Share via

Ustawienia zasad zapory dla urządzeń dołączonych do dzierżawy w Microsoft Intune

  • Artykuł

Wyświetl ustawienia Zapory systemu Microsoft Windows, które można zarządzać za pomocą profilu Zapory systemu Windows (ConfigMgr) w usłudze Intune. Profil jest dostępny podczas konfigurowania zasad zapory usługi Intune, a zasady są wdrażane na urządzeniach zarządzanych za pomocą Configuration Manager po skonfigurowaniu scenariusza dołączania dzierżawy.

Zapora systemu Windows

  • Weryfikacja listy odwołania certyfikatów (urządzenie)
    Dostawca usług kryptograficznych: MdmStore/Global/CRLcheck

    Określ sposób wymuszania weryfikacji listy odwołania certyfikatów (CRL).

    • Nie skonfigurowano (wartość domyślna) — użyj domyślnego klienta, czyli wyłączenia weryfikacji listy CRL.
    • Brak
    • Próba
    • Wymagają

  • Wyłącz stanowe ftp (urządzenie)
    Zasady zabezpieczeń zawartości: MdmStore/Global/DisableStatefulFtp

    • Nie skonfigurowano (wartość domyślna)
    • Prawda — stanowy protokół FTP jest wyłączony
    • Fałsz — zapora wykonuje stanowe filtrowanie protokołu FTP (File Transfer Protocol), aby zezwolić na połączenia pomocnicze.

  • Włączanie kolejki pakietów (urządzenie)
    Zasady zabezpieczeń zawartości: MdmStore/Global/EnablePacketQueue

    Wybierz jedną z następujących opcji, aby skonfigurować skalowanie dla oprogramowania po stronie odbierającego dla zaszyfrowanego odbierania i czyszczenia tekstu do przodu dla scenariusza bramy tunelu IPsec. Dzięki temu kolejność pakietów jest zachowywana. Domyślnie nie są zaznaczone żadne opcje.

    • Wyłączona
    • Ruch przychodzący kolejki
    • Ruch wychodzący kolejki

  • Wyjątki protokołu IPsec (urządzenie)
    Dostawca usług kryptograficznych: MdmStore/Global/IPsecExempt

    Wybierz jedną z następujących opcji, aby skonfigurować wyjątki protokołu IPsec.

    • Wykluczenie sąsiada z odnajdywania kodów typu IPv6 ICMP z protokołu IPsec
    • Wykluczenie protokołu ICMP z protokołu IPsec
    • Wykluczenie kodów typów protokołu ICMP odnajdywania routera z protokołu IPsec
    • Wykluczenie ruchu DHCP protokołu IPv4 i IPv6 z protokołu IPsec

  • Oportunistycznie dopasuj zestaw uwierzytelniania na km (urządzenie)
    Zasady zabezpieczeń zawartości: OportunistycznieMatchAuthSetPerKM

    • Nie skonfigurowano (wartość domyślna)
    • True
    • False

  • Kodowanie klucza wstępnego (urządzenie)
    Dostawca usług kryptograficznych: MdmStore/Global/PresharedKeyEncoding

    • Nie skonfigurowano (wartość domyślna)
    • Brak
    • UTF8

  • Czas bezczynności skojarzenia zabezpieczeń (urządzenie)
    Dostawca usług kryptograficznych: MdmStore/Global/SaIdleTime

    Określ czas w sekundach z zakresu od 300 do 3600, aby określić czas przechowywania skojarzeń zabezpieczeń po tym, jak ruch sieciowy nie będzie widoczny. Jeśli nie określisz żadnej wartości, system usunie skojarzenie zabezpieczeń po bezczynności przez 300 sekund.

Profil domeny

  • Włączanie zapory sieci domenowej (urządzenie)
    Zasady zabezpieczeń zawartości: EnableFirewall

    • Nie skonfigurowano (wartość domyślna) — klient powraca do wartości domyślnej, czyli włączenia zapory.
    • Prawda — Zapora systemu Windows dla typu sieci domeny jest włączona i wymuszana.
    • Fałsz — wyłącz zaporę.

    Po ustawieniu wartości True można skonfigurować następujące ustawienia dla tego typu profilu zapory:

    • Zezwalaj na scalanie lokalnych zasad ipsec (urządzenie)
      Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False — reguły zabezpieczeń połączeń z magazynu lokalnego są ignorowane i nie są wymuszane.

    • Zezwalaj na scalanie zasad lokalnych (urządzenie)
      Zasady zabezpieczeń zawartości: AllowLocalPolicyMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • Fałsz — reguły zapory z magazynu lokalnego są ignorowane i nie są wymuszane.

    • Aplikacje uwierzytelniania zezwalają na scalanie wstępne użytkownika (urządzenie)
      Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False

    • Domyślna akcja ruchu przychodzącego dla profilu domeny (urządzenie)
      Zasady zabezpieczeń zawartości: DefaultInboundAction

      • Nie skonfigurowano (wartość domyślna)
      • Zezwalaj
      • Blokuj

    • Domyślna akcja wychodząca (urządzenie)
      Dostawca usług kryptograficznych: DefaultOutboundAction

      • Zezwalaj
      • Blokuj

    • Wyłącz powiadomienia przychodzące (urządzenie)
      Zasady zabezpieczeń zawartości: DisableInboundNotifications

      • Nie skonfigurowano (wartość domyślna)
      • Prawda — zapora nie będzie wyświetlać powiadomienia użytkownikowi, gdy aplikacja nie będzie nasłuchiwać na porcie.
      • False — zapora może wyświetlać użytkownikowi powiadomienie, gdy aplikacja nie będzie nasłuchiwać na porcie.

    • Wyłącz tryb niewidzialności (urządzenie)
      Zasady zabezpieczeń zawartości: DisableStealthMode

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False — serwer działa w trybie niewidzialności. Reguły zapory używane do wymuszania trybu niewidzialności są specyficzne dla implementacji.

    • Wyłącz odpowiedzi emisji pojedynczej na emisję multiemisji (urządzenie)
      Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcast

      • Nie skonfigurowano (wartość domyślna)
      • Prawda — odpowiedź emisji pojedynczej na ruch multiemisji jest zablokowana.
      • False

    • Porty globalne zezwalają na scalanie wstępne użytkownika (urządzenie)
      Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False — globalne reguły zapory portów w magazynie lokalnym są ignorowane i nie są wymuszane.

    • Chronione (urządzenie)
      Dostawca usług kryptograficznych: z osłoną

      • Nie skonfigurowano (wartość domyślna)
      • Prawda — serwer blokuje cały ruch przychodzący niezależnie od innych ustawień zasad.
      • False

Profil prywatny

  • Włączanie zapory sieci prywatnej (urządzenie)
    Zasady zabezpieczeń zawartości: EnableFirewall

    • Nie skonfigurowano (wartość domyślna) — klient powraca do wartości domyślnej, czyli włączenia zapory.
    • Prawda — Zapora systemu Windows dla typu sieci prywatnej jest włączona i wymuszana.
    • Fałsz — wyłącz zaporę.

    Po ustawieniu wartości True można skonfigurować następujące ustawienia dla tego typu profilu zapory:

    • Zezwalaj na scalanie lokalnych zasad ipsec (urządzenie)
      Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False — reguły zabezpieczeń połączeń z magazynu lokalnego są ignorowane i nie są wymuszane.

    • Zezwalaj na scalanie zasad lokalnych (urządzenie)
      Zasady zabezpieczeń zawartości: AllowLocalPolicyMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • Fałsz — reguły zapory z magazynu lokalnego są ignorowane i nie są wymuszane.

    • Aplikacje uwierzytelniania zezwalają na scalanie wstępne użytkownika (urządzenie)
      Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False

    • Domyślna akcja ruchu przychodzącego dla profilu prywatnego (urządzenie)
      Zasady zabezpieczeń zawartości: DefaultInboundAction

      • Nie skonfigurowano (wartość domyślna)
      • Zezwalaj
      • Blokuj

    • Domyślna akcja wychodząca (urządzenie)
      Dostawca usług kryptograficznych: DefaultOutboundAction

      • Zezwalaj
      • Blokuj

    • Wyłącz powiadomienia przychodzące (urządzenie)
      Zasady zabezpieczeń zawartości: DisableInboundNotifications

      • Nie skonfigurowano (wartość domyślna)
      • Prawda — zapora nie będzie wyświetlać powiadomienia użytkownikowi, gdy aplikacja nie będzie nasłuchiwać na porcie.
      • False — zapora może wyświetlać użytkownikowi powiadomienie, gdy aplikacja nie będzie nasłuchiwać na porcie.

    • Wyłącz tryb niewidzialności (urządzenie)
      Zasady zabezpieczeń zawartości: DisableStealthMode

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False — serwer działa w trybie niewidzialności. Reguły zapory używane do wymuszania trybu niewidzialności są specyficzne dla implementacji.

    • Wyłącz odpowiedzi emisji pojedynczej na emisję multiemisji (urządzenie)
      Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcast

      • Nie skonfigurowano (wartość domyślna)
      • Prawda — odpowiedź emisji pojedynczej na ruch multiemisji jest zablokowana.
      • False

    • Porty globalne zezwalają na scalanie wstępne użytkownika (urządzenie)
      Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False — globalne reguły zapory portów w magazynie lokalnym są ignorowane i nie są wymuszane.

    • Chronione (urządzenie)
      Dostawca usług kryptograficznych: z osłoną

      • Nie skonfigurowano (wartość domyślna)
      • Prawda — serwer blokuje cały ruch przychodzący niezależnie od innych ustawień zasad.
      • False

Profil publiczny

  • Włączanie zapory sieci publicznej (urządzenie)
    Zasady zabezpieczeń zawartości: EnableFirewall

    • Nie skonfigurowano (wartość domyślna) — klient powraca do wartości domyślnej, czyli włączenia zapory.
    • Prawda — Zapora systemu Windows dla typu sieci publicznego jest włączona i wymuszana.
    • Fałsz — wyłącz zaporę.

    Po ustawieniu wartości True można skonfigurować następujące ustawienia dla tego typu profilu zapory:

    • Zezwalaj na scalanie lokalnych zasad ipsec (urządzenie)
      Zasady zabezpieczeń zawartości: AllowLocalIpsecPolicyMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False — reguły zabezpieczeń połączeń z magazynu lokalnego są ignorowane i nie są wymuszane.

    • Zezwalaj na scalanie zasad lokalnych (urządzenie)
      Zasady zabezpieczeń zawartości: AllowLocalPolicyMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • Fałsz — reguły zapory z magazynu lokalnego są ignorowane i nie są wymuszane.

    • Aplikacje uwierzytelniania zezwalają na scalanie wstępne użytkownika (urządzenie)
      Zasady zabezpieczeń zawartości: AuthAppsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False

    • Domyślna akcja ruchu przychodzącego dla profilu publicznego (urządzenie)
      Zasady zabezpieczeń zawartości: DefaultInboundAction

      • Nie skonfigurowano (wartość domyślna)
      • Zezwalaj
      • Blokuj

    • Domyślna akcja wychodząca (urządzenie)
      Dostawca usług kryptograficznych: DefaultOutboundAction

      • Zezwalaj
      • Blokuj

    • Wyłącz powiadomienia przychodzące (urządzenie)
      Zasady zabezpieczeń zawartości: DisableInboundNotifications

      • Nie skonfigurowano (wartość domyślna)
      • Prawda — zapora nie będzie wyświetlać powiadomienia użytkownikowi, gdy aplikacja nie będzie nasłuchiwać na porcie.
      • False — zapora może wyświetlać użytkownikowi powiadomienie, gdy aplikacja nie będzie nasłuchiwać na porcie.

    • Wyłącz tryb niewidzialności (urządzenie)
      Zasady zabezpieczeń zawartości: DisableStealthMode

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False — serwer działa w trybie niewidzialności. Reguły zapory używane do wymuszania trybu niewidzialności są specyficzne dla implementacji.

    • Wyłącz odpowiedzi emisji pojedynczej na emisję multiemisji (urządzenie)
      Zasady zabezpieczeń zawartości: DisableUnicastResponsesToMulticastBroadcast

      • Nie skonfigurowano (wartość domyślna)
      • Prawda — odpowiedź emisji pojedynczej na ruch multiemisji jest zablokowana.
      • False

    • Porty globalne zezwalają na scalanie wstępne użytkownika (urządzenie)
      Zasady zabezpieczeń zawartości: GlobalPortsAllowUserPrefMerge

      • Nie skonfigurowano (wartość domyślna)
      • True
      • False — globalne reguły zapory portów w magazynie lokalnym są ignorowane i nie są wymuszane.

    • Chronione (urządzenie)
      Dostawca usług kryptograficznych: z osłoną

      • Nie skonfigurowano (wartość domyślna)
      • Prawda — serwer blokuje cały ruch przychodzący niezależnie od innych ustawień zasad.
      • False

Następne kroki

Zasady zabezpieczeń punktu końcowego dla zapór