На данный момент мы управляем брандмауэром Windows на серверах вручную, индивидуально. Это работает, но является громоздким, например, если требуется изменение для нового агента или что-то болезненное для изменения каждой системы.
Я мог бы сгруппировать серверы по функциям и применить правила, основанные на групповой политике, на основе схожих систем, но большинство из них являются серверами SQL или приложениями, поэтому общность между системами довольно низкая из-за использования разных портов и приложений.
Есть ли у кого-нибудь решение для управления правилами брандмауэра Windows на большом количестве серверов Windows?
Если вы развертываете правила с помощью групповой политики, то вы получите, по крайней мере, все правила, задокументированные за пределами систем / электронной таблицы Excel. Это также позволит вам использовать группы безопасности для фильтрации применения правил к каждому серверу.
С точки зрения безопасности вам следует избегать применения правил для открытия портов на серверах, для которых они не нужны.
В зависимости от количества серверов можно создать один объект групповой политики для каждого порта, создать группу безопасности, заполнить ее серверами и использовать эту группу для фильтрации. Все серверы SQL должны использовать одни и те же диапазоны портов по умолчанию для соединений, если значения по умолчанию не были изменены.