我从以前的同事那里学到了一些坏习惯,我想我应该改掉其中的一些。禁用 Windows 防火墙是标准做法,因为过去它造成的问题比解决的问题还多。
我该如何慢慢改变这种情况?这样做值得吗?我想推出一个 GPO,允许流量,但记录哪些应用程序连接到互联网。这样我就可以根据需要有选择地开始对 GPO 进行例外处理。
在 XP(25%的 PC)和 Windows 7(75%的 PC)环境中可以实现这一点吗?
谢谢
答案1
根据您配置 Active Directory 的方式,您可以将其应用于桌面的临时 OU,将 GPO 应用于该 OU,然后一次将它们移入其中,直到全部完成。然后,当您满意时,将其移至 AD 中的更高位置,以便它甚至可以应用于新机器。
我们也这样做了,当它们全部启用时,生活会变得更好。好的部分是,一个中央 GP 可以更轻松地进行批量更改,但要花一些时间找出哪些应用程序需要打开哪些。大多数用户不需要打开任何应用程序。但有些服务需要(我们的防病毒软件、RDP 和启用打印机共享的少数服务所需的端口)。
答案2
我最近使用 XP 和 7 上的 Windows 防火墙实现了网络分段,以达到 PCI-DSS 的目的。这样做绝对是可行的(也是值得推荐的)。
只要您不限制工作站的出站流量,通常就不会出现问题。
我发现的唯一例外往往是一次性事件 - 通过工作站共享的打印机就是一个典型的例子。大多数其他内容 - 远程 RDP 访问、入站 WMI 或防病毒软件等 - 都可以在事后发现,因为它只影响 IS。
我过去的做法是在 AD 中创建一个组并向其中添加某些测试计算机。该组将根据策略委派设置应用防火墙策略。这样您就可以在不弄乱现有 AD 结构的情况下进行测试。它还允许您轻松更新范围内所有系统的策略 -psexec \\testsystem gpupdate /target:Computer 非常适合这种情况。
慢慢来,确保不会造成不必要的干扰。如果可能的话,我也强烈建议使用 IPSec。入站规则的身份验证非常有用,在 7 上比在 XP 上更加有用。