Intune 中端點安全性的防火牆原則設定
檢視您可以在 Intune 端點安全性節點的 防火牆 原則配置檔中設定的設定,作為 端點安全策略的一部分。
適用於:
- macOS
- Windows 10
- Windows 11
注意事項
從 2022 年 4 月 5 日開始,Windows 10 和更新版本平臺的防火牆配置檔已由 Windows 10、Windows 11 和 Windows Server 平臺以及這些相同配置檔的新實例所取代。 在該日期之後建立的配置檔會使用 [設定目錄] 中找到的新設定格式。 透過這項變更,您就無法再建立舊配置檔的新版本,也無法再進行開發。 雖然您無法再建立舊版配置檔的新實例,但您可以繼續編輯並使用您先前建立的檔案實例。
針對使用新設定格式的配置檔,Intune 不再依名稱維護每個設定的清單。 相反地,每個設定的名稱、其組態選項,以及您在 Microsoft Intune 系統管理中心看到的說明文字,都會直接從設定授權內容取得。 該內容可以提供有關在其適當內容中使用設定的詳細資訊。 檢視設定資訊文字時,您可以使用其 [ 深入瞭解] 鏈接來開啟該內容。
本文中 Windows 設定檔的設定詳細資料適用於已淘汰的配置檔。
支援的平台與設定檔:
macOS:
- 配置檔: macOS 防火牆
Windows 10 及更新版本:
- 配置檔: Windows 防火牆
macOS 防火牆配置檔
防火牆
下列設定設定 為macOS防火牆的端點安全策略
啟用防火牆
- 未設定 默 認 ()
- 是 - 啟用防火牆。
當設定為 [是] 時,您可以設定下列設定。
封鎖所有連入連線
- 未設定 默 認 ()
- 是 - 封鎖所有連入連線,但基本因特網服務所需的連線除外,例如 DHCP、Bonjour 和 IPSec。 這會封鎖所有共享服務。
啟用隱形模式
- 未設定 默 認 ()
- 是 - 防止計算機回應探查要求。 計算機仍會回答授權應用程式的傳入要求。
防火牆應用程式 展開下拉式清單,然後選取 [新增 ],然後針對應用程式的連入連線指定應用程式和規則。
允許連入連線
- 尚未設定
- 封鎖
- 允許
套件組合識別 碼 - 識別碼可識別應用程式。 例如: com.apple.app
Windows 防火牆配置檔
Windows 防火牆
下列設定會設定 為 Windows 防火牆的端點安全策略。
具狀態檔傳輸通訊協定 (FTP)
CSP: MdmStore/Global/DisableStatefulFtp- 未設定 默 認 ()
- 允許 - 防火牆會執行具狀態檔傳輸通訊協定 (FTP) 篩選以允許次要連線。
- 已停用 - 已停用具狀態 FTP。
安全性關聯在刪除前可以閑置的秒數
CSP: MdmStore/Global/SaIdleTime指定介於 300 到 3600 之間的秒數時間,以瞭解在看不到網路流量之後,安全性關聯的保留時間長度。
如果您未指定任何值,系統會在閑置 300 秒之後刪除安全性關聯。
預先共用的金鑰編碼
CSP: MdmStore/Global/PresharedKeyEncoding如果您不需要 UTF-8,則預先共用的金鑰一開始會使用UTF-8進行編碼。 之後,裝置使用者可以選擇另一個編碼方法。
- 未設定 默 認 ()
- 無
- UTF-8
防火牆 IP 沒有豁免秒
未設定 (預設) - 未設定時,您可以存取可個別設定的下列 IP 秒豁免設定。
是 - 關閉所有防火牆 IP 秒豁免。 下列設定無法進行設定。
防火牆 IP 秒豁免允許芳鄰探索
CSP: MdmStore/Global/IPsecExempt- 未設定 默 認 ()
- 是 - 防火牆 IPsec 豁免允許芳鄰探索。
防火牆 IP 秒豁免允許 ICMP
CSP: MdmStore/Global/IPsecExempt- 未設定 默 認 ()
- 是 - 防火牆 IPsec 豁免允許 ICMP。
防火牆 IP 秒豁免允許路由器探索
CSP: MdmStore/Global/IPsecExempt- 未設定 默 認 ()
- 是 -防火牆 IPsec 豁免允許路由器探索。
防火牆 IP 秒豁免允許 DHCP
CSP: MdmStore/Global/IPsecExempt- 未設定 默 認 ()
- 是 -防火牆 IP 秒豁免允許 DHCP
CRL) 驗證 (證書吊銷清單
CSP: MdmStore/Global/CRLcheck指定如何強制執行 CRL) 驗證 (證書吊銷清單。
- 未設定 (預設) - 使用用戶端預設值,也就是停用 CRL 驗證。
- 無
- 嘗試
- 需要
要求金鑰模組只忽略不支援的驗證套件
CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM- 未設定 默 認 ()
- Disabled
- 已啟用 - 金鑰處理模組會忽略不支援的驗證套件。
封包佇列
CSP: MdmStore/Global/EnablePacketQueue針對 IPsec 通道閘道閘道的加密接收和純文字轉寄,指定如何在接收端啟用軟體的調整。 這可確保保留封包順序。
- 未設定 (預設) - 封包佇列會傳回至停用的客戶端預設值。
- Disabled
- 佇列輸入
- 佇列輸出
- 將兩者排入佇列
開啟網域網路的 Windows 防火牆
CSP: EnableFirewall- 未設定 (預設) - 用戶端會回到其預設值,也就是啟用防火牆。
- 是 - 已開啟並強制執行網 域 網路類型的 Windows 防火牆。 您也可以存取此網路的其他設定。
- 否 - 停用防火牆。
設定為 [ 是] 時,此網络的其他設定:
封鎖隱形模式
CSP: DisableStealthMode根據預設,會在裝置上啟用隱形模式。 它有助於防止惡意使用者探索網路裝置及其執行服務的相關信息。 停用隱形模式可能會使裝置容易遭受攻擊。
- 沒有設定 預設 ()
- 是
- 否
啟用受防護模式
CSP: 受防護- 未設定 (預設) - 使用用戶端預設值,也就是停用受防護模式。
- 是 - 機器會進入 受防護模式,這會將其與網路隔離。 所有流量都會遭到封鎖。
- 否
封鎖多播廣播的單播回應
CSP: DisableUnicastResponsesToMulticastBroadcast- 未設定 (預設) - 設定會回到客戶端預設值,也就是允許單播回應。
- 是 - 封鎖多播廣播的單播回應。
- 否 - 強制執行客戶端預設值,也就是允許單播回應。
停用輸入通知
CSP DisableInboundNotifications- 未設定 (預設) - 設定會回到客戶端預設值,也就是允許使用者通知。
- 是 - 當輸入規則封鎖應用程式時,會隱藏使用者通知。
- 否 - 允許使用者通知。
封鎖輸出連線
此設定適用於 Windows 1809 版和更新版本。 CSP: DefaultOutboundAction
此規則會在規則清單的結尾進行評估。
- 未設定 (預設) - 設定會回到客戶端預設值,也就是允許連線。
- 是 - 所有不符合輸出規則的輸出連線都會遭到封鎖。
- 否 - 允許所有不符合輸出規則的連線。
封鎖輸入連線
CSP: DefaultInboundAction此規則會在規則清單的結尾進行評估。
- 未設定 (預設) - 此設定會回到客戶端預設值,也就是封鎖連線。
- 是 - 所有不符合輸入規則的輸入連線都會遭到封鎖。
- 否 - 允許所有不符合輸入規則的連線。
忽略授權的應用程式防火牆規則
CSP: AuthAppsAllowUserPrefMerge- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 -忽略本地存儲中已授權的應用程式防火牆規則。
- 否 - 接受授權的應用程式防火牆規則。
忽略全域埠防火牆規則
CSP: GlobalPortsAllowUserPrefMerge- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 - 會忽略本地存儲中的全域埠防火牆規則。
- 否 - 接受全域埠防火牆規則。
忽略所有本機防火牆規則
CSP: IPsecExempt- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 - 會忽略本地存儲中的所有防火牆規則。
- 否 - 接受本地存儲中的防火牆規則。
忽略連線安全性規則 CSP: AllowLocalIpsecPolicyMerge
- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 -忽略本地存儲中的 IPsec 防火牆規則。
- 否 - 接受本地存儲中的 IPsec 防火牆規則。
開啟專用網的 Windows 防火牆
CSP: EnableFirewall- 未設定 (預設) - 用戶端會回到其預設值,也就是啟用防火牆。
- 是 - 已開啟並強制執行 私人 網路類型的 Windows 防火牆。 您也可以存取此網路的其他設定。
- 否 - 停用防火牆。
設定為 [ 是] 時,此網络的其他設定:
封鎖隱形模式
CSP: DisableStealthMode根據預設,會在裝置上啟用隱形模式。 它有助於防止惡意使用者探索網路裝置及其執行服務的相關信息。 停用隱形模式可能會使裝置容易遭受攻擊。
- 沒有設定 預設 ()
- 是
- 否
啟用受防護模式
CSP: 受防護- 未設定 (預設) - 使用用戶端預設值,也就是停用受防護模式。
- 是 - 機器會進入 受防護模式,這會將其與網路隔離。 所有流量都會遭到封鎖。
- 否
封鎖多播廣播的單播回應
CSP: DisableUnicastResponsesToMulticastBroadcast- 未設定 (預設) - 設定會回到客戶端預設值,也就是允許單播回應。
- 是 - 封鎖多播廣播的單播回應。
- 否 - 強制執行客戶端預設值,也就是允許單播回應。
停用輸入通知
CSP DisableInboundNotifications- 未設定 (預設) - 設定會回到客戶端預設值,也就是允許使用者通知。
- 是 - 當輸入規則封鎖應用程式時,會隱藏使用者通知。
- 否 - 允許使用者通知。
封鎖輸出連線
此設定適用於 Windows 1809 版和更新版本。 CSP: DefaultOutboundAction
此規則會在規則清單的結尾進行評估。
- 未設定 (預設) - 設定會回到客戶端預設值,也就是允許連線。
- 是 - 所有不符合輸出規則的輸出連線都會遭到封鎖。
- 否 - 允許所有不符合輸出規則的連線。
封鎖輸入連線
CSP: DefaultInboundAction此規則會在規則清單的結尾進行評估。
- 未設定 (預設) - 此設定會回到客戶端預設值,也就是封鎖連線。
- 是 - 所有不符合輸入規則的輸入連線都會遭到封鎖。
- 否 - 允許所有不符合輸入規則的連線。
忽略授權的應用程式防火牆規則
CSP: AuthAppsAllowUserPrefMerge- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 -忽略本地存儲中已授權的應用程式防火牆規則。
- 否 - 接受授權的應用程式防火牆規則。
忽略全域埠防火牆規則
CSP: GlobalPortsAllowUserPrefMerge- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 - 會忽略本地存儲中的全域埠防火牆規則。
- 否 - 接受全域埠防火牆規則。
忽略所有本機防火牆規則
CSP: IPsecExempt- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 - 會忽略本地存儲中的所有防火牆規則。
- 否 - 接受本地存儲中的防火牆規則。
忽略連線安全性規則 CSP: AllowLocalIpsecPolicyMerge
- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 -忽略本地存儲中的 IPsec 防火牆規則。
- 否 - 接受本地存儲中的 IPsec 防火牆規則。
開啟公用網路的 Windows 防火牆
CSP: EnableFirewall- 未設定 (預設) - 用戶端會回到其預設值,也就是啟用防火牆。
- 是 - 已開啟並強制執行 公 用網路類型的 Windows 防火牆。 您也可以存取此網路的其他設定。
- 否 - 停用防火牆。
設定為 [ 是] 時,此網络的其他設定:
封鎖隱形模式
CSP: DisableStealthMode根據預設,會在裝置上啟用隱形模式。 它有助於防止惡意使用者探索網路裝置及其執行服務的相關信息。 停用隱形模式可能會使裝置容易遭受攻擊。
- 沒有設定 預設 ()
- 是
- 否
啟用受防護模式
CSP: 受防護- 未設定 (預設) - 使用用戶端預設值,也就是停用受防護模式。
- 是 - 機器會進入 受防護模式,這會將其與網路隔離。 所有流量都會遭到封鎖。
- 否
封鎖多播廣播的單播回應
CSP: DisableUnicastResponsesToMulticastBroadcast- 未設定 (預設) - 設定會回到客戶端預設值,也就是允許單播回應。
- 是 - 封鎖多播廣播的單播回應。
- 否 - 強制執行客戶端預設值,也就是允許單播回應。
停用輸入通知
CSP DisableInboundNotifications- 未設定 (預設) - 設定會回到客戶端預設值,也就是允許使用者通知。
- 是 - 當輸入規則封鎖應用程式時,會隱藏使用者通知。
- 否 - 允許使用者通知。
封鎖輸出連線
此設定適用於 Windows 1809 版和更新版本。 CSP: DefaultOutboundAction
此規則會在規則清單的結尾進行評估。
- 未設定 (預設) - 設定會回到客戶端預設值,也就是允許連線。
- 是 - 所有不符合輸出規則的輸出連線都會遭到封鎖。
- 否 - 允許所有不符合輸出規則的連線。
封鎖輸入連線
CSP: DefaultInboundAction此規則會在規則清單的結尾進行評估。
- 未設定 (預設) - 此設定會回到客戶端預設值,也就是封鎖連線。
- 是 - 所有不符合輸入規則的輸入連線都會遭到封鎖。
- 否 - 允許所有不符合輸入規則的連線。
忽略授權的應用程式防火牆規則
CSP: AuthAppsAllowUserPrefMerge- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 -忽略本地存儲中已授權的應用程式防火牆規則。
- 否 - 接受授權的應用程式防火牆規則。
忽略全域埠防火牆規則
CSP: GlobalPortsAllowUserPrefMerge- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 - 會忽略本地存儲中的全域埠防火牆規則。
- 否 - 接受全域埠防火牆規則。
忽略所有本機防火牆規則
CSP: IPsecExempt- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 - 會忽略本地存儲中的所有防火牆規則。
- 否 - 接受本地存儲中的防火牆規則。
忽略連線安全性規則 CSP: AllowLocalIpsecPolicyMerge
- 未設定 (預設) - 設定會回到客戶端預設值,也就是接受本機規則。
- 是 -忽略本地存儲中的 IPsec 防火牆規則。
- 否 - 接受本地存儲中的 IPsec 防火牆規則。
Windows 防火牆規則
此配置檔處於預覽狀態。
下列設定會設定 為 Windows 防火牆的端點安全策略。
Windows 防火牆規則
名稱
指定規則的易記名稱。 此名稱會出現在規則清單中,以協助您識別它。描述
提供規則的描述。方向
- 未設定 (預設) - 此規則預設為輸出流量。
- Out - 此規則適用於輸出流量。
- In - 此規則適用於輸入流量。
動作
- 未設定 (預設) - 規則預設為允許流量。
- 已封鎖 - 流量會以您已設定 的方向 封鎖。
- 允許 - 您已設定 的方向 允許流量。
網路類型
指定規則所屬的網路類型。 您可以選擇下列一或多個專案。 如果您未選取選項,此規則會套用至所有網路類型。- 網域
- Private
- Public
- 未設定
應用程式設定
以此規則為目標的應用程式:
套件系列名稱
Get-AppxPackage您可以從 PowerShell 執行 Get-AppxPackage 命令來擷取套件系列名稱。
檔案路徑
CSP: FirewallRules/FirewallRuleName/App/FilePath若要指定應用程式的檔案路徑,請輸入用戶端裝置上的應用程式位置。 例如:
C:\Windows\System\Notepad.exe服務名稱
FirewallRules/FirewallRuleName/App/ServiceName當服務不是應用程式正在傳送或接收流量時,請使用 Windows 服務簡短名稱。 從 PowerShell 執行 命令可擷取
Get-Service服務簡短名稱。
埠和通訊協議設定
指定套用此規則的本機和遠端埠:
Protocol (通訊協定)
CSP: FirewallRules/FirewallRuleName/Protocol指定此埠規則的通訊協定。
- TCP (6) 和 UDP (17 等傳輸層通訊協定) 可讓您指定埠或埠範圍。
- 針對自定義通訊協議,輸入介於 0 和 255 之間的數位,代表 IP 通訊協定。
- 未指定任何專案時,規則會預設為 Any。
介面類型
指定規則所屬的介面類型。 您可以選擇下列一或多個專案。 如果您未選取選項,此規則會套用至所有介面類型:- 遠端存取
- 無線
- 局域網路
- 未設定
- 行動寬頻 - 此選項會取代行動寬頻先前專案的使用,該專案已被取代且不再支援。
- [不支援] 行動寬带 - 請勿使用此選項,這是原始的行動寬带選項。 此選項已無法正常運作。 將此選項的使用取代為較新版本的行動 寬頻。
授權的使用者
FirewallRules/FirewallRuleName/LocalUserAuthorizationList為此規則指定授權的本機用戶清單。 如果此原則中的 服務名稱 設定為 Windows 服務,則無法指定授權使用者的清單。 如果未指定授權的使用者,則預設值為 所有使用者。
IP 位址設定
指定套用此規則的本機和遠端位址:
任何本機位址
未設定 (預設) - 使用下列設定 [ 本機位址範圍] * 來設定要支援的位址範圍。- 是 - 支援任何本機位址,但不設定位址範圍。
本機位址範圍
CSP: FirewallRules/FirewallRuleName/LocalAddressRanges管理此規則的本機位址範圍。 您可以:
- 將 一或多個位址新增為規則所涵蓋的本機位址逗號分隔清單。
- 匯 入 .csv 檔案,其中包含要當做本機位址範圍使用的位址清單。
- 將 目前的本機位址範圍清單匯出為 .csv 檔案。
權杖 (的有效專案) 包含下列選項:
- 星號 - 星號 (*) 表示任何本機位址。 如果存在,星號必須是唯一包含的令牌。
- 子網 - 使用子網掩碼或網路前綴表示法來指定子網。 如果未指定子網掩碼或網路前綴,則子網掩碼預設為 255.255.255.255。
- 有效的 IPv6 位址
- IPv4 位址範圍 - IPv4 範圍的格式必須是 起始位址 - 不含空格的結束位址,其中起始位址小於結束位址。
- IPv6 位址範圍 - IPv6 範圍的格式必須是 起始位址 - 不含空格的結束位址,其中起始位址小於結束位址。
未指定任何值時,此設定預設為使用 [任何位址]。
任何遠端位址
未設定 (預設) - 使用下列設定[ 遠端位址範圍] * 來設定要支援的位址範圍。- 是 - 支援任何遠端位址,但不設定位址範圍。
遠端位址範圍
CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges管理此規則的遠端位址範圍。 您可以:
- 將 一或多個位址新增為規則所涵蓋遠端位址的逗號分隔清單。
- 匯 入 .csv 檔案,其中包含要作為遠端位址範圍使用的位址清單。
- 將 目前的遠端位址範圍清單匯出為 .csv 檔案。
令牌 (的有效專案) 包含下列專案,且不區分大小寫:
- 星號 - 星號 (*) 表示任何遠端位址。 如果存在,星號必須是唯一包含的令牌。
- Defaultgateway
- Dhcp
- DNS
- 贏
- 內部網路 - 在執行 Windows 1809 或更新版本的裝置上支援。
- RmtIntranet - 在執行 Windows 1809 或更新版本的裝置上支援。
- Ply2Renders - 在執行 Windows 1809 或更新版本的裝置上支援。
- LocalSubnet - 指出本機子網上的任何本機位址。
- 子網 - 使用子網掩碼或網路前綴表示法來指定子網。 如果未指定子網掩碼或網路前綴,則子網掩碼預設為 255.255.255.255。
- 有效的 IPv6 位址
- IPv4 位址範圍 - IPv4 範圍的格式必須是 起始位址 - 不含空格的結束位址,其中起始位址小於結束位址。
- IPv6 位址範圍 - IPv6 範圍的格式必須是 起始位址 - 不含空格的結束位址,其中起始位址小於結束位址。
未指定任何值時,此設定預設為使用 [任何位址]。
後續步驟
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: