欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Windows?Server?2022?組策略(gpedit.msc)設(shè)置匯總

 更新時(shí)間:2024年03月27日 12:36:47   作者:ieNetWork  
這篇文章主要介紹了win2022中通過組策略對(duì)服務(wù)器進(jìn)行安全設(shè)置一些策略,我們配置服務(wù)器的時(shí)候都需要配置一下,尤其是ip安全策略

組策略設(shè)置

組策略(英語:Group Policy)是微軟Windows NT家族操作系統(tǒng)的一個(gè)特性,它可以控制用戶帳戶和計(jì)算機(jī)帳戶的工作環(huán)境。組策略提供了操作系統(tǒng)、應(yīng)用程序和活動(dòng)目錄中用戶設(shè)置的集中化管理和配置。組策略的其中一個(gè)版本名為本地組策略(縮寫“LGPO”或“LocalGPO”),這可以在獨(dú)立且非域的計(jì)算機(jī)上管理組策略對(duì)象。

1.禁止使用cmd

用戶配置---策略---管理模板---系統(tǒng)---組織訪問命令提示符

image-20230727111650428

2.禁止客戶端電腦顯示用戶首次登陸動(dòng)畫

計(jì)算機(jī)配置–--策略–--管理模板–--系統(tǒng)–--登錄–--顯示首次登錄動(dòng)畫(應(yīng)該是選擇已禁用,這里選成了已啟用時(shí)錯(cuò)的)

image-20230727112257864

3.設(shè)置所有主機(jī)的登錄Banner

標(biāo)題為“CHINASKILLS-DOMAIN”。

內(nèi)容為“Hello, unauthorized login is prohibited!”

計(jì)算機(jī)配置---策略---Windows設(shè)置---安全設(shè)置---本地策略---安全選項(xiàng)---交互式登錄:試圖登錄的用戶的消息標(biāo)題計(jì)算機(jī)配置---策略---Windows設(shè)置---安全設(shè)置---本地策略---安全選項(xiàng)---交互式登錄:試圖登錄的用戶的消息文本

image-20230727152354326

image-20230727152501150

4.禁止用戶緩存登錄

計(jì)算機(jī)配置---策略---Windows設(shè)置---安全設(shè)置---本地策略---安全選項(xiàng)---交互式登錄:之前登錄到緩存的次數(shù)(域控制器不可用時(shí))

image-20230727144347058

5.所有的服務(wù)器不需要按ctrl+alt+del。

計(jì)算機(jī)配置---策略---Windows設(shè)置---安全設(shè)置---本地策略---安全選項(xiàng)---交互式登錄:無須按ctrl+Alt+Del

image-20230727144754337

6.移除關(guān)機(jī)和重啟按鈕

用戶配置---策略---管理模板---“開始”菜單和任務(wù)欄---刪除并阻止訪問“關(guān)機(jī)”、“重新啟動(dòng)”、“睡眠”和“休眠”命令

image-20230727150015904

7.用戶隱藏指定驅(qū)動(dòng)(如:C盤等)

用戶配置---策略–--管理模板–--Windows組件–--文件資源管理器–--隱藏“我的電腦”中的這些指定驅(qū)動(dòng)器

image-20230727111928390

image-20230727112059639

8.禁止用戶更改桌面

用戶配置---策略---管理模板---桌面---退出時(shí)不保存配置

image-20230727150628431

9.移除桌面回收站

用戶配置---策略---管理模板---桌面---從桌面刪除回收站

image-20230727150848142

10.移除桌面IE瀏覽器圖標(biāo)

用戶配置---策略---管理模板---桌面---隱藏桌面上的Internet Explorer圖標(biāo)

image-20230727151045062

11.IE瀏覽器首頁設(shè)置為“https://www.baidu.com”

用戶配置---策略---管理模板---Windows組件---Internet Explorer---禁止更改主頁設(shè)置

image-20230727151511127

12.所有用戶都應(yīng)該收到登錄提示信息

標(biāo)題“安全登錄提示”,內(nèi)容“禁止非法用戶登錄使用本計(jì)算機(jī)。

1.新建一個(gè)文本文檔,內(nèi)容為:

@echo off
mshta vbscript:msgbox("禁止非法用戶登錄使用本計(jì)算機(jī)。",64,"登錄安提示:")(window.close)

2.將txt后綴改為bat
3.用戶配置

注意:不能阻止訪問命令提示符

vbscript:msgbox("禁止非法用戶登錄使用本計(jì)算機(jī)。",64,"登錄安提示:"): 這是VBScript的代碼,用于顯示一個(gè)帶有指定文本的消息框。其中,"禁止非法用戶登錄使用本計(jì)算機(jī)。"是消息框的內(nèi)容,64是消息框的圖標(biāo)類型,"登錄安提示:"是消息框的標(biāo)題。
(window.close): 這是VBScript代碼的一部分,表示在消息框顯示后立即關(guān)閉窗口。

image-20230727153903028

image-20230727154042370

image-20230727154237693

13.統(tǒng)一添加 IE 瀏覽器快捷方式在桌面;

用戶配置---首選項(xiàng)---Windows設(shè)置---快捷方式---右擊新建---C:\Program Files\Internet Explorer\iexplore.exe

image-20230727155254404

image-20230727160236329

14.禁止修改Internet Explorer的代理服務(wù)器設(shè)置

計(jì)算機(jī)配置---策略---管理模板---Windows組件---Internet Explorer---阻止更改代理設(shè)置

image-20230727161220931

使用組策略配置規(guī)則

本文包含如何使用具有高級(jí)安全性的 Windows 防火墻控制臺(tái)配置 Windows 防火墻 規(guī)則的示例。

本文包含如何使用具有高級(jí)安全性的 Windows 防火墻控制臺(tái)配置 Windows 防火墻 規(guī)則的示例。

使用高級(jí)安全控制臺(tái)訪問 Windows 防火墻

如果要配置已加入 Active Directory 域的設(shè)備,若要完成這些過程,你必須是域管理員組的成員,或者具有修改域中 GPO 的委派權(quán)限。 若要訪問 具有高級(jí)安全性的 Windows 防火墻 控制臺(tái), 請(qǐng) (GPO) 創(chuàng)建或編輯 組策略對(duì)象,并展開節(jié)點(diǎn) 計(jì)算機(jī)配置>策略>Windows 設(shè)置>安全設(shè)置>具有高級(jí)安全性的 Windows 防火墻。

如果要配置單個(gè)設(shè)備,則必須對(duì)設(shè)備具有管理權(quán)限。 在這種情況下,若要訪問 具有高級(jí)安全性的 Windows 防火墻 控制臺(tái),請(qǐng)選擇“ 開始”,鍵入 wf.msc,然后按 Enter。

創(chuàng)建入站 ICMP 規(guī)則

這種類型的規(guī)則允許網(wǎng)絡(luò)上的設(shè)備接收 ICMP 請(qǐng)求和響應(yīng)。 若要?jiǎng)?chuàng)建入站 ICMP 規(guī)則,請(qǐng)執(zhí)行以下操作:

  • 使用 高級(jí)安全打開 Windows 防火墻 控制臺(tái)
  • 在導(dǎo)航窗格中,選擇“入站規(guī)則
  • 選擇“操作”,然后選擇“新建規(guī)則
  • 在“新建入站規(guī)則向?qū)?rdquo;的“規(guī)則類型”頁上,選擇“自定義”,然后選擇“下一步
  • “程序”頁上,選擇“所有程序”,然后選擇“下一步
  • “協(xié)議和端口”頁上,從“協(xié)議類型”列表中選擇“ICMPv4”或“ICMPv6”。 如果在網(wǎng)絡(luò)上同時(shí)使用 IPv4 和 IPv6,則必須為每個(gè)應(yīng)用創(chuàng)建單獨(dú)的 ICMP 規(guī)則
  • 選擇 “自定義”
  • 在“ 自定義 ICMP 設(shè)置 ”對(duì)話框中,執(zhí)行以下操作之一:
    • 若要允許所有 ICMP 網(wǎng)絡(luò)流量,請(qǐng)選擇“ 所有 ICMP 類型”,然后選擇“ 確定”
    • 若要選擇其中一種預(yù)定義的 ICMP 類型,請(qǐng)選擇“ 特定 ICMP 類型”,然后在列表中選擇要允許的每個(gè)類型。 選擇 “確定”
    • 若要選擇列表中未顯示的 ICMP 類型,請(qǐng)選擇“ 特定 ICMP 類型”,從列表中選擇 “類型 編號(hào)”,從列表中選擇“ 代碼 號(hào)”,選擇“ 添加”,然后從列表中選擇新創(chuàng)建的條目。 選擇 “確定”
  • 選擇“ 下一步”
  • 在“ 作用域 ”頁上,可以指定該規(guī)則僅適用于傳入或傳出此頁中輸入的 IP 地址的網(wǎng)絡(luò)流量。 根據(jù)設(shè)計(jì)進(jìn)行適當(dāng)配置,然后選擇“下一步
  • “操作”頁上,選擇“允許連接”,然后選擇“下一步
  • “配置文件”頁上,選擇應(yīng)用此規(guī)則的網(wǎng)絡(luò)位置類型,然后選擇“下一步
  • “名稱”頁上,鍵入規(guī)則的名稱和說明,然后選擇“完成

創(chuàng)建入站端口規(guī)則

這種類型的規(guī)則允許偵聽指定 TCP 或 UDP 端口的任何程序接收發(fā)送到該端口的網(wǎng)絡(luò)流量。 創(chuàng)建入站端口規(guī)則:

  • 使用 高級(jí)安全打開 Windows 防火墻 控制臺(tái)
  • 在導(dǎo)航窗格中,選擇“入站規(guī)則
  • 選擇“操作”,然后選擇“新建規(guī)則
  • 在“新建入站規(guī)則向?qū)?rdquo;的“規(guī)則類型”頁上,選擇“自定義”,然后選擇“下一步

     備注

    雖然可以通過選擇 “程序 ”或“ 端口”來創(chuàng)建規(guī)則,但這些選擇會(huì)限制向?qū)э@示的頁數(shù)。 如果選擇“ 自定義”,則會(huì)看到所有頁面,并在創(chuàng)建規(guī)則時(shí)具有最大的靈活性。

  • “程序”頁上,選擇“所有程序”,然后選擇“下一步

     備注

    這種類型的規(guī)則通常與程序或服務(wù)規(guī)則結(jié)合使用。 如果將規(guī)則類型組合在一起,則會(huì)獲得一個(gè)防火墻規(guī)則,該規(guī)則將流量限制到指定端口,并且僅在指定的程序正在運(yùn)行時(shí)才允許流量。 指定的程序無法接收其他端口上的網(wǎng)絡(luò)流量,其他程序無法接收指定端口上的網(wǎng)絡(luò)流量。 如果選擇執(zhí)行此操作,請(qǐng)遵循 創(chuàng)建入站程序或服務(wù)規(guī)則 過程中的步驟以及此過程中的步驟創(chuàng)建單個(gè)規(guī)則,該規(guī)則使用程序和端口條件篩選網(wǎng)絡(luò)流量。

  • 在“ 協(xié)議和端口 ”頁上,選擇要允許的協(xié)議類型。 若要將規(guī)則限制為指定的端口號(hào),必須選擇 TCP 或 UDP。 由于這是傳入規(guī)則,因此通常僅配置本地端口號(hào) 如果選擇另一個(gè)協(xié)議,則僅允許通過防火墻通過 IP 標(biāo)頭中的協(xié)議字段匹配的數(shù)據(jù)包。
    若要按編號(hào)選擇協(xié)議,請(qǐng)從列表中選擇“ 自定義 ”,然后在“ 協(xié)議編號(hào) ”框中鍵入編號(hào)。
    配置協(xié)議和端口后,選擇“ 下一步”。
  • 在“ 作用域 ”頁上,可以指定該規(guī)則僅適用于傳入或傳出此頁中輸入的 IP 地址的網(wǎng)絡(luò)流量。 根據(jù)設(shè)計(jì)進(jìn)行適當(dāng)配置,然后選擇“下一步
  • “操作”頁上,選擇“允許連接”,然后選擇“下一步
  • “配置文件”頁上,選擇應(yīng)用此規(guī)則的網(wǎng)絡(luò)位置類型,然后選擇“下一步

     備注

    如果此 GPO 面向運(yùn)行 Windows Server 2008 的服務(wù)器計(jì)算機(jī)永遠(yuǎn)不會(huì)移動(dòng),請(qǐng)考慮修改規(guī)則以應(yīng)用于所有網(wǎng)絡(luò)位置類型配置文件。 如果網(wǎng)絡(luò)位置類型因安裝新網(wǎng)絡(luò)卡或現(xiàn)有網(wǎng)絡(luò)卡電纜斷開連接而發(fā)生更改,則這可以防止應(yīng)用規(guī)則發(fā)生意外更改。 斷開連接的網(wǎng)絡(luò)卡會(huì)自動(dòng)分配給公用網(wǎng)絡(luò)位置類型。

  • “名稱”頁上,鍵入規(guī)則的名稱和說明,然后選擇“完成

創(chuàng)建出站端口規(guī)則

默認(rèn)情況下,Windows 防火墻允許所有出站網(wǎng)絡(luò)流量,除非它與禁止流量的規(guī)則匹配。 這種類型的規(guī)則會(huì)阻止與指定 TCP 或 UDP 端口號(hào)匹配的任何出站網(wǎng)絡(luò)流量。 若要?jiǎng)?chuàng)建出站端口規(guī)則,請(qǐng)執(zhí)行以下操作:

  • 使用 高級(jí)安全打開 Windows 防火墻 控制臺(tái)
  • 在導(dǎo)航窗格中,選擇“ 出站規(guī)則”
  • 選擇“操作”,然后選擇“新建規(guī)則
  • 在“新建出站規(guī)則”向?qū)У?ldquo;規(guī)則類型”頁上,選擇“自定義”,然后選擇“下一步

     備注

    雖然可以通過選擇 “程序 ”或“ 端口”來創(chuàng)建規(guī)則,但這些選擇會(huì)限制向?qū)э@示的頁數(shù)。 如果選擇“ 自定義”,則會(huì)看到所有頁面,并在創(chuàng)建規(guī)則時(shí)具有最大的靈活性。

  • “程序”頁上,選擇“所有程序”,然后選擇“下一步
  • 在“ 協(xié)議和端口 ”頁上,選擇要阻止的協(xié)議類型。 若要將規(guī)則限制為指定的端口號(hào),必須選擇 TCP 或 UDP。 由于此規(guī)則是出站規(guī)則,因此通常僅配置遠(yuǎn)程端口號(hào) 如果選擇另一個(gè)協(xié)議,則只會(huì)阻止 IP 標(biāo)頭中協(xié)議字段與此規(guī)則匹配的數(shù)據(jù)包Windows Defender防火墻。 只要其他匹配的規(guī)則不阻止協(xié)議的網(wǎng)絡(luò)流量,就允許流量。 若要按編號(hào)選擇協(xié)議,請(qǐng)從列表中選擇“ 自定義 ”,然后在“ 協(xié)議編號(hào) ”框中鍵入編號(hào)。 配置協(xié)議和端口后,選擇“下一步
  • 在“ 作用域 ”頁上,可以指定該規(guī)則僅適用于傳入或傳出此頁中輸入的 IP 地址的網(wǎng)絡(luò)流量。 根據(jù)設(shè)計(jì)進(jìn)行適當(dāng)配置,然后選擇“下一步
  • “操作”頁上,選擇“阻止連接”,然后選擇“下一步
  • “配置文件”頁上,選擇應(yīng)用此規(guī)則的網(wǎng)絡(luò)位置類型,然后選擇“下一步
  • “名稱”頁上,鍵入規(guī)則的名稱和說明,然后選擇“完成

創(chuàng)建入站程序或服務(wù)規(guī)則

這種類型的規(guī)則允許程序偵聽和接收任何端口上的入站網(wǎng)絡(luò)流量。

 備注

這種類型的規(guī)則通常與程序或服務(wù)規(guī)則結(jié)合使用。 如果將規(guī)則類型組合在一起,則會(huì)獲得一個(gè)防火墻規(guī)則,該規(guī)則將流量限制到指定端口,并且僅在指定的程序正在運(yùn)行時(shí)才允許流量。 程序無法接收其他端口上的網(wǎng)絡(luò)流量,其他程序無法接收指定端口上的網(wǎng)絡(luò)流量。 若要將程序和端口規(guī)則類型合并為單個(gè)規(guī)則,請(qǐng)遵循 創(chuàng)建入站端口規(guī)則 過程中的步驟以及此過程中的步驟。

若要為程序或服務(wù)創(chuàng)建入站防火墻規(guī)則,請(qǐng)執(zhí)行以下操作:

  • 使用 高級(jí)安全打開 Windows 防火墻 控制臺(tái)

  • 在導(dǎo)航窗格中,選擇“入站規(guī)則

  • 選擇“操作”,然后選擇“新建規(guī)則

  • 在“新建入站規(guī)則向?qū)?rdquo;的“規(guī)則類型”頁上,選擇“自定義”,然后選擇“下一步

     備注

    用戶應(yīng)注意的信息(即使 skimming)盡管可以通過選擇 “程序 ”或“ 端口”來創(chuàng)建規(guī)則,但這些選項(xiàng)會(huì)限制向?qū)э@示的頁數(shù)。 如果選擇“ 自定義”,則會(huì)看到所有頁面,并在創(chuàng)建規(guī)則時(shí)具有最大的靈活性。

  • “程序”頁上,選擇“此程序路徑

  • 在文本框中鍵入程序的路徑。 使用環(huán)境變量(如果適用)來確保安裝在不同計(jì)算機(jī)上的不同位置的程序正常工作。

  • 執(zhí)行下列操作之一:

    • 如果可執(zhí)行文件包含單個(gè)程序,請(qǐng)選擇“下一步
    • 如果可執(zhí)行文件是必須允許接收入站網(wǎng)絡(luò)流量的多個(gè)服務(wù)的容器,請(qǐng)選擇“自定義”,選擇“僅應(yīng)用于服務(wù)”,選擇“確定”,然后選擇“下一步
    • 如果可執(zhí)行文件是單個(gè)服務(wù)的容器或包含多個(gè)服務(wù),但規(guī)則僅適用于其中一個(gè)服務(wù),請(qǐng)選擇“ 自定義”,選擇“ 應(yīng)用于此服務(wù)”,然后從列表中選擇該服務(wù)。 如果列表中未顯示該服務(wù),請(qǐng)選擇“ 應(yīng)用于具有此服務(wù)短名稱的服務(wù)”,然后在文本框中鍵入該服務(wù)的短名稱。 選擇“確定”,然后選擇“下一步

     重要

    若要使用 “應(yīng)用于此服務(wù) ”或 “將此服務(wù)短名稱應(yīng)用于服務(wù) ”選項(xiàng),必須為服務(wù)配置安全標(biāo)識(shí)符 (SID) 類型為 RESTRICTED 或 UNRESTRICTED。 若要檢查服務(wù)的 SID 類型,請(qǐng)運(yùn)行以下命令:sc qsidtype <ServiceName>

    如果結(jié)果為 NONE,則防火墻規(guī)則無法應(yīng)用于該服務(wù)。

    若要在服務(wù)上設(shè)置 SID 類型,請(qǐng)運(yùn)行以下命令: sc sidtype <ServiceName> <Type>

    在前面的命令中, 的值 <Type> 可以是 UNRESTRICTED 或 RESTRICTED。 盡管 命令還允許 的值 NONE,但該設(shè)置意味著服務(wù)不能在防火墻規(guī)則中使用,如此處所述。 默認(rèn)情況下,Windows 中的大多數(shù)服務(wù)都配置為 UNRESTRICTED。 如果將 SID 類型更改為 RESTRICTED,則服務(wù)可能無法啟動(dòng)。 建議僅在要在防火墻規(guī)則中使用的服務(wù)上更改 SID 類型,并將 SID 類型更改為 UNRESTRICTED

  • 最佳做法是將程序的防火墻規(guī)則限制為僅需要操作的端口。 在 “協(xié)議和端口 ”頁上,可以指定允許流量的端口號(hào)。 如果程序嘗試偵聽與此處指定的端口不同的端口,則會(huì)阻止它。 有關(guān)協(xié)議和端口選項(xiàng)的詳細(xì)信息,請(qǐng)參閱 創(chuàng)建入站端口規(guī)則。 配置協(xié)議和端口選項(xiàng)后,選擇“下一步

  • 在“ 作用域 ”頁上,可以指定該規(guī)則僅適用于傳入或傳出此頁中輸入的 IP 地址的網(wǎng)絡(luò)流量。 根據(jù)設(shè)計(jì)進(jìn)行適當(dāng)配置,然后選擇“下一步

  • “操作”頁上,選擇“允許連接”,然后選擇“下一步

  • “配置文件”頁上,選擇應(yīng)用此規(guī)則的網(wǎng)絡(luò)位置類型,然后選擇“下一步

  • “名稱”頁上,鍵入規(guī)則的名稱和說明,然后選擇“完成

創(chuàng)建出站程序或服務(wù)規(guī)則

默認(rèn)情況下,Windows Defender防火墻允許所有出站網(wǎng)絡(luò)流量,除非它與禁止流量的規(guī)則匹配。 這種類型的規(guī)則阻止程序在任何端口上發(fā)送任何出站網(wǎng)絡(luò)流量。 若要為程序或服務(wù)創(chuàng)建出站防火墻規(guī)則,請(qǐng)執(zhí)行以下操作:

  • 使用 高級(jí)安全打開 Windows 防火墻 控制臺(tái)
  • 在導(dǎo)航窗格中,選擇“ 出站規(guī)則”
  • 選擇“操作”,然后選擇“新建規(guī)則
  • 在“新建出站規(guī)則向?qū)?rdquo;的“規(guī)則類型”頁上,選擇“自定義”,然后選擇“下一步

     備注

    雖然可以通過選擇 “程序 ”或“ 端口”創(chuàng)建許多規(guī)則,但這些選擇會(huì)限制向?qū)э@示的頁數(shù)。 如果選擇“ 自定義”,則會(huì)看到所有頁面,并在創(chuàng)建規(guī)則時(shí)具有最大的靈活性。

  • “程序”頁上,選擇“此程序路徑
  • 在文本框中鍵入程序的路徑。 根據(jù)需要使用環(huán)境變量,以確保安裝在不同計(jì)算機(jī)上的不同位置的程序正常工作
  • 執(zhí)行下列操作之一:
    • 如果可執(zhí)行文件包含單個(gè)程序,請(qǐng)選擇“下一步
    • 如果可執(zhí)行文件是必須阻止所有服務(wù)發(fā)送出站網(wǎng)絡(luò)流量的容器,請(qǐng)選擇“自定義”,選擇“僅應(yīng)用于服務(wù)”,選擇“確定”,然后選擇“下一步
    • 如果可執(zhí)行文件是單個(gè)服務(wù)的容器或包含多個(gè)服務(wù),但規(guī)則僅適用于其中一個(gè)服務(wù),請(qǐng)選擇“ 自定義”,選擇“ 應(yīng)用于此服務(wù)”,然后從列表中選擇該服務(wù)。 如果列表中未顯示該服務(wù),請(qǐng)選擇“ 應(yīng)用于具有此服務(wù)短名稱的服務(wù)”,并在文本框中鍵入該服務(wù)的短名稱。 選擇“確定”,然后選擇“下一步
  • 如果希望允許程序在某些端口上發(fā)送,但阻止其他端口發(fā)送,則可以將防火墻規(guī)則限制為僅阻止指定的端口或協(xié)議。 在 “協(xié)議和端口 ”頁上,可以為阻止的流量指定端口號(hào)或協(xié)議號(hào)。 如果程序嘗試向此處指定的端口號(hào)發(fā)送或從此處指定的端口號(hào)發(fā)送,或者通過使用與此處指定的端口號(hào)不同的協(xié)議號(hào)發(fā)送,則默認(rèn)出站防火墻行為允許流量。 有關(guān)協(xié)議和端口選項(xiàng)的詳細(xì)信息,請(qǐng)參閱 創(chuàng)建出站端口規(guī)則。 配置協(xié)議和端口選項(xiàng)后,選擇“下一步
  • 在“ 作用域 ”頁上,可以指定該規(guī)則僅適用于傳入或傳出此頁中輸入的 IP 地址的網(wǎng)絡(luò)流量。 根據(jù)設(shè)計(jì)進(jìn)行適當(dāng)配置,然后選擇“下一步
  • “操作”頁上,選擇“阻止連接”,然后選擇“下一步
  • “配置文件”頁上,選擇應(yīng)用此規(guī)則的網(wǎng)絡(luò)位置類型,然后選擇“下一步
  • “名稱”頁上,鍵入規(guī)則的名稱和說明,然后選擇“完成

創(chuàng)建入站規(guī)則以支持 RPC

若要允許入站遠(yuǎn)程過程調(diào)用 (RPC) 網(wǎng)絡(luò)流量,必須創(chuàng)建兩個(gè)防火墻規(guī)則:

  • 第一條規(guī)則允許 TCP 端口 135 上的傳入網(wǎng)絡(luò)數(shù)據(jù)包傳入 RPC 終結(jié)點(diǎn)映射器服務(wù)。 傳入流量包含與指定網(wǎng)絡(luò)服務(wù)通信的請(qǐng)求。 RPC 終結(jié)點(diǎn)映射程序使用客戶端必須用來與服務(wù)通信的動(dòng)態(tài)分配端口號(hào)進(jìn)行答復(fù)
  • 第二個(gè)規(guī)則允許發(fā)送到動(dòng)態(tài)分配的端口號(hào)的網(wǎng)絡(luò)流量

使用本主題中所述配置的兩個(gè)規(guī)則,僅允許來自已接收 RPC 動(dòng)態(tài)端口重定向的設(shè)備的網(wǎng)絡(luò)流量,并且僅允許來自 RPC 終結(jié)點(diǎn)映射程序分配的 TCP 端口號(hào)的網(wǎng)絡(luò)流量,從而有助于保護(hù)設(shè)備。

RPC 終結(jié)點(diǎn)映射器服務(wù)

  • 使用 高級(jí)安全打開 Windows 防火墻 控制臺(tái)
  • 在導(dǎo)航窗格中,選擇“入站規(guī)則
  • 選擇“操作”,然后選擇“新建規(guī)則
  • 在“新建入站規(guī)則向?qū)?rdquo;的“規(guī)則類型”頁上,選擇“自定義”,然后選擇“下一步
  • 在 “程序 ”頁上,選擇“ 此程序路徑”,然后鍵入 %systemroot%\system32\svchost.exe
  • 選擇“ 自定義”。
  • 在“自定義服務(wù)設(shè)置”對(duì)話框中,選擇“應(yīng)用于此服務(wù)”,選擇“遠(yuǎn)程過程調(diào)用 (RPC) ,短名稱為 RpcSs”,選擇“確定”,然后選擇“下一步
  • 在有關(guān) Windows 服務(wù)強(qiáng)化規(guī)則的警告上,選擇“
  • 在“協(xié)議和端口”對(duì)話框中,對(duì)于“協(xié)議類型”,選擇“TCP
  • 對(duì)于“本地端口”,請(qǐng)選擇“RPC 終結(jié)點(diǎn)映射程序”,然后選擇“下一步
  • 在“ 作用域 ”頁上,可以指定該規(guī)則僅適用于傳入或傳出此頁中輸入的 IP 地址的網(wǎng)絡(luò)流量。 根據(jù)設(shè)計(jì)進(jìn)行適當(dāng)配置,然后選擇“下一步
  • “操作”頁上,選擇“允許連接”,然后選擇“下一步
  • “配置文件”頁上,選擇應(yīng)用此規(guī)則的網(wǎng)絡(luò)位置類型,然后選擇“下一步
  • “名稱”頁上,鍵入規(guī)則的名稱和說明,然后選擇“完成

已啟用 RPC 的網(wǎng)絡(luò)服務(wù)

  • 在前面過程中編輯的同一 GPO 上,選擇“操作”,然后選擇“新建規(guī)則
  • 在“新建入站規(guī)則向?qū)?rdquo;的“規(guī)則類型”頁上,選擇“自定義”,然后選擇“下一步
  • 在“ 程序 ”頁上,選擇“ 此程序路徑”,然后鍵入承載網(wǎng)絡(luò)服務(wù)的可執(zhí)行文件的路徑。 選擇 “自定義”
  • 在“ 自定義服務(wù)設(shè)置” 對(duì)話框中,選擇“ 應(yīng)用于此服務(wù)”,然后選擇要允許的服務(wù)。 如果服務(wù)未顯示在列表中,請(qǐng)選擇“ 應(yīng)用于具有此服務(wù)短名稱的服務(wù)”,然后在文本框中鍵入服務(wù)的短名稱
  • 選擇“確定”,然后選擇“下一步
  • 在“協(xié)議和端口”對(duì)話框中,對(duì)于“協(xié)議類型”,選擇“TCP
  • 對(duì)于“本地端口”,請(qǐng)選擇“RPC 動(dòng)態(tài)端口”,然后選擇“下一步
  • 在“ 作用域 ”頁上,可以指定該規(guī)則僅適用于傳入或傳出此頁中輸入的 IP 地址的網(wǎng)絡(luò)流量。 根據(jù)設(shè)計(jì)進(jìn)行適當(dāng)配置,然后選擇“下一步
  • “操作”頁上,選擇“允許連接”,然后選擇“下一步
  • “配置文件”頁上,選擇應(yīng)用此規(guī)則的網(wǎng)絡(luò)位置類型,然后選擇“下一步
  • “名稱”頁上,鍵入規(guī)則的名稱和說明,然后選擇“完成

到此這篇關(guān)于Windows Server 2022 組策略(gpedit.msc)設(shè)置匯總的文章就介紹到這了,更多相關(guān)win2022組策略設(shè)置內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評(píng)論