Firewall

您可以使用組策略刪除本地防火牆策略嗎?

  • September 2, 2017

我希望所有域電腦上的遠端桌面只能從一個 IP 訪問。但是,Windows自行設置的所有電腦上的遠端桌面都有一個預設的本地允許入站規則,並且它允許所有IP。

有沒有辦法使用組策略刪除或禁用此本地防火牆規則?

我認為這不切實際,因為可以創建自定義規則,而您將無法涵蓋所有這些規則。可以使用組策略不應用本地規則,但這可能會破壞某些東西。

另一種方法是創建兩個拒絕規則。第一條規則拒絕遠端 IP 地址範圍 0.0.0.0-。第二條規則拒絕遠端 IP 地址範圍。例如,要允許 IP 地址 10.1.2.3:

TCP/3389 拒絕規則 1:拒絕遠端地址範圍:0.0.0.0-10.1.2.2

TCP/3389 拒絕規則 2:拒絕遠端地址範圍:10.1.2.4-255.255.255.255

當然,您應該為您的一個 IP 地址創建一個 TCP/3389 允許規則。

您還應該為 UDP/3389 創建兩個拒絕規則,因為現代 Windows 作業系統可能使用 UDP,除非您為遠端桌面配置了組策略以僅使用 TCP。或者,如果您不想要或不需要它,只需為所有地址創建一個 UDP/3389 防火牆拒絕規則。

引用自:https://serverfault.com/questions/871777