group-policy – 如何正确地重新启用域上的Windows防火墙？

发布时间：2020-12-13 19:22:43 所属栏目：Windows 来源：网络整理

导读：背景研究我真的相信像这样的问题：Using GPO in Active Directory domain to force workstations Windows Firewall to disabled – how?存在,因为Windows管理员很久以前就教过： “the easiest thing to do when dealing with a domain computer is to just

背景研究

我真的相信像这样的问题：Using GPO in Active Directory domain to force workstations Windows Firewall to disabled – how?存在,因为Windows管理员很久以前就教过：

“the easiest thing to do when dealing with a domain computer is to
just have a GPO on the domain to disable the Windows Firewall…it
will cause you much less heartache in the end.” – random IT instructors/mentors from years gone by

我还可以说,在MOST公司,我已经完成了这方面的工作,其中GPO至少禁用域名配置文件的Windows防火墙,而WORST也禁用了公共配置文件.

更进一步,有些人会为服务器本身禁用它：Disable firewall for all network profiles on Windows Server 2008 R2 through GPO

A Microsoft Technet Article on the WINDOWS FIREWALL建议您不要禁用Windows防火墙：

Because Windows Firewall with Advanced Security plays an important
part in helping to protect your computer from security threats,we
recommend that you do not disable it unless you install another
firewall from a reputable vendor that provides an equivalent level of
protection.

这个ServerFault问题提出了真正的问题：Is it alright to turn off firewall in a LAN using Group Policy? – 这里的专家甚至在他们看来是混合的.

并且理解我并不是指禁用/启用SERVICE：How can I back up my recommendation to NOT disable the Windows Firewall service? – 以便明确这是关于防火墙服务是启用防火墙还是禁用防火墙.

手上的问题

所以我回到这个问题的标题……如何正确地重新启用域上的Windows防火墙？专门针对客户端工作站及其域配置文件.

在简单地将GPO从禁用切换到启用之前,应采取哪些规划步骤以确保翻转交换机不会导致关键客户端/服务器应用程序,允许的流量等突然失败？大多数地方都不会容忍“改变它,看看谁称之为帮助台”的心态.

是否有Microsoft提供的清单/实用程序/程序来处理这种情况？你自己一直处于这种情况吗？你是如何应对的？

如何正确地重新启用域上的Windows防火墙？

嗯,简短的回答是,如果你决定继续前进将会有很多工作,而且为了记录,我不确定我会这么做.

在一般情况下,客户端防火墙在公司网络中没有提供太多安全性(通常具有硬件防火墙并在边缘控制此类事物),而现在的恶意软件作者足够聪明,可以使用端口80进行通信,因为几乎没有人阻止该端口,因此您需要付出很多努力才能提供有限的安全性优势.

话虽如此,但答案很长：

>尽可能地满足库存应用程序及其连接需求.

>如果您可以安全地启用带有允许所有规则和设置日志记录的Windows防火墙,这将是确定您需要防火墙驱动的应用程序的宝库数据.
>如果您无法以非侵入方式收集日志记录数据,则必须使用简单的清单,或者对可以处理中断和侵入性IT活动的用户进行日志记录(例如,您自己和其他技术人员).

>考虑一下您的故障排除需求.

>有些事情可能不会出现在您需要考虑的软件审计中.例如：

>您可能希望允许ICMP(或来自批准的地址空间的ICMP)进行故障排除和IP地址管理并不可怕.
>同样,您使用的任何远程管理应用程序的排除项.
>您可能还希望按策略设置防火墙日志记录

>创建基准GPO并将其部署到测试组或多个测试组.

>虽然你不能只是这样做并让帮助台为每个人解决这个问题,但管理人员可以更加开放地选择一组精心挑选的员工,特别是如果他们认为有效的安全性关心.
>仔细选择您的测试组.首先使用IT人员可能是明智的,然后扩大该组以包括来自其他部门的人员.
>显然,监控您的测试组并与他们保持持续沟通,以快速解决您第一次没有遇到的问题.

>慢慢地,分阶段地推出变化.

>一旦您对它进行了满意的测试,您仍应谨慎行事,而不是立即将其推送到整个域.将其推广到较小的组,您必须根据组织的结构和需求进行定义.

>确保您有适当的方法来处理未来的变化.

>现在使其适用于您环境中的工作是不够的,因为您最终会在您的域上使用新的应用程序,并且您必须确保更新防火墙策略以适应它们,或者你以上的人会认为防火墙比它的价值更麻烦,并且会删除政策,消除你迄今为止所做的工作.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!