Назад | Перейти на главную страницу

Можно ли отключить брандмауэр в локальной сети с помощью групповой политики?

Полное отключение брандмауэра Windows в домене AD с помощью групповой политики - хорошая идея или обычная практика? В это время даже брандмауэр серверов отключен. Единственное устройство, которое не затронуто, - это маршрутизатор / межсетевой экран, обращенный к глобальной сети.

Это практика, которую мы использовали для участия в домене AD с VPN для нескольких офисов в разных странах, и думали, что это нормально.

Пока кто-нибудь в офисе на удаленном острове не подключил портативный компьютер клиента к сети. В течение 10 минут каждый офис был заражен Conficker, нам пришлось отключить все интернет-соединения, и 3 инженера потратили большую часть недели на очистку всех наших систем от червя (ps A / V в то время была Symantec, а не t еще долго после этого).

В наши дни черви менее распространены, но действительно ли вам нужно открывать порты для совместного использования файлов и принтеров на ваших рабочих станциях? Они понадобятся вам на различных серверах, но именно здесь проявляется прелесть GPO. Политика по умолчанию блокирует его, добавляет объект политики для нужных портов и применяется только к серверам, которые действительно необходимость Это.

Хотя очевидно, что политика компании не должна заключаться в том, чтобы внешние ноутбуки не были подключены к домену (и это было так), случаются несчастные случаи, люди приносят вирусы / черви из посещений и т. Д. Лучше перестраховаться, чем очень сожалеть!

Раньше я отключал брандмауэр через GPO, но больше не делаю этого после инцидента, связанного с подключением взломанной машины к моей сети. Хотя, как упоминал Массимо, брандмауэр иногда может быть настоящей неприятностью, я считаю, что предпочтительнее применять соответствующие правила, чем полностью отключать его. В наши дни существует слишком много угроз, исходящих из слишком большого числа источников, и дополнительный уровень защиты приветствуется.

Одной из надежных стратегий защиты сети является идея «глубокой защиты». Это означает создание нескольких уровней защиты для защиты сетевых ресурсов и информации. На заре Интернета у нас даже не было брандмауэров. Сегодня у нас есть брандмауэр по периметру, брандмауэры рабочих станций, защита от вредоносных программ и спама, мы ограничиваем исходящие порты и обеспечиваем актуальность всего программного обеспечения.

Глубокая защита допускает выход из строя любого компонента, сохраняя при этом защиту окружающей среды.

Тем не менее, когда у вас есть несколько уровней, если вам нужно принять тактическое решение, чтобы удалить брандмауэр из проблемного ящика или отключить сканирование вредоносных программ в реальном времени для конкретной машины, у вас все равно будут другие уровни для защиты.

На этот вопрос нет однозначного ответа, поскольку он зависит от ваших обстоятельств, поэтому он может быть специфическим для вашего бизнеса.

В основном отключать его полностью - плохая практика. Чем больше у вас будет уровней безопасности, которые не повлияют на продуктивность ваших пользователей или вашу способность управлять системой, тем лучше. А брандмауэр практически невидим для ваших пользователей, так что это хорошо.

Тем не менее, мы отключаем его внутри нашей организации. Ключ в том, чтобы иметь способ уменьшить угрозу, возникающую из-за отсутствия брандмауэра. У нас есть сотни систем, но они используют Deep Freeze; заражение в сети будет очищено путем выключения всех компьютеров сразу, поскольку Deep Freeze сбросит их до состояния до заражения, и если у пользователя есть профиль, на сервере обнаружено вредоносное ПО / вирусы, которые могут работать и очищать их.

Но это может потерпеть неудачу, как указывает пример в ответах. Антивирус и Anti-Malware, которые полагаются на сигнатуры, являются временным решением; Всегда идет гонка вооружений, и вы рискуете не получить лекарство до заражения.

Тем не менее, вы спрашиваете об этом, поэтому у вас должна быть причина для этого. И что еще важнее, вы конкретизируете то, что хотите отключить его с помощью групповой политики. Итак ... вы спрашиваете о наличии брандмауэра или о способе его отключения? Если вы спрашиваете, как его выключить, да, выключите его с помощью групповой политики. Если вы спрашиваете, хорошо ли выключить брандмауэр, вы получите множество ответов на этот вопрос :-)

(Отметим, что мы отключили его, потому что это было проблемой для @ #%, когда нам нужно было удаленно работать с системами людей, а брандмауэр Windows мешал работе определенных приложений. Использование Deep Freeze снизило примерно 85% риска быстрого распространение инфекций внутри нашей внутренней сети, и да, мы уже участвовали в борьбе с червем внутри сети из-за отсутствия брандмауэра и обнаружили, что все еще справляемся хорошо благодаря тому, что у нас есть. Сохранение исправлений систем также помогает уменьшить риск.)