Pomoc při ochraně počítačů s Windows pomocí zásad brány Windows Firewall v Microsoft IntuneHelp protect Windows PCs using Windows Firewall policies in Microsoft Intune

Platí pro: Intune v klasickém portáluApplies to: Intune in the classic portal
Hledáte dokumentaci o Intune na Azure Portalu?Looking for documentation about Intune in the Azure portal? Přejděte sem.Go here.

Microsoft Intune vám pomůže mnoha různými způsoby zabezpečit počítače s Windows, které spravujete.Microsoft Intune can help you to secure Windows PCs that you manage with the Intune client in a number of ways. Jedním z těchto způsobů je poskytnutí zásad, které vám umožní nakonfigurovat nastavení brány Windows Firewall na počítačích.One way in which it does this is to provide policies that enable you to configure Windows Firewall settings on PCs.

Pokud jste si ještě do počítačů nenainstalovali klienta Intune pro počítače s Windows, přečtěte si téma Instalace klienta na počítači s Windows pomocí Microsoft Intune.If you have not yet installed the Intune Windows PC client on your computers, see Install the Windows PC client with Microsoft Intune.

Informace v následujících částech vám pomohou s konfigurací, nasazováním a monitorováním zásad brány Windows Firewall na počítačích s Windows.Use the information in the following sections to help you configure, deploy, and monitor Windows Firewall policies on Windows PCs.

Použití zásad Intune ke správě brány Windows FirewallUse Intune policies to manage Windows Firewall

Zásady brány Windows Firewall umožňují vytvářet a nasazovat nastavení, která řídí bránu Windows Firewall na spravovaných počítačích.The Windows Firewall policy lets you create and deploy settings that control Windows Firewall on managed PCs. Není možné spravovat vlastní výjimky pro bránu Windows Firewall a tato nastavení neovlivní brány firewall třetích stran.You cannot manage custom exceptions for Windows Firewall, and these settings do not affect third-party firewalls.

Poznámka

Pokud jsou zásady Microsoft Intune a zásady skupiny nakonfigurované pro správu stejných nastavení na počítači PC, pak má nastavení zásad skupiny přednost před zásadami Microsoft Intune.If Microsoft Intune policy and Group Policy are configured to manage the same setting on the PC, the Group Policy setting overrides the Microsoft Intune policy. Informace o tom, jak zamezit konfliktům mezi zásadami Intune a zásadami skupiny, najdete v článku Řešení konfliktů GPO a zásad Microsoft Intune.For information about how to avoid conflicts between Intune policy and Group Policy, see Resolve GPO and Microsoft Intune policy conflicts.

Pokud chcete nasadit nastavení brány Windows Firewall do počítačů se systémem Windows Vista, musíte na tyto počítače nejdřív nainstalovat opravu Hotfix KB971800.If you want to deploy Windows Firewall settings to computers that run Windows Vista, you must first install Hotfix KB971800 on these computers.

Důležité

Pokud chcete spravovat bránu Windows Firewall pomocí Intune, musí být na počítačích, které spravujete, povolené tyto dvě služby:To manage Windows Firewall by using Intune, ensure that the following two services are enabled on the computers that you manage:

  • Brána Windows FirewallWindows Firewall
  • Agent zásad protokolu IPsecIPsec Policy Agent

Konfigurace zásad brány Windows FirewallConfigure a Windows Firewall policy

  1. V konzole pro správu Microsoft Intune zvolte Zásady > Přidat zásadu.In the Microsoft Intune administration console, choose Policy > Add Policy.

  2. Konfigurujte a nasaďte zásady nastavení brány Windows Firewall.Configure and deploy a Windows Firewall Settings policy. Můžete použít doporučená nastavení, nebo nastavení upravit.You can use the recommended settings or customize the settings. Pokud potřebujete více informací o postupu při vytváření a nasazování zásad, projděte si článek Běžné úlohy správy počítačů s Windows pomocí počítačového klienta Microsoft Intune.If you need more information about how to create and deploy policies, see Common Windows PC management tasks with the Microsoft Intune computer client.

    V následující části jsou uvedené hodnoty, které můžete v zásadách konfigurovat, a také výchozí hodnoty, které se použijí, pokud zásady neupravíte.The following section lists the values that you can configure in the policy and also the default values that will be used if you don’t customize the policy.

Po nasazení zásad brány Windows Firewall můžete zobrazit stav těchto zásad na stránce Všechny zásady pracovního prostoru Zásady.After you deploy a Windows Firewall policy, you can view its status on the All Policies page of the Policy workspace.

Zadání nastavení zásad brány Windows FirewallSpecify policy settings for Windows Firewall

Zapnout bránu Windows FirewallTurn on Windows Firewall

Toto nastavení zásad povoluje bránu Windows Firewall na spravovaných počítačích, které jsou:These policy settings enable Windows Firewall on managed computers that are:

  • Připojené k doméně (například na pracovišti)Connected to a domain (for example, at the workplace)
  • Připojené k privátní (důvěryhodné) síti (jako je třeba domácí síť)Connected to a private (trusted) network (such as a home network)
  • Připojené k nedůvěryhodné veřejné síti (například v kavárně)Connected to an untrusted public network (such as a coffee shop)

Výchozí hodnota pro každé z těchto nastavení je Ano, což je nejbezpečnější hodnota.The default value for each of these settings is Yes, which is the most secure value.

Blokování všech příchozích připojení, včetně připojení uvedených na seznamu povolených programůBlock all incoming connections, including those in the list of allowed programs

Tato nastavení zásad konfigurují bránu Windows Firewall, aby blokovala příchozí síťový provoz na počítačích, které jsou:These policy settings configure Windows Firewall to block incoming network traffic on managed computers that are:

  • Připojené k doméně (například na pracovišti)Connected to a domain (for example, at the workplace)
  • Připojené k privátní (důvěryhodné) síti (jako je třeba domácí síť)Connected to a private (trusted) network (such as a home network)
  • Připojené k nedůvěryhodné veřejné síti (například v kavárně)Connected to an untrusted public network (such as a coffee shop)

Výchozí hodnota pro každé z těchto nastavení je Ano, což je nejbezpečnější hodnota.The default value for each of these settings is Yes, which is the most secure value.

Důležité

Pokud prostředí obsahuje spravované počítače, ve kterých je spuštěný systém Windows Vista bez nainstalovaných aktualizací Service Pack, musíte nainstalovat aktualizaci uvedenou ve znalostní bázi Microsoft Knowledge Base v článku 971800 nebo v zásadách nasazených v těchto počítačích vypnout nastavení zásady Blokovat všechna příchozí připojení.If your environment includes managed computers that are running Windows Vista with no service packs installed, you must either install the update that's associated with article 971800 in the Microsoft Knowledge Base or disable the Block all incoming connections policy settings in policies that are deployed to those computers.

Oznámit uživatelům blokování nového programu bránou Windows FirewallNotify the user when Windows Firewall blocks a new program

Tato nastavení zásad určují, jestli brána Windows Firewall upozorní uživatele počítačů, když blokuje příchozí síťový provoz na počítačích, které jsou:These policy settings determine whether Windows Firewall notifies a PC user when it blocks incoming network traffic when the managed computer is:

  • Připojené k doméně (například na pracovišti)Connected to a domain (for example, at the workplace)
  • Připojené k privátní (důvěryhodné) síti (jako je třeba domácí síť)Connected to a private (trusted) network (such as a home network)
  • Připojené k nedůvěryhodné veřejné síti (například v kavárně)Connected to an untrusted public network (such as a coffee shop)

Výchozí hodnota pro každé z těchto nastavení je Ano.The default value for each of these settings is Yes.

Konfigurace předdefinovaných výjimekConfigure predefined exceptions

Můžete nakonfigurovat výjimky, které povolují konkrétní typy síťového přenosu přes bránu firewall bez ohledu na hodnoty, které jste nakonfigurovali dřív.You can configure exceptions that allow specific types of network traffic through the firewall regardless of the values that you configured earlier. Ve výchozím nastavení nejsou nakonfigurovaná žádná z těchto nastavení.None of these settings are configured by default.

Název nastaveníSetting name PodrobnostiDetails
Služba BranchCache – načítání obsahuBranchCache - Content Retrieval
(Windows 7 nebo novější)(Windows 7 or later)
Umožňuje klientům služby BranchCache prostřednictvím protokolu HTTP načítat obsah z ostatních klientů služby BranchCache (v distribuovaném režimu) a z hostované mezipaměti (v režimu hostované mezipaměti).Lets BranchCache clients use HTTP to retrieve content from other BranchCache clients while in distributed mode and from the hosted cache while in hosted cache mode. Toto nastavení využívá protokol HTTP.This setting uses HTTP.
Služba BranchCache – klient hostované mezipamětiBranchCache - Hosted Cache Client
(Windows 7 nebo novější)(Windows 7 or later)
Umožňuje klientům služby BranchCache používat hostovanou mezipaměť.Lets BranchCache clients use a hosted cache. Toto nastavení využívá protokol HTTPS.This setting uses HTTPS.
Služba BranchCache – server hostované mezipamětiBranchCache - Hosted Cache Server Umožňuje klientům služby BranchCache používat hostovanou mezipaměť ke komunikaci s ostatními klienty.Lets BranchCache clients use a hosted cache to communicate with other clients. Toto nastavení využívá protokol HTTPS.This setting uses HTTPS.
Služba BranchCache – zjišťování rovnocenných zařízeníBranchCache - Peer Discovery
(Windows 7 nebo novější)(Windows 7 or later)
Umožňuje klientům služby BranchCache používat protokol WS-Discovery (Web Services Dynamic Discovery) k vyhledání dostupnosti obsahu v místní podsíti.Lets BranchCache clients use the Web Services Dynamic Discovery (WS-Discovery) protocol to look up content availability on the local subnet.
Ukládání do sdílené mezipaměti BITSBITS Peercaching Umožňuje klientům používat službu inteligentního přenosu na pozadí (BITS) k vyhledání a sdílení souborů uložených v mezipaměti BITS na klientských počítačích ve stejné podsíti.Lets clients use Background Intelligent Transfer Service (BITS) to find and share files that are stored in the BITS cache on clients in the same subnet. Toto nastavení využívá službu WSDAPI (Web Services on Devices ) a vzdálené volání procedur (RPC).This setting uses Web Services on Devices (WSDAPI) and Remote Procedure Call (RPC).
Připojení k síťovému projektoruConnect to a Network Projector Umožňuje uživatelům připojit se k projektorům prostřednictvím drátových nebo bezdrátových sítí a promítat prezentace.Lets users connect to projectors over wired or wireless networks to project presentations. Toto nastavení využívá rozhraní WSDAPI.This setting uses WSDAPI.
Základní síťové službyCore Networking Umožňuje klientům používat protokoly IPv4 a IPv6 pro připojení k síťovým prostředkům.Lets clients use IPv4 and IPv6 to connect to network resources.
Koordinátor distribuovaných transakcíDistributed Transaction Coordinator Umožňuje spravovaným počítačům koordinovat transakce, které aktualizují prostředky s ochranou transakcí, jako jsou databáze, fronty zpráv nebo souborové systémy.Enables managed computers to coordinate transactions that update transaction-protected resources, such as databases, message queues, and file systems.
Sdílení souborů a tiskárenFile and Printer Sharing Umožňuje uživatelům sdílet místní soubory a tiskárny s dalšími uživateli v síti.Enables users to share local files and printers with other users on the network. Toto nastavení využívá NetBIOS, LLMNR (Link Local Multicast Name Resolution), protokol SMB (Server Message Block) a RPC.This setting uses NetBIOS, Link Local Multicast Name Resolution (LLMNR), Server Message Block (SMB) protocol, and RPC.
Domácí skupinaHomeGroup
(Windows 7 nebo novější)(Windows 7 or later)
Umožňuje spravovaným počítačům účast v síti domácí skupiny.Enables managed computers to participate in a HomeGroup network.
Služba iSCSIiSCSI Service Umožňuje spravovaným počítačům připojení k serverům a zařízením iSCSI.Enables managed computers to connect to iSCSI servers and devices.
Služba správy klíčůKey Management Service Umožňuje spočítání počítačů kvůli shodě s licencí v podnikovém prostředí.Lets computers be counted for license compliance in enterprise environments.
Zařízení Media Center ExtenderMedia Center Extenders Umožňuje zařízením Media Center Extender komunikovat s počítači se systémem Windows Media Center.Enables Media Center Extenders to communicate with computers that are running Windows Media Center. Toto nastavení využívá protokol SSDP (Simple Service Discovery Protocol) a qWave.This setting uses Simple Service Discovery Protocol (SSDP) and qWave.
Služba NetlogonNetlogon Service Konfiguruje zabezpečený kanál mezi klienty v doméně a řadičem domény za účelem ověřování totožnosti uživatelů a služeb.Configures a security channel between domain clients and a domain controller for authenticating users and services. Toto nastavení využívá protokol RPC.This setting uses RPC.
Zjišťování v sítiNetwork Discovery Umožňuje počítačům zjišťovat jiná zařízení a být zjištěny jinými zařízeními v síti.Lets computers discover other devices and be discovered by other devices on the network. Toto nastavení používá službu publikování a hostitele rozpoznávání funkcí a taky síťové protokoly SSDP, NetBIOS, LLMNR a UPnP.This setting uses Function Discovery Host and Publication Services and SSDP, NetBIOS, LLMNR, and UPnP network protocols.
Výstrahy a protokolování výkonuPerformance Logs and Alerts Umožňuje vzdálenou správu služby Výstrahy a protokolování výkonu.Enables the Performance Logs and Alerts service to be remotely managed. Toto nastavení využívá protokol RPC.This setting uses RPC.
Vzdálená správaRemote Administration Umožňuje vzdálenou správu počítače.Enables remote administration of the computer.
Vzdálená pomocRemote Assistance Umožňuje uživatelům spravovaných počítačů žádat o vzdálenou pomoc od jiných uživatelů v síti.Lets users of managed computers request remote assistance from other users on the network. Toto nastavení používá síťové protokoly SSDP, PNRP (Peer Name Resolution Protocol), Teredo a UPnP.This setting uses SSDP, Peer Name Resolution Protocol (PNRP), Teredo, and UPnP network protocols.
Vzdálená plochaRemote Desktop Umožňuje počítači přistupovat k jiným počítačům pomocí vzdálené plochy.Lets the computer use Remote Desktop to access other computers.
Vzdálená správa protokolů událostíRemote Event Log Management Umožňuje vzdálené zobrazení a správu protokolů událostí klienta.Lets client event logs be viewed and managed remotely. Toto nastavení využívá pojmenované kanály a rozhraní RPC.This setting uses Named Pipes and RPC.
Vzdálená správa naplánovaných úlohRemote Scheduled Tasks Management Umožňuje vzdálenou správu služby plánování úloh.Enables remote management of the task scheduling service. Toto nastavení využívá protokol RPC.This setting uses RPC.
Vzdálená správa služebRemote Service Management Umožňuje vzdálenou správu místních služeb na klientech.Enables remote management of local services on clients. Toto nastavení využívá pojmenované kanály a rozhraní RPC.This setting uses Named Pipes and RPC.
Vzdálená správa svazkůRemote Volume Management Umožňuje vzdálenou softwarovou a hardwarovou správu svazku disku.Enables remote software and hardware disk volume management. Toto nastavení využívá protokol RPC.This setting uses RPC.
Směrování a vzdálený přístupRouting and Remote Access Umožňuje příchozí připojení VPN a připojení se vzdáleným přístupem k počítačům.Enables incoming VPN and remote access connections to computers.
Protokol SSTPSecure Socket Tunneling Protocol Umožňuje příchozí připojení VPN ke spravovaným počítačům pomocí protokolu SSTP (Secure Socket Tunneling Protocol).Enables incoming VPN connections to managed computers with Secure Socket Tunneling Protocol (SSTP). Toto nastavení využívá protokol HTTPS.This setting uses HTTPS.
Zachytávání pro službu SNMPSNMP Trap Umožňuje spravovaným počítačům přijímat přenos služby depeší protokolu SNMP (Simple Network Management Protocol).Lets managed computers receive Simple Network Management Protocol (SNMP) Trap service traffic.
Architektura UPnPUPnP Framework Konfiguruje službu Architektura UPnP na počítačích, aby mohly zjišťovat a používat certifikovaná zařízení UPnP.Configures the UPnP Framework service on computers to let them discover and use UPnP certified devices.
Služba registrace názvu počítače pro Centrum spolupráceWindows Collaboration Computer Name Registration Service Umožňuje počítačům najít další počítače a komunikovat s nimi pomocí protokolů SSDP a PNRP.Lets computers find and communicate with other computers by using SSDP and PNRP.
Windows Media PlayerWindows Media Player Umožňuje uživatelům přijímat multimédia streamovaná přes UDP (User Datagram Protocol).Lets users receive streaming media over User Datagram Protocol (UDP).
Služba Windows Media Player Network SharingWindows Media Player Network Sharing Service Umožňuje uživatelům sdílet multimédia přes síť.Lets users share media over a network. Toto nastavení používá síťové protokoly SSDP, qWave a UPnP.This setting uses the SSDP, qWave, and UPnP network protocols.
Služba Windows Media Player Network Sharing (Internet)Windows Media Player Network Sharing Service (Internet)
(Windows 7 nebo novější)(Windows 7 or later)
Umožňuje uživatelům sdílet domácí multimédia prostřednictvím internetu.Lets users share home media over the Internet.
Centrum spolupráceWindows Meeting Space Umožňuje uživatelům spolupracovat přes síť a sdílet tak dokumenty, programy nebo plochy.Lets users collaborate over a network to share documents, programs, and their desktops. Toto nastavení využívá službu Replikace distribuovaného systému souborů (DFSR) a P2P.This setting uses Distributed File System Replication (DFSR) and P2P.
Základ spolupráce rovnocenných počítačů ve WindowsWindows Peer to Peer Collaboration Foundation Konfiguruje různé programy a technologie typu peer-to-peer, aby se mohly připojit.Configures various peer-to-peer programs and technologies to enable them to connect. Toto nastavení využívá protokol SSDP a PNRP.This setting uses SSDP and PNRP.
Vzdálená správa Windows (režim kompatibility)Windows Remote Management (Compatibility) Umožňuje vzdálenou správu spravovaných počítačů pomocí služby vzdálené správy systému Windows (WS-Management), což je protokol založený na webových službách pro vzdálenou správu operačních systémů a zařízení.Enables remote management of managed computers with WS-Management, a Web services-based protocol for remote management of operating systems and devices.
Vzdálená správa WindowsWindows Remote Management
(Windows 8 nebo novější)(Windows 8 or later)
Umožňuje vzdálenou správu spravovaných počítačů pomocí služby vzdálené správy systému Windows (WS-Management), což je protokol založený na webových službách pro vzdálenou správu operačních systémů a zařízení.Enables remote management of managed computers with WS-Management, a Web services-based protocol for remote management of operating systems and devices.
Windows Virtual PCWindows Virtual PC
(Windows 7 nebo novější)(Windows 7 or later)
Umožňuje virtuálním počítačům komunikovat s dalšími počítači.Lets virtual machines communicate with other computers.
Bezdrátová přenosná zařízeníWireless Portable Devices Umožňuje přenos multimediálních souborů z fotoaparátu nebo multimediálního zařízení připojeného k síti do spravovaných počítačů pomocí protokolu MTP (Media Transfer Protocol).Enables the transfer of media from a network-enabled camera or media device to managed computers with Media Transfer Protocol (MTP). Toto nastavení používá síťové protokoly SSDP a UPnP.This setting uses SSDP and UPnP network protocols.

Související témataSee also

Zásady ochrany počítačů se systémem WindowsPolicies to protect Windows PCs