O que pode ser feito para reativar corretamente o Firewall do Windows em um domínio?

ANTECEDENTES / PESQUISA

Sinceramente, acredito que perguntas como esta: Usando o GPO no domínio do Active Directory para forçar as estações de trabalho a desativarem o Firewall do Windows - como? existia porque os administradores do Windows em geral foram ensinados há muito tempo que:

"a coisa mais fácil a se fazer ao lidar com um computador de domínio é apenas ter um GPO no domínio para desativar o Firewall do Windows ... isso causará muito menos dor de cabeça no final." - instrutores / mentores aleatórios de TI de anos passados

Também posso dizer que, na maioria das empresas, trabalhei paralelamente nesse caso, em que um GPO no mínimo desabilitou o Firewall do Windows para o perfil de domínio e, na WORST, desabilitou-o também para o perfil público.

Ainda mais, alguns o desabilitarão para os próprios servidores: Desabilite o firewall para todos os perfis de rede no Windows Server 2008 R2 por meio do GPO

Um artigo da Microsoft Technet no WINDOWS FIREWALL recomenda que você NÃO desative o Firewall do Windows:

Como o Firewall do Windows com Segurança Avançada desempenha um papel importante na proteção do seu computador contra ameaças à segurança, recomendamos que você não o desative, a menos que instale outro firewall de um fornecedor respeitável que ofereça um nível equivalente de proteção.

Esta pergunta do ServerFault faz a verdadeira pergunta: É correto desativar o firewall em uma LAN usando a Diretiva de Grupo? - e os especialistas aqui são até contraditórios.

E entenda que não estou me referindo à desativação / ativação do SERVIÇO: Como posso fazer backup da minha recomendação de NÃO desativar o serviço Firewall do Windows? - para ficar claro que se trata de saber se o serviço de firewall deve ou não ativá-lo ou desativá-lo.

A PERGUNTA À MÃO

Então, volto ao título desta pergunta ... o que pode ser feito para reativar corretamente o firewall do Windows em um domínio? Especificamente para estações de trabalho clientes e seu perfil de domínio.

Antes de simplesmente mudar o GPO de Desabilitado para Habilitado, que etapas de planejamento devem ser tomadas para garantir que a troca do switch não cause aplicativos críticos de cliente / servidor, tráfego permitido etc. falhem repentinamente? A maioria dos lugares não tolera a mentalidade "mude e veja quem chama o Helpdesk" aqui.

Existem listas de verificação / utilitários / procedimentos disponíveis na Microsoft para lidar com essa situação? Você já esteve nessa situação e como lidou com isso?

What can be done to properly re-enable the Windows firewall on a domain?

Bem, a resposta curta é que vai dar muito trabalho se você decidir seguir em frente e, para constar, não tenho certeza se o faria.

No caso geral, os firewalls do cliente não fornecem muita segurança em uma rede corporativa (que normalmente possui firewalls de hardware e controla esse tipo de coisa na extremidade), e os autores de malware atualmente são inteligentes o suficiente para usar a porta 80 para seu tráfego, porque praticamente ninguém bloqueia essa porta, você se esforça muito para colocar algo em prática para fornecer benefícios de segurança limitados.

Dito isto, a resposta longa é:

1. Os aplicativos de inventário e sua conectividade precisam da melhor maneira possível.
   • Se você pode habilitar com segurança o Firewall do Windows com uma allow allregra e definir o log, isso será um tesouro de dados para determinar quais aplicativos você possui que precisam de explorações de firewall.
   • Se você não conseguir coletar dados de log de maneira não invasiva, terá que se contentar com um inventário simples ou fazer logon em usuários que possam lidar com interrupções e atividades de TI intrusivas (como você e outros técnicos, por exemplo).
2. Pense nas suas necessidades de solução de problemas.
   • Há coisas que provavelmente não aparecerão em uma auditoria de software em que você precisa pensar. Por exemplo:
     • Convém permitir que o ICMP (ou ICMP de espaços de endereço aprovados) faça com que a solução de problemas e o gerenciamento de endereços IP não sejam horríveis.
     • Da mesma forma, exclusões para todos os aplicativos de gerenciamento remoto que vocês usam.
     • Você provavelmente também desejará definir o log de firewall por política
3. Crie um GPO de linha de base e implante-o em um grupo de teste ou em vários grupos de teste.
   • Embora você não possa fazê-lo e deixar que o serviço de assistência resolva isso para todos, a gerência estará muito mais aberta para testar as alterações com um grupo seleto de funcionários escolhidos a dedo, especialmente se eles acharem que há uma preocupação de segurança válida .
   • Escolha seu grupo de teste com cuidado. Pode ser aconselhável usar o pessoal de TI primeiro e depois ampliar o grupo para incluir pessoas de outros departamentos.
   • Obviamente, monitore seu grupo de teste e mantenha-se em constante comunicação com ele para resolver rapidamente problemas que você não encontrou na primeira vez.
4. Faça a mudança lentamente e em etapas.
   • Depois de testá-lo de maneira satisfatória, você ainda deve ter cuidado e não apenas enviá-lo para todo o domínio de uma só vez. Faça a distribuição para grupos menores, que você terá que definir de acordo com a estrutura e as necessidades da sua organização.
5. Verifique se você tem algo para lidar com mudanças futuras.
   • Apenas fazê-lo funcionar para o que você tem em seu ambiente agora não será suficiente, porque você terminará com novos aplicativos em seu domínio e precisará garantir que a política de firewall seja atualizada para acomodá-los, ou alguém acima de você decidirá que o firewall é mais problemático do que vale e terá a política removida, eliminada e o trabalho que você colocou nele até agora.

Edit: Gostaria apenas de afirmar que não há nada inerentemente errado com o Firewall do Windows. É uma parte perfeitamente aceitável de uma estratégia geral de defesa em profundidade. O fato é que a maioria das lojas é incompetente ou preguiçosa demais para se incomodar em descobrir quais regras de firewall são necessárias para os aplicativos que eles executam e, portanto, elas simplesmente o impedem de forma onipresente.

Se o Firewall do Windows, por exemplo, impedir que seus controladores de domínio façam seu trabalho, é porque você não sabia quais portas o Active Directory precisava antes de ativar o firewall ou porque configurou a diretiva incorretamente.

Essa é a questão de fundo.

Primeiro, comunique-se com os gerentes de projeto, os chefes, as partes interessadas, o gabinete de consultoria em mudanças, seja qual for o processo da sua empresa, e informe a todos que você estará passando por uma correção gradual envolvendo o Firewall do Windows para aumentar o total postura de segurança do seu ambiente.

Certifique-se de que eles entendam que existem riscos. Sim, é claro que faremos tudo o que pudermos, todo o planejamento que pudermos, para garantir que não haverá interrupções, mas não faça promessas. Tentar colocar um domínio antigo em forma é um trabalho árduo.

Em seguida, você deve inventariar aplicativos que estão em uso em seu ambiente e quais portas eles exigem. Dependendo do ambiente, isso pode ser muito difícil. Mas tem de ser feito. Agentes de monitoramento? Agentes do SCCM? Agentes antivírus? A lista continua.

Desenvolva um GPO do Firewall do Windows que inclua regras personalizadas para seus aplicativos corporativos. Você pode exigir várias políticas com escopos diferentes que se aplicam a servidores diferentes. Por exemplo, uma política separada que se aplica apenas a servidores da Web para as portas 80, 443 etc.

As políticas internas do Firewall do Windows serão muito úteis para você, pois são perfeitamente definidas para acomodar as atividades mais comuns do Windows. Essas regras integradas são melhores porque não apenas abrem ou fecham uma porta para todo o sistema - elas têm o escopo definido para atividades muito específicas de processos e protocolos que ocorrem na máquina, etc. Mas elas não abrangem seus aplicativos personalizados , adicione essas regras às políticas como ACEs auxiliares.

Desenrole primeiro em um ambiente de teste, se possível, e, ao iniciar a produção, faça-o primeiro em pedaços limitados. Não basta colocar o GPO em todo o domínio em sua primeira tentativa.

Essa última afirmação é provavelmente o melhor conselho que posso lhe dar - implemente suas alterações em escopos muito pequenos e controlados.

Ok, estou prestes a sugerir algo que pode ou não causar problemas, mas é o que eu uso quando ligo o firewall.

Nmap. (Qualquer scanner de porta funcionaria.) Receio não confiar na documentação de quais portas estão em uso. Eu quero ver por mim mesmo.

Antecedentes: Sou de um ambiente acadêmico onde laptops de estudantes esfregavam cotovelos com nossos servidores (Ugh!). Quando comecei a usar o nmap em meus próprios servidores, também não tínhamos IDS, então eu poderia nmap à vontade e ninguém notaria. Em seguida, eles implementaram o IDS e eu recebia e-mails encaminhados que basicamente diziam: "ATAQUE DE DIGITALIZAÇÃO DA PORTA DE REDE NO SEU SERVIDOR DA SUA ESTAÇÃO DE TRABALHO !!!!!" e eu respondia e dizia: "Sim, sou eu". Heh. Depois de um tempo, eles desenvolveram um senso de humor sobre isso. ;)

Eu também usei o nmap em estações de trabalho, por exemplo, para procurar conficker . O Nmap provavelmente ativará as portas de gerenciamento AV, quaisquer outras portas de software de gerenciamento etc. (A área de trabalho ficará muito desagradável se você interromper o software de gerenciamento.) Também pode ativar software não autorizado, dependendo do ambiente.

De qualquer forma. Alguns ambientes surtarão sobre o nmap e outros nem perceberão. Geralmente, eu nmapei apenas meus próprios servidores ou estações de trabalho para uma finalidade específica, o que ajuda. Mas sim, você provavelmente quer deixar claro que fará uma varredura de porta com qualquer pessoa que possa surtar em você.

Então você sabe. O que Ryan Ries disse. Gerenciamento / gerenciamento de alterações / diretiva de grupo / etc.

Não acredito que exista nenhum utilitário da Microsoft disponível para isso, mas se eu usasse o Firewall do Windows em nosso domínio (é ativado onde trabalho), asseguraria o seguinte:

1. Existem exceções para todas as ferramentas de administração remota (WMI, etc etc)
2. Crie exceções de intervalo de IP em estações de trabalho de domínio para permitir que servidores administrativos (como o SCCM / SCOM, se houver), permitam todo o tráfego.
3. Permita que os usuários finais adicionem exceções ao perfil de domínio apenas para software, caso você perca algumas coisas (e você o fará).

Servidores são um animal diferente. Atualmente, tenho o firewall desativado para nossos servidores, pois a ativação causava muitos problemas, mesmo com exceções. Basicamente, você deve aplicar uma política geral de "esqueleto" a todos os servidores (proibindo portas não seguras, por exemplo) e depois acessando cada servidor e personalizando as configurações individualmente. Por causa disso, vejo o motivo pelo qual muitas pessoas de TI simplesmente desabilitam o firewall. Seu firewall de perímetro deve proteger essas máquinas o suficiente sem seus próprios firewalls. No entanto, às vezes vale a pena o esforço de configurar servidores individualmente para ambientes de alta segurança.

Como observação lateral, o Firewall do Windows também controla o uso do IPsec; portanto, se for usado, você precisará do firewall.