私はこのような質問を正直に信じています: Active DirectoryドメインでGPOを使用してワークステーションのWindowsファイアウォールを強制的に無効にします-どのようにですか? Windows管理者は一般に、次のように教えられていました。
「ドメインコンピュータを扱うときに行う最も簡単なことは、Windowsファイアウォールを無効にするドメインにGPOを指定することです...それにより、結局、それほど心痛が少なくなります。」 -過ぎ去った年からのランダムなITインストラクター/メンター
また、MOST企業でこれのためにサイドワークを行ってきたケースも当てはまります。ここで、GPO少なくともドメインプロファイルのWindowsファイアウォールを無効にし、[〜#〜]最悪[〜#〜]は、パブリックプロファイルに対しても無効にしました。
さらに、一部はサーバー自体に対してそれを無効にします: GPOを介してWindows Server 2008 R2上のすべてのネットワークプロファイルに対してファイアウォールを無効にする
Windowsファイアウォールに関するMicrosoft Technetの記事 では、Windowsファイアウォールを無効にすることを推奨していますしないでください:
セキュリティが強化されたWindowsファイアウォールは、コンピューターをセキュリティの脅威から保護する上で重要な役割を果たすため、同等のレベルの保護を提供する信頼できるベンダーの別のファイアウォールをインストールしない限り、無効にしないことをお勧めします。
このServerFaultの質問は本当の質問をします: グループポリシーを使用してLANのファイアウォールをオフにしても大丈夫ですか? -そして、ここの専門家は彼らの見方でさえ混同しています。
また、サービスの無効化/有効化について言及していないことを理解します: Windowsファイアウォールサービスを無効にしないという推奨事項をどのようにバックアップできますか? -明確にするためにこれは、ファイアウォールサービスがファイアウォールを有効にするか無効にするかに関するものです。
したがって、この質問のタイトルに戻ります...ドメインでWindowsファイアウォールを適切に再度有効にするために何ができますか?クライアント専用ワークステーションとそのドメインプロファイル。
GPOを無効から有効に切り替える前に、スイッチを切り替えても重要なクライアント/サーバーアプリケーションが発生しないようにするために、どのような計画手順を実行する必要がありますか。許容可能なトラフィックなどが突然失敗しますか?ほとんどの場所では、「変更して、ヘルプデスクに電話をかける人」という考え方を容認しません。
そのような状況を処理するためにマイクロソフトから利用できるチェックリスト/ユーティリティ/手順はありますか?あなたは自分でこの状況に陥ったことがありますか?どのように対処しましたか?
What can be done to properly re-enable the Windows firewall on a domain?
まあ、簡単に言えば、先に進むことを決めた場合、それは多くの作業になるだろうということです。
一般的なケースでは、クライアントファイアウォールは企業ネットワーク(通常、ハードウェアファイアウォールがあり、エッジでこの種のことを制御します)にそれほどセキュリティを提供しません。マルウェア作成者は最近、トラフィックにポート80を使用するのに十分スマートです。実質的に誰もそのポートをブロックしないので、限定されたセキュリティ上の利点を提供するために何かを配置するために多くの努力をします。
そうは言っても、長い答えは:
allow all
ルールを使用してWindowsファイアウォールを安全に有効化し、ログを設定できる場合、これはファイアウォールの許可が必要なアプリを特定するためのデータの宝庫になります。編集: Windowsファイアウォールには本質的に問題はないことを述べたいと思います。これは、全体的な多層防御戦略の完全に許容できる部分です。問題の事実は、ほとんどのショップが無能または面倒すぎて、実行するアプリケーションに必要なファイアウォールルールがわからないため、ユビキタスに強制的にオフにしてしまうことです。
たとえば、Windowsファイアウォールがドメインコントローラーの機能を妨げている場合は、ファイアウォールをオンにする前にActive Directoryに必要なポートがわからなかったか、ポリシーを誤って構成したことが原因です。
それが問題の一番下の行です。
まず、プロジェクトマネージャー、上司、利害関係者、変更アドバイザリーキャビネットなど、社内のプロセスが何であれ、全体的にWindowsファイアウォールを含む段階的な修正が行われることを伝えます。環境のセキュリティ体制。
リスクがあることを彼らが理解していることを確認してください。はい、もちろん、中断のないようにできる限りのこと、可能な限りの計画を立てますが、約束はしません。古いドメインを形にしようとするのは大変な作業です。
次に、環境で使用中のアプリケーションと、それらに必要なポートの一覧を作成する必要があります。環境によっては、これは非常に難しい場合があります。しかし、それは行われなければなりません。エージェントを監視していますか? SCCMエージェント?ウイルス対策エージェント?リストは続きます。
Windowsファイアウォールを開発するGPOこれには、エンタープライズアプリケーションのカスタムルールが含まれます。異なるサーバーに適用される異なるスコープを持つ複数のポリシーが必要になる場合があります。たとえば、Webサーバーにのみ適用される個別のポリシーポート80、443など.
組み込みのWindowsファイアウォールポリシーは、ほとんどの一般的なWindowsアクティビティに対応するように完全にスコープが設定されているため、非常に役立ちます。これらの組み込みルールは、システム全体へのポートを単に開いたり閉じたりするだけではなく、マシン上で発生する非常に特定のプロセスやプロトコルアクティビティにスコープが限定されているため、優れています。ただし、カスタムアプリケーションは対象外ですなので、これらのルールを補助ACEとしてポリシーに追加します。
可能であれば、最初にテスト環境でロールアウトし、本番環境にロールアウトするときは、最初に限られたチャンクでロールアウトします。はじめてドメイン全体でGPOをたたくだけではありません。
その最後のステートメントは、おそらく私があなたに与えることができる最高のアドバイスです-非常に小さな、制御されたスコープで変更をロールアウトしてください。
さて、私はあなたを困らせるかもしれないし、させないかもしれない何かを提案しようとしていますが、それは私がファイアウォールをオンにしているときに使用するものです。
Nmap。 (どのポートスキャナーでも可能です。)どのポートが使用されているかについてのドキュメントが信用できないことを恐れています。自分で見たいです。
背景:私は、学生のラップトップが私たちのサーバーで肘を擦った(Ugh!)アカデミック環境から来ました。自分のサーバーでnmapを使い始めたとき、IDSもなかったので、意のままにnmapでき、誰も気付かないでしょう。次に、IDSを実装し、基本的に「ワークステーションからサーバーへのネットワークポートスキャン攻撃!!!!!」というメールを転送します。そして私は返信して「そうです、それは私です」と言います。へえ。しばらくして、彼らはそれについてのユーモアのセンスを発達させました。 ;)
ワークステーションでもnmapを使用しました たとえば、confickerを探すため 。 Nmapは、AV管理ポートやその他の管理ソフトウェアポートなどを起動する可能性があります(管理ソフトウェアを破壊すると、デスクトップは非常に不安定になります)。あなたの環境に。
とにかく。一部の環境ではnmapがおかしくなり、気付かない環境もあります。私は通常、自分のサーバーまたは特定の目的のワークステーションのみをnmapします。これは役立ちます。しかし、はい、恐らくあなたをびっくりさせるかもしれない誰かとポートスキャンを実行するつもりであることを明確にしたいでしょう。
その後、あなたは知っています。ライアン・リースが言ったこと。管理/変更管理/グループポリシーなど.
これについてMicrosoftから利用できるユーティリティはないと思いますが、私たちのドメインでWindowsファイアウォールを使用する場合(作業している場所で有効になっています)、次のことを確認します。
サーバーは少し違う獣です。現在、サーバーにファイアウォールdisabledを設定しています。これを有効にすると、例外が設定されていても多くの問題が発生しました。基本的には、すべてのサーバーにブランケット「スケルトン」ポリシーを適用し(たとえば、安全でないポートを許可しない)、次にeachサーバーに移動して設定を個別にカスタマイズする必要があります。このため、多くのIT関係者がファイアウォールを無効にするだけの理由がわかります。境界ファイアウォールは、独自のファイアウォールなしでこれらのマシンを十分に保護する必要があります。ただし、高度なセキュリティ環境用にサーバーを個別に構成することは価値がある場合があります。
補足として、WindowsファイアウォールはIPsecの使用も管理するため、それを使用する場合はとにかくファイアウォールが必要です。