Иллюстрированный самоучитель по автоматической установке Windows XP

Как определить, настроен ли брандмауэр Windows с помощью групповой политики

Для компьютеров, принадлежащих домену, конфигурация брандмауэра Windows складывается из локальных настроек, сохраняемых в реестре, и установок групповой политики. При решении проблем часто бывает полезно знать, действуют ли в отношении брандмауэра только локальные настройки или также и установки групповой политики, и, в последнем случае, какой из профилей брандмауэра Windows задействован (Профиль домена или Стандартный профиль). Для определения профиля, который необходимо применить, ОС Windows XP SP2 выполняет проверку параметров сети. Для получения дополнительной информации, смотрите Определение конфигурации сети для применения сетевых настроек групповой политики Network Determination Behavior for Network-Related Group Policy Settings (EN).

Чтобы определить сетевые параметры, выполните команду netsh firewall show state verbose=enable в командной строке. Вот пример первой секции экрана:

Состояние брандмауэра:

-------------------------------------------------------------------
Профиль                            = Обычный
Рабочий режим                      = Enable
Режим исключения                   = Enable
Режим многоадр./широковещ. ответов = Enable
Режим уведомления                  = Enable
Версия групповой политики          = Нет
Режим удаленного администрирования = Disable
        Область: *

В разделе "Состояние брандмауэра" (“Firewall status”) посмотрите на значения параметров "Профиль" (“Profile”) и "Версия групповой политики" (“Group Policy Version”). В приведенной таблице перечисляются варианты значений этих параметров и их смысл.

Значение параметра "Профиль" Значение параметра
"Версия групповой политики"
Описание
Обычный Нет Групповая политика брандмауэра не определена. На компьютере действуют только локальные настройки брандмауэра.
Обычный Брандмауэр Windows На компьютере действуют настройки групповой политики брандмауэра.
Domain Нет Компьютер подключен к сети, содержащей Ваш домен, но групповая политика брандмауэра не определена.
Domain Legacy Firewall (ICF) Применена установка групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network), и групповая политика брандмауэра Windows не определена.
Domain Брандмауэр Windows Компьютер подключен к сети, содержащей Ваш домен, и на нем действуют настройки групповой политики брандмауэра Windows.

Примечание
Активация настройки групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network) может отключить брандмауэр Windows (в этом случае параметр "Рабочий режим" (“Operational Mode”) на экране, отображающемся после выполнения команды netsh, принимает значение "Disable"), если при этом не включена настройка групповой политики брандмауэра Windows Защитить все сетевые подключения (Windows Firewall: Protect All Network Connections)
.

Чтобы определить, было ли исключение для приложения или порта задано в локальных настройках или через групповую политику, просмотрите разделы "Исключения для программ" ("Program exceptions") и "Исключения для порта" ("Port exceptions") в содержании экрана, выводимого командой netsh firewall show state verbose=enable. Эти разделы отображаются в виде таблиц, содержащих списки исключений. В каждой таблице имеется столбец "Локальная политика" (“Local Policy”). Если выбранному исключению в этом столбце сопоставлено значение "Да", значит, данное исключение было задано через настройки локальной политики. Если это значение "Нет", то исключение было установлено через настройки групповой политики.

Ниже приведен пример фрагмента раздела экрана "Исключения для порта", выводимого командой netsh firewall show state verbose=enable:

Примечание
Некоторые строки кода перенесены для удобства чтения
.

Исключения для порта:
Порт   Протокол  Лок. политика   Режим    Имя / Тип службы
-------------------------------------------------------------------
137    UDP       Да              Enable   Служба имени NetBIOS / Общий доступ к файлам и принтерам
        Область:LocalSubNet
138    UDP       Да              Enable   Служба датаграмм NetBIOS / Общий доступ к файлам и принтерам
        Область:LocalSubNet
139    TCP       Да              Enable   Служба сеанса NetBIOS / Общий доступ к файлам и принтерам
        Область:LocalSubNet
445    TCP       Да              Enable   SMB поверх TCP / Общий доступ к файлам и принтерам
        Область:LocalSubNet
3389   TCP       Нет             Enable   Дистанционное управление рабочим столом
        Область: *

В этом примере все исключения для портов, кроме заданного для дистанционного управления рабочим столом, определены через настройки локальной политики.

Для получения полного списка настроек брандмауэра Windows, определенных через групповую политику, используйте оснастку Результирующая политика (Resultant Set of Policy, RSOP). Дополнительная информация содержится в разделе Справка и поддержка Windows XP.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.