背景研究
我真诚地相信,像这样的问题:在 Active Directory 域中使用 GPO 强制禁用工作站 Windows 防火墙 - 如何操作?之所以存在,是因为 Windows 管理员很久以前就被教导:
“处理域计算机时最简单的事情就是在域上安装 GPO 来禁用 Windows 防火墙……最终它会给你带来更少的烦恼。”——过去几年的随机 IT 讲师/导师
我还可以说,在我从事过此类工作的大多数公司中,GPO 至少会禁用域配置文件的 Windows 防火墙,并且最差也为公共资料禁用它。
甚至有些人会为服务器本身禁用它:通过 GPO 禁用 Windows Server 2008 R2 上所有网络配置文件的防火墙
有关 WINDOWS 防火墙的 Microsoft Technet 文章推荐你不要禁用 Windows 防火墙:
由于高级安全 Windows 防火墙在帮助保护您的计算机免受安全威胁方面发挥着重要作用,因此我们建议您不要禁用它,除非您安装了由信誉良好的供应商提供的另一个可提供同等保护级别的防火墙。
这个 ServerFault 问题提出了真正的问题:使用组策略关闭局域网中的防火墙可以吗?——而且这里的专家们的观点也是褒贬不一。
并且请理解我不是指禁用/启用服务:我该如何支持我的建议,不要禁用 Windows 防火墙服务?——以便明确这是关于防火墙服务是否启用防火墙或禁用防火墙。
当前的问题
所以我回到这个问题的标题......如何才能正确地重新启用域上的 Windows 防火墙? 专门针对客户端工作站及其域配置文件。
在简单地将 GPO 从“禁用”切换为“启用”之前,应采取哪些规划步骤来确保切换不会导致关键客户端/服务器应用程序、允许的流量等突然失败? 大多数地方都不会容忍这种“改变它,看看谁来呼叫帮助台”的想法。
Microsoft 是否有可用的检查表/实用程序/程序来处理这种情况?您自己遇到过这种情况吗?您是如何处理它的?
答案1
What can be done to properly re-enable the Windows firewall on a domain?
嗯,简短的回答是,如果你决定继续前进,那将会有很多工作要做,而且就记录而言,我不确定我是否会这么做。
一般情况下,客户端防火墙在企业网络中无法提供太多安全性(企业网络通常具有硬件防火墙并在边缘控制此类事物),而如今的恶意软件作者足够聪明,可以使用端口 80 进行通信,因为几乎没有人阻止该端口,因此您需要花费大量精力来实施某些措施才能获得有限的安全效益。
话虽如此,长话短说就是:
- 尽可能详细地盘点应用程序及其连接需求。
- 如果您可以安全地使用规则启用 Windows 防火墙
allow all并设置日志记录,这将成为确定哪些应用程序需要防火墙排除的宝贵数据。 - 如果您无法以非侵入式的方式收集日志数据,那么您就必须使用简单的清单,或者对可以处理中断和侵入性 IT 活动的用户进行日志记录(例如您自己和其他技术人员)。
- 如果您可以安全地使用规则启用 Windows 防火墙
- 考虑一下您的故障排除需求。
- 有些事情在软件审计中可能不会出现,但你需要考虑。例如:
- 您可能希望允许 ICMP(或来自批准地址空间的 ICMP),以使故障排除和 IP 地址管理不那么糟糕。
- 同样,排除你们使用的任何远程管理应用程序。
- 您可能还希望通过策略设置防火墙日志记录
- 有些事情在软件审计中可能不会出现,但你需要考虑。例如:
- 创建基线 GPO 并将其部署到一个或多个测试组。
- 虽然你不能直接这样做并让服务台为每个人解决问题,但管理层将更加愿意与一组精心挑选的员工一起试行这些变化,特别是当他们认为存在有效的安全问题时。
- 谨慎选择测试组。首先使用 IT 人员,然后扩大组别以包括其他部门的人员,这可能是明智之举。
- 显然,监控您的测试组并与他们保持持续沟通,以便快速解决您第一次没有发现的问题。
- 分阶段、缓慢地推出变革。
- 测试满意后,您仍应谨慎行事,不要一下子将其推广到整个域。将其推广到较小的组,您必须根据组织的结构和需求进行定义。
- 确保你已经做好了准备来应对未来的变化。
- 仅仅使其适用于您当前环境是不够的,因为您最终会在域中出现新的应用程序,并且您必须确保更新防火墙策略以适应它们,否则您上级的某个人会认为防火墙的麻烦大于其价值,并将删除该策略,从而消除您迄今为止为此所做的工作。
答案2
编辑:我只想说,Windows 防火墙本身并没有什么问题。它是整体纵深防御策略中完全可以接受的一部分。事实上,大多数商店太无能或太懒,不愿意费心去弄清楚他们运行的应用程序需要哪些防火墙规则,所以他们只是到处强制关闭它。
例如,如果 Windows 防火墙阻止您的域控制器执行其工作,那是因为您在打开防火墙之前不知道 Active Directory 需要哪些端口,或者因为您错误地配置了策略。
这就是事情的底线。
首先,与您的项目经理、老板、利益相关者、变更咨询内阁以及公司中的流程进行沟通,并告知他们所有人,您将进行涉及 Windows 防火墙的逐步修复,以提高您的环境的整体安全态势。
确保他们明白存在风险。是的,我们当然会尽一切努力,尽一切可能规划,以确保不会出现中断,但不要做出任何承诺。试图让一个旧域名恢复原状是一项艰苦的工作。
接下来,您必须清点环境中正在使用的应用程序以及它们需要哪些端口。根据环境的不同,这可能非常困难。但必须这样做。监控代理?SCCM 代理?防病毒代理?还有更多。
开发包含企业应用程序自定义规则的 Windows 防火墙 GPO。您可能需要多个具有不同范围的策略,这些策略适用于不同的服务器。例如,一个单独的策略仅适用于端口 80、443 等的 Web 服务器。
内置的 Windows 防火墙策略将对您非常有帮助,因为它们的范围完全适合最常见的 Windows 活动。这些内置规则更好,因为它们不只是打开或关闭整个系统的端口 - 它们的范围是机器上发生的非常具体的进程和协议活动等。但它们不涵盖您的自定义应用程序,因此请将这些规则作为辅助 ACE 添加到策略中。
如果可能的话,先在测试环境中推出,然后在生产环境中推出时,先以有限的部分进行。不要在第一次尝试时就将 GPO 放在整个域上。
最后这句话可能是我能给你的最好的建议——在非常小的、可控的范围内推出你的变更。
答案3
我不相信微软在这方面提供任何实用程序,但如果我在我们的域上使用 Windows 防火墙(在我工作的地方启用了它),我会确保以下几点:
- 所有远程管理工具(WMI 等)均存在例外
- 在域工作站上创建 IP 范围例外,以允许管理服务器(例如 SCCM/SCOM,如果有)允许所有流量。
- 允许最终用户添加例外情况仅限域配置文件以防您错过某些东西(而且您会错过)。
服务器有点不同。我目前有防火墙已禁用因为我们的服务器启用它会导致很多问题,即使设置了例外情况。基本上,你必须对所有服务器应用一个全面的“骨架”策略(例如,禁止不安全的端口),然后转到每个服务器和单独自定义设置。正因为如此,我明白很多 IT 人员干脆禁用防火墙的原因。您的外围防火墙应该足以保护这些机器,即使没有自己的防火墙。但是,有时为高安全性环境单独配置服务器是值得的。
顺便说一句,Windows 防火墙也控制 IPsec 的使用,因此如果使用它,无论如何都需要防火墙。
答案4
好吧,我即将建议一些可能会或不会给您带来麻烦的事情,但这是我在打开防火墙时所使用的。
Nmap。(任何端口扫描器都可以。)我担心我不相信正在使用哪些端口的文档。我想亲自看看。
背景: 我来自一个学术环境,学生的笔记本电脑与我们的服务器频繁接触(啊!)。当我开始在自己的服务器上使用 nmap 时,我们也没有 IDS,所以我可以随意使用 nmap,没有人会注意到。然后他们实施了 IDS,我会收到转发给我的电子邮件,上面写着“从您的工作站对您的服务器进行网络端口扫描攻击!!!!”我会回复说:“是的,那就是我。”呵呵。过了一段时间,他们对此产生了幽默感。;)
我也在工作站上使用过 nmap,例如,查找 fickerNmap 可能会打开 AV 管理端口、任何其他管理软件端口等。(如果您破坏了他们的管理软件,Desktop 将会非常不稳定。)根据您的环境,它也可能会打开未经授权的软件。
无论如何。有些环境会对 nmap 感到恐慌,而有些环境甚至不会注意到。我通常只对自己的服务器或工作站进行 nmap 以达到特定目的,这很有帮助。但是,是的,您可能想明确表示,您将与任何可能对您感到恐慌的人一起运行端口扫描。
然后,您就知道了。Ryan Ries 说过。管理/变更管理/组策略/等等。