Я встречал некоторых администраторов Windows, которые отключают брандмауэр Windows, потому что «это усложняет устранение неполадок».
Системы защищены брандмауэрами на краю. Они считают, что этого достаточно.
У меня вопрос: Если предположить, что аппаратный брандмауэр настроен идеально, есть ли какие-либо конкретные причины для включения программного брандмауэра на уровне ОС?
Некоторые типы точек, которые я ищу:
Некоторая информация от разработчика ОС (Windows или не Windows) в отношении важности брандмауэра на уровне ОС
Демонстрация или пример эксплойта, который возможен только при отключенном брандмауэре на уровне ОС.
Редактировать: Измененный вопрос после обсуждения в комментариях с @joeqwerty.
Все чаще хакеры проникают в сеть, используя другие методы, кроме проникновения через межсетевой экран периметра.
Обычный бросить USB-накопитель с вирусом на бизнес-парковку. Пожалуй, самый известный пример этого - Stuxnet вирус. Это был вирус, нацеленный на системы, которые были полностью отключены от сети, вообще не имели доступа к Интернету или сети, поэтому предполагалось, что они не требуют защиты брандмауэра. Сама история - невероятное прочтение - как кому-то (мы предполагаем, что правительство) удалось проникнуть в автономную сеть с особым требованием саботажа на ядерном объекте.
Это надуманно, но отнюдь не выдумка. Это зависит от вашей отрасли. Если вы работаете в сфере финансов или банковского дела, вам лучше убедиться, что вы защищены. Черт, даже отключите порты USB на компьютерах. Но если вы управляете пекарней Nan and Pops Little Country Bakery, то, возможно, это не так уж и важно.
Как и в большинстве случаев, определите свою угрозу. Если, например, вы знаете, что по какой-либо причине вы плохо управляете серверами Windows, возможно, имеет смысл просто оставить их все открытыми и иметь только одну центральную точку для управления (брандмауэр). Безопасность всегда компромисс, и, как мы все знаем, единственный способ быть на 100% безопасным - это отключить компьютер от сети. Итак, вы принимаете определенный уровень риска. Если вам нужно обойти 30 машин, чтобы открыть порт 5555 для какого-то приложения, вы потратите время, которое вы могли бы потратить на другие области. Конечно, если у вас очень хорошая групповая политика, это не проблема.
Один важный момент о много системного менеджмента состоит в том, чтобы сразу же занять позицию, что не имеет значения, сколько «Х» вы должны поддерживать. то есть, если это решение работает нормально для 2, оно должно работать нормально для 40, иначе вы просто создаете себе проблемы. Так сделай это правоне делай этого тупой.
Если они жалуются, что это увеличивает поиск и устранение неисправностей, сосредоточьтесь на этой жалобе. Возможно, это связано с централизованным управлением через политики Windows для брандмауэров на рабочих столах. Если это заставит вас потратить 100 часов на инструмент, сравните это с тем, сколько времени потрачено на устранение неполадок, вызванных брандмауэром.
Проводите время там, где это принесет наибольшую пользу.
Хотя брандмауэр уровня ОС важен, брандмауэр Windows обычно не рекомендуется. Это разрешающий исходящий брандмауэр, и приложения могут его отключить. (ссылка: http://www.pcworld.com/article/117380/is_microsofts_firewall_secure.html)