Способы создания и развертывания политик брандмауэра Windows для защиты конечной точки в диспетчере конфигурации
Применимо к:System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1
Политики брандмауэра для Endpoint Protection в System Center 2012 Configuration Manager позволяют выполнять основные задачи по настройке и обслуживанию брандмауэра Windows на клиентских компьютерах в иерархии.Политики брандмауэра Windows можно использовать для выполнения следующих задач:
включение и отключение брандмауэра Windows;
управление разрешением входящих подключений к клиентским компьютерам;
настройка оповещений пользователей о блокировании новых программ брандмауэром Windows.
Приведенные в этом разделе процедуры описывают создание и назначение политик брандмауэра Windows клиентским компьютерам Configuration Manager в иерархии.
Создание политики брандмауэра Windows
Развертывание политики брандмауэра Windows
Создание политики брандмауэра Windows
-
В консоли Configuration Manager щелкните элемент Активы и соответствие.
-
В активы и соответствие рабочей области, разверните Endpoint Protection, а затем нажмите кнопку политики брандмауэра Windows.
-
На вкладке Главная в группе Создать щелкните элемент Создать политику брандмауэра Windows.
-
На странице Общиемастера создания политики брандмауэра Windows укажите имя и описание (необязательно) для этой политики брандмауэра, затем нажмите кнопку Далее.
-
На странице Параметры профиля мастера настройте перечисленные ниже параметры для сетевых профилей.
.jpeg "System_CAPS_important")
ВажноДля развертывания политик брандмауэра Windows на компьютерах под управлением Windows Server 2008 и Windows Vista с пакетом обновления 1 (SP1) необходимо сначала установить исправление KB971800.
.jpeg "System_CAPS_note")
ПримечаниеДополнительные сведения о сетевых профилях см. в документации Windows.
- **Включение брандмауэра Windows** <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh709023.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Примечание</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Если переключатель <strong>Включить брандмауэр Windows</strong> не установлен, другие параметры на этой странице мастера недоступны.</p></td> </tr> </tbody> </table> </div> - **Блокирование всех входящих подключений, включая подключения, указанные в списке разрешенных программ** - **Уведомлять пользователя, когда брандмауэр Windows блокирует новую программу** -
На странице мастера Сводка просмотрите список необходимых действий и завершите работу мастера.
-
Убедитесь в том, что новая политика брандмауэра Windows отображается в списке Политики брандмауэра Windows.
Развертывание политики брандмауэра Windows
-
В консоли Configuration Manager щелкните элемент Активы и соответствие.
-
В активы и соответствие рабочей области, разверните Endpoint Protection, а затем нажмите кнопку политики брандмауэра Windows.
-
В списке Политики брандмауэра Windows выберите политику брандмауэра Windows для развертывания.
-
На вкладке Главная в группе Развертывание нажмите кнопку Развернуть.
-
В диалоговом окне Развернуть политику брандмауэра Windows укажите коллекцию, которой требуется назначить эту политику брандмауэра, и задайте расписание назначения.Политика брандмауэра Windows выполнит проверку соответствия по этому расписанию и изменит параметры брандмауэра на клиентах в соответствии с данной политикой.
-
Щелкните ОК закрыть развернуть политику брандмауэра Windows диалоговое окно и развертывание политики брандмауэра Windows.
ВажноПри развертывании политики брандмауэра Windows для коллекции она применяется к компьютерам в произвольном порядке в течение двухчасового периода, что позволяет избежать перегрузки сети.