15 votos

¿Qué se puede hacer correctamente vuelva a activar el Firewall de Windows en un dominio?

EL FONDO DE INVESTIGACIÓN

Sinceramente, creo que preguntas como esta: Mediante GPO de dominio de Active Directory para obligar a las estaciones de trabajo de Windows Firewall desactivado - ¿cómo? existía porque Windows Administradores en general enseñaron hace mucho tiempo que:

"la cosa más fácil de hacer cuando se trata de un equipo de dominio es sólo tienen una directiva de grupo en el dominio para deshabilitar el Firewall de Windows... le causa mucho menos angustia en el final." - aleatorio instructores/tutores de los años pasados

También puedo decir que en la MAYORÍA de las empresas que he hecho de lado el trabajo para que este ha sido el caso, donde un GPO en un mínimo desactivado el Firewall de Windows para el perfil de dominio y en el PEOR de los discapacitados también para el perfil público.

Aún más, algunos se desactivará para los propios servidores: Deshabilitar el servidor de seguridad para todos los perfiles de red en Windows Server 2008 R2 a través de GPO

Un Artículo de Microsoft Technet en el FIREWALL de WINDOWS te recomienda NO desactivar el Firewall de Windows:

Debido a que el Firewall de Windows con Seguridad Avanzada juega un importante parte en ayudar a proteger tu ordenador de las amenazas de seguridad, se recomendamos no desactivar a menos que instalar otro firewall de un proveedor de renombre que proporciona un nivel equivalente de protección.

Este ServerFault pregunta, la pregunta real: Está bien que desactivar el firewall de una LAN con el uso de Directiva de Grupo? - y los expertos aquí se mezcla incluso en su punto de vista.

Y entender no me refiero a deshabilitar/habilitar el SERVICIO: Cómo puedo hacer una copia de seguridad de mi recomendación para NO desactivar el servicio de Firewall de Windows? - para ser claro que esto es acerca de si o no el servicio de firewall permite que el firewall o se desactiva.


LA PREGUNTA EN CUESTIÓN

Así que vuelvo al Título de esta pregunta...¿qué se puede hacer correctamente vuelva a activar el firewall de Windows en un dominio? Específicamente para estaciones de trabajo cliente y de su perfil de dominio.

Antes de simplemente cambiar el GPO de Desactivado a Activado, lo que la planificación se deben tomar medidas para garantizar que mover de un tirón el interruptor no la causa fundamental de aplicaciones cliente/servidor, permisibles de tráfico, etc. de repente no? La mayoría de los lugares no tolerar el "cambio y ver quién llama a la mesa de ayuda" mentalidad de aquí.

Hay listas de verificación/utilidades/procedimientos de Microsoft para manejar este tipo de situación? Has estado en esta situación y cómo lidiar con ella?

19voto

HopelessN00b Puntos 38607

What can be done to properly re-enable the Windows firewall on a domain?

Bueno, la respuesta corta es que va a ser un montón de trabajo si usted decide seguir adelante, y para que conste, no estoy seguro de que lo haría.

En el caso general, los firewalls de cliente no proporcionan mucha seguridad en una red corporativa (que normalmente tiene el firewall de hardware y controles de este tipo de cosas en el borde), y los autores de malware en estos días son lo suficientemente inteligentes como para utilizar el puerto 80 para su tráfico, debido a que prácticamente no uno de los bloques de ese puerto, por lo que obtener una gran cantidad de esfuerzo a poner algo en el lugar que limitaba los beneficios de la seguridad.

Habiendo dicho eso, la respuesta larga es:

  1. Inventario de las aplicaciones y de sus necesidades de conectividad de la mejor manera posible.
    • Si usted puede habilitar de forma segura el Firewall de Windows con un allow all regla y establecer el registro, este será un tesoro de datos para determinar qué aplicaciones puede tener la necesidad de que el firewall de exculsions.
    • Si usted no puede recoger el registro de datos de forma no intrusiva, tendrás que conformarte con un simple inventario, o hacer su registro en los usuarios de que puede manejar la interrupción intrusivo y la actividad QUE realiza (como usted y otros técnicos, por ejemplo).
  2. Piense acerca de sus necesidades de solución de problemas.
    • Hay cosas que probablemente no va a venir, de una auditoría de software que usted necesita para pensar acerca de. Por ejemplo:
      • Es posible que desee permitir ICMP (o ICMP de aprobados de los espacios de dirección) para hacer la solución de problemas y gestión de direcciones IP no es horrible.
      • Asimismo, exclusiones para todos los que las aplicaciones de administración remota que ustedes usen.
      • También es probable que desee establecer el registro de firewall por la política
  3. Crear una línea de base GPO e implementarlo en un grupo de prueba, o varios grupos de prueba.
    • Mientras que usted no puede hacer esto y dejar que el servicio de asistencia técnica de ordenación para todo el mundo, la gestión va a ser mucho más abierto a la experimentación de los cambios con un selecto grupo de recogidos a mano de los empleados, especialmente si piensan que hay una preocupación de seguridad.
    • Elige tu grupo de prueba cuidadosamente. Podría ser aconsejable utilizar folk en primer lugar, a continuación, ampliar el grupo para incluir a personas de otros departamentos.
    • Obviamente, el monitor de su grupo de prueba y mantenerse en constante comunicación con ellos para resolver con rapidez los problemas que no te diste la primera vez.
  4. Estirar la cambian lentamente, y en etapas.
    • Una vez que he probado a su satisfacción, usted debe actuar con cautela, y no solo sacar a todo el dominio a la vez. Estirar a grupos más pequeños, que tendrá que definir de acuerdo a la estructura de su organización y necesidades.
  5. Asegúrese de que usted tiene algo en lugar de manejar los cambios futuros.
    • Solo haciendo el trabajo para lo que usted tiene en su entorno de ahora no va a ser suficiente, porque usted terminará para arriba con nuevas aplicaciones en su dominio, y usted tendrá que asegurarse de que el firewall de política se actualiza para adaptarse a ellos, o alguien de arriba que decidir el firewall es más problemas de lo que vale y va a tener la política de quitar, eliminar y el trabajo que has puesto en él hasta el momento.

12voto

Ryan Ries Puntos 33449

Edit: me gustaría simplemente decir que no hay nada intrínsecamente incorrecto con el Firewall de Windows. Es perfectamente aceptable que parte de un plan general de defensa-en-profundidad de la estrategia. El hecho del asunto es que, la mayoría de las tiendas son demasiado incompetentes o demasiado perezoso para ser molestado en averiguar qué reglas de firewall son necesarios para las aplicaciones que se ejecutan, y por lo tanto de la fuerza fuera de forma ubicua.

Si el Firewall de Windows, por ejemplo, impide que los controladores de dominio de hacer su trabajo, es porque no sabía qué puertos de Active Directory se necesita antes de que usted cumpliera el firewall, o porque configurado la política de forma incorrecta.

Que es la línea de fondo de la cuestión.


En primer lugar, a comunicarse con sus jefes de proyecto, sus jefes, sus actores, su cambio de gabinete de asesores, cualquiera que sea el proceso está en su compañía, y les informará de todo lo que va a ser sometido a una rehabilitación gradual que involucra el Firewall de Windows con el fin de aumentar la seguridad global de la postura de su entorno.

Asegúrese de que entiendan que hay riesgos. Sí, por supuesto, vamos a hacer todo lo posible, toda la planificación que podemos, para asegurarse de que no habrá interrupciones, pero no hacer ninguna promesa. Tratando de látigo de un viejo dominio en forma es un trabajo duro.

Lo siguiente que debe hacer el inventario de las aplicaciones que están en uso en su entorno y qué puertos que requieren. Dependiendo del entorno, esto puede ser muy difícil. Pero tiene que ser hecho. Los agentes de supervisión? Los agentes de SCCM? Los agentes Antivirus? La lista continúa.

Desarrollar un Firewall de Windows GPO que incluye reglas personalizadas para sus aplicaciones de empresa. Usted puede necesitar varias políticas con diferentes ámbitos que se aplican a diferentes servidores. Por ejemplo, una política independiente que sólo se aplica a los servidores web para los puertos 80, 443, etc.

El Firewall de Windows integrada políticas serán muy útiles, ya que son perfectamente el ámbito de acomodar la mayoría de las actividades comunes de Windows. Estos integrada en las reglas son mejores porque no se acaba de abrir o cerrar un puerto para todo el sistema - que están en el ámbito de proceso muy específico y protocolo actividades que tienen lugar en la máquina, etc. Pero no cubren sus aplicaciones personalizadas, por lo que añadir las reglas para las políticas como auxiliar de Ases.

Rodar en un entorno de prueba primero, si es posible, y el despliegue en producción, hacerlo en limitado trozos de primera. No sólo plop la directiva de grupo en todo el dominio en el que vaya primero.

Esa última declaración es probablemente el mejor consejo que te puedo dar - el rollo de los cambios en los muy pequeños, controlados ámbitos.

4voto

Katherine Villyard Puntos 10812

Bueno, yo te voy a sugerir algo que puede o no puede meter en problemas, pero es lo que yo uso cuando me estoy convirtiendo en el firewall.

Nmap. (Cualquier escáner de puertos iba a hacer.) Me temo que no me fío de documentación de lo que los puertos están en uso. Quiero ver por mí mismo.

Antecedentes: soy de un ambiente académico donde los estudiantes de los ordenadores portátiles se codeó con nuestros servidores (Ugh!). Cuando comencé a usar nmap en mis propios servidores, no había IDS, ya sea, para que yo pudiera nmap y nadie se daría cuenta. A continuación, se implementó IDENTIFICADORES y me gustaría recibir correos reenviados a mí que, básicamente, dijo, "RED de ATAQUE de PUERTOS EN el SERVIDOR DE SU ESTACIÓN de trabajo!!!!!" y me gustaría responder y decir, "Sí, ese soy yo." Heh. Después de un tiempo se desarrolló un sentido del humor al respecto. ;)

Yo también se utiliza nmap en las estaciones de trabajo, por ejemplo, para buscar conficker. Nmap es probable que suba la AV de gestión de los puertos, de cualquier otro software de gestión de puertos, etc. (De escritorio va a ser muy de mal humor si usted rompe su software de gestión.) También podría subir software no autorizado, dependiendo de su entorno.

De todos modos. Algunos entornos se asuste sobre nmap y algunos ni siquiera lo notará. Yo por lo general sólo nmap mis propios servidores o estaciones de trabajo para un propósito específico, que ayuda. Pero sí, usted probablemente querrá claro que vas a estar ejecutando un escaneo de puertos con nadie que pudiera freak hacia fuera en usted.

Entonces, usted sabe. Lo que Ryan Ries, dijo. Gestión/administración del cambio de grupo/política/etc.

3voto

Nathan C Puntos 10960

No creo que haya ninguna utilidades disponibles de Microsoft en esto, pero si yo fuera a utilizar el Firewall de Windows en nuestro dominio (es habilitado donde yo trabajo) me gustaría asegurarse de lo siguiente:

  1. Existen excepciones para todas las herramientas de administración remota (WMI, etc etc)
  2. Crear rango de IP excepciones en las estaciones de trabajo del dominio para permitir que los servidores administrativos (tales como SCCM/SCOM, si los tiene) para permitir todo el tráfico.
  3. Permitir a los usuarios agregar excepciones para el perfil de dominio sólo para el software en caso de que se pierda algunas cosas (y la voluntad).

Los servidores son un poco de una bestia diferente. Actualmente tengo el firewall desactivado para nuestros servidores debido a que la habilitación es causado muchos problemas incluso con excepciones en el lugar. Básicamente, tendrá que aplicar una manta "esqueleto" de la política para todos los servidores (deshabilitando inseguro puertos, por ejemplo), a continuación, ir a cada servidor individual y personalización de la configuración. Debido a esto, puedo ver la razón por un montón de folk sólo tiene que desactivar el firewall. El firewall perimetral debe proteger estas máquinas suficiente, sin su propio cortafuegos. Sin embargo, a veces vale la pena el esfuerzo individual de configurar los servidores para entornos de alta seguridad.

Como una nota del lado, el Firewall de Windows también rige el uso de IPsec, así que si usted necesita el firewall de todos modos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: