Что можно сделать, чтобы правильно снова включить брандмауэр Windows в домене?

What can be done to properly re-enable the Windows firewall on a domain?

Что ж, краткий ответ заключается в том, что если вы решите продвигаться вперед, вам потребуется много работы, и, для протокола, я не уверен, что буду.

В общем случае клиентские брандмауэры не обеспечивают достаточной безопасности в корпоративной сети (которая обычно имеет аппаратные брандмауэры и контролирует такие вещи на периферии), и в наши дни авторы вредоносных программ достаточно умны, чтобы использовать порт 80 для своего трафика, потому что практически никто не блокирует этот порт, поэтому вам нужно приложить много усилий, чтобы создать что-то, обеспечивающее ограниченное преимущество в безопасности.

Сказав это, длинный ответ таков:

1. Инвентарь приложений и их потребностей в подключении как можно лучше.
   • Если вы можете безопасно включить брандмауэр Windows с allow all rule и set logging, это будет кладезь данных для определения того, какие у вас есть приложения, требующие исключения из брандмауэра.
   • Если вы не можете собирать данные журнала ненавязчиво, вам придется обойтись простой инвентаризацией или выполнить вход для пользователей, которые могут справляться с нарушениями и навязчивой ИТ-деятельностью (например, вы и другие технические специалисты).
2. Подумайте о своих потребностях в устранении неполадок.
   • Есть вещи, которые, вероятно, не обнаружатся в ходе аудита программного обеспечения, и о которых вам нужно подумать. Например:
     • Вы можете разрешить ICMP (или ICMP из утвержденных адресных пространств), чтобы устранение неполадок и управление IP-адресами не было ужасным.
     • Точно так же исключения для любых приложений удаленного управления, которые вы, ребята, используете.
     • Вы также, вероятно, захотите настроить ведение журнала брандмауэра политикой
3. Создайте базовый объект групповой политики и разверните его в тестовой группе или в нескольких тестовых группах.
   • Хотя вы не можете просто сделать это и позволить службе поддержки разобраться с этим для всех, руководство будет гораздо более открыто для пилотирования изменений с помощью избранной группы тщательно отобранных сотрудников, особенно если они считают, что существует серьезная проблема безопасности. .
   • Тщательно выбирайте свою тестовую группу. Было бы разумно сначала использовать ИТ-специалистов, а затем расширить группу, включив в нее людей из других отделов.
   • Очевидно, следите за своей тестовой группой и поддерживайте постоянную связь с ней, чтобы быстро решать проблемы, которые вы не заметили в первый раз.
4. Внедряйте изменение медленно и поэтапно.
   • После того, как вы его удовлетворили, вам следует проявлять осторожность, а не просто распространять его на весь домен сразу. Распространите его на более мелкие группы, которые вам нужно будет определить в соответствии со структурой и потребностями вашей организации.
5. Убедитесь, что у вас есть что-то для будущих изменений.
   • Просто заставить его работать для того, что у вас есть в вашей среде сейчас, будет недостаточно, потому что в конечном итоге вы получите новые приложения в вашем домене, и вам нужно будет убедиться, что политика брандмауэра обновлена ​​для их соответствия, или кто-то из вышеперечисленных лиц решит, что брандмауэр - это больше проблем, чем он того стоит, и его политика будет удалена, устранена и работа, которую вы вложили в нее до сих пор.

Редактировать: Я просто хотел бы заявить, что в брандмауэре Windows нет ничего плохого. Это вполне приемлемая часть общей стратегии глубокоэшелонированной защиты. Дело в том, что большинство магазинов слишком некомпетентны или слишком ленивы, чтобы беспокоиться о том, чтобы выяснять, какие правила брандмауэра необходимы для приложений, которые они запускают, и поэтому они просто принудительно отключают его повсеместно.

Например, если брандмауэр Windows мешает вашим контроллерам домена выполнять свою работу, это потому, что вы не знали, какие порты нужны Active Directory до того, как включили брандмауэр, или потому, что вы неправильно настроили политику.

В этом суть дела.

Во-первых, свяжитесь со своими руководителями проектов, начальством, заинтересованными сторонами, своим кабинетом рекомендаций по изменениям, независимо от процесса в вашей компании, и проинформируйте их всех, что вы будете подвергаться постепенному исправлению с помощью брандмауэра Windows, чтобы увеличить общий состояние безопасности вашей среды.

Убедитесь, что они понимают, что есть риски. Да, конечно, мы сделаем все, что в наших силах, все возможное планирование, чтобы не было перебоев, но не даем никаких обещаний. Попытка привести в форму старый домен - тяжелая работа.

Затем вам необходимо провести инвентаризацию приложений, которые используются в вашей среде, и указать, какие порты им требуются. В зависимости от окружающей среды это может быть очень сложно. Но это нужно сделать. Агенты мониторинга? Агенты SCCM? Антивирусные агенты? Этот список можно продолжить.

Разработайте объект групповой политики брандмауэра Windows, который включает настраиваемые правила для корпоративных приложений. Вам может потребоваться несколько политик с разными областями действия, которые применяются к разным серверам. Например, отдельная политика, которая применяется только к веб-серверам для портов 80, 443 и т. Д.

Встроенные политики брандмауэра Windows будут вам очень полезны, поскольку они идеально подходят для наиболее распространенных действий Windows. Эти встроенные правила лучше, потому что они не просто открывают или закрывают порт для всей системы - они привязаны к очень конкретным процессам и протоколам, выполняемым на машине, и т. Д. Но они не охватывают ваши пользовательские приложения. , поэтому добавьте эти правила в политики как вспомогательные ACE.

Если возможно, сначала выполните развертывание в тестовой среде, а при развертывании в производственной среде - сначала ограниченными порциями. Не стоит сразу же размещать GPO на всем домене.

Это последнее утверждение, вероятно, лучший совет, который я могу вам дать: вносите изменения в очень маленькие контролируемые области.

Хорошо, я собираюсь предложить кое-что, что может или не может доставить вам неприятности, но это то, что я использую, когда включаю брандмауэр.

Nmap. (Подойдет любой сканер портов.) Боюсь, я не доверяю документации о том, какие порты используются. Я хочу убедиться в этом сам.

Задний план: Я из академической среды, где студенческие ноутбуки терлись локтями о наши серверы (тьфу!). Когда я начал использовать nmap на своих серверах, у нас тоже не было IDS, поэтому я мог использовать nmap по своему желанию, и никто бы этого не заметил. Затем они внедрили IDS, и мне пересылали электронные письма, в которых в основном говорилось: «АТАКА СКАНИРОВАНИЯ СЕТЕВОГО ПОРТА НА ВАШ СЕРВЕР С ВАШЕЙ РАБОЧЕЙ СТАНЦИИ !!!!!» и я отвечал и говорил: «Ага, это я». Хех. Через некоторое время у них появилось чувство юмора. ;)

Я также использовал nmap на рабочих станциях, например, искать конфикер. Nmap, скорее всего, включит порты управления AV, порты любого другого программного обеспечения управления и т. Д. (Рабочий стол будет очень раздражительным, если вы сломаете их программное обеспечение для управления.) Он также может включить неавторизованное программное обеспечение, в зависимости от вашей среды.

Тем не мение. Некоторые среды будут волноваться по поводу Nmap, а некоторые даже не заметят. Обычно я использую nmap только для своих серверов или рабочих станций для определенной цели, что помогает. Но да, вы, вероятно, хотите прояснить, что собираетесь запускать сканирование портов с любым, кто может вас напугать.

Тогда вы знаете. Что сказал Райан Райс. Управление / управление изменениями / групповая политика / и т. Д.

Я не верю, что для этого есть какие-либо утилиты от Microsoft, но если бы я использовал брандмауэр Windows в нашем домене (он включен там, где я работаю), я бы обеспечил следующее:

1. Исключения существуют для всех инструментов удаленного администрирования (WMI и т. Д.).
2. Создайте исключения диапазона IP-адресов на рабочих станциях домена, чтобы разрешить административным серверам (например, SCCM / SCOM, если они у вас есть) разрешать весь трафик.
3. Разрешить конечным пользователям добавлять исключения в только профиль домена для программного обеспечения на случай, если вы что-то упустите (и вы это сделаете).

Серверы - это немного другой зверь. У меня сейчас есть брандмауэр отключен для наших серверов, потому что его включение вызвало множество проблем, даже если были исключения. По сути, вам нужно применить общую политику «скелета» для всех серверов (например, запретить небезопасные порты), а затем перейти к каждый сервер и индивидуально настраивая параметры. Из-за этого я вижу причину, по которой многие ИТ-специалисты просто отключают брандмауэр. Брандмауэр по периметру должен защищать эти машины в достаточной степени без их собственных брандмауэров. Однако иногда стоит потратить усилия на индивидуальную настройку серверов для сред с высоким уровнем безопасности.

Кстати, брандмауэр Windows также регулирует использование IPsec, поэтому, если он используется, вам в любом случае понадобится брандмауэр.