Параметры политики брандмауэра для подключенных к клиенту устройств в Microsoft Intune
Просмотрите параметры брандмауэра Microsoft Windows, которыми можно управлять, с помощью профиля брандмауэра Windows (ConfigMgr) из Intune. Профиль доступен при настройке политики брандмауэра Intune, а политика развертывается на устройствах, которыми вы управляете с помощью Configuration Manager при настройке сценария подключения клиента.
Брандмауэр Windows
Проверка списка отзыва сертификатов (устройство)
CSP: MdmStore/Global/CRLcheckУкажите способ принудительной проверки списка отзыва сертификатов (CRL).
- Не настроено (по умолчанию) — используйте значение по умолчанию для клиента, которое заключается в отключении проверки списка отзыва сертификатов.
- Нет
- Попытка
- Обязательность
Отключение FTP с отслеживанием состояния (устройство)
CSP: MdmStore/Global/DisableStatefulFtp- Не настроено (по умолчанию)
- True — ftp с отслеживанием состояния отключен
- False — брандмауэр выполняет фильтрацию по протоколу FTP с отслеживанием состояния, чтобы разрешить дополнительные подключения.
Включение очереди пакетов (устройство)
CSP: MdmStore/Global/EnablePacketQueueВыберите один из следующих параметров, чтобы настроить масштабирование программного обеспечения на стороне получения для зашифрованного получения и прямого ввода текста для сценария шлюза туннеля IPsec. Это гарантирует сохранение порядка пакетов. По умолчанию параметры не выбраны.
- Disabled
- Входящие очереди
- Исходящий трафик очереди
Исключения IPsec (устройство)
CSP: MdmStore/Global/IPsecExemptВыберите один из следующих параметров, чтобы настроить исключения IPsec.
- Исключение соседей, обнаруживая коды типов IPv6 ICMP из IPsec
- Исключение ICMP из IPsec
- Исключение маршрутизатора для обнаружения типов IPv6 ICMP из IPsec
- Исключение трафика DHCP IPv4 и IPv6 из IPsec
Оппортунистически сопоставлять набор проверки подлинности на km (устройство)
CSP: OpportunisticallyMatchAuthSetPerKM- Не настроено (по умолчанию)
- True
- False
Кодирование предварительного ключа (устройство)
CSP: MdmStore/Global/PresharedKeyEncoding- Не настроено (по умолчанию)
- Нет
- UTF8
Время простоя ассоциации безопасности (устройство)
CSP: MdmStore/Global/SaIdleTimeУкажите время в секундах от 300 до 3600, в течение срока хранения связей безопасности после того, как сетевой трафик не отображается. Если значение не указано, система удаляет связь безопасности после того, как она простаивает в течение 300 секунд.
Профиль домена
Включение брандмауэра сети домена (устройство)
CSP: EnableFirewall- Не настроено (по умолчанию) — клиент возвращает значение по умолчанию, т. е. для включения брандмауэра.
- True — брандмауэр Windows для сетевого типа домена включен и принудительно применяется.
- False — отключите брандмауэр.
Если задано значение True, можно настроить следующие параметры для этого типа профиля брандмауэра:
Разрешить локальное слияние политик Ipsec (устройство)
CSP: AllowLocalIpsecPolicyMerge- Не настроено (по умолчанию)
- True
- False — правила безопасности подключения из локального хранилища игнорируются и не применяются.
Разрешить локальное слияние политик (устройство)
CSP: AllowLocalPolicyMerge- Не настроено (по умолчанию)
- True
- False — правила брандмауэра из локального хранилища игнорируются и не применяются.
Приложения проверки подлинности разрешают слияние пользователей с предварительной записью (устройство)
CSP: AuthAppsAllowUserPrefMerge- Не настроено (по умолчанию)
- True
- False
Действие входящего трафика по умолчанию для профиля домена (устройство)
CSP: DefaultInboundAction- Не настроено (по умолчанию)
- Allow
- Блокировка
Действие исходящего трафика по умолчанию (устройство)
CSP: DefaultOutboundAction- Allow
- Блокировка
Отключение входящих уведомлений (устройство)
CSP: DisableInboundNotifications- Не настроено (по умолчанию)
- True — брандмауэр не будет отображать уведомление для пользователя, если приложение не может прослушивать порт.
- False — брандмауэр может отображать уведомление для пользователя, если приложение не может прослушивать порт.
Отключение скрытого режима (устройство)
CSP: DisableStealthMode- Не настроено (по умолчанию)
- True
- False — сервер работает в невидимом режиме. Правила брандмауэра, используемые для применения скрытого режима, зависят от реализации.
Отключение одноадресных ответов на многоадресную широковещательную передачу (устройство)
CSP: DisableUnicastResponsesToMulticastBroadcast- Не настроено (по умолчанию)
- True — одноадресный ответ на многоадресный широковещательный трафик заблокирован.
- False
Глобальные порты разрешают слияние между пользователями (устройство)
CSP: GlobalPortsAllowUserPrefMerge- Не настроено (по умолчанию)
- True
- False — правила брандмауэра для глобальных портов в локальном хранилище игнорируются и не применяются.
Экранированный (устройство)
CSP: экранированный- Не настроено (по умолчанию)
- True — сервер блокирует весь входящий трафик независимо от других параметров политики.
- False
Частный профиль
Включение брандмауэра частной сети (устройство)
CSP: EnableFirewall- Не настроено (по умолчанию) — клиент возвращает значение по умолчанию, т. е. для включения брандмауэра.
- True — брандмауэр Windows для типа частной сети включен и принудительно применяется.
- False — отключите брандмауэр.
Если задано значение True, можно настроить следующие параметры для этого типа профиля брандмауэра:
Разрешить локальное слияние политик Ipsec (устройство)
CSP: AllowLocalIpsecPolicyMerge- Не настроено (по умолчанию)
- True
- False — правила безопасности подключения из локального хранилища игнорируются и не применяются.
Разрешить локальное слияние политик (устройство)
CSP: AllowLocalPolicyMerge- Не настроено (по умолчанию)
- True
- False — правила брандмауэра из локального хранилища игнорируются и не применяются.
Приложения проверки подлинности разрешают слияние пользователей с предварительной записью (устройство)
CSP: AuthAppsAllowUserPrefMerge- Не настроено (по умолчанию)
- True
- False
Действие входящего трафика по умолчанию для частного профиля (устройство)
CSP: DefaultInboundAction- Не настроено (по умолчанию)
- Allow
- Блокировка
Действие исходящего трафика по умолчанию (устройство)
CSP: DefaultOutboundAction- Allow
- Блокировка
Отключение входящих уведомлений (устройство)
CSP: DisableInboundNotifications- Не настроено (по умолчанию)
- True — брандмауэр не будет отображать уведомление для пользователя, если приложение не может прослушивать порт.
- False — брандмауэр может отображать уведомление для пользователя, если приложение не может прослушивать порт.
Отключение скрытого режима (устройство)
CSP: DisableStealthMode- Не настроено (по умолчанию)
- True
- False — сервер работает в невидимом режиме. Правила брандмауэра, используемые для применения скрытого режима, зависят от реализации.
Отключение одноадресных ответов на многоадресную широковещательную передачу (устройство)
CSP: DisableUnicastResponsesToMulticastBroadcast- Не настроено (по умолчанию)
- True — одноадресный ответ на многоадресный широковещательный трафик заблокирован.
- False
Глобальные порты разрешают слияние между пользователями (устройство)
CSP: GlobalPortsAllowUserPrefMerge- Не настроено (по умолчанию)
- True
- False — правила брандмауэра для глобальных портов в локальном хранилище игнорируются и не применяются.
Экранированный (устройство)
CSP: экранированный- Не настроено (по умолчанию)
- True — сервер блокирует весь входящий трафик независимо от других параметров политики.
- False
Общедоступный профиль
Включение брандмауэра общедоступной сети (устройство)
CSP: EnableFirewall- Не настроено (по умолчанию) — клиент возвращает значение по умолчанию, т. е. для включения брандмауэра.
- True — брандмауэр Windows для общедоступного сетевого типа включен и принудительно применяется.
- False — отключите брандмауэр.
Если задано значение True, можно настроить следующие параметры для этого типа профиля брандмауэра:
Разрешить локальное слияние политик Ipsec (устройство)
CSP: AllowLocalIpsecPolicyMerge- Не настроено (по умолчанию)
- True
- False — правила безопасности подключения из локального хранилища игнорируются и не применяются.
Разрешить локальное слияние политик (устройство)
CSP: AllowLocalPolicyMerge- Не настроено (по умолчанию)
- True
- False — правила брандмауэра из локального хранилища игнорируются и не применяются.
Приложения проверки подлинности разрешают слияние пользователей с предварительной записью (устройство)
CSP: AuthAppsAllowUserPrefMerge- Не настроено (по умолчанию)
- True
- False
Действие входящего трафика по умолчанию для общедоступного профиля (устройство)
CSP: DefaultInboundAction- Не настроено (по умолчанию)
- Allow
- Блокировка
Действие исходящего трафика по умолчанию (устройство)
CSP: DefaultOutboundAction- Allow
- Блокировка
Отключение входящих уведомлений (устройство)
CSP: DisableInboundNotifications- Не настроено (по умолчанию)
- True — брандмауэр не будет отображать уведомление для пользователя, если приложение не может прослушивать порт.
- False — брандмауэр может отображать уведомление для пользователя, если приложение не может прослушивать порт.
Отключение скрытого режима (устройство)
CSP: DisableStealthMode- Не настроено (по умолчанию)
- True
- False — сервер работает в невидимом режиме. Правила брандмауэра, используемые для применения скрытого режима, зависят от реализации.
Отключение одноадресных ответов на многоадресную широковещательную передачу (устройство)
CSP: DisableUnicastResponsesToMulticastBroadcast- Не настроено (по умолчанию)
- True — одноадресный ответ на многоадресный широковещательный трафик заблокирован.
- False
Глобальные порты разрешают слияние между пользователями (устройство)
CSP: GlobalPortsAllowUserPrefMerge- Не настроено (по умолчанию)
- True
- False — правила брандмауэра для глобальных портов в локальном хранилище игнорируются и не применяются.
Экранированный (устройство)
CSP: экранированный- Не настроено (по умолчанию)
- True — сервер блокирует весь входящий трафик независимо от других параметров политики.
- False