Ustawienia zasad zapory w ramach zabezpieczeń punktów końcowych w usłudze IntuneFirewall policy settings for endpoint security in Intune

Zobacz ustawienia, które można skonfigurować w profilach zasad Zapora w ramach zasad zabezpieczeń punktów końcowych w węźle Zabezpieczenia punktu końcowego w usłudze Intune.View the settings you can configure in profiles for Firewall policy in the endpoint security node of Intune as part of an Endpoint security policy.

Obsługiwane platformy i profile:Supported platforms and profiles:

  • macOS:macOS:

    • Profil: Zapora systemu macOSProfile: macOS firewall
  • System Windows 10 lub nowszy:Windows 10 and later:

    • Profil: Zapora Microsoft DefenderProfile: Microsoft Defender Firewall

Profil Zapora systemu macOSmacOS firewall profile

ZaporaFirewall

Następujące ustawienia są konfigurowane w ramach zasad zabezpieczeń punktu końcowego dla zapory systemu macOSThe following settings are configured as Endpoint Security policy for macOS Firewalls

  • Włącz zaporęEnable Firewall

    • Nie skonfigurowano (wartość domyślna)Not configured (default)
    • Tak — włącza zaporę.Yes - Enable the firewall.

    Po ustawieniu opcji Tak można skonfigurować następujące ustawienia.When set to Yes, you can configure the following settings.

    • Zablokuj wszystkie połączenia przychodząceBlock all incoming connections

      • Nie skonfigurowano (wartość domyślna)Not configured (default)
      • Tak — blokuje wszystkie połączenia przychodzące poza połączeniami wymaganymi dla podstawowych usług internetowych, na przykład DHCP, Bonjour i IPSec.Yes - Block all incoming connections except connections that are required for basic Internet services such as DHCP, Bonjour, and IPSec. Spowoduje to zablokowanie wszystkich usług udostępniania.This blocks all sharing services.
    • Wyłącz tryb niewidzialnościEnable stealth mode

      • Nie skonfigurowano (wartość domyślna)Not configured (default)
      • Tak — zapobiega odpowiadaniu przez komputer na żądania sondowania.Yes - Prevent the computer from responding to probing requests. Komputer nadal odpowiada na żądania przychodzące dla autoryzowanych aplikacji.The computer still answers incoming requests for authorized apps.
    • Aplikacje zapory Rozwiń listę, a następnie wybierz pozycję Dodaj, aby określić aplikacje i reguły dla połączeń przychodzących do aplikacji.Firewall apps Expand the dropdown and then select Add to then specify apps and rules for incoming connections for the app.

      • Zezwalaj na połączenia przychodząceAllow incoming connections

        • Nie skonfigurowanoNot configured
        • ZablokowanieBlock
        • ZezwalajAllow
      • Identyfikator pakietu — identyfikator określający aplikację.Bundle ID - The ID identifies the app. Na przykład: com.apple.appFor example: com.apple.app

Profil Zapora Microsoft DefenderMicrosoft Defender Firewall profile

Zapora Microsoft DefenderMicrosoft Defender Firewall

Następujące ustawienia są konfigurowane w ramach zasad zabezpieczeń punktu końcowego dla zapory systemu Windows 10.The following settings are configured as Endpoint Security policy for Windows 10 Firewalls.

  • Stanowy protokół FTP (File Transfer Protocol)Stateful File Transfer Protocol (FTP)
    Zasady zabezpieczeń zawartości: MdmStore/Global/DisableStatefulFtpCSP: MdmStore/Global/DisableStatefulFtp

    • Nie skonfigurowano (wartość domyślna)Not configured (default)
    • Zezwalaj — zapora wykonuje filtrowanie stanowego protokołu FTP, aby umożliwić połączenia pomocnicze.Allow - The firewall performs stateful File Transfer Protocol (FTP) filtering to allow secondary connections.
    • Wyłączone — stanowy protokół FTP jest wyłączony.Disabled - Stateful FTP is disabled.
  • Liczba sekund, przez jaką skojarzenie zabezpieczeń może być bezczynne, zanim zostanie usunięteNumber of seconds a security association can be idle before it's deleted
    Zasady zabezpieczeń zawartości: MdmStore/Global/SaIdleTimeCSP: MdmStore/Global/SaIdleTime

    Określ, jak długo mają być przechowywane skojarzenia zabezpieczeń, gdy ruch sieciowy nie jest już widoczny — od 300 do 3600 sekund.Specify a time in seconds between 300 and 3600, for how long the security associations are kept after network traffic isn't seen.

    Jeśli nie określisz żadnej wartości, system usunie skojarzenie zabezpieczeń po 300 sekundach bezczynności.If you don't specify any value, the system deletes a security association after it's been idle for 300 seconds.

  • Kodowanie kluczy wstępnychPreshared key encoding
    Zasady zabezpieczeń zawartości: MdmStore/Global/PresharedKeyEncodingCSP: MdmStore/Global/PresharedKeyEncoding

    Jeśli nie jest wymagane kodowanie UTF-8, klucze wstępne początkowo będą kodowane przy użyciu kodowania UTF-8.If you don't require UTF-8, preshared keys are initially encoded using UTF-8. Następnie użytkownicy urządzenia mogą wybrać inną metodę kodowania.After that, device users can choose another encoding method.

    • Nie skonfigurowano (wartość domyślna)Not configured (default)
    • BrakNone
    • UTF8UTF8
  • Brak wykluczeń dla zabezpieczeń protokołu IP zaporyNo exemptions for Firewall IP sec

    • Nie skonfigurowano (wartość domyślna) — jeśli nie skonfigurowano, będziesz mieć dostęp do następujących ustawień wykluczeń zabezpieczeń protokołu IP, które można skonfigurować indywidualnie.Not configured (default) - When not configured, you'll have access to the following IP sec exemption settings that you can configure individually.

    • Tak — wyłącz wszystkie wykluczenia zabezpieczeń protokołu IP zapory.Yes - Turn off all Firewall IP sec exemptions. Następujące ustawienia nie są dostępne do konfiguracji.The following settings aren't available to configure.

    • Wykluczenia zabezpieczeń protokołu IP zapory — zezwalaj na odnajdywanie sąsiadówFirewall IP sec exemptions allow neighbor discovery
      Zasady zabezpieczeń zawartości: MdmStore/Global/IPsecExemptCSP: MdmStore/Global/IPsecExempt

      • Nie skonfigurowano (wartość domyślna)Not configured (default)
      • Tak — wykluczenia zabezpieczeń protokołu IP zapory zezwalają na odnajdywanie sąsiadów.Yes - Firewall IPsec exemptions allow neighbor discovery.
    • Wykluczenia zabezpieczeń protokołu IP zapory — zezwalaj na protokół IMCPFirewall IP sec exemptions allow ICMP
      Zasady zabezpieczeń zawartości: MdmStore/Global/IPsecExemptCSP: MdmStore/Global/IPsecExempt

      • Nie skonfigurowano (wartość domyślna)Not configured (default)
      • Tak — wykluczenia zabezpieczeń protokołu IP zapory zezwalają na protokół ICMP.Yes - Firewall IPsec exemptions allow ICMP.
    • Wykluczenia zabezpieczeń protokołu IP zapory — zezwalaj na odnajdywanie routeraFirewall IP sec exemptions allow router discovery
      Zasady zabezpieczeń zawartości: MdmStore/Global/IPsecExemptCSP: MdmStore/Global/IPsecExempt

      • Nie skonfigurowano (wartość domyślna)Not configured (default)
      • Tak — wykluczenia zabezpieczeń protokołu IP zapory zezwalają na odnajdywanie routera.Yes - Firewall IPsec exemptions allow router discovery.
    • Wykluczenia zabezpieczeń protokołu IP zapory — zezwalaj na protokół DHCPFirewall IP sec exemptions allow DHCP
      Zasady zabezpieczeń zawartości: MdmStore/Global/IPsecExemptCSP: MdmStore/Global/IPsecExempt

      • Nie skonfigurowano (wartość domyślna)Not configured (default)
      • Tak — wykluczenia zabezpieczeń protokołu IP zapory zezwalają na protokół DHCP.Yes - Firewall IP sec exemptions allow DHCP
  • Weryfikacja listy odwołania certyfikatów (CRL)Certificate revocation list (CRL) verification
    Zasady zabezpieczeń zawartości: MdmStore/Global/CRLcheckCSP: MdmStore/Global/CRLcheck

    Określ sposób wymuszania weryfikacji listy odwołania certyfikatów (CRL, certificate revocation list).Specify how certificate revocation list (CRL) verification is enforced.

    • Nie skonfigurowano (wartość domyślna) — używaj domyślnego ustawienia klienta, które powoduje wyłączenie weryfikacji CRL.Not configured (default) - Use the client default, which is to disable CRL verification.
    • BrakNone
    • PróbaAttempt
    • WymaganeRequire
  • Wymagaj, aby moduły obsługi kluczy ignorowały tylko pakiety uwierzytelniania, których nie obsługująRequire keying modules to only ignore the authentication suites they don’t support
    Zasady zabezpieczeń zawartości: MdmStore/Global/OpportunisticallyMatchAuthSetPerKMCSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Nie skonfigurowano (wartość domyślna)Not configured (default)
    • WyłączoneDisabled
    • Włączone — moduły obsługi kluczy ignorują nieobsługiwane pakiety uwierzytelniania.Enabled - Keying modules ignore unsupported authentication suites.
  • Kolejkowanie pakietówPacket queuing
    Zasady zabezpieczeń zawartości: MdmStore/Global/EnablePacketQueueCSP: MdmStore/Global/EnablePacketQueue

    Określ sposób włączania skalowania oprogramowania po stronie odbierającej w przypadku zaszyfrowanego odbierania i przekazywania w postaci zwykłego tekstu dla scenariusza z bramą tunelu IPsec.Specify how to enable scaling for the software on the receive side for the encrypted receive and clear text forward for the IPsec tunnel gateway scenario. Zapewnia to zachowanie kolejności pakietów.This ensures the packet order is preserved.

    • Nie skonfigurowano (wartość domyślna) — dla kolejkowania pakietów jest przywracane domyślne ustawienie klienta, czyli Wyłączone.Not configured (default) - Packet queuing is returned to the client default, which is disabled.
    • WyłączoneDisabled
    • Umieść w kolejce przychodząceQueue Inbound
    • Umieść w kolejce wychodząceQueue Outbound
    • Umieść w kolejce obydwa rodzajeQueue Both
  • Włącz Zaporę Microsoft Defender dla sieci w domenieTurn on Microsoft Defender Firewall for domain networks
    Zasady zabezpieczeń zawartości: EnableFirewallCSP: EnableFirewall

    • Nie skonfigurowano (wartość domyślna) — przywraca domyślne ustawienie klienta, czyli włączenie zapory.Not configured (default) - The client returns to its default, which is to enable the firewall.
    • Tak — zapora Microsoft Defender dla typu sieci domena jest włączona i wymuszana.Yes - The Microsoft Defender Firewall for the network type of domain is turned on and enforced. Możesz również uzyskać dostęp do dodatkowych ustawień dla tej sieci.You also gain access to additional settings for this network.
    • Nie — wyłącza zaporę.No - Disable the firewall.

    Ustawienia dodatkowe dla tej sieci, gdy ustawiono wartość Tak:Additional settings for this network, when set to Yes:

    • Blokuj tryb niewidzialnościBlock stealth mode
      Zasady zabezpieczeń zawartości: DisableStealthModeCSP: DisableStealthMode

      Domyślnie tryb niewidzialności jest na urządzeniach włączony.By default, stealth mode is enabled on devices. Dzięki temu złośliwi użytkownicy nie mogą odkrywać informacji o urządzeniach sieciowych i uruchomionych przez nie usługach.It helps prevent malicious users from discovering information about network devices and the services they run. Wyłączenie trybu niewidzialności może narażać urządzenia na ataki.Disabling stealth mode can make devices vulnerable to attack.

      • Nie skonfigurowano (wartość domyślna)Not configured (default)
      • TakYes
      • NieNo
    • Włącz tryb osłonyEnable shielded mode
      Zasady zabezpieczeń zawartości: Z osłonąCSP: Shielded

      • Nie skonfigurowano (wartość domyślna) — używaj domyślnego ustawienia klienta, które powoduje wyłączenie trybu osłony.Not configured (default) - Use the client default, which is to disable shielded mode.
      • Tak — komputer zostanie przełączony w tryb osłony, co spowoduje jego wyizolowanie z sieci.Yes - The machine is put into shielded mode, which isolates it from the network. Cały ruch zostanie zablokowany.All traffic is blocked.
      • NieNo
    • Blokuj odpowiedzi emisji pojedynczej na multiemisjeBlock unicast responses to multicast broadcasts
      Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcastCSP: DisableUnicastResponsesToMulticastBroadcast

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli zezwalania na odpowiedzi emisji pojedynczej.Not configured (default) - The setting returns to the client default, which is to allow unicast responses.
      • Tak — zablokowanie odpowiedzi emisji pojedynczej na multiemisje.Yes - Unicast responses to multicast broadcasts are blocked.
      • Nie — wymusza wartość domyślną klienta, która zezwala na odpowiedzi emisji pojedynczej.No - Enforce the client default, which is to allow unicast responses.
    • Wyłącz powiadomienia przychodząceDisable inbound notifications
      Zasady zabezpieczeń zawartości DisableInboundNotificationsCSP DisableInboundNotifications

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, która powoduje zezwolenie na powiadomienie użytkownika.Not configured (default) - The setting returns to the client default, which is to allow the user notification.
      • Tak — powiadomienie użytkownika jest pomijane, gdy aplikacja jest blokowana przez regułę ruchu przychodzącego.Yes - User notification is suppressed when an application is blocked by an inbound rule.
      • Nie — powiadomienia użytkownika są dozwolone.No - User notifications are allowed.
    • Blokuj połączenia wychodząceBlock outbound connections

      To ustawienie dotyczy systemu Windows w wersji 1809 lub nowszej.This setting applies to Windows version 1809 and later. Zasady zabezpieczeń zawartości: DefaultOutboundActionCSP: DefaultOutboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.This rule is evaluated at the very end of the rule list.

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, która zezwala na połączenia.Not configured (default) - The setting returns to the client default, which is to allow connections.
      • Tak — wszystkie połączenia wychodzące, które nie pasują do reguły ruchu wychodzącego, są blokowane.Yes - All outbound connections that don't match an outbound rule are blocked.
      • Nie — wszystkie połączenia, które nie pasują do reguły ruchu wychodzącego, są dozwolone.No - All connections that don't match an outbound rule are allowed.
    • Blokuj połączenia przychodząceBlock inbound connections
      Zasady zabezpieczeń zawartości: DefaultInboundActionCSP: DefaultInboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.This rule is evaluated at the very end of the rule list.

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli blokowania połączeń.Not configured (default) - The setting returns to the client default, which is to block connections.
      • Tak — wszystkie połączenia przychodzące, które nie pasują do reguły ruchu przychodzącego, są blokowane.Yes - All inbound connections that don't match an inbound rule are blocked.
      • Nie — wszystkie połączenia, które nie pasują do reguły ruchu przychodzącego, są dozwolone.No - All connections that don't match an inbound rule are allowed.
    • Ignoruj reguły zapory dla autoryzowanych aplikacjiIgnore authorized application firewall rules
      Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMergeCSP: AuthAppsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — reguły zapory dla autoryzowanych aplikacji w magazynie lokalnym są ignorowane.Yes - Authorized application firewall rules in the local store are ignored.
      • Nie — reguły zapory dla autoryzowanych aplikacji są przestrzegane.No - Authorized application firewall rules are honored.
    • Ignoruj reguły zapory dla portów globalnychIgnore global port firewall rules
      Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMergeCSP: GlobalPortsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — reguły zapory dla portów globalnych w magazynie lokalnym są ignorowane.Yes - Global port firewall rules in the local store are ignored.
      • Nie — reguły zapory dla portów globalnych są przestrzegane.No - The global port firewall rules are honored.
    • Ignoruj wszystkie reguły zapory lokalnejIgnore all local firewall rules
      Zasady zabezpieczeń zawartości: IPsecExemptCSP: IPsecExempt

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — wszystkie reguły zapory w magazynie lokalnym są ignorowane.Yes - All firewall rules in the local store are ignored.
      • Nie — reguły zapory w magazynie lokalnym są przestrzegane.No - The firewall rules in the local store are honored.
    • Ignoruj reguły zabezpieczeń dla połączeń Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMergeIgnore connection security rules CSP: AllowLocalIpsecPolicyMerge

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — reguły zapory IPsec w magazynie lokalnym są ignorowane.Yes - IPsec firewall rules in the local store are ignored.
      • Nie — reguły zapory IPsec w magazynie lokalnym są przestrzegane.No - IPsec firewall rules in the local store are honored.
  • Włącz Zaporę Microsoft Defender dla sieci prywatnychTurn on Microsoft Defender Firewall for private networks
    Zasady zabezpieczeń zawartości: EnableFirewallCSP: EnableFirewall

    • Nie skonfigurowano (wartość domyślna) — przywraca domyślne ustawienie klienta, czyli włączenie zapory.Not configured (default) - The client returns to its default, which is to enable the firewall.
    • Tak — zapora Microsoft Defender dla typu sieci prywatne jest włączona i wymuszana.Yes - The Microsoft Defender Firewall for the network type of private is turned on and enforced. Możesz również uzyskać dostęp do dodatkowych ustawień dla tej sieci.You also gain access to additional settings for this network.
    • Nie — wyłącza zaporę.No - Disable the firewall.

    Ustawienia dodatkowe dla tej sieci, gdy ustawiono wartość Tak:Additional settings for this network, when set to Yes:

    • Blokuj tryb niewidzialnościBlock stealth mode
      Zasady zabezpieczeń zawartości: DisableStealthModeCSP: DisableStealthMode

      Domyślnie tryb niewidzialności jest na urządzeniach włączony.By default, stealth mode is enabled on devices. Dzięki temu złośliwi użytkownicy nie mogą odkrywać informacji o urządzeniach sieciowych i uruchomionych przez nie usługach.It helps prevent malicious users from discovering information about network devices and the services they run. Wyłączenie trybu niewidzialności może narażać urządzenia na ataki.Disabling stealth mode can make devices vulnerable to attack.

      • Nie skonfigurowano (wartość domyślna)Not configured (default)
      • TakYes
      • NieNo
    • Włącz tryb osłonyEnable shielded mode
      Zasady zabezpieczeń zawartości: Z osłonąCSP: Shielded

      • Nie skonfigurowano (wartość domyślna) — używaj wartości domyślnej klienta, która powoduje wyłączenie trybu osłony.Not configured (default) - Use the client default, which is to disable shielded mode.
      • Tak — komputer zostanie przełączony w tryb osłony, co spowoduje jego wyizolowanie z sieci.Yes - The machine is put into shielded mode, which isolates it from the network. Cały ruch zostanie zablokowany.All traffic is blocked.
      • NieNo
    • Blokuj odpowiedzi emisji pojedynczej na multiemisjeBlock unicast responses to multicast broadcasts
      Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcastCSP: DisableUnicastResponsesToMulticastBroadcast

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli zezwalania na odpowiedzi emisji pojedynczej.Not configured (default) - The setting returns to the client default, which is to allow unicast responses.
      • Tak — zablokowanie odpowiedzi emisji pojedynczej na multiemisje.Yes - Unicast responses to multicast broadcasts are blocked.
      • Nie — wymusza wartość domyślną klienta, która zezwala na odpowiedzi emisji pojedynczej.No - Enforce the client default, which is to allow unicast responses.
    • Wyłącz powiadomienia przychodząceDisable inbound notifications
      Zasady zabezpieczeń zawartości DisableInboundNotificationsCSP DisableInboundNotifications

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, która powoduje zezwolenie na powiadomienie użytkownika.Not configured (default) - The setting returns to the client default, which is to allow the user notification.
      • Tak — powiadomienie użytkownika jest pomijane, gdy aplikacja jest blokowana przez regułę ruchu przychodzącego.Yes - User notification is suppressed when an application is blocked by an inbound rule.
      • Nie — powiadomienia użytkownika są dozwolone.No - User notifications are allowed.
    • Blokuj połączenia wychodząceBlock outbound connections

      To ustawienie dotyczy systemu Windows w wersji 1809 lub nowszej.This setting applies to Windows version 1809 and later. Zasady zabezpieczeń zawartości: DefaultOutboundActionCSP: DefaultOutboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.This rule is evaluated at the very end of the rule list.

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, która zezwala na połączenia.Not configured (default) - The setting returns to the client default, which is to allow connections.
      • Tak — wszystkie połączenia wychodzące, które nie pasują do reguły ruchu wychodzącego, są blokowane.Yes - All outbound connections that don't match an outbound rule are blocked.
      • Nie — wszystkie połączenia, które nie pasują do reguły ruchu wychodzącego, są dozwolone.No - All connections that don't match an outbound rule are allowed.
    • Blokuj połączenia przychodząceBlock inbound connections
      Zasady zabezpieczeń zawartości: DefaultInboundActionCSP: DefaultInboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.This rule is evaluated at the very end of the rule list.

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli blokowania połączeń.Not configured (default) - The setting returns to the client default, which is to block connections.
      • Tak — wszystkie połączenia przychodzące, które nie pasują do reguły ruchu przychodzącego, są blokowane.Yes - All inbound connections that don't match an inbound rule are blocked.
      • Nie — wszystkie połączenia, które nie pasują do reguły ruchu przychodzącego, są dozwolone.No - All connections that don't match an inbound rule are allowed.
    • Ignoruj reguły zapory dla autoryzowanych aplikacjiIgnore authorized application firewall rules
      Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMergeCSP: AuthAppsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — reguły zapory dla autoryzowanych aplikacji w magazynie lokalnym są ignorowane.Yes - Authorized application firewall rules in the local store are ignored.
      • Nie — reguły zapory dla autoryzowanych aplikacji są przestrzegane.No - Authorized application firewall rules are honored.
    • Ignoruj reguły zapory dla portów globalnychIgnore global port firewall rules
      Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMergeCSP: GlobalPortsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — reguły zapory dla portów globalnych w magazynie lokalnym są ignorowane.Yes - Global port firewall rules in the local store are ignored.
      • Nie — reguły zapory dla portów globalnych są przestrzegane.No - The global port firewall rules are honored.
    • Ignoruj wszystkie reguły zapory lokalnejIgnore all local firewall rules
      Zasady zabezpieczeń zawartości: IPsecExemptCSP: IPsecExempt

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — wszystkie reguły zapory w magazynie lokalnym są ignorowane.Yes - All firewall rules in the local store are ignored.
      • Nie — reguły zapory w magazynie lokalnym są przestrzegane.No - The firewall rules in the local store are honored.
    • Ignoruj reguły zabezpieczeń dla połączeń Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMergeIgnore connection security rules CSP: AllowLocalIpsecPolicyMerge

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — reguły zapory IPsec w magazynie lokalnym są ignorowane.Yes - IPsec firewall rules in the local store are ignored.
      • Nie — reguły zapory IPsec w magazynie lokalnym są przestrzegane.No - IPsec firewall rules in the local store are honored.
  • Włącz Zaporę Microsoft Defender dla sieci publicznychTurn on Microsoft Defender Firewall for public networks
    Zasady zabezpieczeń zawartości: EnableFirewallCSP: EnableFirewall

    • Nie skonfigurowano (wartość domyślna) — przywraca domyślne ustawienie klienta, czyli włączenie zapory.Not configured (default) - The client returns to its default, which is to enable the firewall.
    • Tak — zapora Microsoft Defender dla typu sieci publiczne jest włączona i wymuszana.Yes - The Microsoft Defender Firewall for the network type of public is turned on and enforced. Możesz również uzyskać dostęp do dodatkowych ustawień dla tej sieci.You also gain access to additional settings for this network.
    • Nie — wyłącza zaporę.No - Disable the firewall.

    Ustawienia dodatkowe dla tej sieci, gdy ustawiono wartość Tak:Additional settings for this network, when set to Yes:

    • Blokuj tryb niewidzialnościBlock stealth mode
      Zasady zabezpieczeń zawartości: DisableStealthModeCSP: DisableStealthMode

      Domyślnie tryb niewidzialności jest na urządzeniach włączony.By default, stealth mode is enabled on devices. Dzięki temu złośliwi użytkownicy nie mogą odkrywać informacji o urządzeniach sieciowych i uruchomionych przez nie usługach.It helps prevent malicious users from discovering information about network devices and the services they run. Wyłączenie trybu niewidzialności może narażać urządzenia na ataki.Disabling stealth mode can make devices vulnerable to attack.

      • Nie skonfigurowano (wartość domyślna)Not configured (default)
      • TakYes
      • NieNo
    • Włącz tryb osłonyEnable shielded mode
      Zasady zabezpieczeń zawartości: Z osłonąCSP: Shielded

      • Nie skonfigurowano (wartość domyślna) — używaj wartości domyślnej klienta, która powoduje wyłączenie trybu osłony.Not configured (default) - Use the client default, which is to disable shielded mode.
      • Tak — komputer zostanie przełączony w tryb osłony, co spowoduje jego wyizolowanie z sieci.Yes - The machine is put into shielded mode, which isolates it from the network. Cały ruch zostanie zablokowany.All traffic is blocked.
      • NieNo
    • Blokuj odpowiedzi emisji pojedynczej na multiemisjeBlock unicast responses to multicast broadcasts
      Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcastCSP: DisableUnicastResponsesToMulticastBroadcast

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli zezwalania na odpowiedzi emisji pojedynczej.Not configured (default) - The setting returns to the client default, which is to allow unicast responses.
      • Tak — zablokowanie odpowiedzi emisji pojedynczej na multiemisje.Yes - Unicast responses to multicast broadcasts are blocked.
      • Nie — wymusza wartość domyślną klienta, która zezwala na odpowiedzi emisji pojedynczej.No - Enforce the client default, which is to allow unicast responses.
    • Wyłącz powiadomienia przychodząceDisable inbound notifications
      Zasady zabezpieczeń zawartości DisableInboundNotificationsCSP DisableInboundNotifications

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, która powoduje zezwolenie na powiadomienie użytkownika.Not configured (default) - The setting returns to the client default, which is to allow the user notification.
      • Tak — powiadomienie użytkownika jest pomijane, gdy aplikacja jest blokowana przez regułę ruchu przychodzącego.Yes - User notification is suppressed when an application is blocked by an inbound rule.
      • Nie — powiadomienia użytkownika są dozwolone.No - User notifications are allowed.
    • Blokuj połączenia wychodząceBlock outbound connections

      To ustawienie dotyczy systemu Windows w wersji 1809 lub nowszej.This setting applies to Windows version 1809 and later. Zasady zabezpieczeń zawartości: DefaultOutboundActionCSP: DefaultOutboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.This rule is evaluated at the very end of the rule list.

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, która zezwala na połączenia.Not configured (default) - The setting returns to the client default, which is to allow connections.
      • Tak — wszystkie połączenia wychodzące, które nie pasują do reguły ruchu wychodzącego, są blokowane.Yes - All outbound connections that don't match an outbound rule are blocked.
      • Nie — wszystkie połączenia, które nie pasują do reguły ruchu wychodzącego, są dozwolone.No - All connections that don't match an outbound rule are allowed.
    • Blokuj połączenia przychodząceBlock inbound connections
      Zasady zabezpieczeń zawartości: DefaultInboundActionCSP: DefaultInboundAction

      Ta reguła jest oceniana na samym końcu listy reguł.This rule is evaluated at the very end of the rule list.

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli blokowania połączeń.Not configured (default) - The setting returns to the client default, which is to block connections.
      • Tak — wszystkie połączenia przychodzące, które nie pasują do reguły ruchu przychodzącego, są blokowane.Yes - All inbound connections that don't match an inbound rule are blocked.
      • Nie — wszystkie połączenia, które nie pasują do reguły ruchu przychodzącego, są dozwolone.No - All connections that don't match an inbound rule are allowed.
    • Ignoruj reguły zapory dla autoryzowanych aplikacjiIgnore authorized application firewall rules
      Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMergeCSP: AuthAppsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — reguły zapory dla autoryzowanych aplikacji w magazynie lokalnym są ignorowane.Yes - Authorized application firewall rules in the local store are ignored.
      • Nie — reguły zapory dla autoryzowanych aplikacji są przestrzegane.No - Authorized application firewall rules are honored.
    • Ignoruj reguły zapory dla portów globalnychIgnore global port firewall rules
      Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMergeCSP: GlobalPortsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — reguły zapory dla portów globalnych w magazynie lokalnym są ignorowane.Yes - Global port firewall rules in the local store are ignored.
      • Nie — reguły zapory dla portów globalnych są przestrzegane.No - The global port firewall rules are honored.
    • Ignoruj wszystkie reguły zapory lokalnejIgnore all local firewall rules
      Zasady zabezpieczeń zawartości: IPsecExemptCSP: IPsecExempt

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — wszystkie reguły zapory w magazynie lokalnym są ignorowane.Yes - All firewall rules in the local store are ignored.
      • Nie — reguły zapory w magazynie lokalnym są przestrzegane.No - The firewall rules in the local store are honored.
    • Ignoruj reguły zabezpieczeń dla połączeń Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMergeIgnore connection security rules CSP: AllowLocalIpsecPolicyMerge

      • Nie skonfigurowano (wartość domyślna) — ustawienie jest przywracane do wartości domyślnej klienta, czyli przestrzegania reguł lokalnych.Not configured (default) - The setting returns to the client default, which is to honor the local rules.
      • Tak — reguły zapory IPsec w magazynie lokalnym są ignorowane.Yes - IPsec firewall rules in the local store are ignored.
      • Nie — reguły zapory IPsec w magazynie lokalnym są przestrzegane.No - IPsec firewall rules in the local store are honored.

Reguły zapory Microsoft DefenderMicrosoft Defender Firewall rules

Ten profil jest w wersji zapoznawczej.This profile is in Preview.

Następujące ustawienia są konfigurowane w ramach zasad zabezpieczeń punktu końcowego dla zapory systemu Windows 10.The following settings are configured as Endpoint Security policy for Windows 10 Firewalls.

Reguła zapory systemu WindowsWindows Firewall Rule

  • NazwaName
    Podaj przyjazną nazwę reguły.Specify a friendly name for your rule. Ta nazwa będzie wyświetlana na liście reguł, aby ułatwić jej identyfikację.This name will appear in the list of rules to help you identify it.

  • OpisDescription
    Podaj opis reguły.Provide a description of the rule.

  • KierunekDirection

    • Nie skonfigurowano (wartość domyślna) — reguła jest domyślnie stosowana do ruchu wychodzącego.Not configured (default) - This rule defaults to outbound traffic.
    • Wychodzący — reguła jest stosowana względem ruchu wychodzącego.Out - This rule applies to outbound traffic.
    • Przychodzący — reguła jest stosowana względem ruchu przychodzącego.In - This rule applies to inbound traffic.
  • AkcjaAction

    • Nie skonfigurowano (wartość domyślna) — reguła domyślnie zezwala na ruch.Not configured (default) - The rule defaults to allow traffic.
    • Zablokowane — ruch w skonfigurowanym kierunku jest blokowany.Blocked - Traffic is blocked in the Direction you've configured.
    • Dozwolone — ruch w skonfigurowanym kierunku jest dozwolony.Allowed - Traffic is allowed in the Direction you've configured.
  • Typ sieciNetwork type
    Określ typ sieci, do której należy reguła.Specify the network type to which the rule belongs. Można wybrać jedną opcję lub kilka.You can choose one or more of the following. Jeśli nie wybierzesz żadnej opcji, reguła zostanie zastosowana do wszystkich typów sieci.If you don't select an option, the rule applies to all network types.

    • DomenyDomain
    • PrywatnePrivate
    • PublicznePublic
    • NieskonfigurowanyNot configured
  • Nazwa rodziny pakietówPackage family name
    Get-AppxPackageGet-AppxPackage

    Nazwy rodzin pakietów można pobrać, uruchamiając polecenie Get-AppxPackage z poziomu programu PowerShell.Package family names can be retrieved by running the Get-AppxPackage command from PowerShell.

  • Ścieżka plikuFile path
    Zasady zabezpieczeń zawartości: FirewallRules/FirewallRuleName/App/FilePathCSP: FirewallRules/FirewallRuleName/App/FilePath

    Aby określić ścieżkę pliku aplikacji, wprowadź lokalizację aplikacji na urządzeniu klienckim.To specify the file path of an app, enter the apps location on the client device. Na przykład: C:\Windows\System\Notepad.exe lub %WINDIR%\Notepad.exeFor example: C:\Windows\System\Notepad.exe or %WINDIR%\Notepad.exe

  • Nazwa usługiService name
    FirewallRules/FirewallRuleName/App/ServiceNameFirewallRules/FirewallRuleName/App/ServiceName

    Użyj krótkiej nazwy usługi systemu Windows, gdy to usługa, a nie aplikacja, wysyła lub odbiera ruch.Use a Windows service short name when a service, not an application, is sending or receiving traffic. Krótkie nazwy usług można pobrać, uruchamiając polecenie Get-Service w programie PowerShell.Service short names are retrieved by running the Get-Service command from PowerShell.

  • ProtokółProtocol
    Zasady zabezpieczeń zawartości: FirewallRules/FirewallRuleName/ProtocolCSP: FirewallRules/FirewallRuleName/Protocol

    Określ protokół dla tej reguły portu.Specify the protocol for this port rule.

    • Protokoły warstwy transportu, takie jak TCP(6) i UDP(17) umożliwiają określanie portów lub zakresów portów.Transport layer protocols like TCP(6) and UDP(17) allow you to specify ports or port ranges.
    • W przypadku protokołów niestandardowych wprowadź liczbę od 0 do 255, która reprezentuje protokół IP.For custom protocols, enter a number between 0 and 255 that represents the IP protocol.
    • Jeśli nie określisz żadnej wartości, zostanie zastosowane domyślne ustawienie reguły — Dowolne.When nothing is specified, the rule defaults to Any.
  • Typy interfejsówInterface types
    Określ typy interfejsów, do których należy reguła.Specify the interface types to which the rule belongs. Można wybrać jedną opcję lub kilka.You can choose one or more of the following. Jeśli nie wybierzesz żadnej opcji, reguła zostanie zastosowana do wszystkich typów interfejsów:If you don't select an option, the rule applies to all interface types:

    • Dostęp zdalnyRemote access
    • Sieć bezprzewodowaWireless
    • Sieć lokalnaLocal area network
    • NieskonfigurowanyNot configured
  • Autoryzowani użytkownicyAuthorized users
    FirewallRules/FirewallRuleName/LocalUserAuthorizationListFirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Określ listę autoryzowanych użytkowników lokalnych dla tej reguły.Specify a list of authorized local users for this rule. Nie można określić listy autoryzowanych użytkowników, jeśli w obszarze Nazwa usługi w tych zasadach określono usługę systemu Windows.A list of authorized users can't be specified if Service name in this policy is set as a Windows service. Jeśli nie zostanie określony żaden autoryzowany użytkownik, zostanie domyślnie zastosowana opcja Wszyscy użytkownicy.If no authorized user is specified, the default is all users.

  • Dowolny adres lokalnyAny local address
    Nie skonfigurowano (wartość domyślna) — użyj ustawienia *Zakresy adresów lokalnych**, aby skonfigurować zakres obsługiwanych adresów.Not configured (default) - Use the following setting, Local address ranges* to configure a range of addresses to support.

    • Tak — nie trzeba konfigurować zakresu adresów i obsługiwane będą dowolne adresy lokalne.Yes - Support any local address and don't configure an address range.
  • Zakresy adresów lokalnychLocal address ranges
    Zasady zabezpieczeń zawartości: FirewallRules/FirewallRuleName/LocalAddressRangesCSP: FirewallRules/FirewallRuleName/LocalAddressRanges

    Zarządzaj zakresami adresów lokalnych dla tej reguły.Manage local address ranges for this rule. Można:You can:

    • Dodać co najmniej jeden adres jako listę adresów lokalnych rozdzielonych przecinkami, które są objęte regułą.Add one or more addresses as a comma-separated list of local addresses that are covered by the rule.
    • Zaimportować plik CSV zawierający listę adresów, które mają być używane jako zakresy adresów lokalnych.Import a .csv file that contains a list of addresses to use as local address ranges.
    • Eksportować bieżącą listę zakresów adresów lokalnych jako plik CSV.Export your current list of local address ranges as a .csv file.

    Prawidłowe są następujące wpisy (tokeny):Valid entries (tokens) include the following options:

    • Gwiazdka — gwiazdka (*) wskazuje dowolny adres lokalny.An asterisk - An asterisk (*) indicates any local address. Jeśli użyto gwiazdki, nie można użyć żadnego innego tokenu.If present, the asterisk must be the only token included.
    • Podsieć — aby określić podsieci, użyj notacji z maską podsieci lub prefiksem sieci.A subnet - Specify subnets by using the subnet mask or network prefix notation. Jeśli nie zostanie określona ani maska podsieci, ani prefiks sieci, domyślna maska podsieci to 255.255.255.255.If a subnet mask or network prefix isn't specified, the subnet mask defaults to 255.255.255.255.
    • Prawidłowy adres IPv6A valid IPv6 address
    • Zakres adresów IPv4 — zakresy adresów IPv4 muszą mieć format początkowy adres-końcowy adres, bez spacji, gdzie adres początkowy jest niższy niż adres końcowy.An IPv4 address range - IPv4 ranges must be in the format of start address - end address with no spaces included, where the start address is less than the end address.
    • Zakres adresów IPv6 — zakresy adresów IPv6 muszą mieć format początkowy adres-końcowy adres, bez spacji, gdzie adres początkowy jest niższy niż adres końcowy.An IPv6 address range - IPv6 ranges must be in the format of start address - end address with no spaces included, where the start address is less than the end address.

    Jeśli nie określono żadnej wartości, zostanie zastosowane domyśle ustawienie Dowolny adres.When no value is specified, this setting defaults to use Any address.

  • Dowolny adres zdalnyAny remote address
    Nie skonfigurowano (wartość domyślna) — użyj ustawienia *Zakresy adresów zdalnych**, aby skonfigurować zakres obsługiwanych adresów.Not configured (default) - Use the following setting, Remote address ranges* to configure a range of addresses to support.

    • Tak — nie trzeba konfigurować zakresu adresów i obsługiwane będą dowolne adresy zdalne.Yes - Support any remote address and don't configure an address range.
  • Zakresy adresów zdalnychRemote address ranges
    Zasady zabezpieczeń zawartości: FirewallRules/FirewallRuleName/RemoteAddressRangesCSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Zarządzaj zakresami adresów zdalnych dla tej reguły.Manage remote address ranges for this rule. Można:You can:

    • Dodać co najmniej jeden adres jako listę adresów zdalnych rozdzielonych przecinkami, które są objęte regułą.Add one or more addresses as a comma-separated list of remote addresses that are covered by the rule.
    • Zaimportować plik CSV zawierający listę adresów, które mają być używane jako zakresy adresów zdalnych.Import a .csv file that contains a list of addresses to use as remote address ranges.
    • Eksportować bieżącą listę zakresów adresów zdalnych jako plik CSV.Export your current list of remote address ranges as a .csv file.

    Prawidłowe są następujące wpisy (tokeny), a wielkość liter nie jest uwzględniana:Valid entries (tokens) include the following and aren't case-sensitive:

    • Gwiazdka — gwiazdka (*) wskazuje dowolny adres zdalny.An asterisk - An asterisk (*) indicates any remote address. Jeśli użyto gwiazdki, nie można użyć żadnego innego tokenu.If present, the asterisk must be the only token included.
    • DefaultgatewayDefaultgateway
    • DHCPDHCP
    • DNSDNS
    • WINSWINS
    • Intranet — obsługiwane na urządzeniach z systemem Windows w wersji 1809 lub nowszej.Intranet - Supported on devices that run Windows 1809 or later.
    • RmtIntranet — obsługiwane na urządzeniach z systemem Windows w wersji 1809 lub nowszej.RmtIntranet - Supported on devices that run Windows 1809 or later.
    • Ply2Renders — obsługiwane na urządzeniach z systemem Windows w wersji 1809 lub nowszej.Ply2Renders - Supported on devices that run Windows 1809 or later.
    • LocalSubnet — wskazuje dowolny adres lokalny w podsieci lokalnej.LocalSubnet - Indicates any local address on the local subnet.
    • Podsieć — aby określić podsieci, użyj notacji z maską podsieci lub prefiksem sieci.A subnet - Specify subnets by using the subnet mask or network prefix notation. Jeśli nie zostanie określona ani maska podsieci, ani prefiks sieci, domyślna maska podsieci to 255.255.255.255.If a subnet mask or a network prefix isn't specified, the subnet mask defaults to 255.255.255.255.
    • Prawidłowy adres IPv6A valid IPv6 address
    • Zakres adresów IPv4 — zakresy adresów IPv4 muszą mieć format początkowy adres-końcowy adres, bez spacji, gdzie adres początkowy jest niższy niż adres końcowy.An IPv4 address range - IPv4 ranges must be in the format of start address - end address with no spaces included, where the start address is less than the end address.
    • Zakres adresów IPv6 — zakresy adresów IPv6 muszą mieć format początkowy adres-końcowy adres, bez spacji, gdzie adres początkowy jest niższy niż adres końcowy.An IPv6 address range - IPv6 ranges must be in the format of start address - end address with no spaces included, where the start address is less than the end address.

    Jeśli nie określono żadnej wartości, zostanie zastosowane domyśle ustawienie Dowolny adres.When no value is specified, this setting defaults to use Any address.

Następne krokiNext steps

Zasady zabezpieczeń punktu końcowego dotyczące zapórEndpoint security policy for firewalls