Bir etki alanındaki Windows Güvenlik Duvarı'nı yeniden etkinleştirmek için ne yapılabilir?

15

ARKAPLAN ARAŞTIRMASI

Dürüst olmak gerekirse böyle sorulara inanıyorum: İş istasyonlarını Windows Güvenlik Duvarı'nı devre dışı bırakmak için Active Directory etki alanında GPO kullanma - nasıl? Windows Yöneticilerine genel olarak uzun zaman önce öğretildiği için vardı:

"Bir etki alanı bilgisayarıyla uğraşırken yapılacak en kolay şey, etki alanında Windows Güvenlik Duvarı'nı devre dışı bırakmak için yalnızca bir GPO olması ... sonunda çok daha az gönül yarası olacaktır." - yıllar geçtikçe rastgele BT eğitmenleri / danışmanları

Ayrıca, ÇOĞU şirketlerinde bunun için yan iş yaptığımı söyleyebilirim, en azından GPO'nun etki alanı profili için Windows Güvenlik Duvarı'nı ve WORST'te de genel profil için de devre dışı bıraktığı durum söz konusudur .

Dahası, bazıları sunucuların kendileri için devre dışı bırakacak: GPO aracılığıyla Windows Server 2008 R2'deki tüm ağ profilleri için güvenlik duvarını devre dışı bırakın

Windows Güvenlik Duvarı Üzerine Bir Microsoft TechNet Madde sen önerir YAPMAYIN Windows Güvenlik Duvarı devre dışı bırakın:

Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı, bilgisayarınızın güvenlik tehditlerine karşı korunmasında önemli bir rol oynadığı için, eşdeğer düzeyde koruma sağlayan saygın bir satıcıdan başka bir güvenlik duvarı yüklemediğiniz sürece devre dışı bırakmamanızı öneririz.

Bu ServerFault sorusu asıl soruyu sorar: Grup İlkesi kullanarak bir LAN'daki güvenlik duvarını kapatmak doğru mudur?- ve buradaki uzmanlar kendi görüşlerinde bile karışık.

SERVICE hizmetini devre dışı bırakma / etkinleştirme işleminden bahsetmediğimi anlayın: Windows Güvenlik Duvarı hizmetini ETKİLEMEZ önerimi nasıl yedekleyebilirim? - bunun, güvenlik duvarı hizmetinin güvenlik duvarını etkinleştirip etkinleştirmediği veya devre dışı bırakıp bırakmayacağı konusunda açık olmak için.

ELDE SORU

Bu sorunun başlığına geri dönüyorum ... Bir etki alanındaki Windows güvenlik duvarını düzgün bir şekilde yeniden etkinleştirmek için ne yapılabilir? Özellikle istemci iş istasyonları ve etki alanı profilleri için.

GPO'yu Devre Dışı'dan Etkin'e geçirmeden önce, anahtarın çevrilmesinin kritik istemci / sunucu uygulamalarına, izin verilen trafiğe vb. Aniden başarısız olmasına neden olmamasını sağlamak için hangi planlama adımları uygulanmalıdır? Çoğu yer "değiştir ve Yardım Masası'nı kimin çağırdığını gör" anlayışını hoş görmeyecektir.

Böyle bir durumu ele almak için Microsoft tarafından sunulan kontrol listeleri / yardımcı programlar / prosedürler var mı? Bu durumda kendiniz oldunuz ve bununla nasıl başa çıktınız?

group-policy  windows-firewall 
Temizleyici
kaynak
3
Windows sunucusu varsayılan olarak güvenlik duvarını devre dışı bırakır. (her zaman iyi bir şirket güvenlik duvarının arkasında olacağını varsayalım). Windows güvenlik duvarı çalışmak ve bakımını yapmak için bir PITA olduğundan etki alanı iş istasyonlarında genellikle devre dışı bırakılır. Her uygulamanın bazı özel portlara ihtiyacı vardır, DC, bir dizi port, vb. Üzerindeki verileri kusar. Windows güvenlik duvarının etkinleştirilmesi genellikle normal uygulamaların çalışması için "sabitlemeye" harcanan çok fazla zamana neden olur. Sonra uzaklaşır gitmez geri dönüp tekrar düzeltmen gerekecek.
SnakeDoc
10
@SnakeDoc windows server by default disables the firewall Bu doğru değil . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain Ayrıca, doğru değil- son 6 yılda GPO'ları yönetebildiniz mi? Artık 2003 değil the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work AD DS'yi yüklediğinizde,
DC'lerde
12
Kelimenin tam anlamıyla yanlış olduğu zaman bu yorumun nasıl +3 olduğu konusunda hiçbir fikrim yok. Bu şu an / r / sysadmin gibi hissediyorum.
MDMarra
3
@MDMarra: Ben de aynı şeyi düşünüyordum: bu yorumdaki "+3". Keşke bu yorumu küçümseyebilseydim. (İşaretleme yapmak için doğru bir şey gibi hissetmiyorum ama gerçekten cazipim ...)
Evan Anderson

Yanıtlar:

19

What can be done to properly re-enable the Windows firewall on a domain?

Kısa cevap şu ki, ilerlemeye karar verirseniz çok iş olacak ve kayıt için yapacağımdan emin değilim.

Genel durumda, istemci güvenlik duvarları bir şirket ağında (genellikle donanım güvenlik duvarlarına sahip olan ve kenarda bu tür şeyleri kontrol eden) fazla güvenlik sağlamaz ve bu günlerde kötü amaçlı yazılım yazarları trafikleri için 80 numaralı bağlantı noktasını kullanacak kadar akıllıdır, çünkü neredeyse hiç kimse bu bağlantı noktasını engellemez, bu nedenle sınırlı güvenlik avantajı sağlamak için bir şey koymak için çok çaba harcarsınız.

Bunu söyledikten sonra, uzun cevap:

  1. Envanter uygulamaları ve bağlantı ihtiyaçları olabildiğince iyi.
    • Windows Güvenlik Duvarı'nı güvenli bir şekilde allow all kuralla ve günlüğe kaydetmeyi ayarlayabilirseniz, bu, güvenlik duvarı dışlamalarına ihtiyaç duyan hangi uygulamalara sahip olduğunuzu belirlemek için bir veri hazinesi olacaktır.
    • Günlük verilerini müdahaleci olmayan bir şekilde toplayamıyorsanız, basit bir envanterle işlem yapmanız veya kesintiyi ve müdahaleci BT etkinliğini (örneğin kendiniz ve diğer teknolojiler gibi) işleyebilen kullanıcılara giriş yapmanız gerekir.
  2. Sorun giderme ihtiyaçlarınızı düşünün.
    • Muhtemelen düşünmeniz gereken bir yazılım denetiminde ortaya çıkmayacak şeyler vardır. Örneğin:
      • ICMP'nin (veya onaylanmış adres alanlarından ICMP'nin) sorun giderme ve IP adresi yönetimini korkunç hale getirmesine izin vermek isteyebilirsiniz.
      • Aynı şekilde, kullandığınız uzaktan yönetim uygulamaları için hariç tutmalar.
      • Ayrıca muhtemelen politikaya göre güvenlik duvarı günlüğü ayarlamak isteyeceksiniz
  3. Bir taban çizgisi GPO'su oluşturun ve bunu bir test grubuna veya birden çok test grubuna dağıtın.
    • Sadece bunu yapamaz ve yardım masasının herkes için sıralamasına izin verseniz de, yönetim, özellikle geçerli bir güvenlik endişesi olduğunu düşünüyorlarsa, seçili bir grup seçilmiş çalışanla değişiklikleri yönlendirmeye çok daha açık olacaktır. .
    • Test grubunuzu dikkatlice seçin. Önce BT halkını kullanmak daha sonra grubun diğer departmanlardan insanları da kapsayacak şekilde genişletilmesi akıllıca olabilir.
    • Açıkçası, test grubunuzu izleyin ve ilk kez yakalamadığınız sorunları hızla çözmek için onlarla sürekli iletişim halinde kalın.
  4. Değişikliği yavaşça ve aşamalı olarak açın.
    • Memnuniyetinize göre test ettikten sonra, yine de dikkatli olmanız ve aynı anda tüm etki alanına yaymamalısınız. Kuruluşunuzun yapısına ve ihtiyaçlarına göre tanımlamanız gereken daha küçük gruplara dağıtın.
  5. Gelecekteki değişiklikleri ele almak için bir şeyinizin bulunduğundan emin olun.
    • Sadece ortamınızda olanlarla çalışmasını sağlamak yeterli olmayacaktır, çünkü alan adınızdaki yeni uygulamalarla sonuçlanacaksınız ve güvenlik duvarı politikasının bunları karşılayacak şekilde güncellendiğinden emin olmanız veya Yukarıdaki bir kişi, güvenlik duvarının değerinden daha fazla sorun olduğuna karar verecek ve politikayı kaldırmış, ortadan kaldıracak ve şimdiye kadar içine koyduğunuz işi alacaktır.
HopelessN00b
kaynak
12

Düzenle: Sadece doğası gereği Windows Güvenlik Duvarı ile ilgili yanlış bir şey olmadığını belirtmek istiyorum. Genel bir derinlemesine savunma stratejisinin mükemmel kabul edilebilir bir parçasıdır. Mesele şu ki, çoğu dükkan, çalıştırdıkları uygulamalar için hangi güvenlik duvarı kurallarının gerekli olduğunu anlamak için rahatsız edilemeyecek kadar tembel ya da çok tembeldir ve bu yüzden her şeyi her yerde zorlarlar.

Örneğin Windows Güvenlik Duvarı, etki alanı denetleyicilerinizin işlerini yapmasını engelliyorsa, bunun nedeni güvenlik duvarını açmadan önce Active Directory'nin hangi bağlantı noktalarına ihtiyaç duyduğunu bilmemeniz veya ilkeyi yanlış yapılandırmanızdır.

Meselenin alt çizgisi bu.

İlk olarak, şirketinizdeki süreç ne olursa olsun proje yöneticilerinizle, patronlarınızla, pay sahiplerinizle, değişiklik danışma kabininizle iletişim kurun ve genel olarak artırmak için Windows Güvenlik Duvarı'nı içeren aşamalı bir iyileştirme yapacağınız konusunda onları bilgilendirin. ortamınızın güvenlik duruşu.

Risk olduğunu anladıklarından emin olun. Evet, elbette, kesinti olmamasını sağlamak için elimizden geleni yapacağız, yapabileceğimiz tüm planları yapacağız, ancak herhangi bir söz vermeyeceğiz. Eski bir alanı şekillendirmeye çalışmak zor bir iştir.

Ardından, ortamınızda kullanılan uygulamaları ve hangi bağlantı noktalarını gerektirdiklerini envantere almanız gerekir. Çevreye bağlı olarak, bu çok zor olabilir. Ama yapılması gerek. İzleme ajanları? SCCM ajanları? Virüsten koruma aracıları? Liste devam ediyor.

Kurumsal uygulamalarınız için özel kurallar içeren bir Windows Güvenlik Duvarı GPO'su geliştirin. Farklı sunucular için geçerli olan farklı kapsamlara sahip birden çok politika gerekebilir. Örneğin, 80, 443 numaralı bağlantı noktaları için yalnızca web sunucuları için geçerli olan ayrı bir ilke.

Yerleşik Windows Güvenlik Duvarı ilkeleri, en yaygın Windows etkinliklerini barındırmak için mükemmel bir şekilde kapsandıkları için size çok yardımcı olacaktır. Bu yerleşik kurallar daha iyidir, çünkü sadece tüm sisteme bir bağlantı noktası açmaz veya kapatmazlar - makinede vb. Gerçekleşen çok özel işlem ve protokol etkinliğine dahil edilirler. Ancak özel uygulamalarınızı kapsamazlar. , bu nedenle bu kuralları ilkelere yardımcı ACE'ler olarak ekleyin.

Mümkünse ilk önce bir test ortamında hazırlayın ve üretime geçerken önce sınırlı parçalar halinde yapın. İlk seferde GPO'yu alan adının tamamına yerleştirmeyin.

Bu son ifade muhtemelen size verebileceğim en iyi tavsiyedir - değişikliklerinizi çok küçük, kontrollü kapsamlarda yayınlayın.

Ryan Ries
kaynak
1
Bu cevapla ilgili olmayan bir sonraki yorum kutuda 24 saat alır. > = [
Chris S
6
@ChrisS Peki, bu hafta sonu ne yapacaksın?
MDMarra
4

Tamam, başını belaya sokabilecek bir şey önermek üzereyim, ancak güvenlik duvarını açarken kullandığım şey bu.

Nmap. (Herhangi bir bağlantı noktası tarayıcısı yapar.) Hangi bağlantı noktalarının kullanıldığının belgelerine güvenmiyorum. Kendim görmek istiyorum.

Arka fon: Öğrenci dizüstü bilgisayarlarının sunucularımıza dirsek sürdüğü akademik bir ortamdayım (Ugh!). Kendi sunucularımda nmap kullanmaya başladığımda IDS'miz de yoktu, bu yüzden nmap irade ile hiç kimse fark etmiyordu. Sonra IDS uyguladılar ve bana temelde "AĞ BAĞLANTI NOKTASI TARAMA SİZİN İŞVERENİZDEN SUNUCU SALDIRI SALDIRI" dedi e-postalar almak istiyorum !!!!! " ve ben de "Evet, benim." Heh. Bir süre sonra bu konuda bir espri anlayışı geliştirdiler. ;)

Ayrıca iş istasyonlarında nmap'i, örneğin daha karmaşık aramak için kullandım . Nmap muhtemelen AV yönetim portlarını, diğer yönetim yazılımı portlarını, vb.

Neyse. Bazı ortamlar nmap hakkında korkar ve bazıları fark etmez. Genelde sadece kendi sunucularımı veya iş istasyonlarını nmap ediyorum, bu da yardımcı olur. Ama evet, muhtemelen sizi korkutabilecek herhangi biriyle bir bağlantı noktası taraması yapacağınızı açıklığa kavuşturmak istersiniz.

Sonra biliyorsun. Ryan Ries'in söyledikleri. Yönetim / değişiklik yönetimi / grup politikası / vb.

Katherine Villyard
kaynak
İyi bir ağ, ağ bağlantı noktası taramalarında çıldırmalıdır. Özellikle de içsel ise.
SnakeDoc
Elbette, uğursuz görünüyor, bu yüzden reddettim. Bununla birlikte, bunu yapmanıza kimin izin vereceğine şaşıracaksınız / fark etmeyeceksiniz.
Katherine Villyard
lol, bu yüzden "iyi" dedim. Her ne kadar "iyi", ağın hangi tarafında oturduğunuza bağlı olarak farklı bir anlama sahip olsa da ... hehe
SnakeDoc
3
Dikkatli bir şekilde yapılırsa, güvenlik duvarı dağıtımlarının planlanmasında olmazsa olmazsa, bu sağlam bir tavsiyedir. nmaphedeflenebilir ve daraltılabilir. Şebeke işlemlerinden zaten sorumluysanız veya başka bir şekilde ilgileniyorsanız, tüm paydaşlara ağı incelediğinizi bildirirsiniz ve hiç kimsenin "korkmasına" gerek yoktur.
Mathias R. Jessen
3
(küp duvarların üzerinden bağırıyor) "Hey, Tim?" "Evet?" "IDS'yi tekrar üzmek üzereyim." "(gülüyor) Tamam."
Katherine Villyard
3

Bu konuda Microsoft'tan herhangi bir yardımcı program olduğuna inanmıyorum, ancak etki alanımızda Windows Güvenlik Duvarı kullanacak olsaydım (çalıştığım yerde etkinleştirilir) aşağıdakileri garanti ederim:

  1. Tüm uzaktan yönetim araçları (WMI, vb.) İçin istisnalar vardır
  2. Yönetim trafiğine (varsa SCCM / SCOM gibi) tüm trafiğe izin vermek için etki alanı iş istasyonlarında IP aralığı istisnaları oluşturun.
  3. Son kullanıcıların, yalnızca bazı şeyleri kaçırmanız durumunda (ve yapacaksanız) alan adı profiline istisna eklemesine izin verin .

Sunucular biraz farklı bir canavardır. Şu anda sunucularımız için güvenlik duvarını devre dışı bıraktım çünkü etkinleştirme, istisnalar dışında bile birçok soruna neden oldu. Temel olarak tüm sunucular için battaniye "iskelet" ilkesini uygulamanız (örneğin güvenli olmayan bağlantı noktalarına izin vermeme), daha sonra her sunucuya gitmeniz ve ayarları kişiselleştirmeniz gerekir. Bu nedenle, birçok BT halkının sadece güvenlik duvarını devre dışı bırakma nedenini görebiliyorum. Çevre güvenlik duvarınız bu makineleri kendi güvenlik duvarları olmadan yeterince korumalıdır. Bununla birlikte, bazen sunucuları yüksek güvenlikli ortamlar için ayrı ayrı yapılandırmak için çaba sarf etmeye değer.

Bir yan not olarak, Windows Güvenlik Duvarı IPsec kullanımını da yönetir, bu yüzden eğer kullanılıyorsa yine de güvenlik duvarına ihtiyacınız vardır.

Nathan C
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.