Конфигурирование базовых параметров брандмауэра посредством групповой политики

Во многих организациях поддержка конечных пользователей частично осуществляется посредством удаленного управления рабочим столом. Одни организации используют для этой цели встроенные средства Windows для удаленного управления, а другие — продукты сторонних производителей. В задачу по удаленному управлению рабочими станциями может входить установка дополнительного программного обеспечения для определенного пользователя или группы пользователей, ручной запуск службы Windows Update, помощь в установке локальных принтеров, добавление локальных пользовательских учетных записей, изменение членства в локальных группах или устранение обнаруженных проблем с участием и подтверждением конечного пользователя или без таковых. Брандмауэр Windows содержит несколько профилей, а те содержат отдельные правила и исключения брандмауэра. Во многих ситуациях, включая и дистанционное администрирование, правила брандмауэра Windows могут блокировать как ненужный, так и желаемый трафик. В случае удаленных рабочих столов и дистанционного администрировании брандмауэры Windows Windows Server 2003 и более поздних клиентских и серверных операционных систем содержат заранее созданные правила для быстрого включения этих функций. При управлении правилами брандмауэра с помощью групповых политик администраторы должны рассмотреть различные варианты: какие профили брандмауэр требуют изменений правил, требует ли правило фильтрации по исходящим IP-адресам и нужно ли указать некоторые системы для проведения этих изменений. Например, в случае удаленных рабочих столов и дистанционного администрирования может понадобиться разрешить пропускать эти возможности через брандмауэр только в профиле домена и только для определенных диапазонов IP-адресов или подсетей, где находятся серверы компании и рабочие станции администраторов. Это поможет уменьшить площадь уязвимости при подключении системы к общедоступной сети и даже жестко контролировать, кто может дистанционно подключаться к этим системам из сети компании.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *