TŁO / BADANIA
Szczerze wierzę, że takie pytania: Używanie GPO w domenie Active Directory w celu wymuszenia wyłączenia Zapory systemu Windows na stacjach roboczych - w jaki sposób? istniało, ponieważ administratorów systemu Windows już dawno nauczono, że:
„najłatwiejszą rzeczą do zrobienia w przypadku komputera z domeną jest po prostu posiadanie obiektu GPO w domenie w celu wyłączenia Zapory systemu Windows… spowoduje to o wiele mniej bólu serca”. - losowi instruktorzy / mentorzy IT z minionych lat
Mogę również powiedzieć, że w MOST firmach zrobiłem pracę poboczną, w tym przypadku GPO przynajmniej wyłączało Zaporę systemu Windows dla profilu domeny, a w WORST wyłączało to również dla profilu publicznego.
Co więcej, niektórzy wyłączą go dla samych serwerów: Wyłącz zaporę dla wszystkich profili sieciowych w systemie Windows Server 2008 R2 przez GPO
Artykuł Microsoft Technet na temat WINDOWS FIREWALL zaleca NIE WOLNO wyłączać Zapory systemu Windows:
Ponieważ Zapora systemu Windows z zaawansowanymi zabezpieczeniami odgrywa ważną rolę w ochronie komputera przed zagrożeniami bezpieczeństwa, zalecamy, aby go nie wyłączać, chyba że zainstalujesz inną zaporę od renomowanego dostawcy, który zapewnia równoważny poziom ochrony.
To pytanie ServerFault dotyczy prawdziwego pytania: Czy można wyłączyć zaporę w sieci LAN za pomocą zasad grupy? - a eksperci tutaj są nawet mieszani.
I rozumiem, że nie mam na myśli wyłączania / włączania usługi: Jak mogę wykonać kopię zapasową mojej rekomendacji, aby NIE wyłączać usługi Zapory systemu Windows? - aby było jasne, że chodzi o to, czy usługa zapory włącza zaporę, czy nie.
PYTANIE NA RĘKĘ
Wracam więc do tytułu tego pytania ... co można zrobić, aby poprawnie ponownie włączyć zaporę systemu Windows w domenie? Specjalnie dla klienckich stacji roboczych i ich profilu domeny.
Przed prostym przełączeniem obiektu zasad grupy z Wyłączone na Włączone, jakie kroki planowania należy podjąć, aby upewnić się, że przełączenie przełącznika nie spowoduje, że krytyczne aplikacje klient / serwer, dopuszczalny ruch itp. Nagle przestaną działać? Większość miejsc nie będzie tolerować sposobu myślenia „zmień i zobacz, kto dzwoni do działu pomocy technicznej”.
Czy Microsoft udostępnia listy kontrolne / narzędzia / procedury do obsługi takiej sytuacji? Czy sam byłeś w tej sytuacji i jak sobie z tym poradziłeś?
źródło
windows server by default disables the firewall
To nie jest prawda .domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain
również nieprawda - czy spojrzałeś na GPO dostępne do zarządzania nim w ciągu ostatnich 6 lat? To już nie jest 2003the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work
Po zainstalowaniu AD DS wyjątki potrzebne do tego wszystkiego są wstępnie skonfigurowane na DCOdpowiedzi:
What can be done to properly re-enable the Windows firewall on a domain?
Cóż, krótka odpowiedź jest taka, że będzie dużo pracy, jeśli zdecydujesz się pójść naprzód, a dla przypomnienia, nie jestem pewien, czy bym to zrobił.
W ogólnym przypadku zapory ogniowe klienta nie zapewniają dużego bezpieczeństwa w sieci korporacyjnej (która zwykle ma zapory sprzętowe i kontroluje tego rodzaju rzeczy na krawędzi), a autorzy złośliwego oprogramowania są obecnie wystarczająco inteligentni, aby używać portu 80 do ruchu, ponieważ praktycznie nikt nie blokuje tego portu, więc wiele wysiłku wkładasz w to, aby zapewnić ograniczone korzyści bezpieczeństwa.
Mimo to długa odpowiedź brzmi:
allow all
reguły i ustawić rejestrowanie, będzie to skarbnica danych umożliwiająca określenie, jakie aplikacje posiadasz, które wymagają wyłączenia zapory.źródło
Edycja: Chciałbym tylko stwierdzić, że z Zaporą systemu Windows nie ma nic złego. Jest to całkowicie akceptowalna część ogólnej strategii dogłębnej obrony. Faktem jest, że większość sklepów jest zbyt niekompetentna lub zbyt leniwa, aby niepokoić się, aby dowiedzieć się, jakie reguły zapory są potrzebne dla uruchomionych aplikacji, więc po prostu wymuszają to.
Jeśli na przykład Zapora systemu Windows uniemożliwia kontrolerom domeny wykonywanie ich zadań, dzieje się tak dlatego, że przed włączeniem zapory nie wiedziałeś, jakich portów potrzebuje Active Directory, lub dlatego, że zasady zostały niepoprawnie skonfigurowane.
To jest sedno sprawy.
Po pierwsze, skontaktuj się z kierownikami projektu, szefami, interesariuszami, doradcą ds. Zmian, niezależnie od tego, jaki proces ma miejsce w Twojej firmie, i poinformuj ich wszystkich, że będziesz przechodził stopniowe działania naprawcze obejmujące Zaporę systemu Windows w celu zwiększenia ogólnej postawa bezpieczeństwa twojego środowiska.
Upewnij się, że rozumieją, że istnieje ryzyko. Tak, oczywiście, że zrobimy wszystko, co w naszej mocy, całe nasze planowanie, aby zapewnić, że nie będzie żadnych zakłóceń, ale nie składaj żadnych obietnic. Próba przekształcenia starej domeny w kształt jest ciężką pracą.
Następnie musisz dokonać inwentaryzacji aplikacji używanych w twoim środowisku i wymaganych portów. W zależności od środowiska może to być bardzo trudne. Ale trzeba to zrobić. Agenci monitorujący? Agenci SCCM? Agenty antywirusowe? I tak dalej.
Opracuj obiekt zasad grupy Zapory systemu Windows, który zawiera niestandardowe reguły dla aplikacji korporacyjnych. Możesz wymagać wielu zasad o różnych zakresach, które dotyczą różnych serwerów. Na przykład osobna zasada, która dotyczy tylko serwerów sieciowych dla portów 80, 443 itp.
Wbudowane zasady Zapory systemu Windows będą bardzo pomocne, ponieważ są doskonale dostosowane do większości typowych działań systemu Windows. Te wbudowane reguły są lepsze, ponieważ nie tylko otwierają lub zamykają port dla całego systemu - są dostosowane do bardzo specyficznej aktywności procesów i protokołów zachodzących na komputerze itp. Ale nie obejmują twoich niestandardowych aplikacji , więc dodaj te reguły do zasad jako pomocnicze pozycje ACE.
W miarę możliwości najpierw wypuść go w środowisku testowym, a po wdrożeniu do produkcji najpierw w ograniczonych porcjach. Nie po prostu plopuj GPO w całej domenie za pierwszym razem.
To ostatnie stwierdzenie jest prawdopodobnie najlepszą radą, jaką mogę ci dać - wprowadzaj zmiany w bardzo małych, kontrolowanych zakresach.
źródło
Okej, mam zamiar zasugerować coś, co może sprawić ci kłopoty, ale tego właśnie używam, kiedy włączam zaporę ogniową.
Nmap. (Zrobiłby to dowolny skaner portów.) Obawiam się, że nie ufam dokumentacji używanych portów. Chcę się przekonać.
Tło: Pochodzę ze środowiska akademickiego, w którym laptopy studentów pocierały łokcie naszymi serwerami (Ugh!). Kiedy zacząłem używać nmap na własnych serwerach, nie mieliśmy też IDS, więc mogłem nmap do woli i nikt by tego nie zauważył. Następnie wdrożyli IDS i otrzymałem e-maile, które w zasadzie mówiły: „ATAK PORTU SIECIOWEGO NA TWOIM SERWERZE Z TWOJEJ STACJI ROBOCZEJ !!!!!” a ja odpowiadam i mówię: „Tak, to ja”. Heh Po pewnym czasie rozwinęli w tym poczucie humoru. ;)
Użyłem również nmap na stacjach roboczych, na przykład, aby wyszukać conficker . Nmap prawdopodobnie podkręci porty zarządzania AV, wszelkie inne porty oprogramowania zarządzającego itp. (Pulpit będzie bardzo niewygodny, jeśli zepsujesz ich oprogramowanie zarządzające.) Może również włączyć nieautoryzowane oprogramowanie, w zależności od środowiska.
Tak czy siak. Niektóre środowiska wariują na temat nmap, a niektóre nawet tego nie zauważą. Generalnie nmapuję tylko własne serwery lub stacje robocze do określonego celu, co pomaga. Ale tak, prawdopodobnie chcesz wyjaśnić, że będziesz przeprowadzać skanowanie portów z każdym, kto może cię przerazić.
Więc wiesz. Co powiedział Ryan Ries. Zarządzanie / zarządzanie zmianą / polityka grupy / itp.
źródło
nmap
można celować i dławić. Jeśli jesteś już odpowiedzialny lub w inny sposób zaangażowany w operacje sieciowe, po prostu komunikujesz wszystkim interesariuszom, że przeglądasz sieć, i nikt nie musi się wystraszyć.Nie wydaje mi się, aby Microsoft miał w tym zakresie jakieś narzędzia, ale jeśli miałbym korzystać z Zapory systemu Windows w naszej domenie (jest włączony tam, gdzie pracuję), zapewniłbym:
Serwery to trochę inna bestia. Obecnie mam firewall wyłączony na naszych serwerach, ponieważ umożliwia to spowodowało wiele problemów nawet z wyjątkami w miejscu. Zasadniczo musisz zastosować ogólną zasadę „szkieletu” dla wszystkich serwerów (na przykład nie zezwalając na niebezpieczne porty), a następnie przejść do każdego serwera i indywidualnie dostosować ustawienia. Z tego powodu widzę powód, dla którego wielu informatyków po prostu wyłącza zaporę. Zapora sieciowa powinna wystarczająco chronić te maszyny bez ich własnych zapór. Czasami jednak warto starać się indywidualnie konfigurować serwery dla środowisk o wysokim poziomie bezpieczeństwa.
Na marginesie, Zapora systemu Windows również reguluje użycie protokołu IPsec, więc jeśli jest używany, i tak potrzebujesz zapory.
źródło