สิ่งที่สามารถทำได้เพื่อเปิดใช้งาน Windows Firewall อีกครั้งบนโดเมนอย่างถูกต้อง

15

พื้นหลัง / วิจัย

ฉันเชื่ออย่างจริงใจว่าคำถามเช่นนี้: การใช้ GPO ในโดเมน Active Directory เพื่อบังคับให้เวิร์กสเตชัน Windows Firewall ปิดใช้งาน - ได้อย่างไร มีอยู่เนื่องจากผู้ดูแลระบบ Windows ทั่วไปได้รับการสอนมานานแล้วว่า:

"สิ่งที่ง่ายที่สุดที่ต้องทำเมื่อจัดการกับคอมพิวเตอร์โดเมนคือเพียงแค่มี GPO ในโดเมนเพื่อปิดไฟร์วอลล์ Windows ... มันจะทำให้คุณเสียใจน้อยลงในที่สุด" - ผู้สอน / พี่เลี้ยงด้านไอทีแบบสุ่มจากหลายปีที่ผ่านมา

ฉันสามารถพูดได้ว่าที่ บริษัท ส่วนใหญ่ที่ฉันเคยทำงานด้านนี้มาแล้วเป็นกรณีที่ GPO อย่างน้อยปิดการใช้งานไฟร์วอลล์ Windows สำหรับโปรไฟล์โดเมนและที่WORSTปิดการใช้งานสำหรับโปรไฟล์สาธารณะ

ยิ่งไปกว่านั้นบางส่วนจะปิดการใช้งานสำหรับเซิร์ฟเวอร์เอง: ปิดการใช้งานไฟร์วอลล์สำหรับโปรไฟล์เครือข่ายทั้งหมดใน Windows Server 2008 R2 ถึง GPO

บทความ Microsoft Technet ใน WINDOWS FIREWALLแนะนำให้คุณอย่าปิดการใช้งาน Windows Firewall:

เนื่องจากไฟร์วอลล์ Windows ที่มีการรักษาความปลอดภัยขั้นสูงมีส่วนสำคัญในการช่วยป้องกันคอมพิวเตอร์ของคุณจากภัยคุกคามความปลอดภัยเราขอแนะนำให้คุณไม่ปิดการใช้งานเว้นแต่คุณจะติดตั้งไฟร์วอลล์อื่นจากผู้จำหน่ายที่เชื่อถือได้ซึ่งให้การป้องกันในระดับที่เทียบเท่า

คำถาม ServerFault นี้ถามคำถามจริง: เป็นเรื่องดีไหมที่จะปิดไฟร์วอลล์ใน LAN โดยใช้นโยบายกลุ่ม - และผู้เชี่ยวชาญที่นี่ยังผสมในมุมมองของพวกเขา

และเข้าใจว่าฉันไม่ได้หมายถึงการปิด / เปิดใช้งานบริการ: ฉันจะสำรองข้อมูลคำแนะนำของฉันเพื่อไม่ปิดใช้งานบริการ Windows Firewall ได้อย่างไร - เพื่อให้ชัดเจนว่านี่เป็นเรื่องเกี่ยวกับบริการไฟร์วอลล์ที่เปิดใช้งานไฟร์วอลล์หรือไม่

คำถามที่อยู่ในมือ

ดังนั้นฉันกลับไปที่ชื่อคำถามนี้ ... สิ่งที่สามารถทำได้เพื่อเปิดใช้งานไฟร์วอลล์ Windows บนโดเมนอีกครั้ง โดยเฉพาะสำหรับลูกค้าเวิร์กสเตชันและโปรไฟล์โดเมนของพวกเขา

ก่อนที่จะเปลี่ยน GPO จาก Disabled เป็น Enabled ขั้นตอนการวางแผนใดที่ควรดำเนินการเพื่อให้แน่ใจว่าการพลิกสวิตช์ไม่ได้ทำให้แอปพลิเคชันไคลเอนต์ / เซิร์ฟเวอร์สำคัญการรับส่งข้อมูลที่อนุญาต ฯลฯ ล้มเหลวทันที? สถานที่ส่วนใหญ่จะไม่ยอมให้เปลี่ยน "และดูว่าใครเรียกความช่วยเหลือ" ที่นี่

มีรายการตรวจสอบ / ยูทิลิตี้ / ขั้นตอนจาก Microsoft เพื่อจัดการกับสถานการณ์ดังกล่าวหรือไม่? คุณเคยอยู่ในสถานการณ์นี้ด้วยตัวคุณเองและคุณรับมือกับมันอย่างไร

group-policy  windows-firewall 
TheCleaner
แหล่งที่มา
3
เซิร์ฟเวอร์ windows โดยค่าเริ่มต้นปิดการใช้งานไฟร์วอลล์ (ฉันสมมติว่ามันอยู่เบื้องหลังไฟร์วอลล์ขององค์กรที่ดีเสมอ) เวิร์กสเตชันของโดเมนมักจะปิดการใช้งานเนื่องจากไฟร์วอลล์ windows เป็น PITA เพื่อทำงานกับและบำรุงรักษา ทุกแอปพลิเคชั่นต้องการพอร์ตพิเศษ DC เก็บข้อมูลบนพอร์ตจำนวนมาก ฯลฯ มีหลายสิ่งมากมายที่การเปิดใช้งานไฟร์วอลล์ windows มักจะใช้เวลานานในการ "แก้ไข" แอปเพื่อให้ทำงานได้ตามปกติ จากนั้นทันทีที่คุณเดินคุณจะต้องกลับมาแก้ไขใหม่อีกครั้ง
SnakeDoc
10
@SnakeDoc นี้ไม่เป็นความจริงwindows server by default disables the firewall domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain ยังไม่เป็นความจริงคุณเคยดู GPO ที่มีให้สำหรับการจัดการในช่วง 6 ปีที่ผ่านมาหรือไม่? ไม่ใช่ 2003 อีกต่อไป the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work เมื่อคุณติดตั้ง AD DS ข้อยกเว้นที่จำเป็นสำหรับสิ่งเหล่านั้นทั้งหมดได้รับการกำหนดค่าไว้ล่วงหน้าใน DCs
MDMarra
12
ฉันไม่รู้จริง ๆ ว่าความคิดเห็นนั้นเป็นอย่างไรในขณะนี้เมื่อทุกจุดที่ทำนั้นไม่ถูกต้อง รู้สึกเหมือน / r / sysadmin ในตอนนี้
MDMarra
3
@MDMarra: ฉันคิดเหมือนกันว่า: "3" ในความคิดเห็นนั้น ฉันหวังว่าฉันสามารถลงคะแนนความคิดเห็นนั้น (ฉันไม่รู้สึกว่าการตั้งค่าสถานะเป็นสิ่งที่ถูกต้องที่จะทำ แต่ฉันถูกล่อลวงจริงๆ ... )
Evan Anderson

คำตอบ:

19

What can be done to properly re-enable the Windows firewall on a domain?

คำตอบสั้น ๆ ก็คือมันจะเป็นงานมากถ้าคุณตัดสินใจที่จะเคลื่อนไปข้างหน้าและสำหรับการบันทึกฉันไม่แน่ใจว่าฉันจะ

ในกรณีทั่วไปไฟร์วอลล์ไคลเอนต์ไม่ให้ความปลอดภัยมากในเครือข่ายองค์กร (ซึ่งโดยทั่วไปจะมีไฟร์วอลล์ฮาร์ดแวร์และควบคุมสิ่งต่าง ๆ ที่ทันสมัย) และผู้เขียนมัลแวร์ทุกวันนี้ฉลาดพอที่จะใช้พอร์ต 80 สำหรับการรับส่งข้อมูล เพราะแทบจะไม่มีใครบล็อกพอร์ตนั้นดังนั้นคุณจึงต้องใช้ความพยายามอย่างมากในการจัดหาประโยชน์ด้านความปลอดภัยที่ จำกัด

ต้องบอกว่าคำตอบยาวคือ:

  1. แอปพลิเคชั่นสินค้าคงคลังและการเชื่อมต่อต้องการได้อย่างดีที่สุด
    • หากคุณสามารถเปิดใช้งาน Windows Firewall ด้วยallow allกฎและตั้งค่าการบันทึกได้อย่างปลอดภัยนี่จะเป็นขุมสมบัติของข้อมูลสำหรับการพิจารณาว่าแอพใดที่คุณต้องการใช้งานไฟร์วอลล์
    • หากคุณไม่สามารถรวบรวมข้อมูลการบันทึกได้โดยไม่เป็นการรบกวนคุณจะต้องทำสินค้าคงคลังอย่างง่ายหรือทำการล็อกออนกับผู้ใช้ที่สามารถจัดการกับกิจกรรมด้านไอทีที่รบกวนและล่วงล้ำ (เช่นตัวคุณเองและเทคโนโลยีอื่น ๆ )
  2. คิดถึงความต้องการในการแก้ไขปัญหาของคุณ
    • มีหลายสิ่งที่อาจจะไม่เกิดขึ้นในการตรวจสอบซอฟต์แวร์ที่คุณต้องพิจารณา ตัวอย่างเช่น:
      • คุณอาจต้องการอนุญาตให้ ICMP (หรือ ICMP จากที่อยู่ที่ได้รับอนุมัติ) ทำการแก้ไขปัญหาและการจัดการที่อยู่ IP ไม่น่ากลัว
      • เช่นเดียวกันการยกเว้นสำหรับแอปพลิเคชันการจัดการระยะไกลที่คุณใช้
      • คุณอาจต้องการตั้งค่าการบันทึกไฟร์วอลล์ด้วยนโยบาย
  3. สร้าง GPO พื้นฐานและปรับใช้กับกลุ่มการทดสอบหรือกลุ่มการทดสอบหลายกลุ่ม
    • ในขณะที่คุณไม่สามารถทำได้และให้ฝ่ายช่วยเหลือจัดการทุกคนการจัดการจะเปิดกว้างมากขึ้นเพื่อนำร่องการเปลี่ยนแปลงกับกลุ่มพนักงานที่เลือกสรรโดยเฉพาะถ้าพวกเขาคิดว่ามีความกังวลด้านความปลอดภัยที่ถูกต้อง .
    • เลือกกลุ่มการทดสอบของคุณอย่างระมัดระวัง อาจเป็นการดีหากคุณจะใช้การใช้ไอทีของชุมชนก่อนจากนั้นจึงขยายกลุ่มเพื่อรวมผู้คนจากแผนกอื่น ๆ
    • เห็นได้ชัดว่าติดตามกลุ่มการทดสอบของคุณและติดต่อสื่อสารกับพวกเขาอย่างต่อเนื่องเพื่อแก้ไขปัญหาที่คุณไม่ได้พบเป็นครั้งแรก
  4. แผ่ออกการเปลี่ยนแปลงช้าและในขั้นตอน
    • เมื่อคุณทดสอบแล้วเพื่อความพึงพอใจของคุณคุณควรใช้ความระมัดระวังและไม่เพียง แต่ผลักมันออกไปยังโดเมนทั้งหมดในครั้งเดียว แผ่ออกเป็นกลุ่มเล็ก ๆ ซึ่งคุณจะต้องกำหนดตามโครงสร้างและความต้องการขององค์กรของคุณ
  5. ตรวจสอบให้แน่ใจว่าคุณมีบางอย่างที่จะรองรับการเปลี่ยนแปลงในอนาคต
    • เพียงแค่ทำให้มันทำงานในสิ่งที่คุณมีในสภาพแวดล้อมของคุณตอนนี้จะไม่เพียงพอเพราะคุณจะจบลงด้วยการใช้งานใหม่ในโดเมนของคุณและคุณจะต้องตรวจสอบให้แน่ใจว่านโยบายไฟร์วอลล์ได้รับการปรับปรุงเพื่อรองรับพวกเขาหรือ บางคนที่อยู่ด้านบนคุณจะต้องตัดสินใจว่าไฟร์วอลล์เป็นปัญหามากกว่าที่ควรจะเป็นและจะลบนโยบายการกำจัดและงานที่คุณได้ทำลงไป
HopelessN00b
แหล่งที่มา
12

แก้ไข:ฉันต้องการแจ้งว่าไม่มีอะไรผิดปกติกับ Windows Firewall มันเป็นส่วนที่ยอมรับได้อย่างสมบูรณ์แบบของกลยุทธ์การป้องกันเชิงลึกโดยรวม ความจริงของเรื่องนี้คือร้านค้าส่วนใหญ่ไร้ความสามารถหรือขี้เกียจเกินกว่าจะรับรู้ได้ว่ากฎไฟร์วอลล์ที่จำเป็นสำหรับแอพพลิเคชั่นที่พวกเขาทำงานนั้นคืออะไรและพวกเขาก็บังคับให้มันปิดอย่างแพร่หลาย

ตัวอย่างเช่นหาก Windows Firewall ป้องกันตัวควบคุมโดเมนของคุณจากการทำงานนั่นเป็นเพราะคุณไม่ทราบว่าพอร์ตใดที่จำเป็นต้องใช้ Active Directory ก่อนที่คุณจะเปิดไฟร์วอลล์หรือเนื่องจากคุณกำหนดค่านโยบายอย่างไม่ถูกต้อง

นั่นคือบรรทัดล่างสุดของเรื่อง

ขั้นแรกสื่อสารกับผู้จัดการโครงการเจ้านายของคุณผู้ถือหุ้นของคุณคณะรัฐมนตรีที่ปรึกษาการเปลี่ยนแปลงของคุณไม่ว่ากระบวนการนั้นจะอยู่ใน บริษัท ของคุณและแจ้งให้พวกเขาทราบว่าคุณจะได้รับการแก้ไขอย่างค่อยเป็นค่อยไปที่เกี่ยวข้องกับ Windows Firewall เพื่อเพิ่มภาพรวม ท่าทางความปลอดภัยของสภาพแวดล้อมของคุณ

ตรวจสอบให้แน่ใจว่าพวกเขาเข้าใจว่ามีความเสี่ยง ใช่แน่นอนเราจะทำทุกอย่างเท่าที่จะทำได้การวางแผนทั้งหมดที่เราทำได้เพื่อให้แน่ใจว่าจะไม่มีการหยุดชะงัก แต่ไม่ได้ทำสัญญาใด ๆ การพยายามยัดโดเมนเก่าให้เป็นรูปร่างนั้นเป็นงานหนัก

ถัดไปคุณต้องใช้แอปพลิเคชันสินค้าคงคลังที่ใช้งานในสภาพแวดล้อมของคุณและพอร์ตที่ต้องการ ขึ้นอยู่กับสภาพแวดล้อมสิ่งนี้อาจเป็นเรื่องยากมาก แต่จะต้องมีการทำ ตัวแทนการตรวจสอบ? ตัวแทน SCCM ตัวแทนป้องกันไวรัส รายการดำเนินต่อไป

พัฒนา Windows Firewall GPO ที่มีกฎที่กำหนดเองสำหรับแอปพลิเคชันองค์กรของคุณ คุณอาจต้องใช้หลายนโยบายที่มีขอบเขตแตกต่างกันซึ่งใช้กับเซิร์ฟเวอร์ที่แตกต่างกัน ตัวอย่างเช่นนโยบายแยกต่างหากที่ใช้กับเว็บเซิร์ฟเวอร์สำหรับพอร์ต 80, 443 เป็นต้น

นโยบาย Windows Firewall ในตัวจะมีประโยชน์กับคุณมากเนื่องจากมีการกำหนดขอบเขตอย่างสมบูรณ์แบบเพื่อรองรับกิจกรรม Windows ทั่วไปส่วนใหญ่ กฎเหล่านี้มีอยู่ในตัวที่ดีกว่าเพราะพวกเขาไม่เพียง แต่เปิดหรือปิดพอร์ตไปยังระบบทั้งหมด - พวกมันถูกกำหนดขอบเขตให้เฉพาะกระบวนการและกิจกรรมโปรโตคอลที่เกิดขึ้นบนเครื่อง ฯลฯ แต่พวกมันไม่ครอบคลุมแอปพลิเคชันที่คุณกำหนดเอง ดังนั้นให้เพิ่มกฎเหล่านั้นในนโยบายเป็น ACE สำรอง

แผ่ออกในสภาพแวดล้อมการทดสอบก่อนถ้าเป็นไปได้และเมื่อนำไปผลิตให้ทำในจำนวน จำกัด ก่อน อย่าเพิ่งทำ GPO ทั้งโดเมนในครั้งแรกของคุณ

คำพูดสุดท้ายอาจเป็นคำแนะนำที่ดีที่สุดที่ฉันสามารถให้คุณ - นำเสนอการเปลี่ยนแปลงของคุณในขอบเขตที่เล็กมากและควบคุมได้

Ryan Ries
แหล่งที่มา
1
ความคิดเห็นถัดไปที่ไม่เกี่ยวข้องกับคำตอบนี้จะได้รับภายใน 24 ชั่วโมง > = [
Chris S
6
@ChrisS แล้วคุณจะทำอะไรในสุดสัปดาห์นี้?
MDMarra
4

โอเคฉันกำลังจะแนะนำสิ่งที่อาจจะหรืออาจไม่ทำให้คุณมีปัญหา แต่เป็นสิ่งที่ฉันใช้เมื่อฉันเปิดไฟร์วอลล์

nmap (เครื่องสแกนพอร์ตจะทำ) ฉันกลัวว่าฉันจะไม่เชื่อถือเอกสารประกอบของพอร์ตใดที่ใช้งานอยู่ ฉันต้องการดูตัวเอง

ความเป็นมา: ฉันมาจากสภาพแวดล้อมทางวิชาการที่แล็ปท็อปของนักเรียนถูข้อศอกกับเซิร์ฟเวอร์ของเรา (อ๊ะ!) เมื่อฉันเริ่มใช้ nmap บนเซิร์ฟเวอร์ของฉันเองเราไม่มี IDS เช่นกันดังนั้นฉันสามารถทำ nmap ตามความประสงค์และไม่มีใครสังเกตเห็น จากนั้นพวกเขาก็ใช้ IDS และฉันจะได้รับอีเมลที่ส่งถึงฉันโดยทั่วไปแล้วพูดว่า "พอร์ตเครือข่ายการสแกนโจมตีเซิร์ฟเวอร์ของคุณจากที่ทำงาน !!!!!" และฉันจะตอบและพูดว่า "อ๋อนั่นคือฉัน" หึ หลังจากนั้นครู่หนึ่งพวกเขาพัฒนาอารมณ์ขันด้วย ;)

ฉันยังใช้ nmap บนเวิร์กสเตชัน, ตัวอย่างเช่นในการมองหา Conficker Nmap น่าจะเปิดพอร์ตการจัดการ AV, พอร์ตซอฟต์แวร์การจัดการอื่น ๆ ฯลฯ (เดสก์ท็อปจะปูมากถ้าคุณทำลายซอฟต์แวร์การจัดการของพวกเขา) นอกจากนี้ยังอาจเปิดซอฟต์แวร์ที่ไม่ได้รับอนุญาตขึ้นอยู่กับสภาพแวดล้อมของคุณ

อย่างไรก็ตาม. สภาพแวดล้อมบางอย่างจะประหลาดเกี่ยวกับ nmap และบางคนจะไม่ได้สังเกตเห็น โดยทั่วไปฉันจะทำ nmap เซิร์ฟเวอร์ของฉันเองหรือเวิร์กสเตชันเพื่อวัตถุประสงค์เฉพาะซึ่งช่วย แต่ใช่คุณอาจต้องการที่ชัดเจนว่าคุณกำลังจะทำการสแกนพอร์ตกับทุกคนที่อาจทำให้คุณประหลาดใจ

ถ้าอย่างนั้นคุณก็รู้ ไรอันไรอันพูด การจัดการ / การจัดการการเปลี่ยนแปลง / นโยบายกลุ่ม / ฯลฯ

Katherine Villyard
แหล่งที่มา
เครือข่ายที่ดีใด ๆ ควรเริ่มต้นด้วยการสแกนพอร์ตเครือข่าย โดยเฉพาะถ้าพวกเขาอยู่ภายใน
SnakeDoc
แน่นอนว่ามันดูเป็นลางร้ายซึ่งเป็นเหตุผลที่ฉันปฏิเสธ ที่กล่าวว่าคุณจะประหลาดใจที่จะให้คุณทำมัน / จะไม่สังเกตเห็น
Katherine Villyard
lol ซึ่งเป็นเหตุผลที่ฉันพูดว่า "ดี" แม้ว่า "ดี" มีความหมายที่แตกต่างกันขึ้นอยู่กับเครือข่ายที่คุณนั่งอยู่ที่ ... hehe
SnakeDoc
3
หากทำด้วยความระมัดระวังนี่เป็นคำแนะนำที่ถูกต้องหากไม่ควรวางแผนในการปรับใช้ไฟร์วอลล์ nmapสามารถกำหนดเป้าหมายและควบคุมปริมาณได้ หากคุณรับผิดชอบหรือเกี่ยวข้องกับการดำเนินงานเครือข่ายอยู่แล้วคุณเพียงสื่อสารกับผู้มีส่วนได้ส่วนเสียทั้งหมดที่คุณสำรวจเครือข่ายและไม่มีใครต้องการ "หลุดพ้น"
Mathias R. Jessen
3
(ตะโกนข้ามกำแพงลูกบาศก์) "เฮ้ทิม?" "ใช่?" "ฉันกำลังจะทำให้เสีย IDS อีกครั้ง" "(หัวเราะ) โอเค"
Katherine Villyard
3

ฉันไม่เชื่อว่ามียูทิลิตี้ใด ๆ ที่มีให้จาก Microsoft ในเรื่องนี้ แต่ถ้าฉันต้องใช้ Windows Firewall บนโดเมนของเรา

  1. มีข้อยกเว้นสำหรับเครื่องมือการดูแลระบบระยะไกลทั้งหมด (WMI ฯลฯ )
  2. สร้างข้อยกเว้นช่วง IP บนเวิร์กสเตชันของโดเมนเพื่ออนุญาตเซิร์ฟเวอร์การจัดการ (เช่น SCCM / SCOM หากคุณมี) เพื่ออนุญาตการรับส่งข้อมูลทั้งหมด
  3. อนุญาตให้ผู้ใช้ปลายทางเพิ่มข้อยกเว้นในโปรไฟล์โดเมนสำหรับซอฟต์แวร์ในกรณีที่คุณพลาดบางสิ่ง (และคุณจะ)

เซิร์ฟเวอร์เป็นสัตว์ที่แตกต่างกันเล็กน้อย ขณะนี้ฉันปิดใช้งานไฟร์วอลล์สำหรับเซิร์ฟเวอร์ของเราเพราะการเปิดใช้งานทำให้เกิดปัญหามากมายแม้ว่าจะมีข้อยกเว้นเกิดขึ้น โดยทั่วไปคุณต้องใช้นโยบาย "Skeleton" แบบครอบคลุมสำหรับเซิร์ฟเวอร์ทั้งหมด (ไม่อนุญาตให้ใช้พอร์ตที่ไม่ปลอดภัยเป็นต้น) จากนั้นไปที่เซิร์ฟเวอร์แต่ละเครื่องและกำหนดการตั้งค่าแยกต่างหาก ด้วยเหตุนี้ฉันสามารถเห็นเหตุผลที่คนไอทีจำนวนมากปิดการใช้งานไฟร์วอลล์ ขอบเขตไฟร์วอลล์ของคุณควรปกป้องเครื่องเหล่านี้ให้เพียงพอโดยไม่มีไฟร์วอลล์ของตัวเอง อย่างไรก็ตามบางครั้งมันก็คุ้มค่ากับความพยายามในการกำหนดค่าเซิร์ฟเวอร์สำหรับสภาพแวดล้อมที่มีความปลอดภัยสูง

ในฐานะที่เป็นหมายเหตุด้าน Windows Firewall ยังควบคุมการใช้ IPsec ดังนั้นหากมีการใช้งานคุณต้องใช้ไฟร์วอลล์อยู่ดี

นาธานซี
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.