NỀN TẢNG / NGHIÊN CỨU
Tôi thành thật tin rằng những câu hỏi như thế này: Sử dụng GPO trong miền Active Directory để buộc các máy trạm Windows Firewall bị vô hiệu hóa - bằng cách nào? tồn tại bởi vì Quản trị viên Windows nói chung đã được dạy từ lâu rằng:
"cách dễ nhất để làm việc khi giao dịch với máy tính miền là chỉ cần có GPO trên miền để vô hiệu hóa Tường lửa Windows ... cuối cùng nó sẽ khiến bạn bớt đau lòng hơn nhiều." - giảng viên / cố vấn CNTT ngẫu nhiên từ nhiều năm qua
Tôi cũng có thể nói rằng tại các công ty MOST tôi đã thực hiện công việc phụ cho trường hợp này, trong đó GPO ở mức tối thiểu đã vô hiệu hóa Tường lửa Windows cho cấu hình miền và tại WORST cũng vô hiệu hóa nó cho hồ sơ công khai.
Hơn nữa, một số người sẽ vô hiệu hóa nó cho chính các máy chủ: Vô hiệu hóa tường lửa cho tất cả các cấu hình mạng trên Windows Server 2008 R2 thông qua GPO
Bài viết về Microsoft Technet trên WINDOWS FIREWALL khuyên bạn KHÔNG nên tắt Tường lửa Windows:
Vì Windows Firewall với Advanced Security đóng vai trò quan trọng trong việc giúp bảo vệ máy tính của bạn khỏi các mối đe dọa bảo mật, chúng tôi khuyên bạn không nên tắt nó trừ khi bạn cài đặt một tường lửa khác từ một nhà cung cấp có uy tín cung cấp mức độ bảo vệ tương đương.
Câu hỏi ServerFault này đặt câu hỏi thực sự: Có thể tắt tường lửa trong mạng LAN bằng Chính sách nhóm không? - và các chuyên gia ở đây thậm chí còn lẫn lộn trong quan điểm của họ.
Và hiểu rằng tôi không đề cập đến việc vô hiệu hóa / kích hoạt DỊCH VỤ: Làm cách nào tôi có thể sao lưu đề xuất của mình để KHÔNG vô hiệu hóa dịch vụ Tường lửa của Windows? - để rõ ràng rằng đây là về việc dịch vụ tường lửa có bật tường lửa hay vô hiệu hóa nó hay không.
CÂU HỎI TẠI TAY
Vì vậy, tôi trở lại Tiêu đề của câu hỏi này ... những gì có thể được thực hiện để kích hoạt lại tường lửa Windows trên một tên miền đúng cách? Cụ thể cho các máy trạm của khách hàng và hồ sơ tên miền của họ.
Trước khi đơn giản chuyển đổi GPO từ Vô hiệu sang Kích hoạt, cần thực hiện các bước lập kế hoạch nào để đảm bảo rằng việc chuyển đổi không gây ra các ứng dụng khách / máy chủ quan trọng, lưu lượng cho phép, v.v ... đột nhiên thất bại? Hầu hết các địa điểm sẽ không chấp nhận suy nghĩ "thay đổi nó và xem ai gọi người trợ giúp" ở đây.
Có danh sách kiểm tra / tiện ích / thủ tục có sẵn từ Microsoft để xử lý tình huống như vậy không? Bạn đã từng ở trong tình huống này và bạn đã đối phó với nó như thế nào?
windows server by default disables the firewall
Điều này không đúng . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain
Ngoài ra, không đúng - bạn đã xem các GPO có sẵn để quản lý nó trong 6 năm qua chưa? Nó không còn là 2003 nữa the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work
Khi bạn cài đặt AD DS, các ngoại lệ cần thiết cho tất cả những thứ được cấu hình sẵn trên các DC