防火牆設定服務提供者 (雲端解決方案提供者)

下表顯示Windows的適用性:

版本 Windows 10 Windows 11
Home
專業版
商務
企業
教育版

防火牆設定服務提供者 (雲端解決方案提供者) 可讓行動裝置管理 (MDM) 伺服器設定Windows Defender 防火牆全域設定、每個設定檔設定,以及要在裝置上強制執行的自訂規則集。 使用防火牆雲端解決方案提供者 IT 系統管理員現在可以管理非網域裝置,並降低連線到公司網路的所有系統之間網路安全性威脅的風險。 此雲端解決方案提供者Windows 10 1709 版新增。

防火牆設定服務提供者 (雲端解決方案提供者) 可讓行動裝置管理 (MDM) 伺服器設定Windows Defender 防火牆全域設定、每個設定檔設定,以及要在裝置上強制執行的自訂規則集。 使用防火牆雲端解決方案提供者 IT 系統管理員現在可以管理非網域裝置,並降低連線到公司網路的所有系統之間網路安全性威脅的風險。 此雲端解決方案提供者Windows 10 1709 版新增。

FirewallRules 區段中的防火牆規則必須以個別或統一的方式包裝在 SyncML 中的 Atomic 區塊中。

如需下列部分欄位的詳細資訊,請 參閱 [MS-FASP]:防火牆和進階安全性通訊協定檔

下列範例顯示樹狀結構格式的防火牆設定服務提供者。

./Vendor/MSFT
Firewall
----
--------Global
------------PolicyVersionSupported
------------CurrentProfiles
------------DisableStatefulFtp
------------SaIdleTime
------------PresharedKeyEncoding
------------IPsecExempt
------------CRLcheck
------------PolicyVersion
------------BinaryVersionSupported
------------OpportunisticallyMatchAuthSetPerKM
------------EnablePacketQueue
--------DomainProfile
------------EnableFirewall
------------DisableStealthMode
------------Shielded
------------DisableUnicastResponsesToMulticastBroadcast
------------DisableInboundNotifications
------------AuthAppsAllowUserPrefMerge
------------GlobalPortsAllowUserPrefMerge
------------AllowLocalPolicyMerge
------------AllowLocalIpsecPolicyMerge
------------DefaultOutboundAction
------------DefaultInboundAction
------------DisableStealthModeIpsecSecuredPacketExemption
--------PrivateProfile
------------EnableFirewall
------------DisableStealthMode
------------Shielded
------------DisableUnicastResponsesToMulticastBroadcast
------------DisableInboundNotifications
------------AuthAppsAllowUserPrefMerge
------------GlobalPortsAllowUserPrefMerge
------------AllowLocalPolicyMerge
------------AllowLocalIpsecPolicyMerge
------------DefaultOutboundAction
------------DefaultInboundAction
------------DisableStealthModeIpsecSecuredPacketExemption
--------PublicProfile
------------EnableFirewall
------------DisableStealthMode
------------Shielded
------------DisableUnicastResponsesToMulticastBroadcast
------------DisableInboundNotifications
------------AuthAppsAllowUserPrefMerge
------------GlobalPortsAllowUserPrefMerge
------------AllowLocalPolicyMerge
------------AllowLocalIpsecPolicyMerge
------------DefaultOutboundAction
------------DefaultInboundAction
------------DisableStealthModeIpsecSecuredPacketExemption
--------FirewallRules
------------FirewallRuleName
----------------App
--------------------PackageFamilyName
--------------------FilePath
--------------------Fqbn
--------------------ServiceName
----------------Protocol
----------------LocalPortRanges
----------------RemotePortRanges
----------------LocalAddressRanges
----------------RemoteAddressRanges
----------------Description
----------------Enabled
----------------Profiles
----------------Action
--------------------Type
----------------Direction
----------------InterfaceTypes
----------------EdgeTraversal
----------------LocalUserAuthorizationList
----------------FriendlyName
----------------Status
----------------Name

./Vendor/MSFT/Firewall 防火牆設定服務提供者的根節點。

MdmStore 內部節點。 支援的操作為 [取得]。

MdmStore/Global 內部節點。 支援的作業為 Get。

MdmStore/Global/PolicyVersionSupported 包含伺服器主機可接受之最大原則版本的整數值。 版本號碼的大小為兩個八位。 最低順序八位是次要版本;第二到最低八位是主要版本。 此值不會合並,而且一律是特定防火牆和進階安全性元件軟體組建的固定值。 整數的實數值型別。 支援的操作為 [取得]。

MdmStore/Global/CurrentProfiles 整數值,包含伺服器防火牆主機所維護之目前強制執行設定檔的位元遮罩。 如需 用來識別配置檔案類型的位掩FW_PROFILE_TYPE,請參閱 。 此值僅適用于動態存放區;因此,它不會合並,也沒有合併法則。 整數的實數值型別。 支援的操作為 [取得]。

MdmStore/Global/DisableStatefulFtp 布林值。 如果為 false,防火牆會執行具狀態檔案傳輸通訊協定 (FTP) 篩選以允許次要連線。 True 表示停用具狀態 FTP。 此選項的合併法則是讓 「true」 值獲勝。 預設值為 false。

資料類型為 bool。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

MdmStore/Global/SaIdleTime 此值會以秒為單位設定安全性關聯閒置時間。 在這段指定期間內看不到網路流量之後,就會刪除安全性關聯。 值為整數,且必須介於 300 到 3,600 的內含範圍內。 此選項的合併法則是讓 GroupPolicyRSoPStore 的值在已設定時獲勝;否則,請使用本機存放區值。 預設值為 300。 值類型為整數。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

MdmStore/Global/PresharedKeyEncoding 指定所使用的預先共用金鑰編碼方式。 值為整數,而且必須是來自 PRESHARED_KEY_ENCODING_VALUES列舉 的有效值。 此選項的合併法則是讓 GroupPolicyRSoPStore 的值在已設定時獲勝;否則,請使用本機存放區值。 預設值為 1。 值類型為整數。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

MdmStore/Global/IPsecExempt 此值會設定 IPsec 例外狀況。 此值為整數,而且必須是IPSEC_EXEMPT_VALUES 中 定義的有效旗標的組合;因此,對於支援架構版本 0x0201 的伺服器而言,最大值必須一律IPSEC_EXEMPT_MAX-1,而支援架構版本的伺服器必須是 IPSEC_EXEMPT_MAX_V2_0-1 0x0200。 如果呼叫 Opnum 4 RRPC_FWSetGlobalConfig (方法時超過最大值) ,則方法會傳回 ERROR_INVALID_PARAMETER。 如果未探索到其他先前的錯誤,則會傳回此錯誤碼。 此選項的合併法則是讓 GroupPolicyRSoPStore 的值在已設定時獲勝;否則,請使用本機存放區值。 預設值為 0。 值類型為整數。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

MdmStore/Global/CRLcheck 此值會指定如何強制執行 CRL) 驗證 (憑證撤銷清單。 值為整數,且必須為 0、1 或 2。 此選項的合併法則是讓 GroupPolicyRSoPStore 的值在已設定時獲勝;否則,請使用本機存放區值。 有效值:

  • 0 會停用 CRL 檢查
  • 1 指定嘗試進行 CRL 檢查,而且只有在憑證被撤銷時,憑證驗證才會失敗。 在 CRL 檢查期間遇到的其他失敗 (例如無法連線的撤銷 URL) 不會導致憑證驗證失敗。
  • 2 表示需要檢查,如果 CRL 處理期間發生任何錯誤,憑證驗證就會失敗

預設值為 0。 值類型為整數。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

MdmStore/Global/PolicyVersion 此值包含受管理之原則存放區的原則版本。 這個值不會合並,因此沒有合併法則。 值類型為字串。 支援的操作為 [取得]。

MdmStore/Global/BinaryVersionSupported 這個值包含伺服器所支援之結構和資料類型的二進位版本。 此值不會合並。 此外,此值一律是特定防火牆和進階安全性元件'軟體組建的固定值。 此值會識別只有架構版本為 0x0201 的伺服器才支援的原則設定選項。 值類型為字串。 支援的操作為 [取得]。

MdmStore/Global/OpportunisticallyMatchAuthSetPerKM 這個值是布林值,用來做為開啟/關閉開關。 當此選項為 false (關閉) 時,如果金鑰模組不支援集合中指定的所有驗證套件,則必須忽略整個驗證集。 當此選項在) 上 (為 true 時,金鑰模組必須只忽略它們不支援的驗證套件。 針對0x0200、0x0201和 0x020A 的架構版本,此值無效且「不得」使用。 布林值。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

MdmStore/Global/EnablePacketQueue 此值會指定如何針對 IPsec 通道閘道案例的加密接收和純文字轉送路徑,啟用接收端軟體的調整。 使用此選項也可確保保留封包順序。 此選項值的資料類型為整數,且為旗標的組合。 有效值:

  • 0x00表示要停用所有佇列
  • 0x01指定要將輸入加密封包排入佇列
  • 0x02指定在執行解密以轉送之後將封包排入佇列

預設值為 0。

值類型為整數。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

MdmStore/DomainProfile 內部節點。 支援的操作為 [取得]。

MdmStore/PrivateProfile 內部節點。 支援的操作為 [取得]。

MdmStore/PublicProfile 內部節點。 支援的操作為 [取得]。

/EnableFirewall 防火牆和進階安全性強制執行的布林值。 如果此值為 false,則伺服器「不得」封鎖任何網路流量,而不論其他原則設定為何。 此選項的合併法則是讓 GroupPolicyRSoPStore 的值在已設定時獲勝;否則會使用本機存放區值。 預設值為 true。 實數值型別為 bool。 支援的作業為 [新增]、[取得] 和 [取代]。

/DisableStealthMode 布林值。 當此選項為 false 時,伺服器會以隱形模式運作。 用來強制執行隱形模式的防火牆規則是實作特定的。 此選項的合併法則是讓 GroupPolicyRSoPStore 的值在已設定時獲勝;否則會使用本機存放區值。 預設值為 false。 實數值型別為 bool。 支援的作業為 [新增]、[取得] 和 [取代]。

/Shielded 布林值。 如果此值為 true 且 EnableFirewall 已開啟,則伺服器必須封鎖所有連入流量,而不論其他原則設定為何。 此選項的合併法則是讓 「true」 值獲勝。 預設值為 false。

實數值型別為 bool。 支援的操作為 [取得] 及 [取代]。

/DisableUnicastResponsesToMulticastBroadcast 布林值。 如果為 true,則會封鎖多播廣播流量的單播回應。 此選項的合併法則是讓 GroupPolicyRSoPStore 的值在已設定時獲勝;否則會使用本機存放區值。 預設值為 false。 實數值型別為 bool。 支援的作業為 [新增]、[取得] 和 [取代]。

/DisableInboundNotifications 布林值。 如果此值為 false,防火牆可能會在封鎖應用程式接聽埠時向使用者顯示通知。 如果此值已開啟,防火牆「不得」顯示這類通知。 此選項的合併法則是讓 GroupPolicyRSoPStore 的值在已設定時獲勝;否則會使用本機存放區值。 預設值為 false。 實數值型別為 bool。 支援的作業為 [新增]、[取得] 和 [取代]。

/AuthAppsAllowUserPrefMerge 布林值。 如果此值為 false,則會忽略並不會強制執行本機存放區中已授權的應用程式防火牆規則。 此選項的合併法則是讓 GroupPolicyRSoPStore 的值在已設定時獲勝;否則會使用本機存放區值。 預設值為 true。 實數值型別為 bool。 支援的作業為 [新增]、[取得] 和 [取代]。

/GlobalPortsAllowUserPrefMerge 布林值。 如果此值為 false,則會忽略並不會強制執行本機存放區中的全域埠防火牆規則。 只有在設定或列舉于群組原則存放區中,或是從 GroupPolicyRSoPStore 列舉時,設定才有意義。 此選項的合併法則是讓值 GroupPolicyRSoPStore 在設定時獲勝;否則會使用本機存放區值。 預設值為 true。 實數值型別為 bool。 支援的作業為 [新增]、[取得] 和 [取代]。

/AllowLocalPolicyMerge 布林值。 如果此值為 false,則會忽略並不會強制執行來自本機存放區的防火牆規則。 此選項的合併法則是一律使用 GroupPolicyRSoPStore 的值。 此值適用于所有架構版本。 預設值為 true。

實數值型別為 bool。 支援的作業為 [新增]、[取得] 和 [取代]。

/AllowLocalIpsecPolicyMerge 布林值。 如果此值為 false,不論架構版本和連線安全性規則版本為何,都會忽略並不會強制執行來自本機存放區的連線安全性規則。 此選項的合併法則是一律使用 GroupPolicyRSoPStore 的值。 預設值為 true。

實數值型別為 bool。 支援的作業為 [新增]、[取得] 和 [取代]。

/DefaultOutboundAction 此值是防火牆預設會 (的動作,並在輸出連線的結尾) 進行評估。 此選項的合併法則是讓 GroupPolicyRSoPStore 的值在已設定時獲勝;否則會使用本機存放區值。 DefaultOutboundAction 會封鎖所有輸出流量,除非明確指定不要封鎖。

  • 0x00000000 - 允許
  • 0x00000001 - 區塊

預設值為 0 (允許) 。 值類型為整數。 支援的作業為 [新增]、[取得] 和 [取代]。

用來布建要評估之防火牆設定的範例 syncxml

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.1">
<SyncBody>
    <!-- Block Outbound by default -->
    <Add>
      <CmdID>2010</CmdID>
      <Item>
        <Target>
          <LocURI>./Vendor/MSFT/Firewall/MdmStore/DomainProfile/DefaultOutboundAction</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
        </Meta>
        <Data>1</Data>
      </Item>
    </Add>
<Final/>
</SyncBody>
</SyncML>

/DefaultInboundAction 此值是防火牆預設會 (的動作,並在輸入連線的結尾) 進行評估。 此選項的合併法則是,如果已設定 GroupPolicyRSoPStore.win 的值,則為 ;否則會使用本機存放區值。

  • 0x00000000 - 允許
  • 0x00000001 - 區塊

預設值為 1 (區塊) 。 值類型為整數。 支援的作業為 [新增]、[取得] 和 [取代]。

/DisableStealthModeIpsecSecuredPacketExemption 布林值。 如果 DisableStealthMode 為 true,則會忽略此選項。 否則,當此選項為 true 時,如果該流量受到 IPsec 保護,防火牆'的隱形模式規則「不得」會防止主機電腦回應未經要求的網路流量。 此選項的合併法則是讓 GroupPolicyRSoPStore 的值在已設定時獲勝;否則會使用本機存放區值。 針對0x0200、0x0201和 0x020A 的架構版本,此值無效且「不得」使用。 預設值為 true。 實數值型別為 bool。 支援的作業為 [新增]、[取得] 和 [取代]。

FirewallRules控制透過Windows防火牆流量的規則清單。 每個規則識別碼都是 OR'ed。 在每個規則識別碼內,每個篩選類型都是 AND'ed。

**FirewallRules/FirewallRuleName **規則的唯一 Alpha 數值識別碼。 規則名稱不得包含 /) (正斜線。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/App 控制應用程式、程式或服務連線的規則。 根據下列節點的交集指定:

  • PackageFamilyName
  • FilePath
  • FQBN
  • ServiceName

如果未指定,則預設值為 All。 支援的操作為 [取得]。

FirewallRules/FirewallRuleName/App/PackageFamilyName 此應用程式/識別碼值代表應用程式的 PackageFamilyName。 PackageFamilyName 是Microsoft Store應用程式的唯一名稱。 值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/App/FilePath 此應用程式/識別碼值代表應用程式的完整檔案路徑。 例如,C:\Windows\System\Notepad.exe。 值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/App/Fqbn 完整二進位名稱 數值型別為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/App/ServiceName 此參數是在服務不是應用程式正在傳送或接收流量時所使用的服務名稱。 值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/Protocol 0-255 number representing the ip protocol (TCP = 6, UDP = 17) 如果未指定,預設值為 All。 值類型為整數。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/LocalPortRanges 以逗號分隔的範圍清單。 例如,100-120,200,300-320。 如果未指定,則預設值為 All。 值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/RemotePortRanges 以逗號分隔的範圍清單,例如 100-120,200,300-320。 如果未指定,則預設值為 All。 值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/LocalAddressRanges 以逗號分隔的規則所涵蓋的本機地址清單。 預設值為 「*」。 有效的權杖包括:

  • 「*」 表示任何本機位址。 如果存在,本機位址必須是唯一包含的權杖。
  • 您可以使用子網路遮罩或網路前置詞標記法來指定子網。 如果未指定子網路遮罩或網路首碼,則子網路遮罩預設為 255.255.255.255。
  • 有效的 IPv6 位址。
  • IPv4 位址範圍,格式為起始位址 - 不含空格的 " 結束位址 " 。
  • IPv6 位址範圍,格式為起始位址 - 不含空格的 " 結束位址 " 。

如果未指定,則預設值為 All。 值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/RemoteAddressRanges 指定規則涵蓋之遠端位址的逗號分隔權杖清單。 預設值為 「*」。 有效的權杖包括:

  • 「*」 表示任何遠端位址。 如果存在,則位址必須是唯一包含的權杖。
  • "Defaultgateway"
  • "DHCP"
  • "DNS"
  • "贏"
  • "網"
  • "RmtIntranet"
  • "互聯網"
  • "Ply2Renders"
  • "LocalSubnet " 表示本機子網上的任何本機位址。 此權杖不區分大小寫。
  • 您可以使用子網路遮罩或網路前置詞標記法來指定子網。 如果未指定不是網路首碼的子網路遮罩,則子網路遮罩預設為 255.255.255.255。
  • 有效的 IPv6 位址。
  • IPv4 位址範圍,格式為起始位址 - 不含空格的 " 結束位址 " 。
  • IPv6 位址範圍,格式為起始位址 - 不含空格的 " 結束位址 " 。

如果未指定,則預設值為 All。 值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 Windows 10 版本 1809及更新版本支援 Intranet " 、RmtIntranet " 、 " Internet " 和 " Ply2Renders " 權杖 " " 。

FirewallRules/FirewallRuleName/Description 指定規則的描述。 值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/Enabled 指出規則是啟用還是停用。 如果必須啟用規則,此值必須設定為 true。 如果未指定 , 預設會啟用新規則。 布林值。 支援的操作為 [取得] 及 [取代]。

FirewallRules/FirewallRuleName/Profiles 指定規則所屬的設定檔:網域、私人或公用。 如 用來識別配置檔案類型的位掩FW_PROFILE_TYPE,請參閱FW_PROFILE_TYPE。 如果未指定,則預設值為 All。 值類型為整數。 支援的操作為 [取得] 及 [取代]。

FirewallRules/FirewallRuleName/Action 指定規則的動作。 支援的操作為 [取得]。

FirewallRules/FirewallRuleName/Action/Type 指定規則強制執行的動作。 支援的值:

  • 0 - 封鎖
  • 1 - 允許

如果未指定,則會允許預設值。 值類型為整數。 支援的操作為 [取得] 及 [取代]。

FirewallRules/FirewallRuleName/Direction 規則會根據流量方向啟用,如下所示。 支援的值:

  • IN - 規則適用于輸入流量。
  • OUT - 此規則適用于輸出流量。
  • 如果未指定,預設值為 Out。

值類型為字串。 支援的操作為 [取得] 及 [取代]。

FirewallRules/FirewallRuleName/InterfaceTypes 以逗號分隔的介面類別型清單。 有效值:

  • RemoteAccess
  • 無線
  • 局域網

如果未指定,則預設值為 All。 值類型為字串。 支援的操作為 [取得] 及 [取代]。

FirewallRules/FirewallRuleName/EdgeTraversal 指出此規則是否啟用或停用邊緣周遊。 EdgeTraversal 設定表示允許特定的輸入流量使用 Teredo 通道技術透過 NAT 和其他邊緣裝置進行通道。 若要讓此設定正確運作,具有輸入防火牆規則的應用程式或服務必須支援 IPv6。 此設定的主要應用程式可讓主機上的接聽程式透過 Teredo IPv6 位址全域定址。 新規則預設會停用 EdgeTraversal 屬性。 實數值型別為 bool。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/LocalUserAuthorizationList 指定此規則的授權本機使用者清單。 此清單是安全描述項定義語言 (SDDL) 格式的字串。 值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

FirewallRules/FirewallRuleName/Status 提供部署中特定版本規則的相關資訊,以供監視之用。 值類型為字串。 支援的操作為 [取得]。

FirewallRules/FirewallRuleName/Name 規則的名稱。 值類型為字串。 支援的作業包括 [新增]、[取得]、[取代] 和 [刪除]。

相關主題

設定服務提供者參考