針對防火牆Windows Defender最佳做法

適用對象

  • Windows 10
  • Windows 11
  • Windows Server 2016 及更新版本

Windows Defender具有進級安全性的防火牆提供主機型雙向網路流量篩選,並禁止未經授權的網路流量流入或離開本地裝置。 根據下列最佳做法Windows防火牆,可協助優化網路中裝置的保護。 這些建議涵蓋各種部署,包括家用網路和企業桌面/伺服器系統。

若要開啟Windows防火牆,請前往開始功能表,選取****執行,輸入 **WF.msc,**然後選取確定。 另請參閱開啟Windows防火牆

保留預設設定

當您第一次Windows Defender防火牆時,可以看到適用于本地電腦的預設設定。 概觀面板會顯示裝置可連接之每種網路類型的安全性設定。

Windows Defender第一次開啟進位安全性的防火牆。

圖 1:Windows Defender防火牆

  1. 網域設定檔:用於有針對網域控制站或 DC (帳戶驗證) ,例如 DC Azure Active Directory網路

  2. 私人設定檔:專為私人網路所設計,且最適合用於私人網路 ,例如家用網路

  3. 公用設定檔:專為公用網路設計,Wi-Fi熱點、咖啡店、機場、旅館或市

以滑鼠右鍵按一下左側窗格中具有進Windows Defender節點的頂層防火牆****,然後選取屬性,即可查看每個設定檔的詳細設定

盡可能在防火牆Windows Defender預設設定。 這些設定是專為保護您的裝置所設計,適用于大部分的網路案例。 其中一個關鍵範例是預設的內入連接封鎖行為。

自動產生手機描述的螢幕擷取畫面。

圖 2:預設內入/外發設定

重要

若要維持最高安全性,請勿變更內建連接的預設封鎖設定。

若要進一步設定基本防火牆設定,請參閱開啟防火牆Windows設定預設行為與檢查清單:設定基本防火牆設定。

瞭解內入規則的規則優先順序

在許多情況下,系統管理員的下一個步驟是使用規則來自訂這些設定檔 (有時稱為篩選) ,以便他們使用使用者 App 或其他軟體類型。 例如,系統管理員或使用者可能會選擇新增規則以容納程式、開啟埠或通訊協定,或允許預先定義的流量類型。

您可以以滑鼠右鍵按一下進入規則或****出站規則,然後選取新規則,即可完成這項操作。 新增規則的介面看起來像這樣:

規則建立精靈。

圖 3:規則建立精靈

注意

本文未涵蓋逐步規則組組。 請參閱Windows安全性部署指南的防火牆,以瞭解建立策略的一般指南。

在許多情況下,若要讓應用程式在網路中運作,必須允許特定類型的傳入流量。 當允許這些傳入例外時,系統管理員應記住下列規則優先順序行為。

  1. 明確定義的允許規則會優先于預設區塊設定。

  2. 明確區塊規則會優先于任何衝突的允許規則。

  3. 較特定的規則會優先于較不特定的規則,但如 2 所述之明確區塊規則除外。 (,如果規則 1 的參數包含 IP 位址範圍,而規則 2 的參數包含單一 IP 主機位址,則規則 2 會優先)

由於有 1 和 2,因此在設計一組原則時,請務必確定沒有其他明確區塊規則可能會不小心重迭,因而防止您允許的流量。

建立傳入規則時,一般安全性最佳做法是盡可能具體。 不過,當必須使用埠或 IP 位址的新規則時,請考慮盡可能使用連續的範圍或子網,而不是個別的位址或埠。 這可避免在引擎蓋下建立多個篩選,降低複雜度,並有助於避免降低績效。

注意

Windows Defender防火牆不支援傳統的加權、系統管理員指派的規則排序。 您可以記住上述少數、一致且符合邏輯的規則行為,以建立具有預期行為的有效原則集。

在初次開機前建立新應用程式的規則

內入允許規則

第一次安裝時,網路化應用程式和服務會發出聆聽通話,指定其正常運作所需的通訊協定/埠資訊。 由於防火牆有預設封鎖Windows Defender,因此必須建立內入例外規則以允許此流量。 應用程式或應用程式安裝程式本身通常都新增此防火牆規則。 否則, (使用者或防火牆系統管理員) 手動建立規則。

如果沒有使用中的應用程式或系統管理員定義的允許規則 () ,對話方塊會提示使用者在應用程式第一次啟動或嘗試在網路中通訊時允許或封鎖應用程式的封包。

  • 如果使用者具有系統管理員許可權,系統會提示他們。 如果他們回應 或取消提示,將會建立封鎖規則。 一般會建立兩個規則,一個適用于 TCP 和 UDP 流量。

  • 如果使用者不是當地系統管理員,系統將不會提示他們。 在大多數情況下,會建立區塊規則。

在以上任一情況下,一旦新增這些規則,就必須刪除規則,才能再次產生提示。 如果沒有,流量會繼續被封鎖。

注意

防火牆的預設設定是專為安全性所設計。 根據預設允許所有內入連接,網路會引入各種威脅。 因此,建立來自協力廠商軟體之輸入連結的例外情形,應該由信任的應用程式開發人員、使用者或代表使用者的系統管理員決定。

自動建立規則的已知問題

當您為網路設計一組防火牆原則時,最好為部署在主機上的任何網路應用程式設定允許規則。 在使用者第一次啟動應用程式之前先將這些規則就位,有助於確保順暢的體驗。

如果沒有這些階段規則,並不一定表示應用程式最終將無法在網路中通訊。 不過,在執行時間自動建立應用程式規則時涉及的行為需要使用者互動和系統管理許可權。 如果預期非系統管理使用者會使用裝置,您應該遵循最佳做法,在應用程式第一次啟動之前提供這些規則,以避免非預期的網路問題。

若要判斷為何某些應用程式在網路中通訊受到封鎖,請檢查下列各項:

  1. 擁有足夠許可權的使用者會收到查詢通知,通知他們應用程式需要變更防火牆原則。 使用者未完全瞭解提示,會取消或關閉提示。

  2. 使用者缺乏足夠的許可權,因此不會提示應用程式進行適當的原則變更。

  3. 已停用本地原則合併,防止應用程式或網路服務建立本地規則。

使用應用程式或群組原則的系統管理員也可以禁止設定建立應用程式規則。

Windows防火牆提示。

圖 4:允許存取的對話方塊

另請參閱 檢查清單:建立內入防火牆規則

建立本地原則合併和應用程式規則

您可以部署防火牆規則:

  1. 使用**WF.msc (防火牆) **
  2. 在當地使用 PowerShell
  3. 如果裝置是 Active Directory Name、System Center Configuration Manager (SCCM) 或 Intune) 成員,則遠端使用群組原則 (工作地點加入)

規則合併設定可控制如何合併不同原則來源的規則。 系統管理員可以針對網域、私人和公用設定檔設定不同的合併行為。

除了從群組原則取得的規則之外,合併規則設定也可以允許或禁止本地系統管理員建立自己的防火牆規則。

自訂設定。

圖 5:規則合併設定

提示

在防火牆 設定服務提供者中,等同設定為 AllowLocalPolicyMerge。 您可以在每個各自的設定檔節點 、DomainProfile、PrivateProfile和** PublicProfile 下找到此設定

如果已停用合併本地原則,則任何需要內入連接的應用程式都需要集中式規則部署。

系統管理員可能會停用 高安全性環境中的 LocalPolicyMerge, 以更嚴密地控制端點。 這可能會影響一些 App 和服務,如上述所述,這些應用程式和服務會在安裝時自動產生本地防火牆政策。 若要讓這些類型的應用程式和服務能夠順利使用,系統管理員應透過群組原則 (GP) 、行動裝置管理 (MDM) 或混合式或共同管理環境 (集中推送規則) 。

防火牆 CSP 和原則 CSP 也有可能會影響規則合併的設定。

最佳做法是列出及記錄這類應用程式,包括用於通訊的網路埠。 一般來說,您可以在應用程式網站上找到為給定服務所必須開啟的埠。 針對更複雜的或客戶應用程式部署,可能需要使用網路封包捕獲工具進行更詳盡的分析。

一般而言,為了維持最高安全性,系統管理員應只針對決定用於合法用途的應用程式和服務推送防火牆例外。

注意

應用程式規則不支援使用萬用字元模式,例如C:*\teams.exe。 目前,我們僅支援使用應用程式的完整路徑建立的規則, () 。

瞭解如何使用「盾牌向上」模式進行主動式攻擊

在主動式攻擊期間,您可以使用一項重要的防火牆功能來減輕傷害,這就是「防護罩向上」模式。 這是一個非正式的術語,指的是防火牆系統管理員在面對主動攻擊時,可暫時提高安全性的簡易方法。

您可以檢查封鎖所有傳入的連線,**** 包括在 Windows 設定 App 或舊版檔案中找到的允許應用程式清單中的firewall.cpl。

內入連接。

圖 6:Windows設定 App/Windows 安全性/防火牆保護/網路類型

防火牆 cpl。

圖 7:舊版firewall.cpl

根據預設,Windows Defender防火牆會封鎖所有專案,除非已建立例外規則。 此設定會取代例外。

例如,遠端桌面功能會在啟用時自動建立防火牆規則。 不過,如果有使用主機上多個埠和服務的活動利用,您可以使用遮罩向上模式來封鎖所有傳入連接,並取代先前的例外,包括遠端桌面的規則,而不是停用個別規則。 遠端桌面規則保持不變,但只要啟用防護裝置,遠端存取就無法工作。

緊急事件一旦結束,請取消勾選設定以還原一般網路流量。

建立外發規則

以下是一些用於配置外發規則的一般指導方針。

  • 對於某些高度安全的環境,可以考慮封鎖外發規則的預設組式。 不過,不應以預設允許流量的方式變更傳入規則組。

  • 除非企業偏好使用嚴密的安全性控制項,但為了簡化應用程式部署,建議根據預設允許大多數部署外發。

  • 在高安全性環境中,系統管理員或系統管理員必須記錄所有企業跨領域應用程式的庫存。 記錄必須包含所使用的應用程式是否需要網路連接。 系統管理員必須針對需要網路連接的每個 App 建立特定新規則,並透過群組原則 (GP) 、行動裝置管理 (MDM) 或混合式或共同管理環境 () 集中推送這些規則。

有關建立外發規則的工作,請參閱 檢查清單:建立外發防火牆規則

記錄您的變更

建立輸入或外發規則時,您應該指定應用程式本身、使用的埠範圍,以及建立日期等重要記事的詳細資訊。 規則必須記錄得井井有條,方便您和其他系統管理員查看。 我們強烈建議您花時間,以便日後更輕鬆地檢查防火牆規則。 而且 永遠不要 在防火牆中建立不必要的漏洞。