Windows Defender
Windows Defender 防火牆 有助於防止黑客 獲 惡意軟件 通過 Internet 或 網絡訪問你的電腦
Windows Defender 高級安全防火牆提供基於主機的雙向網絡流量篩選, 並阻止未經授權的網絡流量流入或留出本地設備.
根據以下Windows配置防火牆有助於優化對網絡中設備的保護.
這些建議涵蓋各種部署, 包括 家庭網絡 和 企業桌面/服務器系統
若要打開 Windows防火牆, 請轉到 開始 菜單,
1. 保留默認設置
首次打開 Windows Defender 防火牆時, 可以看到 適用於 本地計算機的默認設置.
概述 面板 顯示設備 可連接到的 每種類型的 安全網絡
1, 域配置文件, 用於存在針對 域控制器身份驗證系統的網絡, (DC), 如 Azure Active Directory DC
2, 專用配置文件, 專為 專用網絡 (如 家庭網絡) 設計且最適用於
3, 公共配置文件, 專為熱點, WiFi, 機場, 機場或商店等公共網絡設計, 具有更高的安全性
右鍵單擊左窗格中的 高級安全防火牆 Windows Defender, 然后選擇 屬性, 查看 每個配置文件的詳細設置
盡可能在 防火牆 Windows Defender 默認設置, 這些設置旨在保護設備的安全, 以用於大多數網絡方案.
一個案件示例 是 入站連接 的 默認阻止行為
若要保持最大的安全性, 請不要更改 入站連接的 默認阻止設置
2. 了解入站規則 的 規則優先級
在許多情況下, 管理員的下一步是 使用 規則自定義這些配置文件(有時稱為 篩選器),
以便它們可以使用用戶應用 獲 其他類型的 軟件.
例如, 管理員 或 用戶 可以選擇添加規則 以 容納程序, 打開端口 或 協議, 或允許預定義類型的流量
這可以通過 右鍵單擊 "入站規則" 或 "出站規則", 然后選擇 "新建規則" 來完成
在很多情況下, 應用程序在網絡中運行需要允許特定類型的 入站通信
在允許這些入站異常時, 管理員應記住 一下規則 優先級行為
1, 顯式定義的允許規則將優先於默認阻止設置
2, 顯式阻止規則將 優先於 任何沖突的 允許規則
3, 更具體的規則 將 優先於 不太具體的規則, 2 中提及的 顯式阻止規則 除外
(例如, 如果規則1的參數包含IP地址范圍, 而規則2的參數包含單個IP主機地址, 則規則2將優先)
由於1 和 2, 因此在設計 一組策略時, 請務必確保 不存在 可能無意重疊的 其他顯式阻止規則, 從而阻止希望允許的流量流
創建 入站規則的 一般安全最佳做法是 盡可能具體. 但是, 當必須 制定使用端口或IP地址的新規則時, 請考慮使用連續的范圍 或 子網, 而不是使用單個地址 或 端口(如果可能), 這可以 避免在底層創建多個篩選器, 降低復雜性, 並有助於避免性能下降
備注
Windows Defender 防火牆, 不支持由管理員分配的 傳統加權規則排序.
通過記住上述幾個一致且符合邏輯的 規則行為, 可創建具有預期行為的 有效策略集
3. 在首次啟動前創建 新應用程序 的 規則
入站允許規則
首次安裝時, 網絡應用程序 和 服務 會發出 偵聽調用, 指定它們正常運行所需的 協議/端口信息, 由於防火牆中存在 默認阻止 Windows Defender, 因此必須創建入站異常規則 以 允許此流量.
應用 獲 應用安裝程序 本身 通常添加 此防火牆規則.
否則, (或防火牆管理員代表用戶)手動創建規則
如果沒有活動的 應用程序 或 管理員 定義的允許規則(), 則對話框將提示用戶 在 首次啟動應用 或 嘗試 在 網絡通信時 允許應用程序 的 數據包
如果 用戶 具有管理員權限, 系統將提示他們, 如果響應 否 或 取消提示, 將創建 阻止規則.
通常創建 兩個規則, 分別用於 TCP 和 UDP流量
如果用戶不是 本地管理員, 將不會提示他們. 在大多數情況下, 將創建阻止規則
在以上任一方案中, 添加這些規則后, 必須刪除他們才能再次生成提示. 如果沒有, 將繼續阻止流量
備注
防火牆的 默認設置 專為 安全設計. 默認情況下 允許所有 入站連接 會向網絡引入各種威脅.
因此, 為來自第三方軟件的 入站連接 創建 例外應由 受信任的 應用開發人員, 用戶 或 管理員代表 用戶確定
4. 自動規則 創建 已知問題
為網絡設計一組防火牆策略時, 最好為主機上部署的任何網絡應用程序 配置允許規則.
在用戶首次啟動應用程序之前 就位這些規則 有助於確保無縫體驗
缺少這些規則 並不一定意味着 應用程序 最終將無法在網絡通信, 但是, 在運行時自動創建 應用程序規則所涉及的行為 需要用戶 交互 和 管理權限, 如果設備預期由 非管理用戶使用. 你應該遵循最佳做法, 在應用程序首次啟動之前提供這些規則, 以避免意外的網絡問題
若要確定阻止某些應用程序在網絡中進行通信的原因, 請檢查以下各項
1, 具有足夠權限的用戶將收到 查詢通知, 通知他們應用程序 需要更改 防火牆策略.
無法完全理解提示, 用戶會取消 或 消除提示
2, 用戶缺乏足夠的權限, 因此不會提示 應用程序進行適當的 策略更改
3, 本地策略合並被禁用, 阻止應用程序 或 網絡服務 創建 本地規則
管理員也可以 禁止在運行時創建應用程序規則, 設置組策略
參考鏈接
配置防火牆 Windows Defender 最佳實踐