Firewallrichtlinieneinstellungen für mandantengefügte Geräte in Microsoft Intune

Zeigen Sie die Einstellungen der Microsoft Windows-Firewall an, die Sie mit dem Profil Windows-Firewall (ConfigMgr) aus Intune verwalten können. Das Profil ist verfügbar, wenn Sie die Intune-Firewallrichtlinie konfigurieren, und die Richtlinie wird auf Geräten bereitgestellt, die Sie mit Configuration Manager verwalten, wenn Sie das Mandantenanfügungsszenario konfiguriert haben.

Windows-Firewall

  • Überprüfung der Zertifikatsperrliste (Gerät)
    CSP: MdmStore/Global/CRLcheck

    Geben Sie an, wie die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) erzwungen wird.

    • Nicht konfiguriert (Standard): Verwenden Sie den Clientstandard, d. h. die CRL-Überprüfung zu deaktivieren.
    • Keine
    • Versuchen
    • Erforderlich
  • Deaktivieren von zustandsbehafteten FTP -Daten (Gerät)
    CSP: MdmStore/Global/DisableStatefulFtp

    • Nicht konfiguriert (Standard)
    • True : Zustandsbehaftetes FTP ist deaktiviert
    • False : Die Firewall führt zustandsbehaftete FTP-Filterung (File Transfer Protocol) aus, um sekundäre Verbindungen zuzulassen.
  • Aktivieren der Paketwarteschlange (Gerät)
    CSP: MdmStore/Global/EnablePacketQueue

    Wählen Sie eine der folgenden Optionen aus, um die Skalierung für die Software auf der Empfangsseite für die verschlüsselte Empfangs- und Klartextweiterleitung für das IPsec-Tunnelgatewayszenario zu konfigurieren. Dadurch wird sichergestellt, dass die Paketreihenfolge erhalten bleibt. Standardmäßig sind keine Optionen ausgewählt.

    • Disabled
    • Eingehende Warteschlange
    • Ausgehende Warteschlange
  • IPsec-Ausnahmen (Gerät)
    CSP: MdmStore/Global/IPsecExempt

    Wählen Sie eine der folgenden Optionen aus, um IPsec-Ausnahmen zu konfigurieren.

    • Ausschließen von IPv6-ICMP-Typcodes für Nachbarn von IPsec
    • Ausschließen von ICMP von IPsec
    • Ausgenommene IPv6-ICMP-Typcodes von IPsec
    • Ausschließen von IPv4- und IPv6-DHCP-Datenverkehr von IPsec
  • Opportunistisch abgleichen der Authentifizierungsgruppe pro KM (Gerät)
    CSP: OpportunisticallyMatchAuthSetPerKM

    • Nicht konfiguriert (Standard)
    • True
    • False
  • Vorinstallierte Schlüsselcodierung (Gerät)
    CSP: MdmStore/Global/PresharedKeyEncoding

    • Nicht konfiguriert (Standard)
    • Keine
    • UTF8
  • Leerlaufzeit der Sicherheitszuordnung (Gerät)
    CSP: MdmStore/Global/SaIdleTime

    Geben Sie eine Zeit in Sekunden zwischen 300 und 3600 an, wie lange die Sicherheitszuordnungen beibehalten werden, nachdem kein Netzwerkdatenverkehr angezeigt wird. Wenn Sie keinen Wert angeben, löscht das System eine Sicherheitszuordnung, nachdem sie sich 300 Sekunden im Leerlauf befindet.

Domänenprofil

  • Aktivieren der Domänennetzwerkfirewall (Gerät)
    CSP: EnableFirewall

    • Nicht konfiguriert (Standard): Der Client kehrt zu seinem Standardwert zurück, d. h., die Firewall zu aktivieren.
    • True : Die Windows-Firewall für den Netzwerktyp der Domäne wird aktiviert und erzwungen.
    • False : Deaktivieren Sie die Firewall.

    Wenn diese Einstellung auf True festgelegt ist, können Sie die folgenden Einstellungen für diesen Firewallprofiltyp konfigurieren:

    • Zusammenführung lokaler IPSec-Richtlinien zulassen (Gerät)
      CSP: AllowLocalIpsecPolicyMerge

      • Nicht konfiguriert (Standard)
      • True
      • False : Verbindungsregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen.
    • Lokale Richtlinienzusammenführung zulassen (Gerät)
      CSP: AllowLocalPolicyMerge

      • Nicht konfiguriert (Standard)
      • True
      • False : Firewallregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen.
    • Auth Apps Allow User Pref Merge (Gerät)
      CSP: AuthAppsAllowUserPrefMerge

      • Nicht konfiguriert (Standard)
      • True
      • False
    • Standardaktion für eingehenden Datenverkehr für Domänenprofil (Gerät)
      CSP: DefaultInboundAction

      • Nicht konfiguriert (Standard)
      • Zulassen
      • Blockieren
    • Standardaktion für ausgehenden Datenverkehr (Gerät)
      CSP: DefaultOutboundAction

      • Zulassen
      • Blockieren
    • Deaktivieren eingehender Benachrichtigungen (Gerät)
      CSP: DisableInboundNotifications

      • Nicht konfiguriert (Standard)
      • True : Die Firewall zeigt dem Benutzer keine Benachrichtigung an, wenn eine Anwendung daran gehindert wird, an einem Port zu lauschen.
      • False : Die Firewall zeigt dem Benutzer möglicherweise eine Benachrichtigung an, wenn eine Anwendung daran gehindert wird, an einem Port zu lauschen.
    • Deaktivieren des Stealth-Modus (Gerät)
      CSP: DisableStealthMode

      • Nicht konfiguriert (Standard)
      • True
      • False : Der Server arbeitet im stealth-Modus. Die Firewallregeln, die zum Erzwingen des stealth-Modus verwendet werden, sind implementierungsspezifisch.
    • Deaktivieren von Unicastantworten auf Multicastübertragung (Gerät)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Nicht konfiguriert (Standard)
      • True : Unicastantwort auf Multicastübertragungsdatenverkehr wird blockiert.
      • False
    • Globale Ports lassen die Pref-Zusammenführung (Gerät) für Benutzer zu
      CSP: GlobalPortsAllowUserPrefMerge

      • Nicht konfiguriert (Standard)
      • True
      • False : Firewallregeln für globale Ports im lokalen Speicher werden ignoriert und nicht erzwungen.
    • Abgeschirmt (Gerät)
      CSP: Abgeschirmt

      • Nicht konfiguriert (Standard)
      • True : Der Server blockiert den gesamten eingehenden Datenverkehr unabhängig von anderen Richtlinieneinstellungen.
      • False

Privates Profil

  • Aktivieren der Firewall für private Netzwerke (Gerät)
    CSP: EnableFirewall

    • Nicht konfiguriert (Standard): Der Client kehrt zu seinem Standardwert zurück, d. h., die Firewall zu aktivieren.
    • True : Die Windows-Firewall für den Netzwerktyp "Privat " wird aktiviert und erzwungen.
    • False : Deaktivieren Sie die Firewall.

    Wenn diese Einstellung auf True festgelegt ist, können Sie die folgenden Einstellungen für diesen Firewallprofiltyp konfigurieren:

    • Zusammenführung lokaler IPSec-Richtlinien zulassen (Gerät)
      CSP: AllowLocalIpsecPolicyMerge

      • Nicht konfiguriert (Standard)
      • True
      • False : Verbindungsregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen.
    • Lokale Richtlinienzusammenführung zulassen (Gerät)
      CSP: AllowLocalPolicyMerge

      • Nicht konfiguriert (Standard)
      • True
      • False : Firewallregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen.
    • Auth Apps Allow User Pref Merge (Gerät)
      CSP: AuthAppsAllowUserPrefMerge

      • Nicht konfiguriert (Standard)
      • True
      • False
    • Standardaktion für eingehenden Datenverkehr für privates Profil (Gerät)
      CSP: DefaultInboundAction

      • Nicht konfiguriert (Standard)
      • Zulassen
      • Blockieren
    • Standardaktion für ausgehenden Datenverkehr (Gerät)
      CSP: DefaultOutboundAction

      • Zulassen
      • Blockieren
    • Deaktivieren eingehender Benachrichtigungen (Gerät)
      CSP: DisableInboundNotifications

      • Nicht konfiguriert (Standard)
      • True : Die Firewall zeigt dem Benutzer keine Benachrichtigung an, wenn eine Anwendung daran gehindert wird, an einem Port zu lauschen.
      • False : Die Firewall zeigt dem Benutzer möglicherweise eine Benachrichtigung an, wenn eine Anwendung daran gehindert wird, an einem Port zu lauschen.
    • Deaktivieren des Stealth-Modus (Gerät)
      CSP: DisableStealthMode

      • Nicht konfiguriert (Standard)
      • True
      • False : Der Server arbeitet im stealth-Modus. Die Firewallregeln, die zum Erzwingen des stealth-Modus verwendet werden, sind implementierungsspezifisch.
    • Deaktivieren von Unicastantworten auf Multicastübertragung (Gerät)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Nicht konfiguriert (Standard)
      • True : Unicastantwort auf Multicastübertragungsdatenverkehr wird blockiert.
      • False
    • Globale Ports lassen die Pref-Zusammenführung (Gerät) für Benutzer zu
      CSP: GlobalPortsAllowUserPrefMerge

      • Nicht konfiguriert (Standard)
      • True
      • False : Firewallregeln für globale Ports im lokalen Speicher werden ignoriert und nicht erzwungen.
    • Abgeschirmt (Gerät)
      CSP: Abgeschirmt

      • Nicht konfiguriert (Standard)
      • True : Der Server blockiert den gesamten eingehenden Datenverkehr unabhängig von anderen Richtlinieneinstellungen.
      • False

Öffentliches Profil

  • Aktivieren der Firewall für öffentliche Netzwerke (Gerät)
    CSP: EnableFirewall

    • Nicht konfiguriert (Standard): Der Client kehrt zu seinem Standardwert zurück, d. h., die Firewall zu aktivieren.
    • True : Die Windows-Firewall für den Netzwerktyp öffentlich wird aktiviert und erzwungen.
    • False : Deaktivieren Sie die Firewall.

    Wenn diese Einstellung auf True festgelegt ist, können Sie die folgenden Einstellungen für diesen Firewallprofiltyp konfigurieren:

    • Zusammenführung lokaler IPSec-Richtlinien zulassen (Gerät)
      CSP: AllowLocalIpsecPolicyMerge

      • Nicht konfiguriert (Standard)
      • True
      • False : Verbindungsregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen.
    • Lokale Richtlinienzusammenführung zulassen (Gerät)
      CSP: AllowLocalPolicyMerge

      • Nicht konfiguriert (Standard)
      • True
      • False : Firewallregeln aus dem lokalen Speicher werden ignoriert und nicht erzwungen.
    • Auth Apps Allow User Pref Merge (Gerät)
      CSP: AuthAppsAllowUserPrefMerge

      • Nicht konfiguriert (Standard)
      • True
      • False
    • Standardaktion für eingehenden Datenverkehr für öffentliches Profil (Gerät)
      CSP: DefaultInboundAction

      • Nicht konfiguriert (Standard)
      • Zulassen
      • Blockieren
    • Standardaktion für ausgehenden Datenverkehr (Gerät)
      CSP: DefaultOutboundAction

      • Zulassen
      • Blockieren
    • Deaktivieren eingehender Benachrichtigungen (Gerät)
      CSP: DisableInboundNotifications

      • Nicht konfiguriert (Standard)
      • True : Die Firewall zeigt dem Benutzer keine Benachrichtigung an, wenn eine Anwendung daran gehindert wird, an einem Port zu lauschen.
      • False : Die Firewall zeigt dem Benutzer möglicherweise eine Benachrichtigung an, wenn eine Anwendung daran gehindert wird, an einem Port zu lauschen.
    • Deaktivieren des Stealth-Modus (Gerät)
      CSP: DisableStealthMode

      • Nicht konfiguriert (Standard)
      • True
      • False : Der Server arbeitet im stealth-Modus. Die Firewallregeln, die zum Erzwingen des stealth-Modus verwendet werden, sind implementierungsspezifisch.
    • Deaktivieren von Unicastantworten auf Multicastübertragung (Gerät)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Nicht konfiguriert (Standard)
      • True : Unicastantwort auf Multicastübertragungsdatenverkehr wird blockiert.
      • False
    • Globale Ports lassen die Pref-Zusammenführung (Gerät) für Benutzer zu
      CSP: GlobalPortsAllowUserPrefMerge

      • Nicht konfiguriert (Standard)
      • True
      • False : Firewallregeln für globale Ports im lokalen Speicher werden ignoriert und nicht erzwungen.
    • Abgeschirmt (Gerät)
      CSP: Abgeschirmt

      • Nicht konfiguriert (Standard)
      • True : Der Server blockiert den gesamten eingehenden Datenverkehr unabhängig von anderen Richtlinieneinstellungen.
      • False

Nächste Schritte

Endpunktsicherheitsrichtlinie für Firewalls