Inställningar för brandväggsprinciper för klientanslutna enheter i Microsoft Intune

Visa inställningarna för Microsoft Windows-brandväggen som du kan hantera med profilen för Windows-brandväggen (ConfigMgr) från Intune. Profilen är tillgänglig när du konfigurerar Intune brandväggsprincip och principen distribueras till enheter som du hanterar med Configuration Manager när du har konfigurerat scenariot för klientanslutning.

Windows-brandväggen

• Verifiering av listan över återkallade certifikat (enhet)
  CSP: MdmStore/Global/CRLcheck

  Ange hur verifiering av listan över återkallade certifikat (CRL) tillämpas.

  • Inte konfigurerad (standard) – Använd klientens standardvärde, vilket är att inaktivera CRL-verifiering.
  • Ingen
  • Försök
  • Behöva

• Inaktivera tillståndskänslig Ftp (enhet)
  CSP: MdmStore/Global/DisableStatefulFtp

  • Inte konfigurerad (standard)
  • Sant – Tillståndskänslig FTP är inaktiverat
  • False – Brandväggen utför tillståndskänslig FTP-filtrering (File Transfer Protocol) för att tillåta sekundära anslutningar.

• Aktivera paketkö (enhet)
  CSP: MdmStore/Global/EnablePacketQueue

  Välj bland följande alternativ för att konfigurera skalning för programvaran på mottagarsidan för den krypterade mottagningen och rensa text framåt för scenariot med IPsec-tunnelgatewayen. Detta säkerställer att paketordningen bevaras. Som standard är inga alternativ markerade.

  • Inaktiverad
  • Inkommande kö
  • Utgående kö

• IPsec-undantag (enhet)
  CSP: MdmStore/Global/IPsecExempt

  Välj bland följande alternativ för att konfigurera IPsec-undantag.

  • Undanta granne identifierar IPv6 ICMP-typkoder från IPsec
  • Undanta ICMP från IPsec
  • Undanta router identifiera IPv6 ICMP-typkoder från IPsec
  • Undanta både IPv4- och IPv6 DHCP-trafik från IPsec

• Matcha autentiseringsuppsättning per KM (enhet) opportunistiskt
  CSP: OpportunisticallyMatchAuthSetPerKM

  • Inte konfigurerad (standard)
  • Sant
  • Falskt

• Kodning av i förväg delad nyckel (enhet)
  CSP: MdmStore/Global/PresharedKeyEncoding

  • Inte konfigurerad (standard)
  • Ingen
  • UTF8

• Inaktivitetstid för säkerhetsassociation (enhet)
  CSP: MdmStore/Global/SaIdleTime

  Ange en tid i sekunder mellan 300 och 3600 för hur länge säkerhetsassociationer sparas när nätverkstrafiken inte visas. Om du inte anger något värde tar systemet bort en säkerhetsassociation när den har varit inaktiv i 300 sekunder.

Domänprofil

• Aktivera brandvägg för domännätverk (enhet)
  CSP: EnableFirewall

  • Inte konfigurerad (standard) – Klienten återgår till standardvärdet, vilket är att aktivera brandväggen.
  • Sant – Windows-brandväggen för nätverkstypen för domänen är aktiverad och framtvingad.
  • False – Inaktivera brandväggen.

  När värdet är True kan du sedan konfigurera följande inställningar för den här brandväggsprofiltypen:

  • Tillåt sammanslagning av lokal ipsec-princip (enhet)
    CSP: AllowLocalIpsecPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Anslutningssäkerhetsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Tillåt lokal principsammanslagning (enhet)
    CSP: AllowLocalPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Brandväggsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Auth Apps Allow User Pref Merge (Device)
    CSP: AuthAppsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt

  • Standardåtgärd för inkommande trafik för domänprofil (enhet)
    CSP: DefaultInboundAction

    • Inte konfigurerad (standard)
    • Tillåt
    • Blockera

  • Standardåtgärd för utgående trafik (enhet)
    CSP: DefaultOutboundAction

    • Tillåt
    • Blockera

  • Inaktivera inkommande meddelanden (enhet)
    CSP: DisableInboundNotifications

    • Inte konfigurerad (standard)
    • Sant – Brandväggen visar inte ett meddelande för användaren när ett program blockeras från att lyssna på en port.
    • False – Brandväggen kan visa ett meddelande till användaren när ett program blockeras från att lyssna på en port.

  • Inaktivera dolt läge (enhet)
    CSP: DisableStealthMode

    • Inte konfigurerad (standard)
    • Sant
    • False – servern fungerar i dolt läge. Brandväggsreglerna som används för att framtvinga dolt läge är implementeringsspecifika.

  • Inaktivera Unicast-svar på multicast-sändning (enhet)
    CSP: DisableUnicastResponsesToMulticastBroadcast

    • Inte konfigurerad (standard)
    • Sant – Unicast-svar på multicast-sändningstrafik blockeras.
    • Falskt

  • Globala portar tillåter sammanslagning av användarförhandsanvändare (enhet)
    CSP: GlobalPortsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt – Globala portbrandväggsregler i det lokala arkivet ignoreras och framtvingas inte.

  • Avskärmad (enhet)
    CSP: Avskärmad

    • Inte konfigurerad (standard)
    • Sant – servern blockerar all inkommande trafik oavsett andra principinställningar.
    • Falskt

Privat profil

• Aktivera brandvägg för privat nätverk (enhet)
  CSP: EnableFirewall

  • Inte konfigurerad (standard) – Klienten återgår till standardvärdet, vilket är att aktivera brandväggen.
  • Sant – Windows-brandväggen för nätverkstypen privat är aktiverad och framtvingad.
  • False – Inaktivera brandväggen.

  När värdet är True kan du sedan konfigurera följande inställningar för den här brandväggsprofiltypen:

  • Tillåt sammanslagning av lokal ipsec-princip (enhet)
    CSP: AllowLocalIpsecPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Anslutningssäkerhetsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Tillåt lokal principsammanslagning (enhet)
    CSP: AllowLocalPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Brandväggsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Auth Apps Allow User Pref Merge (Device)
    CSP: AuthAppsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt

  • Standardåtgärd för inkommande trafik för privat profil (enhet)
    CSP: DefaultInboundAction

    • Inte konfigurerad (standard)
    • Tillåt
    • Blockera

  • Standardåtgärd för utgående trafik (enhet)
    CSP: DefaultOutboundAction

    • Tillåt
    • Blockera

  • Inaktivera inkommande meddelanden (enhet)
    CSP: DisableInboundNotifications

    • Inte konfigurerad (standard)
    • Sant – Brandväggen visar inte ett meddelande för användaren när ett program blockeras från att lyssna på en port.
    • False – Brandväggen kan visa ett meddelande till användaren när ett program blockeras från att lyssna på en port.

  • Inaktivera dolt läge (enhet)
    CSP: DisableStealthMode

    • Inte konfigurerad (standard)
    • Sant
    • False – servern fungerar i dolt läge. Brandväggsreglerna som används för att framtvinga dolt läge är implementeringsspecifika.

  • Inaktivera Unicast-svar på multicast-sändning (enhet)
    CSP: DisableUnicastResponsesToMulticastBroadcast

    • Inte konfigurerad (standard)
    • Sant – Unicast-svar på multicast-sändningstrafik blockeras.
    • Falskt

  • Globala portar tillåter sammanslagning av användarförhandsanvändare (enhet)
    CSP: GlobalPortsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt – Globala portbrandväggsregler i det lokala arkivet ignoreras och framtvingas inte.

  • Avskärmad (enhet)
    CSP: Avskärmad

    • Inte konfigurerad (standard)
    • Sant – servern blockerar all inkommande trafik oavsett andra principinställningar.
    • Falskt

Offentlig profil

• Aktivera brandvägg för offentligt nätverk (enhet)
  CSP: EnableFirewall

  • Inte konfigurerad (standard) – Klienten återgår till standardvärdet, vilket är att aktivera brandväggen.
  • Sant – Windows-brandväggen för nätverkstypen offentlig är aktiverad och framtvingad.
  • False – Inaktivera brandväggen.

  När värdet är True kan du sedan konfigurera följande inställningar för den här brandväggsprofiltypen:

  • Tillåt sammanslagning av lokal ipsec-princip (enhet)
    CSP: AllowLocalIpsecPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Anslutningssäkerhetsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Tillåt lokal principsammanslagning (enhet)
    CSP: AllowLocalPolicyMerge

    • Inte konfigurerad (standard)
    • Sant
    • False – Brandväggsregler från det lokala arkivet ignoreras och framtvingas inte.

  • Auth Apps Allow User Pref Merge (Device)
    CSP: AuthAppsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt

  • Standardåtgärd för inkommande trafik för offentlig profil (enhet)
    CSP: DefaultInboundAction

    • Inte konfigurerad (standard)
    • Tillåt
    • Blockera

  • Standardåtgärd för utgående trafik (enhet)
    CSP: DefaultOutboundAction

    • Tillåt
    • Blockera

  • Inaktivera inkommande meddelanden (enhet)
    CSP: DisableInboundNotifications

    • Inte konfigurerad (standard)
    • Sant – Brandväggen visar inte ett meddelande för användaren när ett program blockeras från att lyssna på en port.
    • False – Brandväggen kan visa ett meddelande till användaren när ett program blockeras från att lyssna på en port.

  • Inaktivera dolt läge (enhet)
    CSP: DisableStealthMode

    • Inte konfigurerad (standard)
    • Sant
    • False – servern fungerar i dolt läge. Brandväggsreglerna som används för att framtvinga dolt läge är implementeringsspecifika.

  • Inaktivera Unicast-svar på multicast-sändning (enhet)
    CSP: DisableUnicastResponsesToMulticastBroadcast

    • Inte konfigurerad (standard)
    • Sant – Unicast-svar på multicast-sändningstrafik blockeras.
    • Falskt

  • Globala portar tillåter sammanslagning av användarförhandsanvändare (enhet)
    CSP: GlobalPortsAllowUserPrefMerge

    • Inte konfigurerad (standard)
    • Sant
    • Falskt – Globala portbrandväggsregler i det lokala arkivet ignoreras och framtvingas inte.

  • Avskärmad (enhet)
    CSP: Avskärmad

    • Inte konfigurerad (standard)
    • Sant – servern blockerar all inkommande trafik oavsett andra principinställningar.
    • Falskt

Nästa steg

Slutpunktssäkerhetsprincip för brandväggar