Я перенял некоторые вредные привычки от предыдущих сотрудников и думаю, что мне следует изменить некоторые из них. Обычной практикой было просто отключить брандмауэр Windows, потому что он вызывал больше проблем, чем решал в прошлом.
Как я могу постепенно это изменить, и стоит ли это усилий? Я хотел бы развернуть объект групповой политики, который разрешал бы трафик, но регистрировал, какие приложения подключаются к Интернету. Таким образом, я мог выборочно начать делать исключения из GPO по мере необходимости.
Возможно ли это в среде XP (25% ПК) и Windows 7 (75% ПК)?
Спасибо
В зависимости от того, как вы настроили Active Directory, вы можете применить его к временному подразделению для рабочих столов, применить к нему объект групповой политики и перемещать их в него по одному, пока все они не будут выполнены. Затем, когда вы будете довольны, переместите его выше в AD, чтобы он применялся даже к новым машинам.
Мы тоже это сделали, и жизнь станет лучше, когда все они включены. Хорошая часть состоит в том, что центральный GP для этого упрощает внесение массовых изменений, но потратите некоторое время и выясните, какие приложения должны иметь открытое. Большинству пользователей не нужны открытые. Но некоторые службы работают (наш антивирус, RDP и порты, необходимые для некоторых, у которых включен общий доступ к принтеру).
Недавно я реализовал сегментацию сети с помощью брандмауэра Windows в XP и 7 для целей PCI-DSS. Совершенно очевидно, что это возможно (и рекомендуется).
Пока вы не ограничиваете исходящий трафик со своих рабочих станций, это обычно не проблема.
Единственные исключения, которые я обнаружил, - это, как правило, единичные: принтеры, совместно используемые через рабочую станцию, являются ярким примером. Большинство других вещей - удаленный доступ по RDP, входящий WMI или антивирус и т. Д. - можно обнаружить постфактум, поскольку это влияет только на IS.
В прошлом я создал группу в AD и добавил в нее определенные тестовые компьютеры. Эта группа будет применять политику брандмауэра на основе настроек делегирования политики. Это позволит вам тестировать, не запутывая существующую структуру AD. Это также позволяет вам легко обновлять политики для всех систем - psexec \\testsystem gpupdate /target:Computer отлично подходит для этого.
Двигайтесь медленно и убедитесь, что вы не причините ненужных неудобств. Я также настоятельно рекомендую по возможности использовать IPSec. Аутентификация для входящих правил чрезвычайно полезна, особенно на 7, а не на XP.