共用方式為

Windows 防火牆工具

Windows 提供不同的工具來檢視狀態和設定 Windows 防火牆。 所有工具都會與相同的基礎服務互動,但提供對這些服務的不同控制層級:

注意

若要變更裝置上的 Windows 防火牆設定,您必須具有系統管理許可權。

Windows 安全性

Windows 安全性 應用程式可用來檢視 Windows 防火牆狀態,並存取進階工具來進行設定。 選 取 [開始],輸入 Windows Security,然後按 ENTER。 開啟 Windows 安全性 之後,請選取 [防火牆] 索引卷標 & 網络保護]。 或使用下列快捷方式:

開啟防火牆 & 網路保護

顯示 Windows 安全性 應用程式的螢幕快照。

控制台

Windows Defender 防火牆 控制台 小程式提供設定 Windows 防火牆的基本功能。 選 取 [開始],輸入 firewall.cpl,然後按 ENTER

顯示 [防火牆] 控制面板小程式 Windows Defender 螢幕快照。

Windows Defender 具有進階安全性的防火牆

Windows Defender 防火牆與進階安全性 (WFAS) 是提供進階設定功能的 Microsoft Management Console (MMC) 嵌入式管理單元。 它可以在本機和組策略中使用, (GPO) 實作。

  • 如果您要設定單一裝置,請選取 [開始],輸入 wf.msc,然後按 ENTER 鍵
  • 如果您要設定已加入Active Directory 網域的裝置,請在 GPO) (建立或編輯組策略對象,然後展開 [電腦>>設定原則] [Windows 設定>安全性設定][具有進階安全性的> Windows 防火牆] 節點

Windows Defender 防火牆與進階安全性 MMC 嵌入式管理單元的螢幕快照。

組組服務提供者 (CSP)

防火牆 CSP 提供介面來設定和查詢 Windows 防火牆的狀態,可與行動裝置管理搭配使用, (MDM) 解決方案,例如 Microsoft Intune。

命令行工具

NetSecurity PowerShell 模組 和 Network Command Shell (netsh.exe) 是命令行公用程式,可用來查詢狀態和設定 Windows 防火牆。

組策略處理考慮

Windows 防火牆原則設定會儲存在登錄中。 根據預設,組策略會每隔 90 分鐘在背景重新整理一次,隨機位移介於 0 到 30 分鐘之間。

Windows 防火牆會監視登錄是否有變更,如果有內容寫入登錄,它會通知 Windows 篩選平臺 (WFP) ,這會執行下列動作:

  1. 讀取所有防火牆規則和設定
  2. 套用任何新的篩選
  3. 拿掉舊的篩選

注意

每當將專案寫入或從 GPO 設定儲存的登錄位置刪除時,就會觸發動作,無論是否真的有組態變更。 在此過程中,IPsec 聯機會中斷連線。

許多原則實作都指定只有在變更時才會更新。 不過,您可能想要更新未變更的原則,例如,如果使用者已變更它,請重新套用所需的原則設定。 若要控制登錄組策略處理的行為,您可以使用原則計算機>設定系統管理範>本系統>群組原則> 設定登錄原則處理即使 群組原則 物件尚未變更,進程選項也會更新並重新套用原則,即使原則尚未變更也一樣。 預設會停用此選項。

如果您啟用 [處理] 選項,即使 群組原則 物件尚未變更則每次背景重新整理時都會重新套用 WFP 篩選。 如果您有 10 個組策略,WFP 篩選器會在重新整理間隔期間重新套用 10 次。 如果在原則處理期間發生錯誤,則套用的設定可能不完整,導致下列問題:

  • Windows 防火牆封鎖組策略允許的輸入或輸出流量
  • 套用本機防火牆設定,而不是組策略設定
  • 無法建立 IPsec 連線

暫時的解決方案是使用 gpupdate.exe /force命令 重新整理組策略設定,這需要連線到域控制器。

若要避免此問題,請將 [設定 登錄原則處理 ] 原則保留為 [ 設定] 的預設值,或者,如果已設定,請將其設定為 [已 停用]

重要

即使 群組原則 物件尚未變更,仍必須取消核取 [處理] 旁的複選框。 如果您將它保持未核取狀態,只有在發生組態變更時,才會寫入 WFP 篩選器。

如果需要強制刪除和重寫登錄,請核取 [ 定期背景處理期間不套用] 旁的複選框來停用背景處理。

防護作用中 攻擊的模式

您可以在主動攻擊期間用來減輕損害的重要 Windows 防火牆功能是 防護向上 模式。 這是非正式的詞彙,指的是防火牆系統管理員在面對主動式攻擊時可以用來暫時提高安全性的簡單方法。

您可以檢查 [封鎖所有連入連線],包括 Windows [設定] 應用程式或 [控制台] 中允許的應用程式設定清單中的連線,以達到防護功能。

Windows 安全性 應用程式的螢幕快照,其中顯示連入連線。

控制台 防火牆小程序的螢幕快照。

根據預設,除非已建立例外狀況規則,否則 Windows 防火牆會封鎖所有專案。 shield up 選項會覆寫例外狀況。 例如,遠端桌面功能會在啟用時自動建立防火牆規則。 不過,如果主機上有使用多個埠和服務的作用中惡意探索,您可以使用防護向上模式封鎖所有輸入連線,並覆寫先前的例外狀況,包括遠端桌面的規則,而不是停用個別規則。 遠端桌面規則會保持不變,但只要防護作用中,遠端訪問就無法運作。

一旦緊急狀況結束,請取消核取設定以還原一般網路流量。

後續步驟

從下列下拉式清單中,選取其中一個工具以瞭解如何設定 Windows 防火牆: