Giám sát hoạt động của Firewall với GPO – Group Policy Object

Quản Trị Mạng - Trên thực tế, hệ thống Windows Firewall có thể trở thành trở ngại lớn nhất đối với người quản trị, nhưng với việc bổ sung đối tượng Group Policy trong hệ điều hành Windows thì quá trình này đã đơn giản hơn rất nhiều. Trong bài viết hướng dẫn dưới đây, chúng tôi sẽ giới thiệu với các bạn một số bước cơ bản để cấu hình, thiết lập Windows Firewall qua Group Policy.

Trong nhiều văn phòng, công ty hiện nay thì có rất nhiều người cài đặt và sử dụng Skype để giao tiếp và trao đổi với đồng nghiệp, đối tác, bạn bè... nhưng vô tình chính ứng dụng này lại làm giảm hiệu suất làm việc của mọi người trong giờ làm việc. Mục tiêu của bộ phận quản trị ở đây là ngăn chặn ứng dụng Skype trong toàn bộ thời gian làm việc, ngoại trừ giờ nghỉ trưa đối với kết nối 3G/4G.

Cách đơn giản nhất để điều khiển Windows Firewall qua Group Policy là thiết lập hệ thống máy tính sử dụng Windows 7, sau đó lưu các policy và import trở lại vào Group Policy. Bằng cách làm này, chúng ta sẽ hoàn toàn có thể kiểm soát được các rule và policy trong hệ thống.

Tạo Firewall Template:

Để thực hiện việc này, các bạn mở Network and Sharing Center qua Control Panel:

mở Network and Sharing Center

Chọn tiếp đường dẫn Windows Firewall ở cửa sổ bên trái:

nhấn Windows Firewall

Cách làm đơn giản nhất tại đây là qua mục Advanced Security của Windows Firewall:

chọn Advanced SecurityNhấn vào đường link Advanced Settings

Trong bài thử nghiệm này, chúng tôi sẽ áp dụng đối với chương trình Skype, khi sử dụng trong hệ thống khác, các bạn chỉ việc thay đổi ứng dụng tương ứng. Về bản chất, khi cài đặt và thiết lập Skype trong Windows, ứng dụng đã tự tạo ra ngoại lệ – Exception trong Firewall để cho phép skype.exe giao tiếp với Domain, Private và Public network.

tạo Inbound Rules cho Skype

Tất cả những gì cần làm tại đây là thay đổi quy luật – Rule của Firewall, nhấn đúp vào Rule tương ứng đó. Cửa sổ thuộc tính – Property của skype.exe hiển thị:

thay đổi thuộc tính của Skype

Chuyển tới thẻ Advanced và bỏ dấu check tại ô Domain:

chọn tab Advanced

Và khi khởi động Skype, hệ thống sẽ hiển thị thông báo xác nhận rằng người dùng có cho phép ứng dụng đó giao tiếp với Domain Network Profile. Bỏ dấu check tại ô Domain Network... và nhấn Allow access:

bỏ dấu check tại ô Domain Network...

Giờ đây, nếu quay trở lại Inbound Firewall Rules thì các bạn sẽ thấy 2 Rule mới xuất hiện, đó là khi hệ thống hiển thị thông báo và người dùng chọn không cho phép Inbound Skype. Lý do tại sao lại xuất hiện 2 Rule riêng biệt thì đó là do TCP UDP:

các Rule khác nhau

Tuy nhiên, người dùng vẫn có thể đăng nhập được vào Skype:

vẫn sử dụng được Skype


Thậm chí, nếu có thay đổi quy luật để chặn inbound traffic của skype.exe và thiết lập chế độ chặn qua bất kỳ giao thức nào thì cũng không có tác dụng. Vậy phải làm thế nào để đạt được yêu cầu của chúng ta? Để khắc phục, các bạn chuyển sang Outbound Rules và tạo mới Rule tại đây:

tạo mới Outbound Rule

Nhấn Next, trỏ tới đường dẫn file thực thi trực tiếp của Skype Next:

chọn đường dẫn đầy đủ

Giữ nguyên chế độ mặc định là Block the connection và tiếp tục Next:

chọn Block the connection

Bỏ dấu check tại ô Private Public, sau đó nhấn Next:

bỏ dấu check tại ô Private và Public

Đặt tên cho Rule này và Finish:

nhấn Finish

Và từ thời điểm này, Skype đã hoàn toàn bị chặn:

Skype đã bị chặn

Export Policy:

Để thực hiện việc này, tại cửa sổ bên trái các bạn chọn phần gốc của Windows Firewall with Advanced Security, sau đó nhấn menu Action > Export Policy:

mở Action > Export Policy

Và lưu file này tại 1 vị trí an toàn trên hệ thống, thiết bị lưu trữ cắm ngoài, ổ USB...

lưu file này

Nhập Policy vào Group Policy:

Để import policy tùy chỉnh của firewall, các bạn cần mở hoặc tạo mới GPO, và kết nối tới thành phần OU – Object Unit có chứa các tài khoản trong hệ thống. Tại bài thử nghiệm này, chúng ta có 1 GPO với tên là Firewall Policy, có liên kết tới OU gọi là Geek Computers:

Import Policy

Sau đó, chuyển tới khóa sau:

Open Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security

Nhấn Windows Firewall with Advanced Security và chọn Action > Import Policy:

nhấn Action > Import Policy

Trong quá trình thực hiện này, hệ thống sẽ ghi đè tất cả Policy cũ bằng Policy mới, nhấn Yes để tiếp tục và trỏ đường dẫn tới file policy lưu trữ ở bước trên.

ghi đè Policy

Khi hoàn tất, chúng ta quay trở lại bảng điều khiển chính và thấy có 3 Rule của Skype tại đây:

các Rule tương ứng của Skype


Kiểm tra:

Để kiểm tra quy luật của Firewall đã được triển khai và áp dụng chuẩn trên hệ thống client hay chưa, các bạn hãy sử dụng 1 máy client và mở phần Windows Firewall Settings:

kiểm tra trên máy client

Tại đây, chúng ta sẽ nhìn thấy một số quy luật của Firewall đã được quản lý bởi tài khoản Administrator. Chọn đường dẫn Allow a program or feature through Windows Firewall ở phía bên trái cửa sổ:

nhấn Allow a program or feature through Windows Firewall

Các bạn sẽ thấy cả 2 quy luật được áp dụng bởi Group Policy cũng như các thành phần trong hệ thống local:

Các rule tồn tại trong hệ thống

Ở chế độ mặc định, chế độ gộp Rule đã được kích hoạt sẵn giữa Firewall local trên máy tính Windows 7 và Policy Firewall được chỉ định trong Group Policies. Điều này có nghĩa rằng các tài khoản quản trị local vẫn có thể tự tạo rule firewall của riêng họ, và những rule này sẽ được gộp chung với rule được tạo trong Group Policy. Để khắc phục điều này, các bạn nhấn chuột phải vào phần Windows Firewall with Advanced Security và chọn Properties, tại đây chúng ta chọn tiếp Customize trong phần Settings:

thay đổi chế độ gộp Rule

Thay đổi tùy chọn Apply local firewall rules từ Not Configured thành No:

thay đổi tùy chọn Not Configured thành No

Sau đó, quay trở lại phần Profiles PrivatePublic các bạn thực hiện tương tự như vậy, và chúng ta đã giải quyết được vấn đề xung đột giữa policy local và bên ngoài. Chúc các bạn thành công!

Thứ Tư, 21/12/2011 07:25
11 👨 1.797
0 Bình luận
Sắp xếp theo