防火墙和IP安全策略配置
|
2019-05-17
一、
1、实现不了,需要第三方方案
2、Windows系统本身无此功能,第三方软件或许可以,比如共享文件夹不允许任何形式拿走文件的需求给微软开过单,微软实现不了,第三方软件方案比如https://cloud.tencent.com/developer/article/1871398
二、
普通用户做不了管理员用户的配置
需要远程的用户加远程用户组
需要能改系统配置的用户加管理员组
服务器自带功能有限,第三方安全软件,比如服务器安全狗(https://www.safedog.cn/about.html)有多维度安全策略,比如通过客户端电脑主机名来设置允许/禁止
1、组策略配置禁止远程桌面会话主机的设备和资源重定向策略
2、指定用户加入remote desktop users组,不在该组的用户则远程不了,禁止访问所有外网通过IP安全策略可实现
3、访问指定IP通过IP安全策略实现
4、不允许修改系统配置的用户(非管理员)不能做修改,包括但不限于重启/关闭机器、以管理员身份运行命令、修改注册表、修改组策略、修改防火墙、修改IP安全策略、修改本地用户和组等配置,普通用户权限即可
防火墙、IP安全策略配置说明:
1、清空防火墙出/入站规则、保持防火墙开启的情况下,是:入站禁止所有、出站放行所有;放行端口在防火墙入站规则放行,IP范围在IP安全策略把控。
2、IP安全策略(secpol.msc)配置技巧:
①先配IP范围(出入方向的IP、协议、端口)和 动作(允许/禁止)
②创建IP安全策略(创建过程中选①中创建的IP范围,并对选定的IP范围应用①中创建的动作)
③应用IP安全策略
举例:仅允许221.218.140.195、111.206.145.0/24段的客户端访问服务器3389端口,且仅允许服务器跟115.159.148.149的80端口、221.218.140.195和111.206.145.0/24的所有端口交互,其他的全部禁止
1、运行wf.msc用鼠标和shift键选中所有启用的规则,右键禁止所有规则(相当于清空规则),然后创建放行3389的入站规则,创建时不要在意IP范围,简单配置本地ALL、远程ALL即可,
2、配置好后,开启防火墙,步骤:
①运行services.msc找到windows firewall服务,看下是否是运行中,如果不是开启下;如果不是运行中、且是禁止状态,先调整成自动状态,然后开启下;如果不是运行中、是自动状态,但是启动报1068,请检查Base Filtering Engine(即BFE)是不是运行中,不是的话启动BFE,然后参考https://zhidao.baidu.com/question/1824351383760027908.html 处理
②运行firewall.cpl → 启用防火墙
②运行firewall.cpl → 启用防火墙
3、参考前述IP安全策略配置技巧配置IP安全策略,在IP范围上精细把控
①IP组和动作
这里的IP组有4个,截图如下
这里的IP组有4个,截图如下
②应用IP组和动作来创建IP安全策略
③右击应用IP安全策略
编辑:航网科技 来源:腾讯云 本文版权归原作者所有 转载请注明出处
关注我们
微信扫一扫关注我们
推荐阅读
