Ochrona komputerów z systemem Windows przy użyciu zasad Zapory systemu Windows w usłudze Microsoft IntuneHelp protect Windows PCs using Windows Firewall policies in Microsoft Intune

Dotyczy: usługa Intune w konsoli klasycznejApplies to: Intune in the classic console
Szukasz dokumentacji dotyczącej usługi Intune na platformie Azure?Looking for documentation about Intune on Azure? Przejdź tutaj.Go here.

Usługa Microsoft Intune może pomóc w zabezpieczaniu komputerów zarządzanych za pomocą klienta usługi Intune na wiele sposobów.Microsoft Intune can help you to secure Windows PCs that you manage with the Intune client in a number of ways. Jednym z nich jest udostępnienie zasad, które umożliwiają skonfigurowanie ustawień Zapory systemu Windows na komputerach.One way in which it does this is to provide policies that enable you to configure Windows Firewall settings on PCs.

Jeśli klient usługi Intune na komputery z systemem Windows nie został jeszcze zainstalowany na komputerach, zobacz Instalowanie klienta komputera z systemem Windows przy użyciu usługi Microsoft Intune.If you have not yet installed the Intune Windows PC client on your computers, see Install the Windows PC client with Microsoft Intune.

W poniższych sekcjach znajdują się informacje ułatwiające konfigurowanie, wdrażanie i monitorowanie zasad Zapory systemu Windows na komputerach z systemem Windows.Use the information in the following sections to help you configure, deploy, and monitor Windows Firewall policies on Windows PCs.

Zarządzanie Zaporą systemu Windows przy użyciu zasad usługi IntuneUse Intune policies to manage Windows Firewall

Zasady Zapory systemu Windows umożliwiają tworzenie i wdrażanie ustawień sterujących zachowaniem Zapory systemu Windows na zarządzanych komputerach.The Windows Firewall policy lets you create and deploy settings that control Windows Firewall on managed PCs. Te ustawienia nie umożliwiają zarządzania niestandardowymi wyjątkami Zapory systemu Windows i nie mają wpływu na zapory innych firm.You cannot manage custom exceptions for Windows Firewall, and these settings do not affect third-party firewalls.

Uwaga

Jeśli określone ustawienie na komputerze jest zarządzane zarówno przez zasady grupy, jak i zasady usługi Microsoft Intune, ustawienie skonfigurowane w ramach zasad grupy ma pierwszeństwo przed ustawieniem skonfigurowanym w ramach zasad usługi Microsoft Intune.If Microsoft Intune policy and Group Policy are configured to manage the same setting on the PC, the Group Policy setting overrides the Microsoft Intune policy. Aby uzyskać informacje dotyczące zapobiegania konfliktom występującym między zasadami usługi Intune i zasadami grupy, zobacz Rozwiązywanie konfliktów obiektów zasad grupy i zasad usługi Microsoft Intune.For information about how to avoid conflicts between Intune policy and Group Policy, see Resolve GPO and Microsoft Intune policy conflicts.

Jeśli chcesz wdrożyć ustawienia Zapory systemu Windows na komputerach z systemem Windows Vista, musisz najpierw zainstalować na nich poprawkę KB971800.If you want to deploy Windows Firewall settings to computers that run Windows Vista, you must first install Hotfix KB971800 on these computers.

Ważne

Aby móc zarządzać Zaporą systemu Windows za pomocą usługi Intune, na zarządzanych komputerach muszą być włączone następujące dwie usługi:To manage Windows Firewall by using Intune, ensure that the following two services are enabled on the computers that you manage:

  • Zapora systemu WindowsWindows Firewall
  • Agent zasad IPsecIPsec Policy Agent

Konfiguracja zasad Zapory systemu WindowsConfigure a Windows Firewall policy

  1. W konsoli administracyjnej usługi Microsoft Intune wybierz kolejno pozycje Zasady > Dodaj zasady.In the Microsoft Intune administration console, choose Policy > Add Policy.

  2. Skonfiguruj i wdroż zasady ustawień Zapory systemu Windows .Configure and deploy a Windows Firewall Settings policy. Możesz użyć zalecanych ustawień lub dostosować je.You can use the recommended settings or customize the settings. Aby uzyskać więcej informacji dotyczących sposobu tworzenia i wdrażania zasad, zobacz Typowe zadania związane z zarządzaniem komputerem z systemem Windows za pomocą klienta komputerowego usługi Microsoft Intune.If you need more information about how to create and deploy policies, see Common Windows PC management tasks with the Microsoft Intune computer client.

    W poniższej sekcji przedstawiono ustawienia możliwe do skonfigurowania w ramach zasad oraz ich wartości domyślne, które zostaną użyte, jeśli zrezygnujesz z dostosowania zasad.The following section lists the values that you can configure in the policy and also the default values that will be used if you don’t customize the policy.

Po wdrożeniu zasad Zapory systemu Windows można wyświetlić ich stan w obszarze roboczym Zasady na stronie Wszystkie zasady.After you deploy a Windows Firewall policy, you can view its status on the All Policies page of the Policy workspace.

Określanie ustawień zasad Zapory systemu WindowsSpecify policy settings for Windows Firewall

Włącz Zaporę systemu WindowsTurn on Windows Firewall

Te ustawienia zasad umożliwiają użycie Zapory systemu Windows na zarządzanych komputerach, które są:These policy settings enable Windows Firewall on managed computers that are:

  • Połączone z domeną (np. w miejscu pracy)Connected to a domain (for example, at the workplace)
  • Połączone z (zaufaną) siecią prywatną (np. siecią domową)Connected to a private (trusted) network (such as a home network)
  • Połączone z niezaufaną siecią publiczną (np. w kawiarni)Connected to an untrusted public network (such as a coffee shop)

Wartością domyślną dla każdego z tych ustawień jest Tak. Jest to najbezpieczniejsze ustawienie.The default value for each of these settings is Yes, which is the most secure value.

Blokuj wszystkie połączenia przychodzące łącznie z programami znajdującymi się na liście dozwolonych programówBlock all incoming connections, including those in the list of allowed programs

Te ustawienia zasad konfigurują użycie Zapory systemu Windows w celu blokowania przychodzącego ruchu sieciowego na zarządzanych komputerach, które są:These policy settings configure Windows Firewall to block incoming network traffic on managed computers that are:

  • Połączone z domeną (np. w miejscu pracy)Connected to a domain (for example, at the workplace)
  • Połączone z (zaufaną) siecią prywatną (np. siecią domową)Connected to a private (trusted) network (such as a home network)
  • Połączone z niezaufaną siecią publiczną (np. w kawiarni)Connected to an untrusted public network (such as a coffee shop)

Wartością domyślną dla każdego z tych ustawień jest Tak. Jest to najbezpieczniejsze ustawienie.The default value for each of these settings is Yes, which is the most secure value.

Ważne

Jeśli środowisko obejmuje zarządzane komputery z systemem Windows Vista bez zainstalowanych dodatków Service Pack, należy zainstalować aktualizację skojarzoną z artykułem 971800 w bazie wiedzy Microsoft Knowledge Base albo wyłączyć ustawienia zasad Blokuj wszystkie połączenia przychodzące w ramach zasad wdrożonych na tych komputerach.If your environment includes managed computers that are running Windows Vista with no service packs installed, you must either install the update that's associated with article 971800 in the Microsoft Knowledge Base or disable the Block all incoming connections policy settings in policies that are deployed to those computers.

Powiadamiaj użytkownika, gdy Zapora systemu Windows zablokuje nowy programNotify the user when Windows Firewall blocks a new program

Te ustawienia zasad ustalają, czy użytkownik komputera otrzyma powiadomienie, gdy Zapora systemu Windows zablokuje przychodzący ruch sieciowy na zarządzanych komputerach:These policy settings determine whether Windows Firewall notifies a PC user when it blocks incoming network traffic when the managed computer is:

  • Połączone z domeną (np. w miejscu pracy)Connected to a domain (for example, at the workplace)
  • Połączone z (zaufaną) siecią prywatną (np. siecią domową)Connected to a private (trusted) network (such as a home network)
  • Połączone z niezaufaną siecią publiczną (np. w kawiarni)Connected to an untrusted public network (such as a coffee shop)

Wartością domyślną dla każdego z tych ustawień jest Tak.The default value for each of these settings is Yes.

Konfigurowanie wstępnie zdefiniowanych wyjątkówConfigure predefined exceptions

Możesz skonfigurować wyjątki, które zezwalają na przesyłanie konkretnych rodzajów ruchu sieciowego przez zaporę, niezależnie od wartości skonfigurowanych wcześniej.You can configure exceptions that allow specific types of network traffic through the firewall regardless of the values that you configured earlier. Żadne z tych ustawień nie są domyślnie skonfigurowane.None of these settings are configured by default.

Nazwa ustawieniaSetting name SzczegółyDetails
BranchCache — Pobieranie zawartościBranchCache - Content Retrieval
(system Windows 7 lub nowszy)(Windows 7 or later)
Umożliwia klientom usługi BranchCache korzystanie z protokołu HTTP do pobierania od innych klientów usługi BranchCache zawartości w trybie rozproszonym oraz zawartości z hostowanej pamięci podręcznej w trybie hostowanej pamięci podręcznej.Lets BranchCache clients use HTTP to retrieve content from other BranchCache clients while in distributed mode and from the hosted cache while in hosted cache mode. To ustawienie powoduje użycie protokołu HTTP.This setting uses HTTP.
BranchCache — Klient hostowanej pamięci podręcznejBranchCache - Hosted Cache Client
(system Windows 7 lub nowszy)(Windows 7 or later)
Umożliwia klientom usługi BranchCache używanie hostowanej pamięci podręcznej.Lets BranchCache clients use a hosted cache. To ustawienie powoduje użycie protokołu HTTPS.This setting uses HTTPS.
BranchCache — Serwer hostowanej pamięci podręcznejBranchCache - Hosted Cache Server Umożliwia klientom usługi BranchCache używanie hostowanej pamięci podręcznej w celu komunikowania się z innymi klientami.Lets BranchCache clients use a hosted cache to communicate with other clients. To ustawienie powoduje użycie protokołu HTTPS.This setting uses HTTPS.
BranchCache — Odnajdywanie węzłów równorzędnychBranchCache - Peer Discovery
(system Windows 7 lub nowszy)(Windows 7 or later)
Umożliwia klientom usługi BranchCache używanie protokołu WS Discovery (Web Services Dynamic Discovery) do sprawdzania dostępności zawartości w podsieci lokalnej.Lets BranchCache clients use the Web Services Dynamic Discovery (WS-Discovery) protocol to look up content availability on the local subnet.
Buforowanie równorzędne BITSBITS Peercaching Umożliwia klientom użycie usługi inteligentnego transferu w tle (BITS) w celu znajdowania plików przechowywanych w pamięci podręcznej usługi inteligentnego transferu w tle i udostępniania ich klientom w tej samej podsieci.Lets clients use Background Intelligent Transfer Service (BITS) to find and share files that are stored in the BITS cache on clients in the same subnet. To ustawienie powoduje użycie interfejsu Web Services on Devices (interfejsu WSDAPI) i zdalnego wywołania procedury (RPC).This setting uses Web Services on Devices (WSDAPI) and Remote Procedure Call (RPC).
Połączenie z projektorem sieciowymConnect to a Network Projector Umożliwia użytkownikom nawiązywanie połączeń z projektorami za pośrednictwem sieci przewodowej lub bezprzewodowej w celu wyświetlenia prezentacji.Lets users connect to projectors over wired or wireless networks to project presentations. To ustawienie powoduje użycie interfejsu WSDAPI.This setting uses WSDAPI.
Podstawowe operacje siecioweCore Networking Umożliwia klientom korzystanie z protokołów IPv4 i IPv6 w celu nawiązywania połączeń z zasobami sieciowymi.Lets clients use IPv4 and IPv6 to connect to network resources.
Koordynator transakcji rozproszonychDistributed Transaction Coordinator Umożliwia zarządzanym komputerom koordynowanie transakcji, które aktualizują zasoby z chronionymi transakcjami, takie jak bazy danych, kolejki komunikatów i systemy plików.Enables managed computers to coordinate transactions that update transaction-protected resources, such as databases, message queues, and file systems.
Udostępnianie plików i drukarekFile and Printer Sharing Umożliwia użytkownikom udostępnianie lokalnych plików i drukarek innym użytkownikom w sieci.Enables users to share local files and printers with other users on the network. To ustawienie powoduje użycie systemu NetBIOS, rozpoznawania nazw multiemisji połączenia lokalnego (LLMNR), protokołu bloku komunikatów serwera (SMB) i zdalnego wywołania procedury (RPC).This setting uses NetBIOS, Link Local Multicast Name Resolution (LLMNR), Server Message Block (SMB) protocol, and RPC.
Grupa domowaHomeGroup
(system Windows 7 lub nowszy)(Windows 7 or later)
Umożliwia zarządzanym komputerom działanie w sieci Grupa domowa.Enables managed computers to participate in a HomeGroup network.
Usługa iSCSIiSCSI Service Umożliwia zarządzanym komputerom nawiązywanie połączeń z serwerami i urządzeniami usługi iSCSI.Enables managed computers to connect to iSCSI servers and devices.
Usługa zarządzania kluczamiKey Management Service Umożliwia wyliczenie komputerów na potrzeby sprawdzania zgodności licencji w środowiskach przedsiębiorstw.Lets computers be counted for license compliance in enterprise environments.
Urządzenia Media Center ExtenderMedia Center Extenders Umożliwia urządzeniom Media Center Extender komunikowanie się z komputerami, na których działa program Windows Media Center.Enables Media Center Extenders to communicate with computers that are running Windows Media Center. To ustawienie powoduje użycie protokołu SSDP (Simple Service Discovery Protocol) i qWave.This setting uses Simple Service Discovery Protocol (SSDP) and qWave.
Usługa NetlogonNetlogon Service Umożliwia skonfigurowanie kanału zabezpieczeń między klientami domeny a kontrolerem domeny w celu uwierzytelniania użytkowników i usług.Configures a security channel between domain clients and a domain controller for authenticating users and services. To ustawienie powoduje użycie usługi RPC.This setting uses RPC.
Odnajdywanie sieciNetwork Discovery Umożliwia skonfigurowanie, czy komputery mogą odnajdywać inne urządzenia i czy mogą być przez nie odnajdywane w sieci.Lets computers discover other devices and be discovered by other devices on the network. Ta funkcja korzysta z hosta odnajdywania funkcji i usług publikacji, architektury UPnP, protokołu SSDP, protokołu NetBIOS i rozpoznawania nazw LLMNR.This setting uses Function Discovery Host and Publication Services and SSDP, NetBIOS, LLMNR, and UPnP network protocols.
Dzienniki wydajności i alertyPerformance Logs and Alerts Umożliwia zdalne zarządzanie usługą dzienników wydajności i alertów.Enables the Performance Logs and Alerts service to be remotely managed. To ustawienie powoduje użycie usługi RPC.This setting uses RPC.
Administracja zdalnaRemote Administration Umożliwia zdalne administrowanie komputerem.Enables remote administration of the computer.
Pomoc zdalnaRemote Assistance Umożliwia użytkownikom zarządzanych komputerów wysyłanie żądań o pomoc zdalną do innych użytkowników w sieci.Lets users of managed computers request remote assistance from other users on the network. To ustawienie powoduje użycie protokołów sieciowych SSDP, PNRP (Peer Name Resolution Protocol), Teredo oraz UPnP.This setting uses SSDP, Peer Name Resolution Protocol (PNRP), Teredo, and UPnP network protocols.
Pulpit zdalnyRemote Desktop Umożliwia dostęp do innych komputerów za pomocą pulpitu zdalnego.Lets the computer use Remote Desktop to access other computers.
Zdalne zarządzanie dziennikiem zdarzeńRemote Event Log Management Umożliwia zdalne wyświetlanie dzienników zdarzeń klienta i zarządzanie nimi.Lets client event logs be viewed and managed remotely. To ustawienie powoduje użycie potoków nazwanych i usługi RPC.This setting uses Named Pipes and RPC.
Zdalne zarządzanie zaplanowanymi zadaniamiRemote Scheduled Tasks Management Umożliwia zdalne zarządzanie usługą planowania zadań.Enables remote management of the task scheduling service. To ustawienie powoduje użycie usługi RPC.This setting uses RPC.
Zdalne zarządzanie usługamiRemote Service Management Umożliwia zdalne zarządzanie usługami lokalnymi na klientach.Enables remote management of local services on clients. To ustawienie powoduje użycie potoków nazwanych i usługi RPC.This setting uses Named Pipes and RPC.
Zdalne zarządzanie woluminamiRemote Volume Management Umożliwia zdalne sprzętowe i programowe zarządzanie woluminami dyskowymi.Enables remote software and hardware disk volume management. To ustawienie powoduje użycie usługi RPC.This setting uses RPC.
Routing i dostęp zdalnyRouting and Remote Access Umożliwia komputerom obsługiwanie połączeń przychodzących VPN i dostępu zdalnego.Enables incoming VPN and remote access connections to computers.
Protokół SSTPSecure Socket Tunneling Protocol Umożliwia zarządzanym komputerom obsługiwanie połączeń przychodzących VPN przy użyciu protokołu SSTP (Secure Socket Tunneling Protocol).Enables incoming VPN connections to managed computers with Secure Socket Tunneling Protocol (SSTP). To ustawienie powoduje użycie protokołu HTTPS.This setting uses HTTPS.
Usługa SNMP TrapSNMP Trap Umożliwia zarządzanym komputerom odbieranie ruchu w ramach usługi Simple Network Management Protocol (SNMP) Trap.Lets managed computers receive Simple Network Management Protocol (SNMP) Trap service traffic.
Architektura UPnPUPnP Framework Umożliwia skonfigurowanie usługi Architektura UPnP na komputerach w celu umożliwienia im odnajdywania i używania certyfikowanych urządzeń UPnP.Configures the UPnP Framework service on computers to let them discover and use UPnP certified devices.
Usługa rejestracji nazw komputerów w funkcji Współpraca w systemie WindowsWindows Collaboration Computer Name Registration Service Umożliwia komputerom wyszukiwanie innych komputerów i komunikowanie się z nimi przy użyciu protokołów SSDP i PNRP.Lets computers find and communicate with other computers by using SSDP and PNRP.
Windows Media PlayerWindows Media Player Umożliwia użytkownikom odbieranie multimediów strumieniowych za pośrednictwem protokołu UDP (User Datagram Protocol).Lets users receive streaming media over User Datagram Protocol (UDP).
Usługa udostępniania w sieci programu Windows Media PlayerWindows Media Player Network Sharing Service Umożliwia użytkownikom udostępnianie multimediów przez sieć.Lets users share media over a network. To ustawienie powoduje użycie usług SSDP, qWave oraz protokołów sieciowych UPnP.This setting uses the SSDP, qWave, and UPnP network protocols.
Usługa udostępniania w sieci programu Windows Media Player (Internet)Windows Media Player Network Sharing Service (Internet)
(system Windows 7 lub nowszy)(Windows 7 or later)
Umożliwia użytkownikom udostępnianie multimediów domowych przez Internet.Lets users share home media over the Internet.
Obszar spotkań w systemie WindowsWindows Meeting Space Umożliwia użytkownikom współpracę przez sieć w celu udostępniania dokumentów, programów i pulpitów.Lets users collaborate over a network to share documents, programs, and their desktops. To ustawienie korzysta z usługi replikacji rozproszonego systemu plików (DFS) i funkcji P2P.This setting uses Distributed File System Replication (DFSR) and P2P.
Funkcja Podstawa współpracy w sieci równorzędnej systemu WindowsWindows Peer to Peer Collaboration Foundation Umożliwia konfigurowanie różnych programów i technologii działających w sieciach równorzędnych.Configures various peer-to-peer programs and technologies to enable them to connect. To ustawienie powoduje użycie usług SSDP i PNRP.This setting uses SSDP and PNRP.
Zdalne zarządzanie systemem Windows (tryb zgodności)Windows Remote Management (Compatibility) Umożliwia zdalne zarządzanie komputerami za pomocą usługi WS-Management, czyli opartego na usługach sieci Web protokołu do zdalnego zarządzania systemami operacyjnymi i urządzeniami.Enables remote management of managed computers with WS-Management, a Web services-based protocol for remote management of operating systems and devices.
Zdalne zarządzanie systemem WindowsWindows Remote Management
(system Windows 8 lub nowszy).(Windows 8 or later)
Umożliwia zdalne zarządzanie komputerami za pomocą usługi WS-Management, czyli opartego na usługach sieci Web protokołu do zdalnego zarządzania systemami operacyjnymi i urządzeniami.Enables remote management of managed computers with WS-Management, a Web services-based protocol for remote management of operating systems and devices.
Windows Virtual PCWindows Virtual PC
(system Windows 7 lub nowszy)(Windows 7 or later)
Umożliwia maszynom wirtualnym komunikowanie się z innymi komputerami.Lets virtual machines communicate with other computers.
Bezprzewodowe urządzenia przenośneWireless Portable Devices Umożliwia transferowanie multimediów z kamery sieciowej lub urządzenia multimedialnego do zarządzanych komputerów przy użyciu protokołu transferu multimediów (MTP).Enables the transfer of media from a network-enabled camera or media device to managed computers with Media Transfer Protocol (MTP). To ustawienie powoduje użycie usługi SSDP i protokołów sieciowych UPnP.This setting uses SSDP and UPnP network protocols.

Zobacz takżeSee also

Zasady ochrony komputerów z systemem WindowsPolicies to protect Windows PCs

Aby przesłać opinię na temat produktu, przejdź na stronę Intune Feedback