防火墙和IP安全策略配置

一、 1、实现不了，需要第三方方案 2、Windows系统本身无此功能，第三方软件或许可以，比如共享文件夹不允许任何形式拿走文件的需求给微软开过单，微软实现不了，第三方软件方案比如https://cloud.tencent.com/developer/article/1871398 二、 普通用户做不了管理员用户的配置 需要远程的用户加远程用户组 需要能改系统配置的用户加管理员组 服务器自带功能有限，第三方安全软件，比如服务器安全狗（https://www.safedog.cn/about.html）有多维度安全策略，比如通过客户端电脑主机名来设置允许/禁止 1、组策略配置禁止远程桌面会话主机的设备和资源重定向策略 2、指定用户加入remote desktop users组，不在该组的用户则远程不了，禁止访问所有外网通过IP安全策略可实现 3、访问指定IP通过IP安全策略实现 4、不允许修改系统配置的用户（非管理员）不能做修改，包括但不限于重启/关闭机器、以管理员身份运行命令、修改注册表、修改组策略、修改防火墙、修改IP安全策略、修改本地用户和组等配置，普通用户权限即可 防火墙、IP安全策略配置说明： 1、清空防火墙出/入站规则、保持防火墙开启的情况下，是：入站禁止所有、出站放行所有

2、放行端口在防火墙入站规则放行，IP范围在IP安全策略把控 3、IP安全策略(secpol.msc)配置技巧： ①先配IP范围（出或入方向的IP、协议、端口）和 动作（允许/禁止） ②创建IP安全策略（创建过程中选①中创建的IP范围，并对选定的IP范围应用①中创建的动作） ③应用IP安全策略 举例：仅允许221.218.140.195、111.206.145.0/24段的客户端访问服务器3389端口，且仅允许服务器跟115.159.148.149的80端口、221.218.140.195和111.206.145.0/24的所有端口交互，其他的全部禁止 1、确保windows firewall服务是运行状态，这样运行wf.msc后才能操作防火墙规则。运行wf.msc，然后用鼠标和shift键选中所有启用的规则，右键禁止所有规则（相当于清空规则），然后创建放行3389的入站规则，创建时不要在意IP范围，简单配置本地ALL、远程ALL即可，

2、配置好后，开启防火墙，步骤： ①运行services.msc找到windows firewall服务，看下是否是运行中，如果不是开启下；如果不是运行中、且是禁止状态，先调整成自动状态，然后开启下。

如果不是运行中、是自动状态，防火墙启动报 “错误代码 87”，需要删掉HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall 。

如果不是运行中、是自动状态，防火墙启动报"错误 1068: 依赖服务或组无法启动"，请检查Base Filtering Engine（即BFE）是不是运行中，不是的话启动BFE，然后查看系统日志，如果是相关驱动问题，修正驱动问题后再启动防火墙，如果驱动服务（mpsdrv）的注册表和对应驱动文件（‪C:\Windows\System32\drivers\mpsdrv.sys）都没有问题，但还是报这个错，那就只能用sfc /scannow试试了，sfc修不好基本就没戏了，只能备份数据后重装系统。

发现mpsdrv.sys的路径好像不对，跟正常系统对比，发现正常系统就是这样的，但是与其他服务对比发现，还是有差异的，环境变量核实了没有变化，先尝试改成%systemroot%\system32\drivers\mpsdrv.sys试试，改了后重启机器还是报一样的错

以管理员身份执行sfc /scannow发现系统文件有损坏，仔细跟正常系统对比，发现C:\Windows目录少了好些文件夹，并且还发现这篇文档描述的问题，运行不同的.msc命令，有的正常，有的报错【MMC无法创建管理单元 此管理单元可能没有正确安装】，报错界面有个CLSID:FX:{GUID}，解决方案是核实C:\windows\assembly 这个目录是否存在，不存在的话，用相同公共镜像买一台新机器，把这个目录打包解压到问题机器的同位置，损坏的.msc命令就恢复了，但是防火墙服务一直报错，不知道是哪些文件损坏引起的，反正微软推荐的这几句命令修不好，无奈，最后只能备份数据重装系统了。

sfc /scannow

DISM.exe /Online /Cleanup-image /Scanhealth

DISM.exe /Online /Cleanup-image /Checkhealth

DISM.exe /Online /Cleanup-image /Restorehealth

假设启动防火墙服务不存在问题，或者有问题都修好了，这是启用防火墙规则的前提。

②运行firewall.cpl打开防火墙规则开关

3、参考前述IP安全策略配置技巧配置IP安全策略，在IP范围上精细把控 ①IP组和动作

这里的IP组有4个，截图如下

②应用IP组和动作来创建IP安全策略

③右击应用IP安全策略