ФУНДАМЕНТАЛЬНЫЕ ИССЛЕДОВАНИЯ
Я искренне верю, что такие вопросы, как этот: Использование GPO в домене Active Directory для отключения рабочих станций Windows Firewall - как? существовал потому, что администраторов Windows вообще давно учили, что:
«при работе с доменным компьютером проще всего просто включить в домен объект групповой политики для отключения брандмауэра Windows ... это в конечном итоге приведет к гораздо меньшим страданиям». - случайные IT-инструкторы / наставники из прошлых лет
Я также могу сказать, что в большинстве компаний, которые я проделал для этого побочную работу, был случай, когда объект групповой политики как минимум отключил брандмауэр Windows для профиля домена, а при WORST отключил его также для общедоступного профиля.
Более того, некоторые отключат его для самих серверов: отключите брандмауэр для всех сетевых профилей в Windows Server 2008 R2 через GPO
В статье Microsoft Technet по WINDOWS FIREWALL НЕ рекомендуется отключать брандмауэр Windows:
Поскольку брандмауэр Windows в режиме повышенной безопасности играет важную роль в защите компьютера от угроз безопасности, мы рекомендуем не отключать его, если не установлен другой брандмауэр от надежного поставщика, который обеспечивает эквивалентный уровень защиты.
Этот вопрос ServerFault задает реальный вопрос: можно ли отключить брандмауэр в локальной сети с помощью групповой политики? - и эксперты здесь даже смешаны в своем мнении.
И поймите, я не имею в виду отключение / включение СЕРВИСА. Как я могу сделать резервную копию своей рекомендации НЕ отключать службу брандмауэра Windows? - чтобы было ясно, что речь идет о том, включает ли служба брандмауэра брандмауэр или отключает его.
ВОПРОС НА РУКУ
Итак, я возвращаюсь к названию этого вопроса ... что можно сделать, чтобы правильно включить брандмауэр Windows в домене? Специально для клиентских рабочих станций и их профиля домена.
Прежде чем просто переключать объект групповой политики с «Отключено» на «Включено», какие шаги планирования следует предпринять, чтобы убедиться, что переключение коммутатора не приводит к внезапному отказу критически важных клиент-серверных приложений, допустимого трафика и т. Д. Большинство мест не потерпят здесь «поменяй его и посмотри, кто звонит в службу поддержки».
Имеются ли в Microsoft контрольные списки / утилиты / процедуры для решения такой ситуации? Вы сами были в такой ситуации и как с этим справились?
источник
windows server by default disables the firewall
Это не правда .domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain
Кроме того, не соответствует действительности - вы смотрели на объекты групповой политики, доступные для управления им в последние 6 лет? Сейчас не 2003,the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work
когда вы устанавливаете AD DS, исключения, необходимые для всего этого, предварительно настроены на контроллерах доменаОтветы:
What can be done to properly re-enable the Windows firewall on a domain?
Ну, краткий ответ: если вы решите двигаться вперед, будет много работы, и, к сведению, я не уверен, что смогу.
В общем случае клиентские брандмауэры не обеспечивают достаточной безопасности в корпоративной сети (которая обычно имеет аппаратные брандмауэры и контролирует подобные вещи на грани), и авторы вредоносных программ в наши дни достаточно умны, чтобы использовать порт 80 для своего трафика, потому что практически никто не блокирует этот порт, так что вы приложите немало усилий, чтобы обеспечить что-то ограниченное для безопасности.
Сказав это, длинный ответ:
allow all
правила и настроить ведение журнала, это будет сокровищницей данных для определения того, какие приложения вам нужны, которые требуют исключений брандмауэра.источник
Изменить: я просто хотел бы заявить, что нет ничего плохого по сути с брандмауэром Windows. Это вполне приемлемая часть общей стратегии глубокоэшелонированной защиты. Дело в том, что большинство магазинов слишком некомпетентны или слишком ленивы, чтобы пытаться выяснить, какие правила брандмауэра необходимы для приложений, которые они запускают, и поэтому они просто принудительно отключают его повсеместно.
Например, если брандмауэр Windows не позволяет контроллерам домена выполнять свою работу, то это потому, что вы не знали, какие порты Active Directory были необходимы до включения брандмауэра, или потому, что вы неправильно настроили политику.
Это суть вопроса.
Во-первых, общайтесь с вашими менеджерами проектов, вашими руководителями, заинтересованными сторонами, вашим консультативным кабинетом по изменениям, независимо от того, что происходит в вашей компании, и сообщайте им всем, что вы будете проходить постепенное исправление с использованием брандмауэра Windows, чтобы увеличить общее положение безопасности вашей среды.
Убедитесь, что они понимают, что есть риски. Да, конечно, мы сделаем все от нас зависящее, все планирование, которое мы можем, чтобы не было никаких перерывов, но не давали никаких обещаний. Попытка превратить старый домен в форму - тяжелая работа.
Затем вы должны провести инвентаризацию приложений, которые используются в вашей среде, и какие порты им требуются. В зависимости от окружающей среды это может быть очень сложно. Но это должно быть сделано. Мониторинг агентов? Агенты SCCM? Антивирусные агенты? Список можно продолжить.
Разработайте объект групповой политики брандмауэра Windows, включающий настраиваемые правила для корпоративных приложений. Вам может потребоваться несколько политик с разными областями действия, которые применяются к разным серверам. Например, отдельная политика, которая применяется только к веб-серверам для портов 80, 443 и т. Д.
Встроенные политики брандмауэра Windows будут очень полезны для вас, поскольку они идеально подходят для наиболее распространенных действий Windows. Эти встроенные правила лучше, потому что они не просто открывают или закрывают порт для всей системы - они относятся к очень специфическим процессам и действиям протокола, происходящим на машине, и т. Д. Но они не охватывают ваши пользовательские приложения. поэтому добавьте эти правила в политики в качестве вспомогательных ACE.
Сначала разверните в тестовой среде, если это возможно, а при развертывании в производство - сначала в ограниченном количестве. Не просто добавьте объект групповой политики на весь домен с первого раза.
Последнее утверждение, пожалуй, лучший совет, который я могу вам дать - разверните изменения в очень маленьких контролируемых областях.
источник
Хорошо, я собираюсь предложить что-то, что может или не может доставить вам неприятности, но это то, что я использую, когда я включаю брандмауэр.
Nmap. (Подойдет любой сканер портов.) Боюсь, я не доверяю документации о том, какие порты используются. Я хочу увидеть для себя.
Предыстория: я из академической среды, где ноутбуки студентов терлись локтями с нашими серверами (тьфу!). Когда я начал использовать nmap на своих собственных серверах, у нас тоже не было IDS, поэтому я мог nmap по желанию, и никто не заметил бы. Затем они внедрили IDS, и я получил электронные письма, в которых было написано: «Сканирование сетевого порта атакует ваш сервер с вашей рабочей станции !!!!!» и я отвечал и говорил: «Да, это я». Хех. Через некоторое время у них появилось чувство юмора по этому поводу. ;)
Я также использовал nmap на рабочих станциях, например, для поиска conficker . Nmap, вероятно, включит порты управления AV, любые другие порты программного обеспечения для управления и т. Д. (Рабочий стол будет очень раздражительным, если вы сломаете его программное обеспечение для управления.) В зависимости от вашей среды он также может вызвать неавторизованное программное обеспечение.
Тем не мение. В некоторых средах о Nmap будет волноваться, а некоторые даже не заметят. Я обычно только nmap мои собственные серверы или рабочие станции для определенной цели, что помогает. Но да, вы, вероятно, хотите прояснить, что вы будете запускать сканирование портов со всеми, кто может вас испугать.
Тогда вы знаете. Что сказал Райан Райс Управление / управление изменениями / групповая политика / и т. Д.
источник
nmap
может быть целью и удушением. Если вы уже несете ответственность за сетевые операции или иным образом участвуете в них, вы просто сообщаете всем заинтересованным сторонам, что вы обследуете сеть, и никому не нужно «сходить с ума».Я не верю, что у Microsoft есть какие-либо утилиты на этот счет, но если бы я использовал брандмауэр Windows в нашем домене (он включен там, где я работаю), я бы гарантировал следующее:
Серверы немного другого зверя. В настоящее время у меня отключен брандмауэр для наших серверов, потому что его включение вызвало много проблем даже с исключениями. В основном вы должны применить общую политику «скелета» для всех серверов (например, запретить небезопасные порты), затем перейти на каждый сервер и индивидуально настроить параметры. Из-за этого я вижу причину, по которой многие ИТ-специалисты просто отключают брандмауэр. Ваш брандмауэр по периметру должен защищать эти машины достаточно без собственных брандмауэров. Однако иногда стоит отдельно настроить серверы для сред с высокой степенью безопасности.
В дополнение к этому, брандмауэр Windows также управляет использованием IPsec, поэтому, если он используется, вам все равно нужен брандмауэр.
источник