配置Windows Defender 防火墙的最佳做法- Windows Security ...

link之家

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

保留默认设置

首次打开 Windows Defender 防火墙时，你会看到适用于本地计算机的默认设置。 “概述”面板显示设备可连接到的每种类型的网络的安全设置。

图 1：Windows Defender 防火墙

域配置文件 ：用于存在针对 Active Directory 域控制器的帐户身份验证系统的网络

专用配置文件 ：专门并且最好在专用网络中使用，例如家庭网络

公共配置文件 ：设计时考虑了公共网络（如Wi-Fi热点、咖啡店、机场、酒店或商店）的安全性

右键单击左侧窗格中顶部的“ 高级安全 Windows Defender 防火墙 ”，然后选择“ 属性 ”即可查看每个配置文件的详细设置。

尽可能不去更改 Windows Defender 防火墙的默认设置。这些设置旨在大多数网络情景下，确保你能够安全地使用设备。默认设置中有一个关键示例是入站连接的默认阻止行为。

图 2：默认入站/出站设置

若要最大限度保证安全，请勿更改入站连接默认的阻止设置。

有关配置基本防火墙设置的更多信息，请参阅打开 Windows 防火墙并配置默认行为，以及检查清单：配置基本防火墙设置。

了解入站规则的规则优先级

许多情况下，管理员的下一步是使用规则自定义这些配置文件（有时称为筛选器），以便它们可以使用用户应用或其他类型的软件。例如，管理员或用户可以选择添加规则以容纳程序、打开端口或协议，或允许预定义类型的流量。

可通过右键单击“ 入站规则 ”或“ 出站规则 ”，并选择“ 新建规则 ”来完成此规则添加任务。添加新规则的界面如下所示：

图 3：规则创建向导

本文不介绍分步规则配置。如需了解策略创建的一般指南，请参阅《高级安全 Windows 防火墙部署指南》。

许多情况下，需要允许特定类型的入站流量，应用程序才能在网络中正常运行。在允许此类入站例外时，管理员应记住以下规则优先级行为。

显式定义的允许规则将优先于默认阻止设置。

显式阻止规则将优先于任何冲突的允许规则。

更具体的规则将优先于不太具体的规则，有 2 中提及的显式阻止规则时除外。（例如，如果规则 1 的参数包含 IP 地址范围，而规则 2 的参数包含一个 IP 主机地址，则规则 2 的优先级更高。）

由于 1 和 2，因此在设计一组策略时，请务必确保不存在可能无意重叠的其他显式阻止规则，从而阻止希望允许的流量。

创建入站规则的一般安全最佳做法是尽可能地做到具体。但是，当必须制定使用端口或 IP 地址的新规则时，请考虑使用连续的范围或子网，而不是使用单个地址或端口（条件允许时）。此方法可以避免在底层创建多个筛选器，降低复杂性，并有助于避免性能下降。

Windows Defender 防火墙不支持由管理员分配的传统加权规则排序。记住上述几个一致且符合逻辑的规则行为，即可创建具有预期行为的有效策略集。

在首次启动前为新应用程序创建规则

入站允许规则

首次安装时，网络应用程序和服务会发出侦听调用，指定它们正常运行所需的协议/端口信息。由于 Windows Defender 防火墙中存在默认阻止，因此必须创建入站例外规则才能允许此类流量。应用或应用安装程序本身通常都会添加这一防火墙规则。否则，用户（或代表用户的防火墙管理员）需要手动创建规则。

如果没有活动的应用程序或管理员定义的允许规则，则在首次启动应用或尝试在网络中通信时，系统将会弹出一个对话框提示用户允许或阻止应用程序的数据包。

如果用户具有管理员权限，系统将会提示他们。如果用户选择“ 否 ”或取消提示，则将会创建阻止规则。通常会为 TCP 和 UDP 流量分别创建两个规则。

如果用户不是本地管理员，则不会提示他们。大多数情况下，将创建阻止规则。

在以上任一情景中，添加这些规则后，必须删除它们才能再次生成提示。如果没有这样做，将继续阻止流量。

防火墙的默认设置旨在为你提供安全。默认情况下允许所有入站连接，会给网络带来各种各样的威胁。因此，应该由值得信赖的应用开发者、用户或代表用户的管理员来决定为哪些第三方软件的入站连接创建例外。

自动规则创建存在的已知问题

在为网络设计防火墙策略时，最好为主机上部署的任何网络应用程序都配置允许规则。在用户首次启动应用程序之前就创建好相应的规则有助于为用户提供无缝的体验。

缺少这些分步规则并不一定意味着应用程序最终将无法在网络上进行通信。但是，在运行时自动创建应用程序规则所涉及的行为需要用户交互和管理权限。如果设备预期由非管理用户使用，你应该遵循最佳做法，即在应用程序首次启动之前提供这些规则，以避免遇到意外的网络问题。

若要确定阻止某些应用程序在网络中进行通信的原因，请检查以下实例：

具有足够权限的用户将收到查询通知，通知他们应用程序需要更改防火墙策略。未完全理解提示，用户取消或关闭提示。

用户缺乏足够的权限，因此没有收到提示，提醒他们允许应用程序进行相应的策略更改。

本地策略合并被禁用，阻止应用程序或网络服务创建本地规则。

管理员也可以使用“设置”应用或“组策略”，禁止在运行时创建应用程序规则。

图 4：允许访问的对话框

另请参阅清单：创建入站防火墙规则。

制定本地策略合并和应用程序规则

可以部署以下防火墙规则：

在本地使用防火墙管理单元 ( WF.msc )

在本地使用 PowerShell

如果设备是 Active Directory 名称、System Center Configuration Manager或使用工作区加入) Intune (的成员，则远程使用组策略

规则合并设置控制如何组合来自不同策略源的规则。管理员可以为域、专用和公共配置文件配置不同的合并行为。

除了从组策略获取的规则外，规则合并设置还用于允许或阻止本地管理员创建自己的防火墙规则。

图 5：规则合并设置

在防火墙配置服务提供程序中，等效设置为 AllowLocalPolicyMerge 。可以在每个相应的配置文件节点、 DomainProfile 、 PrivateProfile 和 PublicProfile 下找到此设置。

如果禁用了本地策略合并，则任何需要入站连接的应用都需要集中部署规则。

管理员可以在高安全性环境中禁用 LocalPolicyMerge ，以保持对终结点的更严格控制。如上文所述，此设置可能会影响一些在安装时自动生成本地防火墙策略的应用和服务。若要使此类应用和服务正常工作，管理员应集中通过组策略 (GP)、移动设备管理 (MDM) 或两者（混合或共同管理环境）集中推送规则。

防火墙 CSP 和策略 CSP 也具有会影响规则合并的设置。

最佳做法是列出和记录此类应用，包括用于通信的网络端口。通常，可以在应用的网站上找到必须为给定服务打开的端口。更复杂的部署或客户应用程序部署，则可能需要使用网络数据包捕获工具进行更全面的分析。

通常，为了最大限度保证安全性，管理员应仅为确定用于合法用途的应用和服务推送防火墙例外。

应用程序规则不支持使用通配符模式，例如 C：*\teams.exe 。目前，我们仅支持使用到应用程序的完整路径创建的规则。

了解如何使用“防护”模式阻止主动攻击

“防护”模式是你在遭受主动攻击时可以用来减轻损失的一项重要的防火墙功能。这是一个非正式术语，是指防火墙管理员在受到主动攻击时可用于临时提高安全性的一种简单方法。

可以在 Windows 设置应用或旧文件 firewall.cpl 中选中“ 阻止所有传入连接，包括允许的应用列表中的入站连接 ，实现防护效果。

图 6：Windows 设置应用/Windows 安全中心/防火墙保护/网络类型

图 7：旧版 firewall.cpl

默认情况下，Windows Defender 防火墙将阻止所有内容，除非创建了例外规则。此设置将覆盖例外。

例如，远程桌面功能会在启用时自动创建防火墙规则。但是，如果主机上存在使用多个端口和服务的活动攻击，可以使用防护模式阻止所有入站连接，覆盖以前的例外，包括远程桌面规则，而不是禁用单个规则。远程桌面规则保持不变，但只要激活防护，远程访问将不起作用。

在紧急情况结束后，取消选中用于还原常规网络流量的设置。

创建出站规则

以下是配置出站规则时需要遵循的几条一般准则。

在某些安全等级高的环境下，可以考虑采用默认的阻止的出站流程配置。但是，入站规则配置不应以默认允许流量的方式更改

为了简化应用部署，建议在大多数部署中默认允许出站，除非企业更喜欢严格的安全控制而不是易用性

在高度安全的环境下，管理员必须记录所有跨企业的应用的清单。记录必须包括所使用的应用是否需要网络连接。管理员需要创建特定于每个需要网络连接的应用的新规则，并通过组策略 (GP) 、移动设备管理 (MDM) ，或同时 (混合或共同管理环境)

有关创建出站规则的任务，请参阅清单：创建出站防火墙规则。

创建入站或出站规则时，应指定有关应用本身、使用的端口范围以及创建日期等重要说明的详细信息。必须详尽地记录规则，以便你和其他管理员查看。我们强烈建议花时间让你之后能够更简便地查看防火墙规则。并且切勿在防火墙中制造不必要的漏洞。