web-dev-qa-db-ja.com

ドメインでWindowsファイアウォールを適切に再度有効にするにはどうすればよいですか?

背景調査

私はこのような質問を正直に信じています: Active DirectoryドメインでGPOを使用してワークステーションのWindowsファイアウォールを強制的に無効にします-どのようにですか? Windows管理者は一般に、次のように教えられていました。

「ドメインコンピュータを扱うときに行う最も簡単なことは、Windowsファイアウォールを無効にするドメインにGPOを指定することです...それにより、結局、それほど心痛が少なくなります。」 -過ぎ去った年からのランダムなITインストラクター/メンター

また、MOST企業でこれのためにサイドワークを行ってきたケースも当てはまります。ここで、GPO少なくともドメインプロファイルのWindowsファイアウォールを無効にし、[〜#〜]最悪[〜#〜]は、パブリックプロファイルに対しても無効にしました。

さらに、一部はサーバー自体に対してそれを無効にします: GPOを介してWindows Server 2008 R2上のすべてのネットワークプロファイルに対してファイアウォールを無効にする

Windowsファイアウォールに関するMicrosoft Technetの記事 では、Windowsファイアウォールを無効にすることを推奨していますしないでください

セキュリティが強化されたWindowsファイアウォールは、コンピューターをセキュリティの脅威から保護する上で重要な役割を果たすため、同等のレベルの保護を提供する信頼できるベンダーの別のファイアウォールをインストールしない限り、無効にしないことをお勧めします。

このServerFaultの質問は本当の質問をします: グループポリシーを使用してLANのファイアウォールをオフにしても大丈夫ですか? -そして、ここの専門家は彼らの見方でさえ混同しています。

また、サービスの無効化/有効化について言及していないことを理解します: Windowsファイアウォールサービスを無効にしないという推奨事項をどのようにバックアップできますか? -明確にするためにこれは、ファイアウォールサービスがファイアウォールを有効にするか無効にするかに関するものです。


質問AT手

したがって、この質問のタイトルに戻ります...ドメインでWindowsファイアウォールを適切に再度有効にするために何ができますか?クライアント専用ワークステーションとそのドメインプロファイル。

GPOを無効から有効に切り替える前に、スイッチを切り替えても重要なクライアント/サーバーアプリケーションが発生しないようにするために、どのような計画手順を実行する必要がありますか。許容可能なトラフィックなどが突然失敗しますか?ほとんどの場所では、「変更して、ヘルプデスクに電話をかける人」という考え方を容認しません。

そのような状況を処理するためにマイクロソフトから利用できるチェックリスト/ユーティリティ/手順はありますか?あなたは自分でこの状況に陥ったことがありますか?どのように対処しましたか?

15
TheCleaner

What can be done to properly re-enable the Windows firewall on a domain?

まあ、簡単に言えば、先に進むことを決めた場合、それは多くの作業になるだろうということです。

一般的なケースでは、クライアントファイアウォールは企業ネットワーク(通常、ハードウェアファイアウォールがあり、エッジでこの種のことを制御します)にそれほどセキュリティを提供しません。マルウェア作成者は最近、トラフィックにポート80を使用するのに十分スマートです。実質的に誰もそのポートをブロックしないので、限定されたセキュリティ上の利点を提供するために何かを配置するために多くの努力をします。

そうは言っても、長い答えは:

  1. 在庫アプリケーションとその接続性のニーズにできる限り対応します。
    • allow allルールを使用してWindowsファイアウォールを安全に有効化し、ログを設定できる場合、これはファイアウォールの許可が必要なアプリを特定するためのデータの宝庫になります。
    • 非侵入型でログデータを収集できない場合は、単純なインベントリで対処するか、混乱や侵入的なITアクティビティ(自分や他の技術者など)を処理できるユーザーでログを記録する必要があります。
  2. トラブルシューティングの必要性について考えてください。
    • ソフトウェア監査でおそらく出てこないことについて、あなたが考えなければならないことがあります。例えば:
      • ICMP(または承認されたアドレススペースからのICMP)にトラブルシューティングとIPアドレス管理を恐ろしくさせないようにすることができます。
      • 同様に、皆さんが使用するリモート管理アプリケーションの除外。
      • また、ポリシーによってファイアウォールのログを設定することもできます。
  3. ベースラインを作成GPOして、1つまたは複数のテストグループに展開します。
    • あなたはそれを行うだけではなく、ヘルプデスクがすべての人のためにそれを整理することはできませんが、特に有効なセキュリティ上の懸念があると考える場合、管理者は厳選された従業員の選択したグループで変更をパイロットすることにはるかにオープンになります。
    • テストグループを慎重に選択してください。最初にITフォークを使用し、次にグループを広げて他の部門の人々を含めるのが賢明かもしれません。
    • 言うまでもなく、テストグループを監視し、常に連絡を取り合って、最初に見つけられなかった問題をすばやく解決します。
  4. 変更をゆっくりと段階的に展開します。
    • 満足のいくようにテストした後は、ドメイン全体に一度にプッシュするだけでなく、注意が必要です。組織の構造とニーズに応じて定義する必要がある小さなグループに展開します。
  5. 将来の変更を処理できる場所にあることを確認してください。
    • 現在の環境にあるものに合わせて機能させるだけでは十分ではありません。ドメインに新しいアプリケーションが作成され、それらに対応するようにファイアウォールポリシーが更新されていることを確認する必要があるためです。あなたの上にいる人は、ファイアウォールにそれ以上の問題があると判断し、ポリシーを削除し、これまでに行った作業を排除します。
19
HopelessN00b

編集: Windowsファイアウォールには本質的に問題はないことを述べたいと思います。これは、全体的な多層防御戦略の完全に許容できる部分です。問題の事実は、ほとんどのショップが無能または面倒すぎて、実行するアプリケーションに必要なファイアウォールルールがわからないため、ユビキタスに強制的にオフにしてしまうことです。

たとえば、Windowsファイアウォールがドメインコントローラーの機能を妨げている場合は、ファイアウォールをオンにする前にActive Directoryに必要なポートがわからなかったか、ポリシーを誤って構成したことが原因です。

それが問題の一番下の行です。


まず、プロジェクトマネージャー、上司、利害関係者、変更アドバイザリーキャビネットなど、社内のプロセスが何であれ、全体的にWindowsファイアウォールを含む段階的な修正が行われることを伝えます。環境のセキュリティ体制。

リスクがあることを彼らが理解していることを確認してください。はい、もちろん、中断のないようにできる限りのこと、可能な限りの計画を立てますが、約束はしません。古いドメインを形にしようとするのは大変な作業です。

次に、環境で使用中のアプリケーションと、それらに必要なポートの一覧を作成する必要があります。環境によっては、これは非常に難しい場合があります。しかし、それは行われなければなりません。エージェントを監視していますか? SCCMエージェント?ウイルス対策エージェント?リストは続きます。

Windowsファイアウォールを開発するGPOこれには、エンタープライズアプリケーションのカスタムルールが含まれます。異なるサーバーに適用される異なるスコープを持つ複数のポリシーが必要になる場合があります。たとえば、Webサーバーにのみ適用される個別のポリシーポート80、443など.

組み込みのWindowsファイアウォールポリシーは、ほとんどの一般的なWindowsアクティビティに対応するように完全にスコープが設定されているため、非常に役立ちます。これらの組み込みルールは、システム全体へのポートを単に開いたり閉じたりするだけではなく、マシン上で発生する非常に特定のプロセスやプロトコルアクティビティにスコープが限定されているため、優れています。ただし、カスタムアプリケーションは対象外ですなので、これらのルールを補助ACEとしてポリシーに追加します。

可能であれば、最初にテスト環境でロールアウトし、本番環境にロールアウトするときは、最初に限られたチャンクでロールアウトします。はじめてドメイン全体でGPOをたたくだけではありません。

その最後のステートメントは、おそらく私があなたに与えることができる最高のアドバイスです-非常に小さな、制御されたスコープで変更をロールアウトしてください。

12
Ryan Ries

さて、私はあなたを困らせるかもしれないし、させないかもしれない何かを提案しようとしていますが、それは私がファイアウォールをオンにしているときに使用するものです。

Nmap。 (どのポートスキャナーでも可能です。)どのポートが使用されているかについてのドキュメントが信用できないことを恐れています。自分で見たいです。

背景:私は、学生のラップトップが私たちのサーバーで肘を擦った(Ugh!)アカデミック環境から来ました。自分のサーバーでnmapを使い始めたとき、IDSもなかったので、意のままにnmapでき、誰も気付かないでしょう。次に、IDSを実装し、基本的に「ワークステーションからサーバーへのネットワークポートスキャン攻撃!!!!!」というメールを転送します。そして私は返信して「そうです、それは私です」と言います。へえ。しばらくして、彼らはそれについてのユーモアのセンスを発達させました。 ;)

ワークステーションでもnmapを使用しました たとえば、confickerを探すため 。 Nmapは、AV管理ポートやその他の管理ソフトウェアポートなどを起動する可能性があります(管理ソフトウェアを破壊すると、デスクトップは非常に不安定になります)。あなたの環境に。

とにかく。一部の環境ではnmapがおかしくなり、気付かない環境もあります。私は通常、自分のサーバーまたは特定の目的のワークステーションのみをnmapします。これは役立ちます。しかし、はい、恐らくあなたをびっくりさせるかもしれない誰かとポートスキャンを実行するつもりであることを明確にしたいでしょう。

その後、あなたは知っています。ライアン・リースが言ったこと。管理/変更管理/グループポリシーなど.

4

これについてMicrosoftから利用できるユーティリティはないと思いますが、私たちのドメインでWindowsファイアウォールを使用する場合(作業している場所で有効になっています)、次のことを確認します。

  1. すべてのリモート管理ツール(WMIなど)には例外があります。
  2. ドメインワークステーションでIP範囲の例外を作成して、管理サーバー(SCCM/SCOMなど)がすべてのトラフィックを許可できるようにします。
  3. 何かを見落としてしまった場合に備えて、エンドユーザーがソフトウェアのドメインプロファイルのみに例外を追加できるようにします(そうする必要があります)。

サーバーは少し違う獣です。現在、サーバーにファイアウォールdisabledを設定しています。これを有効にすると、例外が設定されていても多くの問題が発生しました。基本的には、すべてのサーバーにブランケット「スケルトン」ポリシーを適用し(たとえば、安全でないポートを許可しない)、次にeachサーバーに移動して設定を個別にカスタマイズする必要があります。このため、多くのIT関係者がファイアウォールを無効にするだけの理由がわかります。境界ファイアウォールは、独自のファイアウォールなしでこれらのマシンを十分に保護する必要があります。ただし、高度なセキュリティ環境用にサーバーを個別に構成することは価値がある場合があります。

補足として、WindowsファイアウォールはIPsecの使用も管理するため、それを使用する場合はとにかくファイアウォールが必要です。

3
Nathan C