Có thể làm gì để kích hoạt lại Tường lửa Windows đúng cách trên một miền?


15

NỀN TẢNG / NGHIÊN CỨU

Tôi thành thật tin rằng những câu hỏi như thế này: Sử dụng GPO trong miền Active Directory để buộc các máy trạm Windows Firewall bị vô hiệu hóa - bằng cách nào? tồn tại bởi vì Quản trị viên Windows nói chung đã được dạy từ lâu rằng:

"cách dễ nhất để làm việc khi giao dịch với máy tính miền là chỉ cần có GPO trên miền để vô hiệu hóa Tường lửa Windows ... cuối cùng nó sẽ khiến bạn bớt đau lòng hơn nhiều." - giảng viên / cố vấn CNTT ngẫu nhiên từ nhiều năm qua

Tôi cũng có thể nói rằng tại các công ty MOST tôi đã thực hiện công việc phụ cho trường hợp này, trong đó GPO ở mức tối thiểu đã vô hiệu hóa Tường lửa Windows cho cấu hình miền và tại WORST cũng vô hiệu hóa nó cho hồ sơ công khai.

Hơn nữa, một số người sẽ vô hiệu hóa nó cho chính các máy chủ: Vô hiệu hóa tường lửa cho tất cả các cấu hình mạng trên Windows Server 2008 R2 thông qua GPO

Bài viết về Microsoft Technet trên WINDOWS FIREWALL khuyên bạn KHÔNG nên tắt Tường lửa Windows:

Vì Windows Firewall với Advanced Security đóng vai trò quan trọng trong việc giúp bảo vệ máy tính của bạn khỏi các mối đe dọa bảo mật, chúng tôi khuyên bạn không nên tắt nó trừ khi bạn cài đặt một tường lửa khác từ một nhà cung cấp có uy tín cung cấp mức độ bảo vệ tương đương.

Câu hỏi ServerFault này đặt câu hỏi thực sự: Có thể tắt tường lửa trong mạng LAN bằng Chính sách nhóm không? - và các chuyên gia ở đây thậm chí còn lẫn lộn trong quan điểm của họ.

Và hiểu rằng tôi không đề cập đến việc vô hiệu hóa / kích hoạt DỊCH VỤ: Làm cách nào tôi có thể sao lưu đề xuất của mình để KHÔNG vô hiệu hóa dịch vụ Tường lửa của Windows? - để rõ ràng rằng đây là về việc dịch vụ tường lửa có bật tường lửa hay vô hiệu hóa nó hay không.


CÂU HỎI TẠI TAY

Vì vậy, tôi trở lại Tiêu đề của câu hỏi này ... những gì có thể được thực hiện để kích hoạt lại tường lửa Windows trên một tên miền đúng cách? Cụ thể cho các máy trạm của khách hàng và hồ sơ tên miền của họ.

Trước khi đơn giản chuyển đổi GPO từ Vô hiệu sang Kích hoạt, cần thực hiện các bước lập kế hoạch nào để đảm bảo rằng việc chuyển đổi không gây ra các ứng dụng khách / máy chủ quan trọng, lưu lượng cho phép, v.v ... đột nhiên thất bại? Hầu hết các địa điểm sẽ không chấp nhận suy nghĩ "thay đổi nó và xem ai gọi người trợ giúp" ở đây.

Có danh sách kiểm tra / tiện ích / thủ tục có sẵn từ Microsoft để xử lý tình huống như vậy không? Bạn đã từng ở trong tình huống này và bạn đã đối phó với nó như thế nào?


3
cửa sổ máy chủ theo mặc định vô hiệu hóa tường lửa. (tôi cho rằng nó sẽ luôn đứng sau một tường lửa công ty tốt). các máy trạm tên miền thường bị vô hiệu hóa vì tường lửa windows là PITA để làm việc và bảo trì. Mọi ứng dụng đều cần một số cổng đặc biệt, DC nôn ra dữ liệu trên một loạt các cổng, v.v. Sau đó, ngay khi bạn bỏ đi, bạn sẽ phải quay lại và sửa nó một lần nữa.
SnakeDoc

10
@SnakeDoc windows server by default disables the firewall Điều này không đúng . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain Ngoài ra, không đúng - bạn đã xem các GPO có sẵn để quản lý nó trong 6 năm qua chưa? Nó không còn là 2003 nữa the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work Khi bạn cài đặt AD DS, các ngoại lệ cần thiết cho tất cả những thứ được cấu hình sẵn trên các DC
MDMarra

12
Tôi thực sự không biết làm thế nào mà bình luận đó là +3 ngay bây giờ khi mọi điểm được đưa ra trong đó thực sự không chính xác. Cảm giác này giống như / r / sysadmin ngay bây giờ.
MDMarra

3
@MDMarra: Tôi đã suy nghĩ chính xác điều tương tự: "+3" trên bình luận đó. Tôi ước tôi có thể downvote bình luận đó. (Tôi không cảm thấy việc gắn cờ là điều nên làm nhưng tôi thực sự bị cám dỗ ...)
Evan Anderson

Câu trả lời:


19

What can be done to properly re-enable the Windows firewall on a domain?

Chà, câu trả lời ngắn gọn là sẽ rất nhiều việc nếu bạn quyết định giả mạo trước và đối với hồ sơ, tôi không chắc là mình sẽ làm được.

Trong trường hợp chung, tường lửa của khách hàng không cung cấp nhiều bảo mật trong mạng công ty (thường có tường lửa phần cứng và kiểm soát loại điều này ở rìa) và các tác giả phần mềm độc hại ngày nay đủ thông minh để sử dụng cổng 80 cho lưu lượng truy cập của họ, bởi vì hầu như không ai chặn cổng đó, vì vậy bạn sẽ nỗ lực rất nhiều để đặt một cái gì đó vào vị trí để cung cấp lợi ích bảo mật hạn chế.

Có nói rằng, câu trả lời dài là:

  1. Các ứng dụng kiểm kê và nhu cầu kết nối của chúng tốt nhất có thể.
    • Nếu bạn có thể kích hoạt Tường lửa Windows một cách an toàn theo allow allquy tắc và đặt ghi nhật ký, đây sẽ là một kho dữ liệu để xác định ứng dụng nào bạn có cần loại bỏ tường lửa.
    • Nếu bạn không thể thu thập dữ liệu ghi nhật ký một cách không xâm phạm, bạn sẽ phải thực hiện với một kho lưu trữ đơn giản hoặc đăng nhập vào những người dùng có thể xử lý các hoạt động CNTT bị gián đoạn và xâm nhập (ví dụ như chính bạn và các công nghệ khác).
  2. Hãy suy nghĩ về nhu cầu xử lý sự cố của bạn.
    • Có những điều có lẽ sẽ không xuất hiện trong kiểm toán phần mềm mà bạn cần phải suy nghĩ. Ví dụ:
      • Bạn có thể muốn cho phép ICMP (hoặc ICMP từ các không gian địa chỉ được phê duyệt) để xử lý sự cố và quản lý địa chỉ IP không kinh khủng.
      • Tương tự như vậy, loại trừ cho bất kỳ ứng dụng quản lý từ xa nào mà các bạn sử dụng.
      • Bạn cũng có thể muốn thiết lập đăng nhập tường lửa theo chính sách
  3. Tạo GPO cơ sở và triển khai nó vào một nhóm thử nghiệm hoặc nhiều nhóm thử nghiệm.
    • Mặc dù bạn không thể làm điều đó và để người trợ giúp sắp xếp nó cho mọi người, nhưng ban quản lý sẽ cởi mở hơn rất nhiều để thử nghiệm các thay đổi với một nhóm nhân viên được chọn thủ công, đặc biệt nếu họ nghĩ rằng có một mối lo ngại bảo mật hợp lệ .
    • Chọn nhóm thử nghiệm của bạn một cách cẩn thận. Có thể là khôn ngoan khi sử dụng dân gian CNTT trước, sau đó mở rộng nhóm để bao gồm những người từ các phòng ban khác.
    • Rõ ràng, hãy theo dõi nhóm thử nghiệm của bạn và duy trì liên lạc thường xuyên với họ để nhanh chóng giải quyết các vấn đề bạn không gặp phải lần đầu tiên.
  4. Đưa ra sự thay đổi từ từ, và trong các giai đoạn.
    • Khi bạn đã kiểm tra mức độ hài lòng của mình, bạn vẫn nên thận trọng và không chỉ đẩy nó ra toàn bộ miền cùng một lúc. Đưa nó ra các nhóm nhỏ hơn mà bạn sẽ phải xác định theo cấu trúc và nhu cầu của tổ chức.
  5. Hãy chắc chắn rằng bạn có một cái gì đó để xử lý những thay đổi trong tương lai.
    • Chỉ làm cho nó hoạt động cho những gì bạn có trong môi trường của bạn bây giờ sẽ không đủ, bởi vì bạn sẽ kết thúc với các ứng dụng mới trên miền của mình và bạn sẽ phải đảm bảo chính sách tường lửa được cập nhật để phù hợp với chúng, hoặc ai đó ở trên bạn sẽ quyết định tường lửa gặp nhiều rắc rối hơn giá trị của nó và sẽ xóa chính sách, loại bỏ và công việc bạn đã thực hiện cho đến nay.

12

Chỉnh sửa: Tôi chỉ muốn nói rằng không có gì sai với Windows Firewall. Đó là một phần hoàn toàn chấp nhận được trong một chiến lược chuyên sâu về quốc phòng. Thực tế của vấn đề là, hầu hết các cửa hàng quá bất tài hoặc quá lười biếng để tìm ra những quy tắc tường lửa nào là cần thiết cho các ứng dụng mà họ chạy, và vì vậy họ chỉ buộc nó có mặt ở khắp nơi.

Ví dụ, nếu Tường lửa Windows ngăn bộ điều khiển miền của bạn thực hiện công việc của họ, thì đó là vì bạn không biết Active Directory cần những cổng nào trước khi bật tường lửa hoặc do bạn định cấu hình chính sách không chính xác.

Đó là điểm mấu chốt của vấn đề.


Trước tiên, hãy liên lạc với người quản lý dự án, sếp, người nắm giữ cổ phần, tủ tư vấn thay đổi của bạn, bất kể quy trình nào trong công ty của bạn và thông báo cho họ tất cả rằng bạn sẽ được khắc phục dần dần liên quan đến Tường lửa Windows để tăng tổng thể tư thế an ninh của môi trường của bạn.

Hãy chắc chắn rằng họ hiểu rằng có những rủi ro. Vâng, tất nhiên chúng tôi sẽ làm mọi thứ có thể, tất cả các kế hoạch mà chúng tôi có thể, để đảm bảo rằng sẽ không có gián đoạn, nhưng đừng đưa ra bất kỳ lời hứa nào. Cố gắng để biến một miền cũ thành hình là một công việc khó khăn.

Tiếp theo, bạn phải kiểm kê các ứng dụng đang sử dụng trong môi trường của bạn và chúng yêu cầu cổng nào. Tùy thuộc vào môi trường, điều này có thể rất khó khăn. Nhưng nó phải được thực hiện. Giám sát đại lý? Đại lý SCCM? Đại lý diệt virus? Danh sách cứ kéo dài.

Phát triển GPO Tường lửa Windows bao gồm các quy tắc tùy chỉnh cho các ứng dụng doanh nghiệp của bạn. Bạn có thể yêu cầu nhiều chính sách với các phạm vi khác nhau áp dụng cho các máy chủ khác nhau. Chẳng hạn, một chính sách riêng chỉ áp dụng cho các máy chủ web cho các cổng 80, 443, v.v.

Các chính sách Tường lửa tích hợp của Windows sẽ rất hữu ích cho bạn, vì chúng hoàn toàn nằm trong phạm vi phù hợp với hầu hết các hoạt động phổ biến của Windows. Các quy tắc được xây dựng này tốt hơn vì chúng không chỉ mở hoặc đóng một cổng cho toàn bộ hệ thống - chúng nằm trong phạm vi quy trình và hoạt động giao thức rất cụ thể diễn ra trên máy, v.v. Nhưng chúng không bao gồm các ứng dụng tùy chỉnh của bạn , vì vậy hãy thêm các quy tắc đó vào các chính sách dưới dạng các ACE phụ trợ.

Trước tiên hãy triển khai trong môi trường thử nghiệm nếu có thể, và khi triển khai sản xuất, trước tiên hãy thực hiện trong phần giới hạn. Đừng chỉ GPO trên toàn bộ tên miền trong lần đầu tiên của bạn.

Câu nói cuối cùng đó có lẽ là lời khuyên tốt nhất mà tôi có thể dành cho bạn - đưa ra những thay đổi của bạn trong phạm vi rất nhỏ, có kiểm soát.


1
Nhận xét tiếp theo không liên quan đến câu trả lời này được 24 giờ trong hộp. > = [
Chris S

6
@ChrisS Vậy, bạn dự định làm gì vào cuối tuần này?
MDMarra

4

Được rồi, tôi sẽ đề xuất một cái gì đó có thể hoặc không thể khiến bạn gặp rắc rối, nhưng đó là những gì tôi sử dụng khi bật tường lửa.

Nmap. (Bất kỳ máy quét cổng nào cũng được.) Tôi sợ rằng tôi không tin tưởng vào tài liệu về những cổng nào đang được sử dụng. Tôi muốn xem cho chính mình.

Bối cảnh: Tôi đến từ một môi trường học thuật nơi máy tính xách tay của học sinh cọ xát khuỷu tay với máy chủ của chúng tôi (Ugh!). Khi tôi bắt đầu sử dụng nmap trên các máy chủ của riêng mình, chúng tôi cũng không có IDS, vì vậy tôi có thể nmap theo ý muốn và không ai có thể nhận thấy. Sau đó, họ đã triển khai IDS và tôi sẽ nhận được email chuyển tiếp cho tôi, về cơ bản, họ nói, "MẠNG CẢM ỨNG CẢM ỨNG TRÊN MÁY CHỦ CỦA BẠN TỪ CÔNG VIỆC CỦA BẠN !!!!!" và tôi trả lời và nói, "Yep, đó là tôi." Heh. Sau một thời gian họ đã phát triển một cảm giác hài hước về nó. ;)

Tôi cũng đã sử dụng nmap trên các máy trạm, ví dụ, để tìm kiếm conficker . Nmap có thể sẽ bật các cổng quản lý AV, bất kỳ cổng phần mềm quản lý nào khác, v.v. (Máy tính để bàn sẽ rất rối nếu bạn phá vỡ phần mềm quản lý của chúng.) Nó cũng có thể bật phần mềm trái phép, tùy thuộc vào môi trường của bạn.

Dù sao. Một số môi trường sẽ bối rối về nmap và một số thậm chí sẽ không nhận thấy. Tôi thường chỉ nmap máy chủ của riêng tôi, hoặc máy trạm cho một mục đích cụ thể, giúp. Nhưng vâng, có lẽ bạn muốn làm rõ rằng bạn sẽ thực hiện quét cổng với bất kỳ ai có thể phát cuồng với bạn.

Sau đó, bạn biết. Những gì Ryan Ries nói. Quản lý / quản lý thay đổi / chính sách nhóm / v.v.


Bất kỳ mạng tốt nào cũng nên hoảng loạn khi quét cổng mạng. Đặc biệt nếu họ là nội bộ.
SnakeDoc

Chà, chắc chắn, nó có vẻ đáng ngại, đó là lý do tại sao tôi từ chối. Điều đó nói rằng, bạn sẽ ngạc nhiên khi ai cho phép bạn làm điều đó / sẽ không chú ý.
Kinda Villyard

lol, đó là lý do tại sao tôi nói "tốt". Mặc dù "tốt" có ý nghĩa khác nhau tùy thuộc vào phía bạn đang ngồi ở ... hehe
SnakeDoc

3
Nếu được thực hiện cẩn thận, đây là lời khuyên đúng đắn, nếu không phải là một kế hoạch bắt buộc để triển khai tường lửa. nmapcó thể được nhắm mục tiêu và điều tiết. Nếu bạn đã chịu trách nhiệm hoặc liên quan đến các hoạt động mạng, bạn chỉ cần liên lạc với tất cả các bên liên quan rằng bạn đang khảo sát mạng và không ai cần phải "hoảng sợ".
Mathias R. Jessen

3
(hét lên trên các bức tường hình khối) "Này, Tim?" "Ừ?" "Tôi sắp sửa lại IDS." "(cười) Được rồi."
Kinda Villyard

3

Tôi không tin có bất kỳ tiện ích nào có sẵn từ Microsoft về điều này, nhưng nếu tôi sử dụng Windows Firewall trên miền của chúng tôi (nó được kích hoạt ở nơi tôi làm việc) thì tôi sẽ đảm bảo những điều sau:

  1. Ngoại lệ tồn tại cho tất cả các công cụ quản trị từ xa (WMI, v.v.)
  2. Tạo ngoại lệ phạm vi IP trên các máy trạm tên miền để cho phép các máy chủ quản trị (như SCCM / SCOM, nếu bạn có chúng) cho phép tất cả lưu lượng truy cập.
  3. Cho phép người dùng cuối chỉ thêm ngoại lệ vào cấu hình miền cho phần mềm trong trường hợp bạn bỏ lỡ một số thứ (và bạn sẽ).

Máy chủ là một chút của một con thú khác nhau. Tôi hiện đang tắt tường lửa cho các máy chủ của chúng tôi vì cho phép nó gây ra nhiều vấn đề ngay cả khi có ngoại lệ. Về cơ bản, bạn phải áp dụng chính sách "khung xương" cho tất cả các máy chủ (chẳng hạn như các cổng không an toàn), sau đó đi đến từng máy chủ và cài đặt tùy chỉnh riêng. Bởi vì điều này, tôi có thể thấy lý do rất nhiều người dân CNTT chỉ vô hiệu hóa tường lửa. Tường lửa chu vi của bạn nên bảo vệ các máy này đủ mà không cần tường lửa riêng. Tuy nhiên, đôi khi nó đáng để nỗ lực cấu hình máy chủ cho các môi trường bảo mật cao.

Là một lưu ý phụ, Tường lửa Windows cũng chi phối việc sử dụng IPsec, vì vậy nếu sử dụng bạn vẫn cần tường lửa.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.