Брандмауэр Windows: Примените правила локального брандмауэра
У меня есть среда, в которой у нас есть GPO, который мы установили для всех профилей, чтобы иметь параметр: Применить правила локального брандмауэра: Нет
Я подтвердил, что GP успешно применяется с помощью gpresult / rsop.
Иногда MPSSVC добавляет в систему локально правило блокировки, что препятствует работе моего клиентского приложения. У нас также есть явное разрешающее правило для того же процесса, который добавляется GPO. Мы можем вручную удалить правило блокировки, но в конечном итоге оно возвращается.
Как это правило добавляется, несмотря на наличие GPO для правил локального брандмауэра?
В документации говорится, что эти настройки используются, когда пользователь «нажимает Разрешить в сообщении с уведомлением».
Это работает так, как задумано, Microsoft никогда не говорила, что правила, созданные " что-то еще "не будет применяться.
Применить правила локального брандмауэра: Да. Мы рекомендуем вам разрешить пользователям создавать и использовать локальные правила брандмауэра. Если вы установите это значение Нет, то когда пользователь нажимает Разрешить в уведомлении, чтобы разрешить трафик для новая программа, Windows не создает новое правило брандмауэра и трафик остается заблокированным.
Параметр применять локальные правила брандмауэра да или нет ведет себя точно так, как следует из заголовка. Неважно, как появляется «местное» правило. Если установлено НЕТ, ЛОКАЛЬНОЕ правило НЕ применяется. Более вероятно, что второй объект групповой политики добавляет другое правило, которое затем будет применяться, поскольку оно не является локальным.
Вы можете отслеживать последний набор правил в узле мониторинга / брандмауэра на затронутом клиенте и посмотреть, так ли это.
см. Также: Развертывание расширенных правил брандмауэра через GPO - как избежать слияния?