使用组策略完全关闭 AD 域中的 Windows 防火墙是一个好主意还是常见做法?此时,甚至服务器的防火墙也已关闭。唯一不受影响的设备是面向 WAN 的路由器/防火墙。
答案1
这是我们曾经参与过的一种做法,在 AD 域中通过 VPN 连接多个国家的多个办事处,我们认为这很好。
直到偏远岛屿办公室的某人将客户的笔记本电脑插入网络。 10 分钟内,每个办公室都感染了 Conficker,我们不得不切断所有互联网连接,3 名工程师花了将近一周的时间才从我们所有的系统中清除了蠕虫(注:当时的 A/V 是 Symantec,此后不久就被感染了)。
如今蠕虫病毒已经不那么普遍了,但是你真的需要在工作站上打开文件和打印机共享端口吗?你会在各种服务器上都需要它们,但这正是 GPO 的妙处所在。默认策略会将其锁定,为你需要的端口添加策略对象,并仅应用于真正需要的服务器需要它。
虽然很明显,公司政策应该是禁止将外部笔记本电脑插入域(事实也确实如此),但意外还是会发生,人们会通过访问等带来病毒/蠕虫。安全总比后悔好!
答案2
我过去常常通过 GPO 禁用防火墙,但自从发生一起涉及一台受感染机器插入我网络的事件后,我就不再这么做了。尽管防火墙有时确实很麻烦,但正如 Massimo 所说,我认为最好应用适当的规则,而不是完全禁用它。如今,有太多来自太多来源的威胁,额外的保护层是受欢迎的。
答案3
保护网络的一个可靠策略是“纵深防御”的理念。这意味着建立多层防御来保护网络资产和信息。在互联网诞生之初,我们甚至没有防火墙。今天,我们有边界防火墙、工作站防火墙、反恶意软件、反垃圾邮件,我们限制出站端口并确保所有软件都保持最新状态。
纵深防御可以允许任何一个组件发生故障,同时仍能保持对环境的保护。
也就是说,当您拥有多层时,如果您需要做出战术决策来从麻烦的盒子中移除防火墙,或者禁用特定机器的实时恶意软件扫描,您仍然可以使用其他层来保护您。
答案4
这个问题没有明确的答案,因为它取决于你的情况,所以它可能与业务有关。
一般来说完全关闭防火墙是一种不好的做法。您设置的安全性层数越多,越不会影响用户的工作效率或管理系统的能力,就越好。而且防火墙对于您的用户来说几乎是不可见的,所以这是一件好事。
话虽如此,我们在组织内部将其关闭。关键是要找到一种方法来减轻没有防火墙所带来的威胁。我们有数百个系统,但它们都在运行 Deep Freeze;通过同时关闭所有计算机,可以清除网络上的感染,因为 Deep Freeze 会将它们重置为感染前的状态,如果用户有配置文件,服务器上就会有恶意软件/病毒检测程序可以运行并清除它们。
但这可能会失败,正如答案中的例子所指出的那样。依赖签名的 AV 和反恶意软件只是权宜之计;军备竞赛总是存在,而且在感染之前你有可能没有治疗方法。
话虽如此,你问这个问题,肯定有原因。更重要的是,你明确表示要通过组策略关闭它。所以……你是在问是否安装了防火墙,还是问关闭它的方法?如果你问如何关闭它,是的,用组策略关闭它。如果你问关闭防火墙是否好,你会得到很多答案 :-)
(需要注意的是,我们关闭它是因为当我们需要远程操作别人的系统时,它非常麻烦,而且 Windows 防火墙会干扰某些应用程序。使用 Deep Freeze 可以降低我们内部网络内快速传播感染的风险约 85%,是的,我们之前曾因缺乏防火墙而与网络内的蠕虫作斗争,但发现我们仍然可以应付,因为我们已经安装了防火墙。保持系统修补也有助于降低风险。)