Triển khai Microsoft Defender Firewall

Giới thiệu Defender Firewall

Defender Firewall (tường lửa) là một thành phần của Microsoft Defender, được tích hợp sẵn trong hệ điều hành Windows giúp bảo vệ máy tính của bạn khỏi các mối đe dọa mạng bằng cách kiểm soát lưu lượng mạng vào và ra.

Các cấu hình tường lửa này có thể được thực hiện ở nhiều nơi như:

• Firewall Policy
• Device Configuration Profile (DCP)
• Microsoft Defender for Endpoint Baseline

Tuy nhiên DCP và MDE Baseline có thêm các danh mục cài đặt bổ sung không liên quan đến tường lửa và do đó có thể làm phức tạp thêm nhiệm vụ chỉ cấu hình cài đặt tường lửa cho môi trường của bạn. Bài viết này sẽ hướng dẫn thực hiện thông qua Firewall Policy trên Microsoft Intune, giúp cấu hình và quản lý tập trung tường lửa trên thiết bị của người dùng.

Hệ điều hành hỗ trợ Firewall Profiles

Hiện tại Firewall Profile chỉ mới hỗ trợ hệ điều hành Windows và MacOS, chi tiết như bên dưới

• Hệ điều hành:
  • Windows 10
  • Windows 11
  • Windows Server 2012 R2 trở lên
  • Các phiên bản được hỗ trợ của macOS

Use case

Cấu hình kích hoạt chức năng tường lửa trên thiết bị không cho người dùng tắt

Cho phép sử dụng giao thức RDP kết nối từ xa từ một thiết bị an toàn đến một subnet trong mạng nội bộ.

Cấu hình Windows Firewall

Trên Microsoft Intune portal ở địa chỉ https://intune.microsoft.com, vào mục Endpoint security > Manage > Firewall > Create Policy.

Chọn Windows ở mục Platform và Windows Firewall ở mục Profile > Create.

Giao diện Create Policy hiện ra gồm một số thiết lập chính:

Name: Đặt tên cho chính sách vào ô Name và phần mô tả vào ô Description.

Configuration settings: cấu hình những thiết lập của Firewall trên hệ thống. Mặc định các chức năng đều ở trạng thái Not configured (chưa cấu hình). Bạn có thể cấu hình các chức năng nằm trên cùng gọi là Global Settings và sau đó đến các profile dành riêng cho Domain, Private và Public.

Kích hoạt chức năng của Firewall bằng cách chuyển sang trạng thái True cho 3 mục bên dưới:

• Enable Domain Network Firewall: kích hoạt chức năng tường lửa cho hệ thống mạng domain
• Enable Private Network Firewall: kích hoạt chức năng tường lửa cho hệ thống mạng riêng tư
• Enable Public Network Firewall: kích hoạt chức năng tường lửa cho hệ thống mạng công cộng

Ngoài ra ở phần Auditing chọn Success + Failure cho 2 thiết lập:

• Object Access Audit Filtering Platform Connection
• Object Access Audit Filtering Platform Packet Drop

Scope tags: chọn Next

Assignments: Chọn chọn nhóm thiết bị muốn áp dụng chính sách này.

Review + create: xem lại chính sách và nhấn nút Save để tạo.

Cấu hình Firewall Rule

Firewall Rule xác định các quy tắc chi tiết cho Firewall, bao gồm các cổng, giao thức, ứng dụng và mạng cụ thể, với mục tiêu cho phép hoặc chặn các network traffic. Mỗi instance của cấu hình này hỗ trợ tối đa 150 quy tắc tùy chỉnh.

Trên Microsoft Intune portal ở địa chỉ https://intune.microsoft.com, vào mục Endpoint security > Manage > Firewall > Create Policy.

Chọn Windows ở mục Platform và Windows Firewall Rules ở mục Profile > Create.

Giao diện Create Policy cấu hình gồm một số bước sau:

Name: Đặt tên cho chính sách vào ô Name và phần mô tả vào ô Description

Configuration settings: chọn Add để thêm mới một Rule mới cho Firewall. Trong tình huống này chúng ta sẽ tiến hành cấu hình cho phép sử dụng RDP bằng cách nhấn vào nút Add. Tại đây điền các thông tin gồm:

• Name: đặt tên cho Rule, ví dụ trong trường hợp này là ‘Allow RDP in local network’
• Action: chọn một trong hai hành động là Allow (cho phép thực hiện) và Block (không cho phép thực hiện). Trong ví dụ này này chọn Allow
• Edit instance: cấu hình chi tiết cho rule. Trong ví dụ này sẽ cho phép kết nối RDP thông qua cổng 3389 từ IP 192.168.197.4 đến subnet 192.168.198.0/24. Có thể tham khảo các cấu hình như bên dưới, xong nhấn Save.
  • Direction: The rule applies to Inbound traffic
  • Local Port Ranges: 3389
  • Enabled: Enabled
  • Remote Address Range: 192.168.197.4
  • Interface Types: All
  • Protocol: 6
  • Local Address ranges: 10.2.3.0/24

Trong đó ở phần Protocol, 6 là con số đại diện cho TCP và 17 đại diện cho UDP.

Scope tags: chọn Next

Assignments: Chọn chọn nhóm thiết bị muốn áp dụng chính sách.

Review + create: xem lại chính sách và nhấn nút Save để tạo.

Quản lý tập trung các thiết lập tường lửa

Trên Microsoft Intune vào phần Endpoint Security > Firewall. Danh sách các thiết bị đã enroll vào Intune nhưng tắt tường lửa sẽ hiển thị trên thẻ MDM devices running Windows 10 or later with firewall off, và dựa vào đây bạn có thể thiết lập chính sách áp dụng phù hợp. Các thiết bị này sẽ có phần Firewall status là limited như hình minh họa bên dưới.

Ngoài ra trên thẻ Summary, chọn vào chính sách đã tạo sẽ thấy báo cáo danh sách tất cả người dùng/thiết bị có hiệu lực với chính sách. Cũng tại đây những thiết bị gặp sự cố cũng sẽ xuất hiện để bạn có thể tiến hành xử lý sự cố.

Trải nghiệm của người dùng cuối

Ở góc độ của người dùng cuối, khi chính sách về tường lửa được triển khai và áp dụng thông qua Intune, họ sẽ không thể thay đổi các thiết lập.

Kiểm tra cấu hình Defender Firewall

Trên máy người dùng mở ứng dụng Windows Security > Firewall & Network Protection. Truy cập vào mục Domain network sẽ thấy tùy chọn ‘This setting is managed by your administrator’ và người dùng sẽ không có tùy chọn tắt chức năng tường lửa.

Kiểm tra tương tự cho tường lửa ở phần Private network và Public network.

Kiểm tra cấu hình Windows Defender Firewall Rule

Trong hộp thoại Run gõ wf.msc để mở giao diện Windows Defender Firewall with Advanced Security. Truy cập Monitoring > Firewall và kiểm tra sẽ thấy Firewall rule vừa tạo trong danh sách. Mở rule sẽ thấy chi tiết các cấu hình đã tạo.