewallRules/FirewallRuleName/App/ServiceNameUżyj krótkiej nazwy usługi systemu Windows, gdy usługa, a nie aplikacja, wysyła lub odbiera ruch. Krótkie nazwy usługi są pobierane przez uruchomienie
Get-Service
polecenia z programu PowerShell.
Ustawienia portów i protokołów
Określ porty lokalne i zdalne, do których ma zastosowanie ta reguła:
Protocol (Protokół)
Dostawca usług kryptograficznych: FirewallRules/FirewallRuleName/ProtocolOkreśl protokół dla tej reguły portu.
- Protokoły warstw transportu, takie jak TCP(6) i UDP(17), umożliwiają określanie portów lub zakresów portów.
- W przypadku protokołów niestandardowych wprowadź liczbę z zakresu od 0 do 255 reprezentującą protokół IP.
- Gdy nic nie zostanie określone, reguła jest domyślnie dowolna.
Typy interfejsów
Określ typy interfejsów, do których należy reguła. Możesz wybrać co najmniej jedną z następujących opcji. Jeśli nie wybierzesz opcji, reguła ma zastosowanie do wszystkich typów interfejsów:- Dostęp zdalny
- Bezprzewodowy
- Sieć lokalna
- Nie skonfigurowano
- Mobile Broadband — ta opcja zastępuje użycie poprzedniego wpisu dla usługi Mobile Broadband, która jest przestarzała i nie jest już obsługiwana.
- [Nieobsługiwane] Mobile Broadband — nie używaj tej opcji, która jest oryginalną opcją Mobile Broadband. Ta opcja nie działa już poprawnie. Zastąp użycie tej opcji nowszą wersją usługi Mobile Broadband.
Autoryzowani użytkownicy
FirewallRules/FirewallRuleName/LocalUserAuthorizationListOkreśl listę autoryzowanych użytkowników lokalnych dla tej reguły. Nie można określić listy autoryzowanych użytkowników, jeśli nazwa usługi w tych zasadach jest ustawiona jako usługa systemu Windows. Jeśli nie określono autoryzowanego użytkownika, ustawieniem domyślnym jest wszyscy użytkownicy.
Ustawienia adresów IP
Określa adresy lokalne i zdalne, do których ma zastosowanie ta reguła:
Dowolny adres lokalny
Nie skonfigurowano (ustawienie domyślne) — użyj następującego ustawienia , Zakresy adresów lokalnych*, aby skonfigurować zakres adresów do obsługi.- Tak — obsługa dowolnego adresu lokalnego i nie konfiguruj zakresu adresów.
Zakresy adresów lokalnych
Zasady zabezpieczeń zawartości: FirewallRules/FirewallRuleName/LocalAddressRangesZarządzaj zakresami adresów lokalnych dla tej reguły. Możesz:
- Dodaj co najmniej jeden adres jako rozdzielaną przecinkami listę adresów lokalnych, które są objęte regułą.
- Zaimportuj plik .csv zawierający listę lokalnych zakresów adresów IP przy użyciu nagłówka "LocalAddressRanges".
- Wyeksportuj bieżącą listę zakresów adresów lokalnych jako plik .csv.
Prawidłowe wpisy (tokeny) obejmują następujące opcje:
- Gwiazdka — gwiazdka (*) wskazuje dowolny adres lokalny. Jeśli jest obecna, gwiazdka musi być jedynym dołączonym tokenem.
- Podsieć — określ podsieci przy użyciu maski podsieci lub notacji prefiksu sieci. Jeśli nie określono maski podsieci lub prefiksu sieci, maska podsieci domyślnie ma wartość 255.255.255.255.
- Prawidłowy adres IPv6
- Zakres adresów IPv4 — zakresy IPv4 muszą być w formacie adresu początkowego — adresu końcowego bez uwzględniania spacji, gdzie adres początkowy jest mniejszy niż adres końcowy.
- Zakres adresów IPv6 — zakresy IPv6 muszą mieć format adresu początkowego — adres końcowy bez żadnych spacji, gdzie adres początkowy jest mniejszy niż adres końcowy.
Jeśli nie określono żadnej wartości, to ustawienie domyślnie używa dowolnego adresu.
Dowolny adres zdalny
Nie skonfigurowano (ustawienie domyślne) — użyj następującego ustawienia , Zakresy adresów zdalnych* w celu skonfigurowania zakresu adresów do obsługi.- Tak — obsługa dowolnego adresu zdalnego i nie konfiguruj zakresu adresów.
Zakresy adresów zdalnych
Zasady zabezpieczeń zawartości: FirewallRules/FirewallRuleName/RemoteAddressRangesZarządzaj zakresami adresów zdalnych dla tej reguły. Możesz:
- Dodaj co najmniej jeden adres jako rozdzielaną przecinkami listę adresów zdalnych, które są objęte regułą.
- Zaimportuj plik .csv zawierający listę zakresów zdalnych adresów IP przy użyciu nagłówka "RemoteAddressRanges".
- Wyeksportuj bieżącą listę zakresów adresów zdalnych jako plik .csv.
Prawidłowe wpisy (tokeny) obejmują następujące elementy i nie uwzględniają wielkości liter:
- Gwiazdka — gwiazdka (*) wskazuje dowolny adres zdalny. Jeśli jest obecna, gwiazdka musi być jedynym dołączonym tokenem.
- Domyślna brama
- DHCP
- DNS
- WINS
- Intranet — obsługiwane na urządzeniach z systemem Windows 1809 lub nowszym.
- RmtIntranet — obsługiwane na urządzeniach z systemem Windows 1809 lub nowszym.
- Ply2Renders — obsługiwane na urządzeniach z systemem Windows 1809 lub nowszym.
- LocalSubnet — wskazuje dowolny adres lokalny w podsieci lokalnej.
- Podsieć — określ podsieci przy użyciu maski podsieci lub notacji prefiksu sieci. Jeśli nie określono maski podsieci lub prefiksu sieci, maska podsieci domyślnie ma wartość 255.255.255.255.
- Prawidłowy adres IPv6
- Zakres adresów IPv4 — zakresy IPv4 muszą być w formacie adresu początkowego — adresu końcowego bez uwzględniania spacji, gdzie adres początkowy jest mniejszy niż adres końcowy.
- Zakres adresów IPv6 — zakresy IPv6 muszą mieć format adresu początkowego — adres końcowy bez żadnych spacji, gdzie adres początkowy jest mniejszy niż adres końcowy.
Jeśli nie określono żadnej wartości, to ustawienie domyślnie używa dowolnego adresu.