以 PowerShell 處理 Windows Server 防火牆規則

修改防火牆規則可執行【wf.msc】開啟圖形介面來修改 Windows Server 防火牆，那如果想透過程式或 PowerShell 方式來處理該怎麼做呢?

底下簡列幾種常用的命令

 

列出所有目前已啟用的規則

 Get-NetFirewallRule | Where-Object {$_.Enabled -eq "True"} | Format-Table -Property DisplayName, Direction, Action, Enabled

啟用 https 開啟443 port，底下的規則名稱為 Allow HTTPS
 New-NetFirewallRule -DisplayName "Allow HTTPS" -Direction Inbound -LocalPort 443 -Protocol TCP -Action Allow

停用規則

• 停用檔案分享規則
• Disable-NetFirewallRule -DisplayName "File and Printer Sharing (SMB-In)"
• 停用遠端桌面規則，名稱改為【Remote Desktop - User Mode (TCP-In) 和 Remote Desktop - User Mode (UDP-In)】
• 停用遠端管理Windows Management Instrumentation (WMI) 規則
• 停用NetBIOS規則，名稱改為【NetBIOS Name Service (NB-Name-In)】
• 停用LLMNR規則，名稱改為【Link-Local Multicast Name Resolution (LLMNR-In)】

 

封鎖所有入站連線，除了允許的例外規則

 Set-NetFirewallProfile -Profile Domain,Public,Private -DefaultInboundAction Block

Windows Server 預設允許所有出站連線，如果你需要更嚴格的控制，也可以選擇僅允許 HTTPS 相關的出站流量

開啟必要的出站規則
Set-NetFirewallProfile -Profile Domain,Public,Private -DefaultOutboundAction Block

允許 HTTPS 出站流量

New-NetFirewallRule -DisplayName "Allow HTTPS Outbound" -Direction Outbound -LocalPort 443 -Protocol TCP -Action Allow

~END

 

【AD】部屬 Google Chrome ，下載完整安裝檔

當AD要部屬 Google Chrome 時，需要Chrome 的完整安裝檔，這樣該怎麼下載呢?

平常下載 Google Chrome 安裝檔案時，只會下載導引安裝檔 (大約8MB) 但實際安裝 Chrome 的完整安裝檔約 121 MB，那該怎麼下載完整安裝檔呢?

一般安裝下載檔案：
https://www.google.com/chrome 

下載完整安裝檔 (安裝時無須再從網路下載、EXE格式)：

https://www.google.com/chrome/?standalone=1

那要指定到網域 AD 的安裝檔案需要 MSI 格式，該怎麼下載呢? 

https://chromeenterprise.google/products/chrome-enterprise/

可以透過上面連結或者搜尋 【Google Chrome enterprise msi】

下面畫面選 MSI 格式下載，就可以套用在AD 的軟體安裝

 

 指定使用者那些軟體自動安裝

 

 設定之後，使用者的電腦並不會馬上自動安裝，可透過執行  gpupdate /force 來更新。

~END

【AD】取消使用者使用登錄編輯程式 - regedit

 

  此目的是希望AD域管下的使用者不能進行電腦內的 登錄編輯程式 regedit 自行修改，避免造成漏洞或其他危害。

此作用可以套用在域管電腦或者使用者，就看管理者想怎麼管理，我是套用在使用者，這樣方便針對某些使用者做出允許的可能。

 

Step 1：進入 windows AD 群組原則管理編輯器

系統管理範本 -> 系統 -> 防止存取登錄編輯工具

 

 

Step 2：開啟防止存取登錄編輯工具

-1. 設定【啟用】

-2. 選擇【是】

 套用成功後，使用者開啟登錄編輯程式 - regedit，就會看到最上面的錯誤訊息。

~END