Co można zrobić, aby poprawnie ponownie włączyć Zaporę systemu Windows w domenie?

15

TŁO / BADANIA

Szczerze wierzę, że takie pytania: Używanie GPO w domenie Active Directory w celu wymuszenia wyłączenia Zapory systemu Windows na stacjach roboczych - w jaki sposób? istniało, ponieważ administratorów systemu Windows już dawno nauczono, że:

„najłatwiejszą rzeczą do zrobienia w przypadku komputera z domeną jest po prostu posiadanie obiektu GPO w domenie w celu wyłączenia Zapory systemu Windows… spowoduje to o wiele mniej bólu serca”. - losowi instruktorzy / mentorzy IT z minionych lat

Mogę również powiedzieć, że w MOST firmach zrobiłem pracę poboczną, w tym przypadku GPO przynajmniej wyłączało Zaporę systemu Windows dla profilu domeny, a w WORST wyłączało to również dla profilu publicznego.

Co więcej, niektórzy wyłączą go dla samych serwerów: Wyłącz zaporę dla wszystkich profili sieciowych w systemie Windows Server 2008 R2 przez GPO

Artykuł Microsoft Technet na temat WINDOWS FIREWALL zaleca NIE WOLNO wyłączać Zapory systemu Windows:

Ponieważ Zapora systemu Windows z zaawansowanymi zabezpieczeniami odgrywa ważną rolę w ochronie komputera przed zagrożeniami bezpieczeństwa, zalecamy, aby go nie wyłączać, chyba że zainstalujesz inną zaporę od renomowanego dostawcy, który zapewnia równoważny poziom ochrony.

To pytanie ServerFault dotyczy prawdziwego pytania: Czy można wyłączyć zaporę w sieci LAN za pomocą zasad grupy? - a eksperci tutaj są nawet mieszani.

I rozumiem, że nie mam na myśli wyłączania / włączania usługi: Jak mogę wykonać kopię zapasową mojej rekomendacji, aby NIE wyłączać usługi Zapory systemu Windows? - aby było jasne, że chodzi o to, czy usługa zapory włącza zaporę, czy nie.

PYTANIE NA RĘKĘ

Wracam więc do tytułu tego pytania ... co można zrobić, aby poprawnie ponownie włączyć zaporę systemu Windows w domenie? Specjalnie dla klienckich stacji roboczych i ich profilu domeny.

Przed prostym przełączeniem obiektu zasad grupy z Wyłączone na Włączone, jakie kroki planowania należy podjąć, aby upewnić się, że przełączenie przełącznika nie spowoduje, że krytyczne aplikacje klient / serwer, dopuszczalny ruch itp. Nagle przestaną działać? Większość miejsc nie będzie tolerować sposobu myślenia „zmień i zobacz, kto dzwoni do działu pomocy technicznej”.

Czy Microsoft udostępnia listy kontrolne / narzędzia / procedury do obsługi takiej sytuacji? Czy sam byłeś w tej sytuacji i jak sobie z tym poradziłeś?

group-policy windows-firewall TheCleaner
źródło
3
serwer Windows domyślnie wyłącza zaporę. (przypuszczam, że zakładając, że zawsze będzie za dobrą zaporą korporacyjną). stacje robocze domeny zazwyczaj mają je wyłączone, ponieważ zapora systemu Windows jest PITA do pracy i konserwacji. Każda aplikacja potrzebuje specjalnych portów, DC wymiotuje dane na wielu portach itp. Wiele się dzieje, więc włączenie zapory systemu Windows zwykle prowadzi do poświęcenia dużo czasu na „naprawienie” tego, aby działały normalne aplikacje. Gdy tylko odejdziesz, będziesz musiał wrócić i naprawić to ponownie.
SnakeDoc
10
@SnakeDoc windows server by default disables the firewall To nie jest prawda . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain również nieprawda - czy spojrzałeś na GPO dostępne do zarządzania nim w ciągu ostatnich 6 lat? To już nie jest 2003 the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work Po zainstalowaniu AD DS wyjątki potrzebne do tego wszystkiego są wstępnie skonfigurowane na DC
MDMarra
12
Nie mam dosłownie pojęcia, jak ten komentarz jest teraz +3, skoro każdy pojedynczy punkt w nim poczyniony jest niezgodny z faktami. To jest teraz jak / r / sysadmin.
MDMarra
3
@MDMarra: Myślałem dokładnie o tym samym: „+3” w tym komentarzu. Chciałbym móc głosować za tym komentarzem. (Nie wydaje mi się, żeby flagowanie było słuszne, ale naprawdę mnie kusi ...)
Evan Anderson

Odpowiedzi:

19

What can be done to properly re-enable the Windows firewall on a domain?

Cóż, krótka odpowiedź jest taka, że ​​będzie dużo pracy, jeśli zdecydujesz się pójść naprzód, a dla przypomnienia, nie jestem pewien, czy bym to zrobił.

W ogólnym przypadku zapory ogniowe klienta nie zapewniają dużego bezpieczeństwa w sieci korporacyjnej (która zwykle ma zapory sprzętowe i kontroluje tego rodzaju rzeczy na krawędzi), a autorzy złośliwego oprogramowania są obecnie wystarczająco inteligentni, aby używać portu 80 do ruchu, ponieważ praktycznie nikt nie blokuje tego portu, więc wiele wysiłku wkładasz w to, aby zapewnić ograniczone korzyści bezpieczeństwa.

Mimo to długa odpowiedź brzmi:

  1. Aplikacje magazynowe i ich potrzeby w zakresie łączności najlepiej jak potrafisz.
    • Jeśli możesz bezpiecznie włączyć Zaporę systemu Windows za pomocą allow allreguły i ustawić rejestrowanie, będzie to skarbnica danych umożliwiająca określenie, jakie aplikacje posiadasz, które wymagają wyłączenia zapory.
    • Jeśli nie możesz gromadzić danych do logowania w sposób nieinwazyjny, musisz zadbać o prostą inwentaryzację lub zalogować się do użytkowników, którzy mogą poradzić sobie z zakłóceniami i natrętną działalnością IT (na przykład ty i inni technicy).
  2. Pomyśl o swoich potrzebach w zakresie rozwiązywania problemów.
    • Są rzeczy, które prawdopodobnie nie pojawią się w audycie oprogramowania, o których musisz pomyśleć. Na przykład:
      • Możesz zezwolić ICMP (lub ICMP z zatwierdzonych przestrzeni adresowej), aby rozwiązywanie problemów i zarządzanie adresami IP nie było straszne.
      • Podobnie wyjątki od wszelkich aplikacji do zdalnego zarządzania, których używacie.
      • Prawdopodobnie będziesz również chciał ustawić rejestrowanie zapory ogniowej według zasad
  3. Utwórz podstawowy obiekt zasad grupy i wdróż go w grupie testowej lub wielu grupach testowych.
    • Chociaż nie można tego po prostu zrobić i pozwolić, aby dział pomocy technicznej rozwiązał to dla wszystkich, kierownictwo będzie o wiele bardziej otwarte na pilotowanie zmian z wybraną grupą starannie dobranych pracowników, zwłaszcza jeśli uważają, że istnieje uzasadniona obawa dotycząca bezpieczeństwa .
    • Wybierz grupę testową ostrożnie. Rozsądne może być skorzystanie z informatyki, a następnie poszerzenie grupy o osoby z innych działów.
    • Oczywiście monitoruj grupę testową i utrzymuj z nią stałą komunikację, aby szybko rozwiązywać problemy, których nie zauważyłeś za pierwszym razem.
  4. Wprowadzaj zmiany powoli i etapami.
    • Po przetestowaniu go w sposób satysfakcjonujący, powinieneś zachować ostrożność, a nie tylko wypychać go od razu do całej domeny. Rozprowadź go w mniejszych grupach, które będziesz musiał zdefiniować zgodnie ze strukturą i potrzebami Twojej organizacji.
  5. Upewnij się, że masz coś do obsługi przyszłych zmian.
    • Po prostu sprawienie, by działało to, co masz teraz w swoim środowisku, nie będzie wystarczające, ponieważ skończysz z nowymi aplikacjami w domenie i będziesz musiał upewnić się, że zasady zapory zostały zaktualizowane, aby je uwzględnić, lub ktoś powyżej Ciebie zdecyduje, że zapora sieciowa jest większym problemem niż jest warta, i usunie zasady, eliminując je i wkładając w to pracę do tej pory.
Beznadziejny
źródło
12

Edycja: Chciałbym tylko stwierdzić, że z Zaporą systemu Windows nie ma nic złego. Jest to całkowicie akceptowalna część ogólnej strategii dogłębnej obrony. Faktem jest, że większość sklepów jest zbyt niekompetentna lub zbyt leniwa, aby niepokoić się, aby dowiedzieć się, jakie reguły zapory są potrzebne dla uruchomionych aplikacji, więc po prostu wymuszają to.

Jeśli na przykład Zapora systemu Windows uniemożliwia kontrolerom domeny wykonywanie ich zadań, dzieje się tak dlatego, że przed włączeniem zapory nie wiedziałeś, jakich portów potrzebuje Active Directory, lub dlatego, że zasady zostały niepoprawnie skonfigurowane.

To jest sedno sprawy.

Po pierwsze, skontaktuj się z kierownikami projektu, szefami, interesariuszami, doradcą ds. Zmian, niezależnie od tego, jaki proces ma miejsce w Twojej firmie, i poinformuj ich wszystkich, że będziesz przechodził stopniowe działania naprawcze obejmujące Zaporę systemu Windows w celu zwiększenia ogólnej postawa bezpieczeństwa twojego środowiska.

Upewnij się, że rozumieją, że istnieje ryzyko. Tak, oczywiście, że zrobimy wszystko, co w naszej mocy, całe nasze planowanie, aby zapewnić, że nie będzie żadnych zakłóceń, ale nie składaj żadnych obietnic. Próba przekształcenia starej domeny w kształt jest ciężką pracą.

Następnie musisz dokonać inwentaryzacji aplikacji używanych w twoim środowisku i wymaganych portów. W zależności od środowiska może to być bardzo trudne. Ale trzeba to zrobić. Agenci monitorujący? Agenci SCCM? Agenty antywirusowe? I tak dalej.

Opracuj obiekt zasad grupy Zapory systemu Windows, który zawiera niestandardowe reguły dla aplikacji korporacyjnych. Możesz wymagać wielu zasad o różnych zakresach, które dotyczą różnych serwerów. Na przykład osobna zasada, która dotyczy tylko serwerów sieciowych dla portów 80, 443 itp.

Wbudowane zasady Zapory systemu Windows będą bardzo pomocne, ponieważ są doskonale dostosowane do większości typowych działań systemu Windows. Te wbudowane reguły są lepsze, ponieważ nie tylko otwierają lub zamykają port dla całego systemu - są dostosowane do bardzo specyficznej aktywności procesów i protokołów zachodzących na komputerze itp. Ale nie obejmują twoich niestandardowych aplikacji , więc dodaj te reguły do ​​zasad jako pomocnicze pozycje ACE.

W miarę możliwości najpierw wypuść go w środowisku testowym, a po wdrożeniu do produkcji najpierw w ograniczonych porcjach. Nie po prostu plopuj GPO w całej domenie za pierwszym razem.

To ostatnie stwierdzenie jest prawdopodobnie najlepszą radą, jaką mogę ci dać - wprowadzaj zmiany w bardzo małych, kontrolowanych zakresach.

Ryan Ries
źródło
1
Następny komentarz nie odnoszący się do tej odpowiedzi pojawia się w pudełku po 24 godziny. > = [
Chris S
6
@ChrisS Co porabiasz w ten weekend?
MDMarra
4

Okej, mam zamiar zasugerować coś, co może sprawić ci kłopoty, ale tego właśnie używam, kiedy włączam zaporę ogniową.

Nmap. (Zrobiłby to dowolny skaner portów.) Obawiam się, że nie ufam dokumentacji używanych portów. Chcę się przekonać.

Tło: Pochodzę ze środowiska akademickiego, w którym laptopy studentów pocierały łokcie naszymi serwerami (Ugh!). Kiedy zacząłem używać nmap na własnych serwerach, nie mieliśmy też IDS, więc mogłem nmap do woli i nikt by tego nie zauważył. Następnie wdrożyli IDS i otrzymałem e-maile, które w zasadzie mówiły: „ATAK PORTU SIECIOWEGO NA TWOIM SERWERZE Z TWOJEJ STACJI ROBOCZEJ !!!!!” a ja odpowiadam i mówię: „Tak, to ja”. Heh Po pewnym czasie rozwinęli w tym poczucie humoru. ;)

Użyłem również nmap na stacjach roboczych, na przykład, aby wyszukać conficker . Nmap prawdopodobnie podkręci porty zarządzania AV, wszelkie inne porty oprogramowania zarządzającego itp. (Pulpit będzie bardzo niewygodny, jeśli zepsujesz ich oprogramowanie zarządzające.) Może również włączyć nieautoryzowane oprogramowanie, w zależności od środowiska.

Tak czy siak. Niektóre środowiska wariują na temat nmap, a niektóre nawet tego nie zauważą. Generalnie nmapuję tylko własne serwery lub stacje robocze do określonego celu, co pomaga. Ale tak, prawdopodobnie chcesz wyjaśnić, że będziesz przeprowadzać skanowanie portów z każdym, kto może cię przerazić.

Więc wiesz. Co powiedział Ryan Ries. Zarządzanie / zarządzanie zmianą / polityka grupy / itp.

Katherine Villyard
źródło
Każda dobra sieć powinna wystraszyć się podczas skanowania portów sieciowych. Zwłaszcza jeśli są wewnętrzne.
SnakeDoc
Cóż, jasne, wygląda złowieszczo, dlatego się zrzekłem. Powiedziałbyś, że byłbyś zaskoczony, kto pozwoli ci to zrobić / nie zauważy.
Katherine Villyard
lol, dlatego powiedziałem „dobrze”. Chociaż „dobre” ma różne znaczenie w zależności od tego, po której stronie sieci siedzisz ... hehe
SnakeDoc
3
Jeśli zostanie to wykonane ostrożnie, jest to dobra rada, jeśli nie jest to niezbędne przy planowaniu wdrożeń zapory ogniowej. nmapmożna celować i dławić. Jeśli jesteś już odpowiedzialny lub w inny sposób zaangażowany w operacje sieciowe, po prostu komunikujesz wszystkim interesariuszom, że przeglądasz sieć, i nikt nie musi się wystraszyć.
Mathias R. Jessen
3
(krzyczy nad ścianami sześcianu) „Hej, Tim?” "Tak?" „Zaraz znów zdenerwuję IDS”. „(śmiech) OK.”
Katherine Villyard
3

Nie wydaje mi się, aby Microsoft miał w tym zakresie jakieś narzędzia, ale jeśli miałbym korzystać z Zapory systemu Windows w naszej domenie (jest włączony tam, gdzie pracuję), zapewniłbym:

  1. Istnieją wyjątki dla wszystkich narzędzi do zdalnej administracji (WMI itp.)
  2. Utwórz wyjątki zakresu adresów IP na stacjach roboczych domeny, aby umożliwić serwerom administracyjnym (takim jak SCCM / SCOM, jeśli je masz) zezwolenie na cały ruch.
  3. Zezwalaj użytkownikom końcowym na dodawanie wyjątków do profilu domeny tylko w przypadku oprogramowania na wypadek, gdybyś coś przegapił (i to zrobisz).

Serwery to trochę inna bestia. Obecnie mam firewall wyłączony na naszych serwerach, ponieważ umożliwia to spowodowało wiele problemów nawet z wyjątkami w miejscu. Zasadniczo musisz zastosować ogólną zasadę „szkieletu” dla wszystkich serwerów (na przykład nie zezwalając na niebezpieczne porty), a następnie przejść do każdego serwera i indywidualnie dostosować ustawienia. Z tego powodu widzę powód, dla którego wielu informatyków po prostu wyłącza zaporę. Zapora sieciowa powinna wystarczająco chronić te maszyny bez ich własnych zapór. Czasami jednak warto starać się indywidualnie konfigurować serwery dla środowisk o wysokim poziomie bezpieczeństwa.

Na marginesie, Zapora systemu Windows również reguluje użycie protokołu IPsec, więc jeśli jest używany, i tak potrzebujesz zapory.

Nathan C.
źródło