What can be done to properly re-enable the Windows firewall on a domain?
Bem, a resposta curta é que vai ser muito trabalhoso se você decidir seguir em frente e, para o registro, não tenho certeza se gostaria de fazê-lo.
No caso geral, os firewalls de clientes não oferecem muita segurança em uma rede corporativa (que normalmente tem firewalls de hardware e controla esse tipo de coisa na borda), e os autores de malware atualmente são inteligentes o suficiente para usar a porta 80 para seu tráfego, porque praticamente ninguém bloqueia essa porta, então você se esforça para colocar algo em prática para fornecer benefícios de segurança limitados.Dito isto, a resposta longa é:
-
Aplicativos de inventário e suas necessidades de conectividade da melhor maneira possível.
- Se você puder ativar com segurança o Firewall do Windows com uma regra
allow all
e definir o registro em log, isso será um tesouro de dados para determinar quais aplicativos você precisa de exceções de firewall. - Se você não puder coletar dados de registro de forma não intrusiva, terá de se contentar com um inventário simples ou fazer logon em usuários que possam lidar com interrupções e atividades de TI intrusivas (como você e outros técnicos, por exemplo ).
- Se você puder ativar com segurança o Firewall do Windows com uma regra
-
Pense nas suas necessidades de solução de problemas.
- Existem coisas que provavelmente não surgem em uma auditoria de software na qual você precisa pensar. Por exemplo:
- Você pode permitir que o ICMP (ou ICMP de espaços de endereço aprovados) dificulte a solução de problemas e o gerenciamento de endereços IP.
- Da mesma forma, exclusões para qualquer aplicativo de gerenciamento remoto que você use.
- Você provavelmente também desejará definir o log de firewall por política
- Existem coisas que provavelmente não surgem em uma auditoria de software na qual você precisa pensar. Por exemplo:
-
Crie um GPO de linha de base e implante-o em um grupo de teste ou em vários grupos de teste.
- Embora você não possa simplesmente fazer isso e deixar o helpdesk resolvê-lo para todos, a gerência estará muito mais aberta para testar as mudanças com um seleto grupo de funcionários escolhidos a dedo, especialmente se eles acharem que há um preocupação de segurança válida.
- Escolha seu grupo de teste com cuidado. Pode ser sábio usar o pessoal de TI primeiro e depois ampliar o grupo para incluir pessoas de outros departamentos.
- Obviamente, monitore seu grupo de teste e mantenha uma comunicação constante com eles para resolver rapidamente os problemas que você não detectou na primeira vez.
-
Execute a mudança lentamente e em etapas.
- Depois de testá-lo para sua satisfação, você ainda deve ter cuidado, e não apenas enviá-lo para todo o domínio de uma só vez. Distribua para grupos menores, que você terá que definir de acordo com a estrutura e as necessidades da sua organização.
-
Certifique-se de ter algo para lidar com mudanças futuras.
- Apenas fazer com que funcione para o que você tem em seu ambiente agora não será suficiente, porque você acabará com novos aplicativos em seu domínio e terá de garantir que a política de firewall seja atualizada para acomodar ou alguém acima de você decidirá que o firewall é mais problemático do que vale e terá a política removida, eliminando e o trabalho que você colocou até agora.