LATAR BELAKANG / PENELITIAN
Jujur saya percaya bahwa pertanyaan seperti ini: Menggunakan GPO di domain Direktori Aktif untuk memaksa workstation Windows Firewall dinonaktifkan - bagaimana? ada karena Windows Admin secara umum diajarkan sejak lama bahwa:
"Hal termudah untuk dilakukan ketika berhadapan dengan komputer domain adalah dengan hanya memiliki GPO pada domain tersebut untuk menonaktifkan Windows Firewall ... itu akan menyebabkan Anda jauh lebih sedikit sakit hati pada akhirnya." - instruktur / mentor TI acak dari tahun-tahun berlalu
Saya juga bisa mengatakan bahwa di sebagian besar perusahaan saya telah melakukan pekerjaan sampingan untuk hal ini, di mana GPO setidaknya menonaktifkan Windows Firewall untuk profil domain dan pada WORST menonaktifkannya juga untuk profil publik.
Lebih jauh lagi, beberapa akan menonaktifkannya untuk server sendiri: Nonaktifkan firewall untuk semua profil jaringan pada Windows Server 2008 R2 hingga GPO
Sebuah Microsoft Technet Artikel tentang WINDOWS FIREWALL merekomendasikan Anda TIDAK menonaktifkan Windows Firewall:
Karena Windows Firewall dengan Keamanan Lanjutan memainkan peran penting dalam membantu melindungi komputer Anda dari ancaman keamanan, kami sarankan agar Anda tidak menonaktifkannya kecuali Anda menginstal firewall lain dari vendor terkemuka yang memberikan tingkat perlindungan yang setara.
Pertanyaan ServerFault ini menanyakan pertanyaan sesungguhnya: Apakah boleh untuk mematikan firewall di LAN menggunakan Kebijakan Grup? - dan para ahli di sini bahkan bercampur dalam pandangan mereka.
Dan mengerti saya tidak mengacu pada menonaktifkan / mengaktifkan LAYANAN: Bagaimana saya dapat mencadangkan rekomendasi saya untuk TIDAK menonaktifkan layanan Windows Firewall? - sehingga menjadi jelas bahwa ini tentang apakah atau tidak layanan firewall mengaktifkan firewall atau menonaktifkannya.
PERTANYAAN DI TANGAN
Jadi saya kembali ke Judul pertanyaan ini ... apa yang dapat dilakukan untuk mengaktifkan kembali firewall Windows pada domain dengan benar? Khusus untuk workstation klien dan profil domain mereka.
Sebelum hanya mengganti GPO dari Dinonaktifkan ke Diaktifkan, langkah perencanaan apa yang harus diambil untuk memastikan bahwa membalik sakelar tidak menyebabkan aplikasi kritis klien / server, lalu lintas yang diijinkan, dll. Tiba-tiba gagal? Sebagian besar tempat tidak akan mentolerir pola pikir "ubah dan lihat siapa yang memanggil Helpdesk" di sini.
Apakah ada daftar periksa / utilitas / prosedur yang tersedia dari Microsoft untuk menangani situasi seperti itu? Pernahkah Anda dalam situasi ini sendiri dan bagaimana Anda menghadapinya?
sumber
windows server by default disables the firewall
Ini tidak benar .domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain
juga, tidak benar- sudahkah Anda melihat GPO yang tersedia untuk mengelolanya dalam 6 tahun terakhir? Ini bukan 2003 lagithe DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work
Saat Anda menginstal AD DS, pengecualian yang diperlukan untuk semua itu sudah dikonfigurasikan sebelumnya pada DCJawaban:
What can be done to properly re-enable the Windows firewall on a domain?
Yah, jawaban singkatnya adalah itu akan menjadi banyak pekerjaan jika Anda memutuskan untuk terus maju, dan sebagai catatan, saya tidak yakin saya akan melakukannya.
Dalam kasus umum, firewall klien tidak memberikan banyak keamanan di jaringan perusahaan (yang biasanya memiliki firewall perangkat keras dan mengendalikan hal semacam ini di ujungnya), dan pembuat malware belakangan ini cukup pintar untuk menggunakan port 80 untuk lalu lintas mereka, karena sebenarnya tidak ada yang memblokir port itu, sehingga Anda mendapatkan banyak upaya untuk menerapkan sesuatu untuk memberikan manfaat keamanan terbatas.
Karena itu, jawabannya adalah:
allow all
aturan dan mengatur logging, ini akan menjadi harta karun data untuk menentukan aplikasi apa yang Anda miliki yang memerlukan pengecualian firewall.sumber
Sunting: Saya hanya ingin menyatakan bahwa tidak ada yang salah dengan Windows Firewall. Ini adalah bagian yang bisa diterima sepenuhnya dari keseluruhan strategi pertahanan mendalam. Faktanya adalah, sebagian besar toko terlalu tidak kompeten atau terlalu malas untuk mencari tahu aturan firewall apa yang diperlukan untuk aplikasi yang mereka jalankan, dan mereka hanya memaksanya pergi di mana-mana.
Jika Windows Firewall, misalnya, mencegah pengontrol domain Anda dari melakukan pekerjaan mereka, itu karena Anda tidak tahu port apa yang diperlukan Direktori Aktif sebelum Anda menyalakan firewall, atau karena Anda mengkonfigurasi kebijakan secara tidak benar.
Itulah inti masalahnya.
Pertama, berkomunikasi dengan manajer proyek Anda, atasan Anda, pemegang pasak Anda, kabinet penasihat perubahan Anda, apa pun prosesnya di perusahaan Anda, dan beri tahu mereka semua bahwa Anda akan menjalani perbaikan bertahap yang melibatkan Windows Firewall untuk meningkatkan keseluruhan postur keamanan lingkungan Anda.
Pastikan mereka mengerti bahwa ada risiko. Ya, tentu saja kami akan melakukan semua yang kami bisa, semua perencanaan yang kami bisa, untuk memastikan bahwa tidak akan ada gangguan, tetapi jangan membuat janji. Mencoba mencambuk domain lama menjadi sulit adalah kerja keras.
Selanjutnya, Anda harus menginventarisir aplikasi yang digunakan di lingkungan Anda dan port apa yang mereka butuhkan. Tergantung pada lingkungannya, ini bisa sangat sulit. Tapi ini harus dilakukan. Agen pemantau? Agen SCCM? Agen antivirus? Daftarnya berlanjut.
Kembangkan GPO Windows Firewall yang mencakup aturan khusus untuk aplikasi perusahaan Anda. Anda mungkin memerlukan beberapa kebijakan dengan cakupan berbeda yang berlaku untuk server yang berbeda. Misalnya, kebijakan terpisah yang hanya berlaku untuk server web untuk port 80, 443, dll.
Kebijakan Windows Firewall bawaan akan sangat membantu Anda, karena mereka memiliki cakupan yang sempurna untuk mengakomodasi sebagian besar aktivitas Windows yang paling umum. Aturan bawaan ini lebih baik karena mereka tidak hanya membuka atau menutup port ke seluruh sistem - mereka tercakup dalam proses yang sangat spesifik dan aktivitas protokol yang terjadi pada mesin, dll. Tetapi mereka tidak mencakup aplikasi khusus Anda , jadi tambahkan aturan itu ke kebijakan sebagai ACE tambahan.
Gulirkan dalam lingkungan pengujian terlebih dahulu jika memungkinkan, dan ketika mulai berproduksi, lakukan dalam potongan terbatas terlebih dahulu. Jangan hanya menempelkan GPO di seluruh domain saat pertama kali Anda pergi.
Pernyataan terakhir itu mungkin adalah saran terbaik yang bisa saya berikan - gulirkan perubahan Anda dalam lingkup yang sangat kecil dan terkontrol.
sumber
Oke, saya akan menyarankan sesuatu yang mungkin atau mungkin tidak membuat Anda dalam masalah, tapi itulah yang saya gunakan ketika saya menyalakan firewall.
Nmap. (Pemindai port mana pun akan melakukannya.) Saya khawatir saya tidak percaya pada dokumentasi port apa yang digunakan. Saya ingin melihat sendiri.
Latar Belakang: Saya dari lingkungan akademik tempat laptop siswa digosok siku dengan server kami (Ugh!). Ketika saya mulai menggunakan nmap di server saya sendiri, kami juga tidak punya IDS, jadi saya bisa nmap sesuka hati dan tidak ada yang akan memperhatikan. Kemudian mereka menerapkan IDS dan saya akan mengirim email kepada saya yang pada dasarnya mengatakan, "SERANGAN JARINGAN PORT JARINGAN PADA SERVER ANDA DARI WORKSTATION ANDA !!!!!" Dan saya menjawab dan berkata, "Ya, itu saya." Heh. Setelah beberapa saat mereka mengembangkan rasa humor tentang hal itu. ;)
Saya juga menggunakan nmap di workstation, misalnya, untuk mencari conficker . Nmap kemungkinan akan meningkatkan port manajemen AV, port perangkat lunak manajemen lainnya, dll. (Desktop akan sangat pemarah jika Anda merusak perangkat lunak manajemennya.) Mungkin juga akan muncul perangkat lunak yang tidak sah, tergantung pada lingkungan Anda.
Bagaimanapun. Beberapa lingkungan akan panik tentang nmap dan beberapa bahkan tidak akan menyadarinya. Saya umumnya hanya memetakan server saya sendiri, atau workstation untuk tujuan tertentu, yang membantu. Tapi ya, Anda mungkin ingin menghapus bahwa Anda akan menjalankan pemindaian port dengan siapa saja yang mungkin membuat Anda takut.
Lalu, Anda tahu. Apa kata Ryan Ries. Manajemen / perubahan manajemen / kebijakan grup / dll.
sumber
nmap
dapat ditargetkan dan dibatasi. Jika Anda sudah bertanggung jawab atau terlibat dalam operasi jaringan, Anda cukup berkomunikasi dengan semua pemangku kepentingan bahwa Anda mensurvei jaringan, dan tidak ada yang perlu "panik".Saya tidak percaya ada utilitas yang tersedia dari Microsoft dalam hal ini, tetapi jika saya menggunakan Windows Firewall di domain kami (diaktifkan di tempat saya bekerja) saya akan memastikan yang berikut:
Server adalah sedikit binatang yang berbeda. Saya saat ini menonaktifkan firewall untuk server kami karena mengaktifkannya menyebabkan banyak masalah bahkan dengan pengecualian. Anda pada dasarnya harus menerapkan kebijakan "kerangka" selimut untuk semua server (misalnya, tidak mengizinkan port yang tidak aman) kemudian pergi ke setiap server dan menyesuaikan pengaturan secara individual. Karena itu, saya dapat melihat alasan mengapa banyak orang TI hanya menonaktifkan firewall. Firewall perimeter Anda harus cukup melindungi mesin-mesin ini tanpa firewall mereka sendiri. Namun, terkadang ada baiknya upaya mengkonfigurasi server secara individual untuk lingkungan dengan keamanan tinggi.
Sebagai catatan, Windows Firewall juga mengatur penggunaan IPsec, jadi jika itu digunakan, Anda tetap membutuhkan firewall.
sumber