Distribuire le regole del Firewall di Windows con i criteri di gruppo

Avete installato un antivirus che può essere controllato da remoto ma la connessione non avviene per colpa del firewall? Avete un agent che permette di interrogare i PC della rete attraverso una porta TCP/IP?

Spesso i programmi aggiungono automaticamente le eccezioni nel firewall di Windows per permettere le connessioni remote. Potrebbe capitare di installare un agent sui PC che non effettua questo passaggio e se il numero di pc da “ritoccare” è elevato si traduce in un dispendio di energia e di tempo.

Però con l’aiuto dei criteri di gruppo del dominio di Active Directory possiamo automatizzare la distribuzione delle regole del firewall automatizzando la configurazione per i PC esistenti e per i prossimi che si aggiungeranno.

Requisiti

Serve un dominio Active Directory configurato (quindi almeno un Windows server con ruolo di controller di dominio), i PC devono avere sistema operativo Windows Professional (non Home Edition) e hanno effettuato il join nel dominio, gli utenti devono avere un account in Active Directory e lo utilizzano per l’accesso al dominio. Occorre accedere alla console per la gestione dei criteri di gruppo.

Aprire la console dei criteri di gruppo

Dal server per accedere allo strumento: Avvio / strumenti di amministrazione / gestione criteri di gruppo

oppure dalla finestra di Server Manager; strumenti / gestione criteri di gruppo

  • Se le regole devono valere per tutto il parco macchine (pc e server) selezionare nel riquadro di sinistra la voce “Default Domain Policy” fare click con il tasto destro e cliccare su “modifica”.
  • In alternativa si può creare un nuovo oggetto criterio di gruppo che verrà esteso successivamente all’unità organizzativa con un link: selezionare allora nel riquadro a sinistra la cartella “Oggetti Criteri di gruppo” poi un click con il tasto destro e cliccare su “nuovo”. Nella finestra che appare occorre inserire un nome per identificare la funzione (es. regole firewall per officina) e premere OK. Selezionare l’oggetto appena creato, un click con il tasto destro e cliccare su “modifica”.

Se avete eseguito correttamente le istruzioni del primo punto o del secondo ora avrete di fronte agli occhi l’Editor gestione Criteri di Gruppo

Editor gestione Criteri di Gruppo

Per spostarci tra le innumerevoli voci utilizziamo l’alberatura nella parte sinistra della finestra. Quindi il percorso che dobbiamo raggiungere è questo:

Configurazione computer
-Criteri
–Modelli amministrativi: definizioni di criteri…
—Rete
—-Connessioni di rete
—–Windows Firewall
——Profilo di dominio

Dopo aver selezionato l’ultima voce guardiamo la finestra a destra alla ricerca di “Windows Firewall: definisci eccezioni porte in ingresso” (il risultato dovrebbe essere come quello qui sotto ma con lo stato non configurato).

Fare click con il tasto destro sulla voce selezionata in blu e un altro click su “Modifica”.

Innanzitutto occorre attivare la regola selezionando “Attivata” poi nel riquadro delle opzioni c’è un innocuo tasto “Mostra…” (che posizionato in quel modo non mi sognerei mai di usare) che permette di editare le regole del firewall.

Ecco una nuova finestra “Mostra Contenuto”

Io ho già inserito alcune regole. Vi spiego come si legge. Il segno “:” divide i campi.

Ci sono 5 campi da inserire per compilare la regola li commento da sinistra verso destra:

  1. numero della singola porta da aprire (valore numerico da 1 a 65536)
  2. protocollo di comunicazione (valori ammessi TCP oppure UDP)
  3. indirizzo ip della sorgente (cioè il pc risponderà a tutte le richieste provenienti da questo indirizzo o da questa classe di indirizzi) nel formato CIDR.
  4. Stato della regola abilitata o disabilitata (valori ammessi: enabled/disabled)
  5. Commento mnemonico per poterla rintracciare.

Le nuove regole vanno inserite usando l’ultima riga della tabella che appare identificata con un asterisco ‘*’

Se ad esempio tutti i PC avessero un server telnet e dovessero rispondere solo al pc dell’amministratore on IP 192.168.1.100 la regola sarebbe questa:

23:TCP:192.168.1.100/32:enabled:telnet

Se la regole viene applicata ai server web e l’accesso avviene anche dall’esterno:

80:TCP:0.0.0.0:enabled:Server web

A inserimento terminato premere OK per confermare tutte le finestre aperte.

Ultimo controllo

Se è stato inserito il nuovo criterio di gruppo come ho spiegato manca un passaggio: occorre creare il collegamento (link) a questo criterio nell’unità organizzativa desiderata.

Applicazione dei criteri

Per applicare il criterio ai client è sufficiente un riavvio altrimenti è possibile aprire un prompt dei comandi come Amministratore e lanciare il comando

gpupdate /force

E’ possibile verificare che le regole applicate consultando il pannello di controllo.