ANTECEDENTES / PESQUISA
Sinceramente, acredito que perguntas como esta: Usando o GPO no domínio do Active Directory para forçar as estações de trabalho a desativarem o Firewall do Windows - como? existia porque os administradores do Windows em geral foram ensinados há muito tempo que:
"a coisa mais fácil a se fazer ao lidar com um computador de domínio é apenas ter um GPO no domínio para desativar o Firewall do Windows ... isso causará muito menos dor de cabeça no final." - instrutores / mentores aleatórios de TI de anos passados
Também posso dizer que, na maioria das empresas, trabalhei paralelamente nesse caso, em que um GPO no mínimo desabilitou o Firewall do Windows para o perfil de domínio e, na WORST, desabilitou-o também para o perfil público.
Ainda mais, alguns o desabilitarão para os próprios servidores: Desabilite o firewall para todos os perfis de rede no Windows Server 2008 R2 por meio do GPO
Um artigo da Microsoft Technet no WINDOWS FIREWALL recomenda que você NÃO desative o Firewall do Windows:
Como o Firewall do Windows com Segurança Avançada desempenha um papel importante na proteção do seu computador contra ameaças à segurança, recomendamos que você não o desative, a menos que instale outro firewall de um fornecedor respeitável que ofereça um nível equivalente de proteção.
Esta pergunta do ServerFault faz a verdadeira pergunta: É correto desativar o firewall em uma LAN usando a Diretiva de Grupo? - e os especialistas aqui são até contraditórios.
E entenda que não estou me referindo à desativação / ativação do SERVIÇO: Como posso fazer backup da minha recomendação de NÃO desativar o serviço Firewall do Windows? - para ficar claro que se trata de saber se o serviço de firewall deve ou não ativá-lo ou desativá-lo.
A PERGUNTA À MÃO
Então, volto ao título desta pergunta ... o que pode ser feito para reativar corretamente o firewall do Windows em um domínio? Especificamente para estações de trabalho clientes e seu perfil de domínio.
Antes de simplesmente mudar o GPO de Desabilitado para Habilitado, que etapas de planejamento devem ser tomadas para garantir que a troca do switch não cause aplicativos críticos de cliente / servidor, tráfego permitido etc. falhem repentinamente? A maioria dos lugares não tolera a mentalidade "mude e veja quem chama o Helpdesk" aqui.
Existem listas de verificação / utilitários / procedimentos disponíveis na Microsoft para lidar com essa situação? Você já esteve nessa situação e como lidou com isso?
fonte
windows server by default disables the firewall
Isso não é verdade .domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain
além disso, não é verdade - você consultou os GPOs disponíveis para gerenciá-lo nos últimos 6 anos? Não é mais 2003the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work
Quando você instala o AD DS, as exceções necessárias para tudo isso são pré-configuradas nos controladores de domínioRespostas:
What can be done to properly re-enable the Windows firewall on a domain?
Bem, a resposta curta é que vai dar muito trabalho se você decidir seguir em frente e, para constar, não tenho certeza se o faria.
No caso geral, os firewalls do cliente não fornecem muita segurança em uma rede corporativa (que normalmente possui firewalls de hardware e controla esse tipo de coisa na extremidade), e os autores de malware atualmente são inteligentes o suficiente para usar a porta 80 para seu tráfego, porque praticamente ninguém bloqueia essa porta, você se esforça muito para colocar algo em prática para fornecer benefícios de segurança limitados.
Dito isto, a resposta longa é:
allow all
regra e definir o log, isso será um tesouro de dados para determinar quais aplicativos você possui que precisam de explorações de firewall.fonte
Edit: Gostaria apenas de afirmar que não há nada inerentemente errado com o Firewall do Windows. É uma parte perfeitamente aceitável de uma estratégia geral de defesa em profundidade. O fato é que a maioria das lojas é incompetente ou preguiçosa demais para se incomodar em descobrir quais regras de firewall são necessárias para os aplicativos que eles executam e, portanto, elas simplesmente o impedem de forma onipresente.
Se o Firewall do Windows, por exemplo, impedir que seus controladores de domínio façam seu trabalho, é porque você não sabia quais portas o Active Directory precisava antes de ativar o firewall ou porque configurou a diretiva incorretamente.
Essa é a questão de fundo.
Primeiro, comunique-se com os gerentes de projeto, os chefes, as partes interessadas, o gabinete de consultoria em mudanças, seja qual for o processo da sua empresa, e informe a todos que você estará passando por uma correção gradual envolvendo o Firewall do Windows para aumentar o total postura de segurança do seu ambiente.
Certifique-se de que eles entendam que existem riscos. Sim, é claro que faremos tudo o que pudermos, todo o planejamento que pudermos, para garantir que não haverá interrupções, mas não faça promessas. Tentar colocar um domínio antigo em forma é um trabalho árduo.
Em seguida, você deve inventariar aplicativos que estão em uso em seu ambiente e quais portas eles exigem. Dependendo do ambiente, isso pode ser muito difícil. Mas tem de ser feito. Agentes de monitoramento? Agentes do SCCM? Agentes antivírus? A lista continua.
Desenvolva um GPO do Firewall do Windows que inclua regras personalizadas para seus aplicativos corporativos. Você pode exigir várias políticas com escopos diferentes que se aplicam a servidores diferentes. Por exemplo, uma política separada que se aplica apenas a servidores da Web para as portas 80, 443 etc.
As políticas internas do Firewall do Windows serão muito úteis para você, pois são perfeitamente definidas para acomodar as atividades mais comuns do Windows. Essas regras integradas são melhores porque não apenas abrem ou fecham uma porta para todo o sistema - elas têm o escopo definido para atividades muito específicas de processos e protocolos que ocorrem na máquina, etc. Mas elas não abrangem seus aplicativos personalizados , adicione essas regras às políticas como ACEs auxiliares.
Desenrole primeiro em um ambiente de teste, se possível, e, ao iniciar a produção, faça-o primeiro em pedaços limitados. Não basta colocar o GPO em todo o domínio em sua primeira tentativa.
Essa última afirmação é provavelmente o melhor conselho que posso lhe dar - implemente suas alterações em escopos muito pequenos e controlados.
fonte
Ok, estou prestes a sugerir algo que pode ou não causar problemas, mas é o que eu uso quando ligo o firewall.
Nmap. (Qualquer scanner de porta funcionaria.) Receio não confiar na documentação de quais portas estão em uso. Eu quero ver por mim mesmo.
Antecedentes: Sou de um ambiente acadêmico onde laptops de estudantes esfregavam cotovelos com nossos servidores (Ugh!). Quando comecei a usar o nmap em meus próprios servidores, também não tínhamos IDS, então eu poderia nmap à vontade e ninguém notaria. Em seguida, eles implementaram o IDS e eu recebia e-mails encaminhados que basicamente diziam: "ATAQUE DE DIGITALIZAÇÃO DA PORTA DE REDE NO SEU SERVIDOR DA SUA ESTAÇÃO DE TRABALHO !!!!!" e eu respondia e dizia: "Sim, sou eu". Heh. Depois de um tempo, eles desenvolveram um senso de humor sobre isso. ;)
Eu também usei o nmap em estações de trabalho, por exemplo, para procurar conficker . O Nmap provavelmente ativará as portas de gerenciamento AV, quaisquer outras portas de software de gerenciamento etc. (A área de trabalho ficará muito desagradável se você interromper o software de gerenciamento.) Também pode ativar software não autorizado, dependendo do ambiente.
De qualquer forma. Alguns ambientes surtarão sobre o nmap e outros nem perceberão. Geralmente, eu nmapei apenas meus próprios servidores ou estações de trabalho para uma finalidade específica, o que ajuda. Mas sim, você provavelmente quer deixar claro que fará uma varredura de porta com qualquer pessoa que possa surtar em você.
Então você sabe. O que Ryan Ries disse. Gerenciamento / gerenciamento de alterações / diretiva de grupo / etc.
fonte
nmap
pode ser direcionado e regulado. Se você já é responsável ou está envolvido nas operações da rede, basta comunicar a todas as partes interessadas que está pesquisando a rede e ninguém precisa se desesperar.Não acredito que exista nenhum utilitário da Microsoft disponível para isso, mas se eu usasse o Firewall do Windows em nosso domínio (é ativado onde trabalho), asseguraria o seguinte:
Servidores são um animal diferente. Atualmente, tenho o firewall desativado para nossos servidores, pois a ativação causava muitos problemas, mesmo com exceções. Basicamente, você deve aplicar uma política geral de "esqueleto" a todos os servidores (proibindo portas não seguras, por exemplo) e depois acessando cada servidor e personalizando as configurações individualmente. Por causa disso, vejo o motivo pelo qual muitas pessoas de TI simplesmente desabilitam o firewall. Seu firewall de perímetro deve proteger essas máquinas o suficiente sem seus próprios firewalls. No entanto, às vezes vale a pena o esforço de configurar servidores individualmente para ambientes de alta segurança.
Como observação lateral, o Firewall do Windows também controla o uso do IPsec; portanto, se for usado, você precisará do firewall.
fonte