O que pode ser feito para reativar corretamente o Firewall do Windows em um domínio?

15

ANTECEDENTES / PESQUISA

Acredito sinceramente que perguntas como esta: Usando o GPO no domínio do Active Directory para forçar estações de trabalho a desativar o Firewall do Windows - como? porque os administradores do Windows em geral aprendiam há muito tempo que:

"the easiest thing to do when dealing with a domain computer is to just have a GPO on the domain to disable the Windows Firewall...it will cause you much less heartache in the end." - random IT instructors/mentors from years gone by

Também posso dizer que, na maioria das empresas, trabalhei de lado, pois um GPO no mínimo desativou o Firewall do Windows para o perfil do domínio e desativou o WORST também para o perfil público.

Mais ainda, alguns os desativarão para os próprios servidores: Desabilite o firewall para todos os perfis de rede no Windows Server 2008 R2 por meio do GPO

Um artigo da Microsoft Technet sobre o FIREWALL DO WINDOWS recomenda você NÃO desabilita o Firewall do Windows:

Because Windows Firewall with Advanced Security plays an important part in helping to protect your computer from security threats, we recommend that you do not disable it unless you install another firewall from a reputable vendor that provides an equivalent level of protection.

Esta pergunta de ServerFault faz a pergunta real: Está certo desligar o firewall em uma LAN usando a Diretiva de Grupo? - e os especialistas aqui são até mesclados em sua opinião.

E entenda que não estou me referindo a desativar / ativar o SERVIÇO: - para ficar claro que isso é sobre se o serviço de firewall habilita ou não o firewall ou o desativa.

A PERGUNTA À DISPOSIÇÃO

Então, volto ao título desta pergunta ... o que pode ser feito para reativar corretamente o firewall do Windows em um domínio? Especificamente para estações de trabalho clientes e seu perfil de domínio. p>

Antes de simplesmente alternar o GPO de Desativado para Ativado, que etapas de planejamento devem ser tomadas para garantir que a inversão não faça com que aplicativos críticos cliente / servidor, tráfego permitido etc. ocorram repentinamente? A maioria dos lugares não tolera a mentalidade de "mudar isso e ver quem chama o Helpdesk" aqui.

Existem listas de verificação / utilitários / procedimentos disponíveis da Microsoft para lidar com essa situação? Você já esteve nesta situação e como lidou com isso?

    
por TheCleaner 23.01.2014 / 16:27

4 respostas

19

What can be done to properly re-enable the Windows firewall on a domain?

Bem, a resposta curta é que vai ser muito trabalhoso se você decidir seguir em frente e, para o registro, não tenho certeza se gostaria de fazê-lo.

No caso geral, os firewalls de clientes não oferecem muita segurança em uma rede corporativa (que normalmente tem firewalls de hardware e controla esse tipo de coisa na borda), e os autores de malware atualmente são inteligentes o suficiente para usar a porta 80 para seu tráfego, porque praticamente ninguém bloqueia essa porta, então você se esforça para colocar algo em prática para fornecer benefícios de segurança limitados.

Dito isto, a resposta longa é:

  1. Aplicativos de inventário e suas necessidades de conectividade da melhor maneira possível.
    • Se você puder ativar com segurança o Firewall do Windows com uma regra allow all e definir o registro em log, isso será um tesouro de dados para determinar quais aplicativos você precisa de exceções de firewall.
    • Se você não puder coletar dados de registro de forma não intrusiva, terá de se contentar com um inventário simples ou fazer logon em usuários que possam lidar com interrupções e atividades de TI intrusivas (como você e outros técnicos, por exemplo ).
  2. Pense nas suas necessidades de solução de problemas.
    • Existem coisas que provavelmente não surgem em uma auditoria de software na qual você precisa pensar. Por exemplo:
      • Você pode permitir que o ICMP (ou ICMP de espaços de endereço aprovados) dificulte a solução de problemas e o gerenciamento de endereços IP.
      • Da mesma forma, exclusões para qualquer aplicativo de gerenciamento remoto que você use.
      • Você provavelmente também desejará definir o log de firewall por política
  3. Crie um GPO de linha de base e implante-o em um grupo de teste ou em vários grupos de teste.
    • Embora você não possa simplesmente fazer isso e deixar o helpdesk resolvê-lo para todos, a gerência estará muito mais aberta para testar as mudanças com um seleto grupo de funcionários escolhidos a dedo, especialmente se eles acharem que há um preocupação de segurança válida.
    • Escolha seu grupo de teste com cuidado. Pode ser sábio usar o pessoal de TI primeiro e depois ampliar o grupo para incluir pessoas de outros departamentos.
    • Obviamente, monitore seu grupo de teste e mantenha uma comunicação constante com eles para resolver rapidamente os problemas que você não detectou na primeira vez.
  4. Execute a mudança lentamente e em etapas.
    • Depois de testá-lo para sua satisfação, você ainda deve ter cuidado, e não apenas enviá-lo para todo o domínio de uma só vez. Distribua para grupos menores, que você terá que definir de acordo com a estrutura e as necessidades da sua organização.
  5. Certifique-se de ter algo para lidar com mudanças futuras.
    • Apenas fazer com que funcione para o que você tem em seu ambiente agora não será suficiente, porque você acabará com novos aplicativos em seu domínio e terá de garantir que a política de firewall seja atualizada para acomodar ou alguém acima de você decidirá que o firewall é mais problemático do que vale e terá a política removida, eliminando e o trabalho que você colocou até agora.
por 23.01.2014 / 17:01
12

Editar: Gostaria apenas de afirmar que não há nada de errado com o Firewall do Windows. É uma parte perfeitamente aceitável de uma estratégia geral de defesa profunda. O fato é que a maioria das lojas é incompetente ou preguiçosa demais para se dar ao trabalho de descobrir quais regras de firewall são necessárias para os aplicativos que executam e, assim, elas apenas forçam a transferência de forma onipresente.

Se o Firewall do Windows, por exemplo, impedir que seus controladores de domínio façam seu trabalho, é porque você não sabia de quais portas o Active Directory precisava antes de ativar o firewall ou porque você configurou a diretiva incorretamente.

Essa é a linha de fundo do assunto.

Primeiro, comunique-se com seus gerentes de projeto, seus chefes, seus acionistas, seu gabinete de consultoria em mudanças, seja qual for o processo em sua empresa e informe a todos que você passará por uma correção gradual envolvendo o Firewall do Windows. aumentar a postura geral de segurança do seu ambiente.

Certifique-se de que eles entendam que existem riscos. Sim, é claro que faremos tudo o que pudermos, todo o planejamento que pudermos, para garantir que não haja interrupções, mas não façamos promessas. Tentar criar um domínio antigo é um trabalho árduo.

Em seguida, você precisa inventariar os aplicativos que estão em uso em seu ambiente e quais portas eles exigem. Dependendo do ambiente, isso pode ser muito difícil. Mas tem de ser feito. Agentes de monitoramento? Agentes SCCM? Agentes antivírus? A lista continua.

Desenvolva um GPO do Firewall do Windows que inclua regras personalizadas para seus aplicativos corporativos. Você pode exigir várias políticas com escopos diferentes que se aplicam a servidores diferentes. Por exemplo, uma política separada que se aplica apenas a servidores da Web para portas 80, 443, etc.

As políticas internas do Firewall do Windows serão muito úteis para você, pois elas têm o escopo perfeito para acomodar as atividades mais comuns do Windows. Essas regras incorporadas são melhores porque não apenas abrem ou fecham uma porta para todo o sistema - elas são direcionadas para processos muito específicos e atividades de protocolo que ocorrem na máquina, etc. Mas elas não cobrem seus aplicativos personalizados , então adicione essas regras às políticas como ACEs auxiliares.

Crie um ambiente de teste primeiro, se possível, e, quando for lançá-lo para produção, faça isso primeiro em partes limitadas. Não basta plopar o GPO em todo o domínio no primeiro lançamento.

Essa última afirmação é provavelmente o melhor conselho que posso dar a você - implemente suas alterações em escopos muito pequenos e controlados.

    
por 23.01.2014 / 16:37
4

Ok, estou prestes a sugerir algo que pode ou não causar problemas, mas é o que uso quando estou ativando o firewall.

Nmap. (Qualquer scanner de porta serve.) Receio não confiar na documentação de quais portas estão em uso. Eu quero ver por mim mesmo.

Contexto: Eu sou de um ambiente acadêmico onde laptops de estudantes se acotovelavam com nossos servidores (Ugh!). Quando comecei a usar o nmap em meus próprios servidores, também não tínhamos IDS, portanto, eu poderia fazer o nmap à vontade e ninguém perceberia. Em seguida, eles implementaram o IDS e recebi e-mails enviados para mim que basicamente diziam: "ATAQUE DE DIGITALIZAÇÃO DE PORTAS DE REDE NO SEU SERVIDOR DE SUA ESTAÇÃO DE TRABALHO !!!!!" e eu respondia e dizia: "Sim, sou eu". Heh Depois de algum tempo eles desenvolveram um senso de humor sobre isso. ;)

Eu também usei o nmap em estações de trabalho, por exemplo, para procurar por conficker . O Nmap provavelmente apresentaria as portas de gerenciamento de antivírus, quaisquer outras portas de software de gerenciamento, etc. (O desktop será muito ruim se você quebrar o software de gerenciamento). Também pode aparecer software não autorizado, dependendo do ambiente.

De qualquer forma. Alguns ambientes vão surtar sobre o nmap e alguns nem perceberão. Eu geralmente apenas mapeio meus próprios servidores, ou estações de trabalho para um propósito específico, o que ajuda. Mas sim, você provavelmente quer esclarecer que você vai estar executando uma varredura de porta com alguém que pode surtar em você.

Então, você sabe. O que Ryan Ries disse. Gestão / mudança de gestão / política de grupo / etc.

    
por 23.01.2014 / 18:44
3

Eu não acredito que exista algum utilitário disponível da Microsoft, mas se eu usasse o Windows Firewall em nosso domínio (ele está habilitado onde eu trabalho), eu garantiria o seguinte:

  1. Exceções para todas as ferramentas de administração remota (WMI, etc etc)
  2. Crie exceções de intervalo de IP em estações de trabalho de domínio para permitir servidores administrativos (como SCCM / SCOM, se você os tiver) para permitir todo o tráfego.
  3. Permitir que usuários finais adicionem exceções ao perfil de domínio somente para o software, caso você sinta falta de algumas coisas (e você irá).

Os servidores são um pouco diferentes. No momento, tenho o firewall desativado para nossos servidores, porque ativá-lo causou muitos problemas, mesmo com exceções em vigor. Você basicamente tem que aplicar uma política de "esqueleto" geral para todos os servidores (proibindo portas inseguras, por exemplo), em seguida, indo para cada servidor e personalizando individualmente as configurações. Por causa disso, eu vejo o motivo pelo qual muitas pessoas de TI simplesmente desativam o firewall. Seu firewall de perímetro deve proteger essas máquinas o suficiente sem seus próprios firewalls. No entanto, às vezes vale a pena configurar individualmente servidores para ambientes de alta segurança.

Como observação, o Firewall do Windows também rege o uso do IPsec, portanto, se isso for usado, você precisará do firewall de qualquer maneira.

    
por 23.01.2014 / 16:36