Що можна зробити, щоб належним чином знову включити Брандмауер Windows у домені?

15

Передумови / ДОСЛІДЖЕННЯ

Я чесно вважаю, що такі питання: Використання GPO у домені Active Directory для примушення робочих станцій Брандмауер Windows відключений - як? існувало тому, що адміністраторів Windows взагалі давно вчили, що:

"Найпростіше зробити при роботі з доменним комп'ютером - це просто мати GPO в домені, щоб відключити Брандмауер Windows ... це врешті викличе вам набагато менше душі." - випадкові ІТ-інструктори / наставники з минулих років

Я також можу сказати, що в компаніях MOST я працював над цією справою, коли GPO як мінімум вимкнув брандмауер Windows для профілю домену, а WORST відключив його також для публічного профілю.

Ще більше, деякі відключать його для самих серверів: вимкніть брандмауер для всіх мережевих профілів на Windows Server 2008 R2 через GPO

Стаття Microsoft Technet на ПОЗИЦІ WINDOWS рекомендує НЕ вимикати брандмауер Windows:

Оскільки брандмауер Windows із розширеною безпекою відіграє важливу роль у захисті комп'ютера від загроз безпеці, радимо не відключати його, якщо ви не встановите інший брандмауер від надійного постачальника, який забезпечує еквівалентний рівень захисту.

Це питання ServerFault задає справжнє запитання: Чи добре відключити брандмауер в локальній мережі за допомогою групової політики? - і експерти тут навіть змішані на їх думку.

І зрозумійте, я не маю на увазі відключення / включення СЛУЖБИ: Як я можу створити резервну копію своєї рекомендації НЕ відключати службу брандмауера Windows? - щоб було зрозуміло, що мова йде про те, чи надає послуга брандмауера брандмауер чи відключає його.

ПИТАННЯ В РОЦІ

Тож я повертаюсь до заголовка цього питання ... що можна зробити, щоб належним чином знову включити брандмауер Windows у домені? Спеціально для робочих станцій клієнтів та їх доменного профілю.

Перш ніж просто переключити групову групу з відключеної на ввімкнено, які кроки планування потрібно вжити, щоб перевернути комутатор не спричинити раптових збоїв критичних програм клієнт / сервер, допустимого трафіку тощо? Більшість місць не терплять настрій "змінити його та побачити, хто тут викликає службу довідки".

Чи є в Microsoft контрольні списки / утиліти / процедури для вирішення такої ситуації? Ви були в цій ситуації самі і як ви з цим справлялися?

group-policy  windows-firewall 
Очисник
джерело
3
Windows сервер за замовчуванням відключає брандмауер. (Я припускаю, що це завжди буде за хорошим корпоративним брандмауером). На робочих станціях домену зазвичай їх вимкнено, оскільки брандмауер Windows - це PITA для роботи та обслуговування. Кожному додатку потрібні спеціальні порти, постійний струм викликає дані про купу портів і т. Д. І так багато речі відбувається, що включення брандмауера Windows зазвичай призводить до багато часу, витраченого на "виправлення" цього, так що нормальні програми працюють. Потім, як тільки ви підете, вам доведеться повернутися і виправити його ще раз.
SnakeDoc
10
@SnakeDoc windows server by default disables the firewall Це неправда . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain Крім того, неправда - ви подивилися на групових колективів, доступних для управління ними за останні 6 років? Це вже не 2003 рік. the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work Коли ви встановлюєте AD DS, винятки, необхідні для всього цього, попередньо налаштовані на
постійного струму
12
Я буквально не маю уявлення про те, як цей коментар становить +3 прямо зараз, коли кожен окремий пункт, зроблений в ньому, фактично невірний. Зараз відчуваю, що / r / sysadmin.
MDMarra
3
@MDMarra: Я думав абсолютно те саме, що стосується: "+3" у цьому коментарі. Я б хотів, щоб я спростував цей коментар. (Я не відчуваю, що позначення знаків - це правильна річ, але я дуже спокушаюся ...)
Еван Андерсон,

Відповіді:

19

What can be done to properly re-enable the Windows firewall on a domain?

Що ж, коротка відповідь полягає в тому, що це буде багато роботи, якщо ви вирішите розвиватись вперед, і для запису, я не впевнений, що хотів би.

У загальному випадку брандмауери клієнтів не забезпечують особливої ​​безпеки в корпоративній мережі (яка, як правило, має апаратні брандмауери та керує цим видом речей на межі), і автори зловмисних програм сьогодні досить розумні, щоб використовувати порт 80 для свого трафіку, тому що практично ніхто не блокує цей порт, тож ви докладаєте багато зусиль, вкладаючи щось на місце за умови обмеженої переваги безпеки.

Сказавши це, довга відповідь:

  1. Програми для інвентаризації та їх підключення потребують якнайкраще.
    • Якщо ви можете безпечно увімкнути Брандмауер Windows за допомогою allow allправила та встановити журнал, це буде скарбницею даних для визначення, які додатки у вас потребують видалення брандмауера.
    • Якщо ви не можете збирати дані журналу не нав'язливо, вам доведеться робити просту інвентаризацію або робити реєстрацію користувачів, які можуть обробляти зриви та нав'язливу ІТ-діяльність (наприклад, як ви та інші технічні працівники, наприклад).
  2. Подумайте про свої потреби в усуненні несправностей.
    • Є речі, які, ймовірно, не піддаються аудиту програмного забезпечення, про який потрібно подумати. Наприклад:
      • Ви можете дозволити ICMP (або ICMP з затверджених адресних просторів) зробити усунення несправностей та керування IP-адресою не жахливими.
      • Так само виключення для будь-яких застосувань віддаленого управління, якими ви користуєтесь.
      • Ви також, ймовірно, захочете встановити журнал брандмауера відповідно до політики
  3. Створіть базову групову групу і розгорніть її до тестової групи або декількох тестових груп.
    • Хоча ви не можете просто зробити це і дозволити службі технічної допомоги розібратися для всіх, керівництво буде набагато більш відкритим для пілотування змін із вибраною групою підібраних вручну працівників, особливо якщо вони думають, що існує дійсна проблема безпеки .
    • Виберіть свою тестову групу уважно. Можливо, було б розумно спочатку використовувати ІТ-людей, а потім розширити групу, щоб включити людей з інших підрозділів.
    • Очевидно, слідкуйте за своєю тестовою групою та будьте в постійному спілкуванні з ними, щоб швидко вирішити проблеми, які ви не спіймали вперше.
  4. Розкачуйте зміни повільно і поетапно.
    • Після того, як ви перевірили це на власний розсуд, вам слід бути обережними, а не просто виштовхувати їх на весь домен одразу. Розподіліть його на менші групи, які вам доведеться визначити відповідно до структури та потреб вашої організації.
  5. Переконайтеся, що у вас є щось на місці для вирішення майбутніх змін.
    • Просто змусити це працювати для того, що зараз у вашому оточенні, буде недостатньо, тому що ви отримаєте нові додатки у своєму домені, і вам доведеться оновити політику брандмауера для їх розміщення, або хтось із вас вирішить, що брандмауер - це більше клопоту, ніж це коштує, і буде усунено політику, усуваючи та роботу, яку ви до цього вклали.
БезнадійноN00b
джерело
12

Редагувати: Я хотів би лише зазначити, що з брандмауером Windows немає нічого суттєвого. Це цілком прийнятна частина загальної поглибленої оборонної стратегії. Справа в тому, що більшість магазинів занадто некомпетентні або ліниві, щоб їх турбувати, щоб зрозуміти, які правила брандмауера потрібні для програм, які вони запускають, і тому вони просто змушують це всюди розповсюджуватись.

Якщо, наприклад, брандмауер Windows заважає контролерам домену виконувати свою роботу, це тому, що ви не знали, які порти Active Directory потрібні перед тим, як увімкнути брандмауер, або тому, що ви неправильно налаштували політику.

Це суть справи.

По-перше, спілкуйтеся зі своїми керівниками проектів, вашими начальниками, власниками акцій, дорадчим кабінетом змін, незалежно від того, який процес відбувається у вашій компанії, та повідомляйте їх усім, що ви будете піддаватися поступовому виправленню за допомогою брандмауера Windows, щоб збільшити загальну кількість позиція безпеки вашого оточення.

Переконайтеся, що вони розуміють, що є ризики. Так, звичайно, ми зробимо все, що можемо, і все планування, що можемо, щоб не було перебоїв, але не давати жодних обіцянок. Спроба збити старий домен у формі - важка робота.

Далі ви маєте інвентаризувати додатки, які використовуються у вашому оточенні та які порти їм потрібні. Залежно від оточення це може бути дуже складно. Але це треба зробити. Агенти моніторингу? Агенти SCCM? Антивірусні засоби? Список продовжується.

Розробіть GPO для брандмауера Windows, який містить власні правила для ваших корпоративних програм. Можливо, вам знадобиться кілька політик з різними сферами дії, які застосовуються до різних серверів. Наприклад, окрема політика, яка стосується лише веб-серверів для портів 80, 443 тощо.

Вбудована політика брандмауера Windows буде вам дуже корисною, оскільки вони ідеально розроблені для розміщення найпоширеніших заходів Windows. Ці вбудовані правила є кращими, оскільки вони не просто відкривають і не закривають порт для всієї системи - вони підпадають під дуже специфічні процеси процесу та протоколу, що відбуваються на машині тощо. Але вони не охоплюють ваші користувацькі програми , тому додайте ці правила до політики як допоміжні АСЕ.

Якщо це можливо, спочатку розкачайте в тестовому середовищі, а коли випускаєте на виробництво, зробіть це спочатку обмеженими шматками. Не просто плескайте групову групу на весь домен у перший раз.

Останнє твердження - це, мабуть, найкраща порада, яку я можу дати вам - розгорніть свої зміни в дуже малих контрольованих сферах.

Райан Різ
джерело
1
Наступний коментар, що не стосується цієї відповіді, отримує 24 години у полі. > = [
Chris S
6
@ChrisS Отже, що ти до цього вихідного?
MDMarra
4

Гаразд, я збираюся запропонувати щось, що може або не призведе до неприємностей, але це те, що я використовую, коли вмикаю брандмауер.

Nmap (Буде робити будь-який сканер портів.) Я боюся, що я не довіряю документації про те, які порти використовуються. Я хочу бачити для себе.

Передумови: я з академічного середовища, де студентські ноутбуки протирали лікті нашими серверами (Фу!). Коли я почав використовувати nmap на своїх власних серверах, у нас також не було IDS, тому я міг nmap за бажанням і ніхто не помітив. Тоді вони застосували IDS, і я отримав мені електронні листи, які, в основному, сказали: "НАПРЯМКА СТАНУ МЕРЕЖУ НА ПОТРЕБУ НА ВАШОГО СЕРВЕРА З РОБОТИ !!!!!" і я відповів би і сказав: "Так, це я". Хе. Через деякий час вони виробили почуття гумору щодо цього. ;)

Я також використовував nmap на робочих станціях, наприклад, щоб шукати conficker . Nmap, швидше за все, відкриє порти управління AV, будь-які інші порти програмного забезпечення для управління тощо. (Робочий стіл буде дуже хитрим, якщо ви порушите їх програмне забезпечення для управління.) Це може також виявити несанкціоноване програмне забезпечення залежно від вашого оточення.

У всякому разі. Деякі середовища будуть думати про nmap, а деякі навіть не помітять. Я взагалі лише nmap власні сервери або робочі станції з певною метою, що допомагає. Але так, ви, мабуть, хочете зрозуміти, що ви будете виконувати сканування портів з будь-ким, хто може вас збити.

Тоді, знаєте. Що сказав Райан Райс. Управління / управління змінами / групова політика / тощо.

Кетрін Вільярд
джерело
Будь-яка хороша мережа повинна вийти з ладу при скануванні мережевих портів. Особливо, якщо вони внутрішні.
SnakeDoc
Ну, звичайно, це виглядає зловісно, ​​саме тому я відмовився. З цього приводу ви здивуєтесь, хто дозволив би це зробити / не помітив би.
Кетрін Вільярд
хаха, саме тому я сказав "добре". Хоча "хороший" має різний зміст залежно від того, на якій стороні мережі ви сидите ... hehe
SnakeDoc
3
Якщо все зроблено обережно, це обґрунтована порада, якщо не обов’язкова планування розгортання брандмауера. nmapможе бути націленим і приглушеним. Якщо ви вже несете відповідальність за будь-які операції в мережі або іншим чином в них берете участь, ви просто повідомте всім зацікавленим сторонам про те, що обстежуєте мережу, і нікому не потрібно «вибиватися».
Mathias R. Jessen
3
(кричить на стіни куба) "Гей, Тіме?" "Так?" "Я збираюся знову засмутити IDS." "(сміється) Гаразд".
Кетрін Вільярд
3

Я не вірю, що в цьому сервісі від Microsoft є якісь утиліти, але якби я використовував брандмауер Windows у нашому домені (він увімкнено там, де я працюю), я би забезпечив наступне:

  1. Винятки існують для всіх інструментів віддаленого адміністрування (WMI тощо тощо)
  2. Створіть винятки з діапазону IP на робочих станціях домену, щоб дозволити адміністративним серверам (таким як SCCM / SCOM, якщо у вас є) дозволити весь трафік.
  3. Дозвольте кінцевим користувачам додавати винятки до профілю домену лише для програмного забезпечення, якщо ви пропустите якісь речі (і ви цього захочете).

Сервери - трохи інший звір. Наразі у нас відключений брандмауер для наших серверів, тому що його включення спричинило багато проблем навіть за винятків. По суті, ви повинні застосувати політику "скелету" ковдри для всіх серверів (наприклад, забороняючи небезпечні порти), а потім перейти до кожного сервера та індивідуально налаштувати налаштування. Через це я можу бачити причину того, що багато людей із ІТ просто відключають брандмауер. Ваш периметровий брандмауер повинен достатньо захищати ці машини без власних брандмауерів. Однак іноді варто докласти зусиль, щоб індивідуально налаштувати сервери для середовищ підвищеної безпеки.

Як бічна примітка, брандмауер Windows також регулює використання IPsec, тому якщо він використовується, то все-таки потрібен брандмауер.

Натан С
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.