Cosa si può fare per riattivare correttamente Windows Firewall su un dominio?

15

BACKGROUND / RICERCA

Sinceramente credo che domande come questa: usare l'oggetto Criteri di gruppo nel dominio Active Directory per forzare le workstation Windows Firewall a disabilitarsi - come? esisteva perché gli amministratori di Windows in generale avevano imparato molto tempo fa che:

"la cosa più semplice da fare quando si ha a che fare con un computer di dominio è avere un oggetto Criteri di gruppo sul dominio per disabilitare Windows Firewall ... alla fine ti causerà molto meno mal di cuore." - istruttori / mentori informatici casuali degli anni passati

Posso anche dire che presso la maggior parte delle aziende ho svolto un lavoro secondario per questo, in cui un oggetto Criteri di gruppo ha disabilitato almeno Windows Firewall per il profilo del dominio e in WORST lo ha disabilitato anche per il profilo pubblico.

Inoltre, alcuni lo disabiliteranno per i server stessi: disabilita il firewall per tutti i profili di rete su Windows Server 2008 R2 tramite GPO

Un articolo di Microsoft Technet su WINDOWS FIREWALL consiglia di NON disabilitare Windows Firewall:

Poiché Windows Firewall con sicurezza avanzata svolge un ruolo importante nell'aiutare a proteggere il computer dalle minacce alla sicurezza, si consiglia di non disabilitarlo a meno che non si installi un altro firewall da un fornitore affidabile che fornisca un livello equivalente di protezione.

Questa domanda ServerFault pone la vera domanda: va bene disattivare il firewall in una LAN usando Criteri di gruppo? - e gli esperti qui sono persino confusi nella loro visione.

E capire che non mi riferisco alla disabilitazione / abilitazione del SERVIZIO: come posso eseguire il backup del mio consiglio per NON disabilitare il servizio Windows Firewall? - per essere chiari sul fatto che il servizio firewall abiliti o meno il firewall o meno.

LA DOMANDA A MANO

Quindi torno al titolo di questa domanda ... cosa si può fare per riattivare correttamente il firewall di Windows su un dominio? In particolare per le workstation client e il loro profilo di dominio.

Prima di passare semplicemente dall'oggetto Criteri di gruppo da Disabilitato a Abilitato, quali misure di pianificazione dovrebbero essere prese per garantire che il lancio dello switch non provochi improvvisamente le applicazioni critiche client / server, traffico consentito, ecc.? La maggior parte dei luoghi non tollererà la mentalità "cambiarlo e vedere chi chiama l'helpdesk" qui.

Esistono liste di controllo / utilità / procedure disponibili da Microsoft per gestire una situazione del genere? Sei stato tu stesso in questa situazione e come hai affrontato?

group-policy  windows-firewall 
TheCleaner
fonte
3
Windows Server per impostazione predefinita disabilita il firewall. (Suppongo che supporrà che ci sarà sempre un buon firewall aziendale). le workstation di dominio in genere le hanno disabilitate perché il firewall di Windows è una PITA con cui lavorare e gestire. Ogni applicazione ha bisogno di alcune porte speciali, il controller di dominio vomita i dati su un sacco di porte, ecc. Ci sono così tante cose in corso, che abilitare il firewall di Windows di solito porta molto tempo speso a "ripararlo" in modo che le app normali funzionino. Quindi non appena te ne vai, dovrai tornare e aggiustarlo di nuovo.
SnakeDoc,
10
@SnakeDoc windows server by default disables the firewall Questo non è vero . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain inoltre, non è vero: hai esaminato gli oggetti Criteri di gruppo disponibili per gestirli negli ultimi 6 anni? Non è più il 2003 the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work Quando si installa Servizi di dominio
Active Directory
12
Non ho letteralmente idea di come quel commento sia +3 in questo momento quando ogni singolo punto fatto in esso è effettivamente errato. Adesso mi sento come / r / sysadmin.
MDMarra,
3
@MDMarra: Stavo pensando esattamente la stessa cosa riguardo a: il "+3" su quel commento. Vorrei poter sottovalutare quel commento. (Non mi sembra che la segnalazione sia la cosa giusta da fare ma sono davvero tentato ...)
Evan Anderson,

Risposte:

19

What can be done to properly re-enable the Windows firewall on a domain?

Bene, la risposta breve è che sarà un sacco di lavoro se decidi di andare avanti, e per la cronaca, non sono sicuro che lo farei.

In generale, i firewall client non forniscono molta sicurezza in una rete aziendale (che in genere ha firewall hardware e controlla questo tipo di cose ai margini) e gli autori di malware in questi giorni sono abbastanza intelligenti da usare la porta 80 per il loro traffico, perché praticamente nessuno blocca quella porta, quindi si fa molta fatica a mettere in atto qualcosa per fornire vantaggi di sicurezza limitati.

Detto questo, la lunga risposta è:

  1. Le applicazioni di inventario e le loro esigenze di connettività sono le migliori che puoi.
    • Se puoi abilitare Windows Firewall in modo sicuro con una allow allregola e impostare la registrazione, questo sarà un tesoro di dati per determinare quali app hai che hanno bisogno di esclusioni del firewall.
    • Se non riesci a raccogliere dati di registrazione in modo non intrusivo, dovrai accontentarti di un semplice inventario o accedere agli utenti in grado di gestire interruzioni e attività IT invadenti (come te e altri tecnici, ad esempio).
  2. Pensa alle tue esigenze di risoluzione dei problemi.
    • Ci sono cose che probabilmente non emergeranno in un controllo del software a cui devi pensare. Per esempio:
      • Potresti voler consentire a ICMP (o ICMP di spazi di indirizzi approvati) di rendere orribile la risoluzione dei problemi e la gestione degli indirizzi IP.
      • Allo stesso modo, le esclusioni per qualsiasi applicazione di gestione remota che voi ragazzi utilizzate.
      • Probabilmente vorrai anche impostare la registrazione del firewall in base ai criteri
  3. Creare un oggetto Criteri di gruppo di base e distribuirlo in un gruppo di test o in più gruppi di test.
    • Anche se non puoi semplicemente farlo e lasciare che l'helpdesk lo risolva per tutti, la gestione sarà molto più aperta a pilotare le modifiche con un gruppo selezionato di dipendenti scelti a mano, specialmente se pensano che ci sia un valido problema di sicurezza .
    • Scegli attentamente il gruppo di test. Potrebbe essere saggio utilizzare prima le persone IT, quindi ampliare il gruppo per includere persone di altri dipartimenti.
    • Ovviamente, monitora il tuo gruppo di test e mantieni una comunicazione costante con loro per risolvere rapidamente i problemi che non hai riscontrato la prima volta.
  4. Distribuisci il cambiamento lentamente e per gradi.
    • Dopo averlo testato in modo soddisfacente, dovresti comunque prestare attenzione e non limitarti a inviarlo all'intero dominio in una sola volta. Distribuiscilo a gruppi più piccoli, che dovrai definire in base alla struttura e alle esigenze della tua organizzazione.
  5. Assicurati di avere qualcosa in atto per gestire i cambiamenti futuri.
    • Il solo fatto di farlo funzionare per quello che hai nel tuo ambiente ora non sarà abbastanza, perché finirai con nuove applicazioni sul tuo dominio e dovrai assicurarti che i criteri del firewall siano aggiornati per adattarli, o qualcuno sopra di te deciderà che il firewall è più problematico di quanto valga e avrà la politica rimossa, eliminando e il lavoro che ci hai messo finora.
HopelessN00b
fonte
12

Modifica: vorrei solo affermare che non c'è nulla di intrinsecamente sbagliato in Windows Firewall. È una parte perfettamente accettabile di una strategia globale di difesa approfondita. Il fatto è che la maggior parte dei negozi sono troppo incompetenti o troppo pigri per essere disturbati per capire quali regole del firewall sono necessarie per le applicazioni che eseguono e quindi lo costringono ovunque.

Se Windows Firewall, ad esempio, impedisce ai controller di dominio di svolgere il proprio lavoro, è perché non sapevi quali porte fossero necessarie ad Active Directory prima di attivare il firewall o perché hai configurato il criterio in modo errato.

Questa è la linea di fondo della questione.

In primo luogo, comunica con i tuoi project manager, i tuoi capi, i tuoi stakeholder, il tuo gabinetto di consulenza sul cambiamento, qualunque sia il processo nella tua azienda, e informali tutti che sarai sottoposto a una graduale riparazione che coinvolge Windows Firewall al fine di aumentare il totale posizione di sicurezza del tuo ambiente.

Assicurarsi che comprendano che ci sono rischi. Sì, ovviamente faremo tutto il possibile, tutta la pianificazione che possiamo, per garantire che non ci siano interruzioni, ma non fare promesse. Cercare di trasformare in forma un vecchio dominio è un duro lavoro.

Successivamente, è necessario inventario delle applicazioni in uso nel proprio ambiente e delle porte richieste. A seconda dell'ambiente, questo può essere molto difficile. Ma deve essere fatto. Agenti di controllo? Agenti SCCM? Agenti antivirus? L'elenco continua.

Sviluppa un oggetto Criteri di gruppo di Windows Firewall che includa regole personalizzate per le tue applicazioni aziendali. Potrebbero essere necessari più criteri con ambiti diversi che si applicano a server diversi. Ad esempio, un criterio separato che si applica solo ai server Web per le porte 80, 443, ecc.

I criteri di Windows Firewall incorporati ti saranno molto utili, poiché sono perfettamente mirati per adattarsi alle attività di Windows più comuni. Queste regole integrate sono migliori perché non si limitano ad aprire o chiudere una porta per l'intero sistema, ma sono mirate a processi e attività di protocollo molto specifici che si svolgono sulla macchina, ecc. Ma non coprono le applicazioni personalizzate , quindi aggiungi tali regole ai criteri come ACE ausiliari.

Se possibile, esegui prima il roll-out in un ambiente di test e, quando esegui il roll-to in produzione, esegui prima i blocchi limitati. Non limitarti a rilasciare l'oggetto Criteri di gruppo sull'intero dominio al primo tentativo.

L'ultima affermazione è probabilmente il miglior consiglio che posso darti: implementa le tue modifiche in ambiti molto piccoli e controllati.

Ryan Ries
fonte
1
Il prossimo commento non relativo a questa risposta riceve 24 ore nella casella. > = [
Chris S,
6
@ChrisS Allora, cosa stai facendo questo fine settimana?
MDMarra,
4

Ok, sto per suggerire qualcosa che potrebbe o meno metterti nei guai, ma è quello che uso quando accendo il firewall.

Nmap. (Farebbe qualsiasi scanner per porte.) Temo di non fidarmi della documentazione di quali porte siano in uso. Voglio vedere di persona.

Sfondo: vengo da un ambiente accademico in cui i laptop degli studenti hanno strofinato i gomiti con i nostri server (Ugh!). Quando ho iniziato a utilizzare nmap sui miei server, non avevamo neanche IDS, quindi ho potuto nmap a piacimento e nessuno se ne sarebbe accorto. Quindi hanno implementato IDS e mi venivano inoltrate e-mail che in pratica dicevano "ATTACCO ALLA SCANSIONE DELLA PORTA DI RETE SUL TUO SERVER DALLA TUA STAZIONE DI LAVORO !!!!!" e risponderei e dire "Sì, sono io". Eh. Dopo un po 'hanno sviluppato un senso dell'umorismo al riguardo. ;)

Ho anche usato nmap sulle workstation, ad esempio, per cercare conficker . Nmap probabilmente aprirà le porte di gestione AV, qualsiasi altra porta del software di gestione, ecc. (Il desktop sarà molto complicato se si rompe il loro software di gestione.) Potrebbe anche attivare software non autorizzato, a seconda del proprio ambiente.

Comunque. Alcuni ambienti impazziranno per nmap e altri non se ne accorgeranno nemmeno. In genere nmapi solo i miei server o workstation per uno scopo specifico, il che aiuta. Ma sì, probabilmente vorrai chiarire che eseguirai una scansione delle porte con chiunque potrebbe impazzire per te.

Allora sai. Quello che ha detto Ryan Ries. Gestione / gestione del cambiamento / politica di gruppo / ecc.

Katherine Villyard
fonte
Qualsiasi buona rete dovrebbe impazzire alle scansioni delle porte di rete. Soprattutto se sono interni.
SnakeDoc,
Beh, certo, sembra minaccioso, motivo per cui ho disconosciuto. Detto questo, rimarrai sorpreso da chi ti lascerebbe fare / non se ne accorgerebbe.
Katherine Villyard,
lol, motivo per cui ho detto "buono". Anche se "buono" ha un significato diverso a seconda del lato della rete in cui sei seduto ... hehe
SnakeDoc
3
Se fatto con cura, questo è un buon consiglio, se non un must nella pianificazione per le implementazioni di firewall. nmappuò essere mirato e limitato. Se sei già responsabile o altrimenti coinvolto nelle operazioni di rete, devi semplicemente comunicare a tutte le parti interessate che stai esaminando la rete e nessuno deve "impazzire".
Mathias R. Jessen,
3
(urlando sulle pareti del cubo) "Ehi, Tim?" "Si?" "Sto per sconvolgere di nuovo l'IDS." "(ride) Va bene."
Katherine Villyard,
3

Non credo ci siano utility disponibili da Microsoft su questo, ma se dovessi usare Windows Firewall sul nostro dominio (è abilitato dove lavoro) assicurerei quanto segue:

  1. Esistono eccezioni per tutti gli strumenti di amministrazione remota (WMI, ecc. Ecc.)
  2. Creare eccezioni dell'intervallo IP sulle workstation di dominio per consentire ai server amministrativi (come SCCM / SCOM, se presenti) di consentire tutto il traffico.
  3. Consenti agli utenti finali di aggiungere eccezioni al profilo del dominio solo per il software nel caso in cui manchi qualcosa (e lo farai).

I server sono un po 'una bestia diversa. Attualmente il firewall è disabilitato per i nostri server perché abilitarlo ha causato molti problemi anche con eccezioni. Fondamentalmente devi applicare una politica "scheletro" coperta per tutti i server (ad esempio, non consentire le porte non sicure), quindi andare su ciascun server e personalizzare le impostazioni. Per questo motivo, posso vedere il motivo per cui molte persone IT semplicemente disabilitano il firewall. Il firewall perimetrale dovrebbe proteggere abbastanza queste macchine senza i propri firewall. Tuttavia, a volte vale la pena di configurare singolarmente i server per ambienti ad alta sicurezza.

Come nota a margine, Windows Firewall regola anche l'uso di IPsec, quindi se viene utilizzato è necessario comunque il firewall.

Nathan C
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.