Что можно сделать, чтобы правильно включить брандмауэр Windows в домене?

ФУНДАМЕНТАЛЬНЫЕ ИССЛЕДОВАНИЯ

Я искренне верю, что такие вопросы, как этот: Использование GPO в домене Active Directory для отключения рабочих станций Windows Firewall - как? существовал потому, что администраторов Windows вообще давно учили, что:

«при работе с доменным компьютером проще всего просто включить в домен объект групповой политики для отключения брандмауэра Windows ... это в конечном итоге приведет к гораздо меньшим страданиям». - случайные IT-инструкторы / наставники из прошлых лет

Я также могу сказать, что в большинстве компаний, которые я проделал для этого побочную работу, был случай, когда объект групповой политики как минимум отключил брандмауэр Windows для профиля домена, а при WORST отключил его также для общедоступного профиля.

Более того, некоторые отключат его для самих серверов: отключите брандмауэр для всех сетевых профилей в Windows Server 2008 R2 через GPO

В статье Microsoft Technet по WINDOWS FIREWALL НЕ рекомендуется отключать брандмауэр Windows:

Поскольку брандмауэр Windows в режиме повышенной безопасности играет важную роль в защите компьютера от угроз безопасности, мы рекомендуем не отключать его, если не установлен другой брандмауэр от надежного поставщика, который обеспечивает эквивалентный уровень защиты.

Этот вопрос ServerFault задает реальный вопрос: можно ли отключить брандмауэр в локальной сети с помощью групповой политики? - и эксперты здесь даже смешаны в своем мнении.

И поймите, я не имею в виду отключение / включение СЕРВИСА. Как я могу сделать резервную копию своей рекомендации НЕ отключать службу брандмауэра Windows? - чтобы было ясно, что речь идет о том, включает ли служба брандмауэра брандмауэр или отключает его.

ВОПРОС НА РУКУ

Итак, я возвращаюсь к названию этого вопроса ... что можно сделать, чтобы правильно включить брандмауэр Windows в домене? Специально для клиентских рабочих станций и их профиля домена.

Прежде чем просто переключать объект групповой политики с «Отключено» на «Включено», какие шаги планирования следует предпринять, чтобы убедиться, что переключение коммутатора не приводит к внезапному отказу критически важных клиент-серверных приложений, допустимого трафика и т. Д. Большинство мест не потерпят здесь «поменяй его и посмотри, кто звонит в службу поддержки».

Имеются ли в Microsoft контрольные списки / утилиты / процедуры для решения такой ситуации? Вы сами были в такой ситуации и как с этим справились?

What can be done to properly re-enable the Windows firewall on a domain?

Ну, краткий ответ: если вы решите двигаться вперед, будет много работы, и, к сведению, я не уверен, что смогу.

В общем случае клиентские брандмауэры не обеспечивают достаточной безопасности в корпоративной сети (которая обычно имеет аппаратные брандмауэры и контролирует подобные вещи на грани), и авторы вредоносных программ в наши дни достаточно умны, чтобы использовать порт 80 для своего трафика, потому что практически никто не блокирует этот порт, так что вы приложите немало усилий, чтобы обеспечить что-то ограниченное для безопасности.

Сказав это, длинный ответ:

1. Инвентаризация приложений и их подключение требует как можно лучше.
   • Если вы можете безопасно включить брандмауэр Windows с помощью allow allправила и настроить ведение журнала, это будет сокровищницей данных для определения того, какие приложения вам нужны, которые требуют исключений брандмауэра.
   • Если вы не можете собирать данные регистрации без вмешательства, вам придется обойтись простой инвентаризацией или выполнить вход в систему для пользователей, которые могут обрабатывать сбои и навязчивую ИТ-деятельность (например, себя и других технических специалистов).
2. Подумайте о своих потребностях в устранении неполадок.
   • Есть вещи, которые, вероятно, не придут в аудит программного обеспечения, о которых вам нужно подумать. Например:
     • Возможно, вы захотите разрешить ICMP (или ICMP из утвержденных адресных пространств) устранять неполадки и управлять IP-адресами.
     • Аналогично, исключения для любых приложений удаленного управления, которые вы, ребята, используете.
     • Вы также, вероятно, захотите настроить ведение журнала брандмауэра с помощью политики
3. Создайте базовый объект групповой политики и разверните его в тестовой группе или нескольких тестовых группах.
   • Хотя вы не можете просто сделать это и позволить службе поддержки разобраться в этом для всех, руководство будет гораздо более открытым для пилотирования изменений с выбранной группой отобранных сотрудников, особенно если они считают, что существует серьезная проблема безопасности ,
   • Тщательно выберите свою тестовую группу. Возможно, было бы целесообразно сначала использовать ИТ-специалистов, а затем расширить группу, включив в нее людей из других отделов.
   • Очевидно, следите за своей тестовой группой и поддерживайте постоянную связь с ними, чтобы быстро решить проблемы, которые вы не заметили в первый раз.
4. Разверните изменения медленно и поэтапно.
   • После того, как вы проверили его на свое удовлетворение, вы все равно должны проявлять осторожность, а не просто распространять его на весь домен сразу. Разверните его в меньшие группы, которые вы должны будете определить в соответствии со структурой и потребностями вашей организации.
5. Убедитесь, что у вас есть что-то для обработки будущих изменений.
   • Просто заставить его работать в соответствии с тем, что у вас есть в вашей среде, будет недостаточно, потому что у вас появятся новые приложения в вашем домене, и вы должны будете убедиться, что политика брандмауэра обновлена, чтобы приспособиться к ним, или кто-то выше вас решит, что брандмауэр доставляет больше хлопот, чем стоит, и удалит политику, устранит и всю работу, которую вы проделали до сих пор.

Изменить: я просто хотел бы заявить, что нет ничего плохого по сути с брандмауэром Windows. Это вполне приемлемая часть общей стратегии глубокоэшелонированной защиты. Дело в том, что большинство магазинов слишком некомпетентны или слишком ленивы, чтобы пытаться выяснить, какие правила брандмауэра необходимы для приложений, которые они запускают, и поэтому они просто принудительно отключают его повсеместно.

Например, если брандмауэр Windows не позволяет контроллерам домена выполнять свою работу, то это потому, что вы не знали, какие порты Active Directory были необходимы до включения брандмауэра, или потому, что вы неправильно настроили политику.

Это суть вопроса.

Во-первых, общайтесь с вашими менеджерами проектов, вашими руководителями, заинтересованными сторонами, вашим консультативным кабинетом по изменениям, независимо от того, что происходит в вашей компании, и сообщайте им всем, что вы будете проходить постепенное исправление с использованием брандмауэра Windows, чтобы увеличить общее положение безопасности вашей среды.

Убедитесь, что они понимают, что есть риски. Да, конечно, мы сделаем все от нас зависящее, все планирование, которое мы можем, чтобы не было никаких перерывов, но не давали никаких обещаний. Попытка превратить старый домен в форму - тяжелая работа.

Затем вы должны провести инвентаризацию приложений, которые используются в вашей среде, и какие порты им требуются. В зависимости от окружающей среды это может быть очень сложно. Но это должно быть сделано. Мониторинг агентов? Агенты SCCM? Антивирусные агенты? Список можно продолжить.

Разработайте объект групповой политики брандмауэра Windows, включающий настраиваемые правила для корпоративных приложений. Вам может потребоваться несколько политик с разными областями действия, которые применяются к разным серверам. Например, отдельная политика, которая применяется только к веб-серверам для портов 80, 443 и т. Д.

Встроенные политики брандмауэра Windows будут очень полезны для вас, поскольку они идеально подходят для наиболее распространенных действий Windows. Эти встроенные правила лучше, потому что они не просто открывают или закрывают порт для всей системы - они относятся к очень специфическим процессам и действиям протокола, происходящим на машине, и т. Д. Но они не охватывают ваши пользовательские приложения. поэтому добавьте эти правила в политики в качестве вспомогательных ACE.

Сначала разверните в тестовой среде, если это возможно, а при развертывании в производство - сначала в ограниченном количестве. Не просто добавьте объект групповой политики на весь домен с первого раза.

Последнее утверждение, пожалуй, лучший совет, который я могу вам дать - разверните изменения в очень маленьких контролируемых областях.

Хорошо, я собираюсь предложить что-то, что может или не может доставить вам неприятности, но это то, что я использую, когда я включаю брандмауэр.

Nmap. (Подойдет любой сканер портов.) Боюсь, я не доверяю документации о том, какие порты используются. Я хочу увидеть для себя.

Предыстория: я из академической среды, где ноутбуки студентов терлись локтями с нашими серверами (тьфу!). Когда я начал использовать nmap на своих собственных серверах, у нас тоже не было IDS, поэтому я мог nmap по желанию, и никто не заметил бы. Затем они внедрили IDS, и я получил электронные письма, в которых было написано: «Сканирование сетевого порта атакует ваш сервер с вашей рабочей станции !!!!!» и я отвечал и говорил: «Да, это я». Хех. Через некоторое время у них появилось чувство юмора по этому поводу. ;)

Я также использовал nmap на рабочих станциях, например, для поиска conficker . Nmap, вероятно, включит порты управления AV, любые другие порты программного обеспечения для управления и т. Д. (Рабочий стол будет очень раздражительным, если вы сломаете его программное обеспечение для управления.) В зависимости от вашей среды он также может вызвать неавторизованное программное обеспечение.

Тем не мение. В некоторых средах о Nmap будет волноваться, а некоторые даже не заметят. Я обычно только nmap мои собственные серверы или рабочие станции для определенной цели, что помогает. Но да, вы, вероятно, хотите прояснить, что вы будете запускать сканирование портов со всеми, кто может вас испугать.

Тогда вы знаете. Что сказал Райан Райс Управление / управление изменениями / групповая политика / и т. Д.

Я не верю, что у Microsoft есть какие-либо утилиты на этот счет, но если бы я использовал брандмауэр Windows в нашем домене (он включен там, где я работаю), я бы гарантировал следующее:

1. Исключения существуют для всех инструментов удаленного администрирования (WMI и т. Д.)
2. Создайте исключения диапазона IP-адресов на рабочих станциях домена, чтобы разрешить административным серверам (таким как SCCM / SCOM, если они есть) разрешить весь трафик.
3. Разрешить конечным пользователям добавлять исключения в профиль домена только для программного обеспечения на случай, если вы пропустите некоторые вещи (и вы это сделаете).

Серверы немного другого зверя. В настоящее время у меня отключен брандмауэр для наших серверов, потому что его включение вызвало много проблем даже с исключениями. В основном вы должны применить общую политику «скелета» для всех серверов (например, запретить небезопасные порты), затем перейти на каждый сервер и индивидуально настроить параметры. Из-за этого я вижу причину, по которой многие ИТ-специалисты просто отключают брандмауэр. Ваш брандмауэр по периметру должен защищать эти машины достаточно без собственных брандмауэров. Однако иногда стоит отдельно настроить серверы для сред с высокой степенью безопасности.

В дополнение к этому, брандмауэр Windows также управляет использованием IPsec, поэтому, если он используется, вам все равно нужен брандмауэр.