本文详细介绍了如何通过组策略对象编辑器启用Windows防火墙的IPSec例外,允许经过验证的IPSec通信绕过防火墙。步骤包括打开组策略编辑器,启用特定设置,并输入安全描述符定义语言(SDDL)字符串来定义允许的组。此过程适用于需要特定系统间安全通信的环境,且需要管理员权限才能执行。注意,该设置不能通过控制面板或netsh firewall命令更改,且禁用策略会删除SDDL字符串。
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼
允许 IPSec 通信绕过 Windows 防火墙
1.
请打开组策略对象编辑器管理单元,以编辑用于管理您的组织内的 Windows 防火墙设置的组策略对象 (GPO)。
2.
依次打开“计算机配置”、“管理模板”、“网络”、“网络连接”,然后单击“Windows 防火墙”。
3.
在详细信息窗格中,双击“Windows 防火墙: 允许通过验证的 IPSec 绕过”。
4.
在“Windows 防火墙:允许通过验证的 IPSec 绕过属性”对话框中的“设置”选项卡上,请单击“启用”。
5.
在“将 IPSec 对等定义为被排除在防火墙策略之外”中,键入与应用该策略的计算机的组帐户对应的安全描述符定义语言 (SDDL) 字符串,然后单击“确定”。
注意
• 要执行该过程,您必须是本地计算机上 Administrators 组的成员,或者您必须被委派了适当的权限。如果计算机已加入某个域,则 Domain Admins 组的成员可能会执行该过程。详细信息,请参阅默认本地组和默认组。
• Windows Server 2003 操作系统的原始发行版中不包括 Windows 防火墙。
• 该过程允许从使用 IPSec 进行验证的指定系统传入未经请求的通信。
• 不能使用“控制面板”中的“Windows 防火墙”或 netsh firewall 命令执行此过程。
• 单个组的 SDDL 字符串的格式是:
O:DAG:DAD:(A;;RCGW;;;SID)
其中,SID 是组帐户的安全标识符 (SID)。
• 可以使用 Getsid.exe 工具获取组帐户的 SID。Getsid.exe 通常用于对比在不同域控制器上的两个帐户的 SID,但也可以使用它获取指定用户帐户或组帐户的 SID。有关 Getsid.exe 的详细信息,请参阅 Windows Server 2003 资源工具包网站。
• 如果有多个组,则 SDDL 字符串的语法为:
O:DAG:DAD:(A;;RCGW;;;SID1) (A;;RCGW;;;SID2) (A;;RCGW;;;SID3)...
• 如果启用了“Windows 防火墙:允许通过验证的 IPSec 绕过”策略设置,然后禁用了该策略设置或将其更改为“未配置”,那么 Windows 防火墙将会删除该 SDDL 字符串。
扫一扫
13
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
