group-policy – 如何正确地重新启用域上的Windows防火墙?
|
背景研究 我真的相信像这样的问题:Using GPO in Active Directory domain to force workstations Windows Firewall to disabled – how?存在,因为Windows管理员很久以前就教过:
我还可以说,在MOST公司,我已经完成了这方面的工作,其中GPO至少禁用域名配置文件的Windows防火墙,而WORST也禁用了公共配置文件. 更进一步,有些人会为服务器本身禁用它:Disable firewall for all network profiles on Windows Server 2008 R2 through GPO A Microsoft Technet Article on the WINDOWS FIREWALL建议您不要禁用Windows防火墙:
这个ServerFault问题提出了真正的问题:Is it alright to turn off firewall in a LAN using Group Policy? – 这里的专家甚至在他们看来是混合的. 并且理解我并不是指禁用/启用SERVICE:How can I back up my recommendation to NOT disable the Windows Firewall service? – 以便明确这是关于防火墙服务是启用防火墙还是禁用防火墙. 手上的问题 所以我回到这个问题的标题……如何正确地重新启用域上的Windows防火墙?专门针对客户端工作站及其域配置文件. 在简单地将GPO从禁用切换到启用之前,应采取哪些规划步骤以确保翻转交换机不会导致关键客户端/服务器应用程序,允许的流量等突然失败?大多数地方都不会容忍“改变它,看看谁称之为帮助台”的心态. 是否有Microsoft提供的清单/实用程序/程序来处理这种情况?你自己一直处于这种情况吗?你是如何应对的? 如何正确地重新启用域上的Windows防火墙?嗯,简短的回答是,如果你决定继续前进将会有很多工作,而且为了记录,我不确定我会这么做. 在一般情况下,客户端防火墙在公司网络中没有提供太多安全性(通常具有硬件防火墙并在边缘控制此类事物),而现在的恶意软件作者足够聪明,可以使用端口80进行通信,因为几乎没有人阻止该端口,因此您需要付出很多努力才能提供有限的安全性优势. 话虽如此,但答案很长: >尽可能地满足库存应用程序及其连接需求. >如果您可以安全地启用带有允许所有规则和设置日志记录的Windows防火墙,这将是确定您需要防火墙驱动的应用程序的宝库数据. >考虑一下您的故障排除需求. >有些事情可能不会出现在您需要考虑的软件审计中.例如: >您可能希望允许ICMP(或来自批准的地址空间的ICMP)进行故障排除和IP地址管理并不可怕. >创建基准GPO并将其部署到测试组或多个测试组. >虽然你不能只是这样做并让帮助台为每个人解决这个问题,但管理人员可以更加开放地选择一组精心挑选的员工,特别是如果他们认为有效的安全性关心. >慢慢地,分阶段地推出变化. >一旦您对它进行了满意的测试,您仍应谨慎行事,而不是立即将其推送到整个域.将其推广到较小的组,您必须根据组织的结构和需求进行定义. >确保您有适当的方法来处理未来的变化. >现在使其适用于您环境中的工作是不够的,因为您最终会在您的域上使用新的应用程序,并且您必须确保更新防火墙策略以适应它们,或者你以上的人会认为防火墙比它的价值更麻烦,并且会删除政策,消除你迄今为止所做的工作. (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
