Apa yang dapat dilakukan untuk mengaktifkan kembali Windows Firewall pada domain dengan benar?

15

LATAR BELAKANG / PENELITIAN

Jujur saya percaya bahwa pertanyaan seperti ini: Menggunakan GPO di domain Direktori Aktif untuk memaksa workstation Windows Firewall dinonaktifkan - bagaimana? ada karena Windows Admin secara umum diajarkan sejak lama bahwa:

"Hal termudah untuk dilakukan ketika berhadapan dengan komputer domain adalah dengan hanya memiliki GPO pada domain tersebut untuk menonaktifkan Windows Firewall ... itu akan menyebabkan Anda jauh lebih sedikit sakit hati pada akhirnya." - instruktur / mentor TI acak dari tahun-tahun berlalu

Saya juga bisa mengatakan bahwa di sebagian besar perusahaan saya telah melakukan pekerjaan sampingan untuk hal ini, di mana GPO setidaknya menonaktifkan Windows Firewall untuk profil domain dan pada WORST menonaktifkannya juga untuk profil publik.

Lebih jauh lagi, beberapa akan menonaktifkannya untuk server sendiri: Nonaktifkan firewall untuk semua profil jaringan pada Windows Server 2008 R2 hingga GPO

Sebuah Microsoft Technet Artikel tentang WINDOWS FIREWALL merekomendasikan Anda TIDAK menonaktifkan Windows Firewall:

Karena Windows Firewall dengan Keamanan Lanjutan memainkan peran penting dalam membantu melindungi komputer Anda dari ancaman keamanan, kami sarankan agar Anda tidak menonaktifkannya kecuali Anda menginstal firewall lain dari vendor terkemuka yang memberikan tingkat perlindungan yang setara.

Pertanyaan ServerFault ini menanyakan pertanyaan sesungguhnya: Apakah boleh untuk mematikan firewall di LAN menggunakan Kebijakan Grup? - dan para ahli di sini bahkan bercampur dalam pandangan mereka.

Dan mengerti saya tidak mengacu pada menonaktifkan / mengaktifkan LAYANAN: Bagaimana saya dapat mencadangkan rekomendasi saya untuk TIDAK menonaktifkan layanan Windows Firewall? - sehingga menjadi jelas bahwa ini tentang apakah atau tidak layanan firewall mengaktifkan firewall atau menonaktifkannya.


PERTANYAAN DI TANGAN

Jadi saya kembali ke Judul pertanyaan ini ... apa yang dapat dilakukan untuk mengaktifkan kembali firewall Windows pada domain dengan benar? Khusus untuk workstation klien dan profil domain mereka.

Sebelum hanya mengganti GPO dari Dinonaktifkan ke Diaktifkan, langkah perencanaan apa yang harus diambil untuk memastikan bahwa membalik sakelar tidak menyebabkan aplikasi kritis klien / server, lalu lintas yang diijinkan, dll. Tiba-tiba gagal? Sebagian besar tempat tidak akan mentolerir pola pikir "ubah dan lihat siapa yang memanggil Helpdesk" di sini.

Apakah ada daftar periksa / utilitas / prosedur yang tersedia dari Microsoft untuk menangani situasi seperti itu? Pernahkah Anda dalam situasi ini sendiri dan bagaimana Anda menghadapinya?

Pembersih
sumber
3
windows server secara default menonaktifkan firewall. (Saya kira dengan asumsi itu akan selalu berada di belakang firewall perusahaan yang baik). workstation domain biasanya menonaktifkannya karena windows firewall adalah PITA untuk bekerja dan memelihara. Setiap aplikasi memerlukan beberapa port khusus, DC memuntahkan data pada banyak port, dll. Ada begitu banyak hal yang terjadi, sehingga mengaktifkan firewall windows biasanya menyebabkan banyak waktu yang dihabiskan untuk "memperbaiki" sehingga aplikasi normal berfungsi. Kemudian segera setelah Anda berjalan pergi, Anda harus kembali dan memperbaikinya lagi.
SnakeDoc
10
@SnakeDoc windows server by default disables the firewall Ini tidak benar . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain juga, tidak benar- sudahkah Anda melihat GPO yang tersedia untuk mengelolanya dalam 6 tahun terakhir? Ini bukan 2003 lagi the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work Saat Anda menginstal AD DS, pengecualian yang diperlukan untuk semua itu sudah dikonfigurasikan sebelumnya pada DC
MDMarra
12
Saya benar-benar tidak tahu bagaimana komentar itu +3 sekarang ketika setiap poin yang dibuat di dalamnya secara faktual salah. Rasanya seperti / r / sysadmin sekarang.
MDMarra
3
@MDMarra: Saya memikirkan hal yang sama persis re: "+3" pada komentar itu. Saya berharap saya bisa menghapus komentar itu. (Saya tidak merasa penandaan adalah hal yang benar untuk dilakukan, tetapi saya benar-benar tergoda ...)
Evan Anderson

Jawaban:

19

What can be done to properly re-enable the Windows firewall on a domain?

Yah, jawaban singkatnya adalah itu akan menjadi banyak pekerjaan jika Anda memutuskan untuk terus maju, dan sebagai catatan, saya tidak yakin saya akan melakukannya.

Dalam kasus umum, firewall klien tidak memberikan banyak keamanan di jaringan perusahaan (yang biasanya memiliki firewall perangkat keras dan mengendalikan hal semacam ini di ujungnya), dan pembuat malware belakangan ini cukup pintar untuk menggunakan port 80 untuk lalu lintas mereka, karena sebenarnya tidak ada yang memblokir port itu, sehingga Anda mendapatkan banyak upaya untuk menerapkan sesuatu untuk memberikan manfaat keamanan terbatas.

Karena itu, jawabannya adalah:

  1. Aplikasi inventaris dan konektivitas mereka membutuhkan yang terbaik yang Anda bisa.
    • Jika Anda dapat dengan aman mengaktifkan Windows Firewall dengan allow allaturan dan mengatur logging, ini akan menjadi harta karun data untuk menentukan aplikasi apa yang Anda miliki yang memerlukan pengecualian firewall.
    • Jika Anda tidak dapat mengumpulkan data logging secara non-intrusively, Anda harus puas dengan inventaris sederhana, atau melakukan login Anda pada pengguna yang dapat menangani gangguan dan aktivitas TI yang mengganggu (seperti Anda dan teknologi lainnya, misalnya).
  2. Pikirkan tentang kebutuhan pemecahan masalah Anda.
    • Ada beberapa hal yang mungkin tidak akan muncul dalam audit perangkat lunak yang perlu Anda pikirkan. Sebagai contoh:
      • Anda mungkin ingin mengizinkan ICMP (atau ICMP dari ruang alamat yang disetujui) untuk membuat pemecahan masalah dan manajemen alamat IP tidak mengerikan.
      • Demikian juga, pengecualian untuk aplikasi manajemen jarak jauh apa pun yang Anda gunakan.
      • Anda mungkin juga ingin mengatur firewall logging berdasarkan kebijakan
  3. Buat GPO dasar dan gunakan untuk kelompok uji, atau beberapa kelompok uji.
    • Meskipun Anda tidak bisa begitu saja melakukannya dan membiarkan helpdesk menyelesaikannya untuk semua orang, manajemen akan jauh lebih terbuka untuk mengujicobakan perubahan dengan sekelompok karyawan pilihan, terutama jika mereka berpikir ada masalah keamanan yang valid .
    • Pilih grup tes Anda dengan hati-hati. Mungkin bijak untuk menggunakan TI rakyat terlebih dahulu, kemudian memperluas grup untuk memasukkan orang-orang dari departemen lain.
    • Jelas, pantau kelompok uji Anda dan tetap berkomunikasi terus-menerus dengan mereka untuk dengan cepat menyelesaikan masalah yang tidak Anda temui pertama kali.
  4. Gulirkan perubahan secara perlahan, dan bertahap.
    • Setelah Anda mengujinya untuk kepuasan Anda, Anda harus tetap berhati-hati, dan tidak hanya mendorongnya ke seluruh domain sekaligus. Gulirkan ke grup yang lebih kecil, yang harus Anda tentukan sesuai dengan struktur dan kebutuhan organisasi Anda.
  5. Pastikan Anda memiliki sesuatu untuk menangani perubahan di masa mendatang.
    • Hanya membuatnya berfungsi untuk apa yang Anda miliki di lingkungan Anda sekarang tidak akan cukup, karena Anda akan berakhir dengan aplikasi baru di domain Anda, dan Anda harus memastikan kebijakan firewall diperbarui untuk mengakomodasi mereka, atau seseorang di atas Anda akan memutuskan firewall lebih banyak masalah daripada nilainya dan akan menghapus kebijakan, menghilangkan dan pekerjaan yang Anda lakukan sejauh ini.
HopelessN00b
sumber
12

Sunting: Saya hanya ingin menyatakan bahwa tidak ada yang salah dengan Windows Firewall. Ini adalah bagian yang bisa diterima sepenuhnya dari keseluruhan strategi pertahanan mendalam. Faktanya adalah, sebagian besar toko terlalu tidak kompeten atau terlalu malas untuk mencari tahu aturan firewall apa yang diperlukan untuk aplikasi yang mereka jalankan, dan mereka hanya memaksanya pergi di mana-mana.

Jika Windows Firewall, misalnya, mencegah pengontrol domain Anda dari melakukan pekerjaan mereka, itu karena Anda tidak tahu port apa yang diperlukan Direktori Aktif sebelum Anda menyalakan firewall, atau karena Anda mengkonfigurasi kebijakan secara tidak benar.

Itulah inti masalahnya.


Pertama, berkomunikasi dengan manajer proyek Anda, atasan Anda, pemegang pasak Anda, kabinet penasihat perubahan Anda, apa pun prosesnya di perusahaan Anda, dan beri tahu mereka semua bahwa Anda akan menjalani perbaikan bertahap yang melibatkan Windows Firewall untuk meningkatkan keseluruhan postur keamanan lingkungan Anda.

Pastikan mereka mengerti bahwa ada risiko. Ya, tentu saja kami akan melakukan semua yang kami bisa, semua perencanaan yang kami bisa, untuk memastikan bahwa tidak akan ada gangguan, tetapi jangan membuat janji. Mencoba mencambuk domain lama menjadi sulit adalah kerja keras.

Selanjutnya, Anda harus menginventarisir aplikasi yang digunakan di lingkungan Anda dan port apa yang mereka butuhkan. Tergantung pada lingkungannya, ini bisa sangat sulit. Tapi ini harus dilakukan. Agen pemantau? Agen SCCM? Agen antivirus? Daftarnya berlanjut.

Kembangkan GPO Windows Firewall yang mencakup aturan khusus untuk aplikasi perusahaan Anda. Anda mungkin memerlukan beberapa kebijakan dengan cakupan berbeda yang berlaku untuk server yang berbeda. Misalnya, kebijakan terpisah yang hanya berlaku untuk server web untuk port 80, 443, dll.

Kebijakan Windows Firewall bawaan akan sangat membantu Anda, karena mereka memiliki cakupan yang sempurna untuk mengakomodasi sebagian besar aktivitas Windows yang paling umum. Aturan bawaan ini lebih baik karena mereka tidak hanya membuka atau menutup port ke seluruh sistem - mereka tercakup dalam proses yang sangat spesifik dan aktivitas protokol yang terjadi pada mesin, dll. Tetapi mereka tidak mencakup aplikasi khusus Anda , jadi tambahkan aturan itu ke kebijakan sebagai ACE tambahan.

Gulirkan dalam lingkungan pengujian terlebih dahulu jika memungkinkan, dan ketika mulai berproduksi, lakukan dalam potongan terbatas terlebih dahulu. Jangan hanya menempelkan GPO di seluruh domain saat pertama kali Anda pergi.

Pernyataan terakhir itu mungkin adalah saran terbaik yang bisa saya berikan - gulirkan perubahan Anda dalam lingkup yang sangat kecil dan terkontrol.

Ryan Ries
sumber
1
Komentar berikutnya yang tidak berkaitan dengan jawaban ini ada 24 jam di dalam kotak. > = [
Chris S
6
@ Chris Jadi, apa yang Anda lakukan hingga akhir pekan ini?
MDMarra
4

Oke, saya akan menyarankan sesuatu yang mungkin atau mungkin tidak membuat Anda dalam masalah, tapi itulah yang saya gunakan ketika saya menyalakan firewall.

Nmap. (Pemindai port mana pun akan melakukannya.) Saya khawatir saya tidak percaya pada dokumentasi port apa yang digunakan. Saya ingin melihat sendiri.

Latar Belakang: Saya dari lingkungan akademik tempat laptop siswa digosok siku dengan server kami (Ugh!). Ketika saya mulai menggunakan nmap di server saya sendiri, kami juga tidak punya IDS, jadi saya bisa nmap sesuka hati dan tidak ada yang akan memperhatikan. Kemudian mereka menerapkan IDS dan saya akan mengirim email kepada saya yang pada dasarnya mengatakan, "SERANGAN JARINGAN PORT JARINGAN PADA SERVER ANDA DARI WORKSTATION ANDA !!!!!" Dan saya menjawab dan berkata, "Ya, itu saya." Heh. Setelah beberapa saat mereka mengembangkan rasa humor tentang hal itu. ;)

Saya juga menggunakan nmap di workstation, misalnya, untuk mencari conficker . Nmap kemungkinan akan meningkatkan port manajemen AV, port perangkat lunak manajemen lainnya, dll. (Desktop akan sangat pemarah jika Anda merusak perangkat lunak manajemennya.) Mungkin juga akan muncul perangkat lunak yang tidak sah, tergantung pada lingkungan Anda.

Bagaimanapun. Beberapa lingkungan akan panik tentang nmap dan beberapa bahkan tidak akan menyadarinya. Saya umumnya hanya memetakan server saya sendiri, atau workstation untuk tujuan tertentu, yang membantu. Tapi ya, Anda mungkin ingin menghapus bahwa Anda akan menjalankan pemindaian port dengan siapa saja yang mungkin membuat Anda takut.

Lalu, Anda tahu. Apa kata Ryan Ries. Manajemen / perubahan manajemen / kebijakan grup / dll.

Katherine Villyard
sumber
Setiap jaringan yang baik harus panik pada pemindaian port jaringan. Apalagi jika itu internal.
SnakeDoc
Ya, tentu saja, itu terlihat tidak menyenangkan, karena itulah saya menyangkal. Yang mengatakan, Anda akan terkejut pada siapa yang membiarkan Anda melakukannya / tidak akan memperhatikan.
Katherine Villyard
lol, itu sebabnya saya bilang "bagus". Meskipun "baik" memiliki arti yang berbeda tergantung pada sisi jaringan mana Anda duduk ... hehe
SnakeDoc
3
Jika dilakukan dengan hati-hati, ini adalah saran yang bagus, jika tidak harus dimiliki dalam perencanaan untuk penyebaran firewall. nmapdapat ditargetkan dan dibatasi. Jika Anda sudah bertanggung jawab atau terlibat dalam operasi jaringan, Anda cukup berkomunikasi dengan semua pemangku kepentingan bahwa Anda mensurvei jaringan, dan tidak ada yang perlu "panik".
Mathias R. Jessen
3
(berteriak di atas dinding kubus) "Hei, Tim?" "Ya?" "Aku akan membuat IDS marah lagi." "(tertawa) Oke."
Katherine Villyard
3

Saya tidak percaya ada utilitas yang tersedia dari Microsoft dalam hal ini, tetapi jika saya menggunakan Windows Firewall di domain kami (diaktifkan di tempat saya bekerja) saya akan memastikan yang berikut:

  1. Ada pengecualian untuk semua alat administrasi jarak jauh (WMI, dll, dll)
  2. Buat pengecualian rentang IP di workstation domain untuk memungkinkan server administratif (seperti SCCM / SCOM, jika Anda memilikinya) untuk mengizinkan semua lalu lintas.
  3. Izinkan pengguna akhir menambahkan pengecualian ke profil domain hanya untuk perangkat lunak jika Anda melewatkan beberapa hal (dan Anda akan).

Server adalah sedikit binatang yang berbeda. Saya saat ini menonaktifkan firewall untuk server kami karena mengaktifkannya menyebabkan banyak masalah bahkan dengan pengecualian. Anda pada dasarnya harus menerapkan kebijakan "kerangka" selimut untuk semua server (misalnya, tidak mengizinkan port yang tidak aman) kemudian pergi ke setiap server dan menyesuaikan pengaturan secara individual. Karena itu, saya dapat melihat alasan mengapa banyak orang TI hanya menonaktifkan firewall. Firewall perimeter Anda harus cukup melindungi mesin-mesin ini tanpa firewall mereka sendiri. Namun, terkadang ada baiknya upaya mengkonfigurasi server secara individual untuk lingkungan dengan keamanan tinggi.

Sebagai catatan, Windows Firewall juga mengatur penggunaan IPsec, jadi jika itu digunakan, Anda tetap membutuhkan firewall.

Nathan C
sumber