Политика брандмауэра для безопасности конечных точек в Intune

Используйте политику брандмауэра безопасности конечных точек в Intune, чтобы настроить встроенный брандмауэр устройств для устройств под управлением macOS и Windows.

Хотя вы можете настроить те же параметры брандмауэра с помощью профилей Endpoint Protection для конфигурации устройства, профили конфигурации устройств включают дополнительные категории параметров. Эти дополнительные параметры не связаны с брандмауэрами и могут усложнить задачу настройки только параметров брандмауэра для вашей среды.

Найдите политики безопасности конечных точек для брандмауэров в разделе Управление в узле Безопасность конечных точекЦентра администрирования Microsoft Intune.

Предварительные требования для профилей брандмауэра

Важно!

В Windows обновлено, как поставщик службы конфигурации брандмауэра Windows (CSP) применяет правила из атомарных блоков правил брандмауэра. Поставщик служб CSP брандмауэра Windows на устройстве реализует параметры правил брандмауэра из политик брандмауэра безопасности конечной точки Intune. Начиная со следующих версий Windows, обновленное поведение CSP теперь обеспечивает применение правил брандмауэра "все или ничего" из каждого блока правил Atomic:

  • Windows 11 21H2
  • Windows 11 22H2
  • Windows 10 21H2

На устройствах под управлением более ранней версии Windows CSP обрабатывает правила брандмауэра в атомарном блоке правил, по одному правилу (или параметру) за раз. Цель заключается в применении всех правил в этом блоке Atomic или ни одного из них. Однако если поставщик служб CSP сталкивается с проблемой с применением какого-либо правила из блока, CSP прекращает применение последующих правил, но не откатывает правило из этого блока, которое уже было успешно применено. Такое поведение может привести к частичному развертыванию правил брандмауэра на устройстве.

Управление доступом на основе ролей (RBAC)

Инструкции по назначению правильного уровня разрешений и прав для управления Intune политике брандмауэра см. в статье Assign-role-based-access-controls-for-endpoint-security-policy.

Профили брандмауэра

Устройства, управляемые Intune

Платформа: macOS:

  • Брандмауэр macOS — включение и настройка параметров для встроенного брандмауэра в macOS.

Платформа: Windows:

Сведения о настройке параметров в следующих профилях см. в разделе Поставщик службы конфигурации брандмауэра (CSP).

Примечание.

Начиная с 5 апреля 2022 г. платформа Windows 10 и более поздних версий была заменена платформой Windows 10, Windows 11 и Windows Server, которая теперь называется более просто Windows.

Платформа Windows поддерживает устройства, взаимодействующие через Microsoft Intune или Microsoft Defender для конечной точки. Эти профили также добавляют поддержку платформы Windows Server, которая не поддерживается через Microsoft Intune в собственном коде.

Профили для этой новой платформы используют формат параметров, приведенный в каталоге параметров. Каждый новый шаблон профиля для этой новой платформы содержит те же параметры, что и старый шаблон профиля, который он заменяет. Благодаря этому изменению вы больше не сможете создавать новые версии старых профилей. Существующие экземпляры старого профиля остаются доступными для использования и редактирования.

  • Брандмауэр Windows — настройка параметров брандмауэра Windows в режиме повышенной безопасности. Брандмауэр Windows обеспечивает двусторонняя фильтрацию сетевого трафика на основе узла для устройства и может блокировать несанкционированный сетевой трафик, поступающий на локальное устройство или из него.

  • Правила брандмауэра Windows . Определите детализированные правила брандмауэра, включая определенные порты, протоколы, приложения и сети, а также разрешать или блокировать сетевой трафик. Каждый экземпляр этого профиля поддерживает до 150 настраиваемых правил.

    Совет

    Для использования параметра идентификатора приложения политики , описанного в mdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP, требуется, чтобы в вашей среде использовался элемент управления приложениями в Защитнике Windows (WDAC). Дополнительные сведения см. в следующих статьях в Защитнике Windows:

  • Правила брандмауэра Windows Hyper-V Шаблон Правил брандмауэра Windows Hyper-V позволяет управлять правилами брандмауэра, которые будут применяться к определенным контейнерам Hyper-V в Windows, включая такие приложения, как подсистема Windows для Linux (WSL) и подсистема Windows для Android (WSA).

Добавление групп повторно используемых параметров в профили для правил брандмауэра

В общедоступной предварительной версии профили правил брандмауэра Windows поддерживают использование групп повторно используемых параметров для следующих платформ:

  • Windows 10
  • Windows 11

В группах повторно используемых параметров доступны следующие параметры профиля правила брандмауэра:

  • Диапазоны удаленных IP-адресов
  • Определения полного доменного имени и автоматическое разрешение

При настройке правила брандмауэра для добавления одной или нескольких групп повторно используемых параметров вы также настроите действие правил, чтобы определить, как используются параметры в этих группах.

Каждое правило, добавляемое в профиль, может включать как группы повторно используемых параметров, так и отдельные параметры, которые добавляются непосредственно в правило. Однако рассмотрите возможность использования каждого правила для групп параметров с возможностью повторного использования или для управления параметрами, добавляемыми непосредственно в правило. Это разделение может помочь упростить будущие конфигурации или изменения, которые вы можете внести.

Примечание.

Правила полного доменного имени для входящего трафика изначально не поддерживаются. Однако можно использовать скрипты предварительного восстановления для создания входящих IP-записей для правила. Дополнительные сведения см. в разделе Динамические ключевые слова брандмауэра Windows в документации по брандмауэру Windows.

Предварительные требования и рекомендации по настройке повторно используемых групп, а затем их добавлению в этот профиль см. в статье Использование повторно используемых групп параметров с политиками Intune.

Устройства, управляемые Configuration Manager

Брандмауэр

Поддержка устройств, управляемых Configuration Manager, доступна в предварительной версии.

Управление параметрами политики брандмауэра для Configuration Manager устройств при использовании подключения клиента.

Путь к политике:

  • Брандмауэр безопасности конечных > точек

Профили:

  • Брандмауэр Windows (ConfigMgr)

Требуемая версия Configuration Manager:

  • Configuration Manager текущей версии ветви 2006 или более поздней с обновлением в консоли Configuration Manager исправление 2006 (KB4578605)

Поддерживаемые платформы устройств Configuration Manager:

  • Windows 11 и более поздних версий (x86, x64, ARM64)
  • Windows 10 и более поздних версий (x86, x64, ARM64)

Слияния правил брандмауэра и конфликты политик

Запланируйте применение политик брандмауэра к устройству с помощью только одной политики. Использование одного экземпляра политики и типа политики помогает избежать применения двух отдельных политик к одному и тому же параметру разных конфигураций, что создает конфликты. Если существует конфликт между двумя экземплярами политики или типами политик, которые управляют одинаковым параметром с разными значениями, параметр не отправляется на устройство.

  • Эта форма конфликта политик применяется к профилю брандмауэра Windows , который может конфликтовать с другими профилями брандмауэра Windows или конфигурацией брандмауэра, предоставляемой другим типом политики, например конфигурацией устройства.

    Профили брандмауэра Windows не конфликтуют с профилями правил брандмауэра Windows .

При использовании профилей правил брандмауэра Windows можно применить несколько профилей правил к одному устройству. Однако если для одной и той же вещи с разными конфигурациями существуют разные правила, они отправляются на устройство и создают конфликт на этом устройстве.

  • Например, если одно правило блокирует Teams.exe через брандмауэр, а второе правило разрешает Teams.exe, оба правила доставляются клиенту. Этот результат отличается от конфликтов, создаваемых с помощью других политик для параметров брандмауэра.

Если правила из нескольких профилей правил не конфликтуют друг с другом, устройства объединяют правила из каждого профиля, чтобы создать на устройстве объединенную конфигурацию правил брандмауэра. Это позволяет развернуть на устройстве более 150 правил, поддерживаемых каждым отдельным профилем.

  • Например, у вас есть два профиля правил брандмауэра Windows. Первый профиль позволяет Teams.exe через брандмауэр. Второй профиль позволяет Outlook.exe через брандмауэр. Когда устройство получает оба профиля, устройство настроено на разрешение обоих приложений через брандмауэр.

Отчеты о политике брандмауэра

В отчетах о политике брандмауэра отображаются сведения о состоянии брандмауэра для управляемых устройств. Отчеты брандмауэра поддерживают управляемые устройства под управлением следующих операционных систем.

  • Windows 10/11

Сводка

Сводка является представлением по умолчанию при открытии узла Брандмауэр. Откройте центр администрирования Microsoft Intune, а затем перейдите в разделСводкабрандмауэра>для безопасности> конечных точек.

Это представление предоставляет следующее:

  • Совокупное число устройств, на которых отключен брандмауэр.
  • Список политик брандмауэра, включая имя, тип, если он назначен, и время последнего изменения.

Устройства MDM под управлением Windows 10 или более поздней версии с отключенным брандмауэром

Этот отчет находится в узле Безопасность конечной точки. Откройте Центр администрирования Microsoft Intune, а затем перейдите в раздел Брандмауэрбрандмауэра> конечных точек>устройства MDM, работающие Windows 10 или более поздней версии с отключенным брандмауэром.

Данные передаются через поставщик CSP Windows DeviceStatus и определяют каждое устройство, на котором отключен брандмауэр. По умолчанию видимые сведения:

  • Имя устройства
  • Состояние брандмауэра
  • Имя субъекта-пользователя
  • Целевой объект (метод управления устройствами)
  • Время последнего проверка

Просмотр брандмауэра off

Состояние брандмауэра MDM для Windows 10 и более поздних версий

Этот организационный отчет также описан в разделе Intune Отчеты.

Как отчет организации, этот отчет доступен в узле Отчеты . Откройте Центр администрирования Microsoft Intune, а затем выберите Отчеты о>состоянии брандмауэра MDM для Windows 10 и более поздних версий.>

Выбор отчетов брандмауэра

Данные выводятся через Windows DeviceStatus CSP и указывают на состояние брандмауэра на управляемых устройствах. Вы можете отфильтровать возвращаемые данные для этого отчета, используя одну или несколько категорий сведений о состоянии.

Сведения о состоянии включают в себя:

  • Включено. Брандмауэр включен, отчеты создаются.
  • Отключено. Брандмауэр Windows отключен.
  • Ограничено. Брандмауэр не отслеживает все сети, или некоторые правила отключены.
  • Temporarily Disabled (default) (Временно отключено (по умолчанию)). Брандмауэр временно не отслеживает все сети.
  • Неприменимо. Устройство не поддерживает отчеты о брандмауэрах.

Вы можете отфильтровать возвращаемые данные для этого отчета, используя одну или несколько категорий сведений о состоянии.

Просмотр отчета о состоянии брандмауэра

Изучение проблем с правилами брандмауэра

Дополнительные сведения о правилах брандмауэра в Intune и способах устранения распространенных проблем см. в следующем блоге Intune успеха клиентов:

Дополнительные распространенные проблемы с правилами брандмауэра:

Просмотр событий: RemotePortRanges или LocalPortRanges "Неправильный параметр"

RemotePortRangesFailure

  • Проверка возрастания настроенных диапазонов (например, 1–5 правильно, 5–1 вызовет эту ошибку)
  • Убедитесь, что настроенные диапазоны находятся в пределах общего диапазона портов от 0 до 65535
  • Если в правиле настроены диапазоны удаленных портов или диапазоны локальных портов, протокол также должен быть настроен с 6 (TCP) или 17 (UDP)

Просмотр событий: "... Имя), Результат: (неправильный параметр)"

Снимок экрана: сбой имени

  • Если обход ребер включен в правиле, направление правила должно иметь значение "Это правило применяется к входящий трафик".

Просмотр событий: "... InterfaceTypes), Result: (неправильный параметр)"

Снимок экрана: сбой типов интерфейса

  • Если в правиле включен тип интерфейса "Все", не следует выбирать другие типы интерфейсов.

Дальнейшие действия

Настройка политик безопасности конечных точек

Просмотрите сведения о параметрах в нерекомендуемых профилях брандмауэра для устаревшей платформы Windows 10 и более поздних версий: