Está certo desativar o firewall em uma LAN usando a Diretiva de Grupo?

3

É uma boa ideia ou prática comum desativar completamente o firewall do Windows em um domínio do AD usando a Diretiva de Grupo? Neste momento, até mesmo o firewall dos servidores está desativado. O único dispositivo não afetado é o roteador / firewall da WAN.

    
por Jake 30.09.2011 / 11:33

4 respostas

5

Essa é uma prática que costumamos participar, em um domínio do AD com VPNs para vários escritórios em vários países, e achamos que está tudo bem.

Até que alguém em um escritório remoto da ilha conecte o laptop de um cliente à rede. Em 10 minutos, todos os escritórios foram infectados pelo Conficker, tivemos que puxar todas as conexões de internet e 3 engenheiros passaram a maior parte de uma semana limpando o worm de todos os nossos sistemas (ps A / V na época era Symantec, não era por muito tempo depois disso.

Worms são menos prevalentes atualmente, mas você realmente precisa de portas de compartilhamento de arquivos e impressoras abertas em suas estações de trabalho? Você precisará deles em vários servidores, mas é aí que entra a beleza do GPO. A política padrão bloqueia, adiciona um objeto de política às portas necessárias e aplica-se apenas aos servidores que realmente precisam isso.

Embora seja óbvio que a política da empresa não deve ser laptops externos conectados ao domínio (e foi), acidentes acontecem, pessoas trazem vírus / worms de visitas, etc. É melhor estar seguro do que muito triste!

    
por 30.09.2011 / 11:58
3

Eu usei para desativar o firewall via GPO, mas não o faço mais desde um incidente envolvendo uma máquina comprometida sendo conectada à minha rede. Embora o firewall possa ser um verdadeiro incômodo às vezes, como mencionado por Massimo, acredito que seja preferível aplicar regras apropriadas em vez de desativá-lo completamente. Atualmente, há muitas ameaças provenientes de muitas fontes e a camada extra de proteção é bem-vinda.

    
por 30.09.2011 / 13:19
2

Uma estratégia sólida para proteger uma rede é a ideia de "defesa em profundidade". O que isso significa é estabelecer várias camadas de defesa para proteger os ativos e informações da rede. No início da internet, nem tínhamos firewalls. Hoje, temos um firewall de perímetro, firewalls de estação de trabalho, antimalware, antispam, restringimos as portas de saída e garantimos que todo o software seja mantido atualizado.

A defesa em profundidade permite a falha de qualquer componente enquanto ainda mantém a proteção do ambiente.

Dito isso, quando você tem várias camadas, se precisar tomar uma decisão tática de remover o firewall de uma caixa problemática ou desativar a verificação de malware em tempo real de uma determinada máquina, ainda terá as outras camadas para proteger você.

    
por 30.09.2011 / 14:33
1

Esta questão não tem uma resposta definitiva, pois depende das suas circunstâncias, por isso pode ser específica do negócio.

Em geral é uma má prática desligá-lo completamente. Quanto mais camadas de segurança você tiver implementado para não interferir na produtividade de seus usuários ou na sua capacidade de gerenciar o sistema, melhor. E o firewall é praticamente invisível para seus usuários, então é uma coisa boa.

Dito isso, desativamos internamente em nossa organização. A chave é ter uma maneira de mitigar a ameaça que surge ao não ter o firewall no lugar. Temos centenas de sistemas, mas eles estão executando o Deep Freeze; uma infecção na rede será eliminada ao desligar todos os computadores de uma vez, pois o Deep Freeze os redefinirá para um estado de pré-infecção e, se o usuário tiver um perfil, haverá detecção de malware / vírus no servidor que pode ser executado e limpo los para fora.

Mas isso pode falhar, como um exemplo nas respostas aponta. AV e Anti-Malware que dependem de assinaturas são uma solução de banda; há sempre uma corrida armamentista e você corre o risco de não ter uma cura antes da infecção.

Dito isto, você está perguntando isso, então você deve ter uma razão para isso. E mais para o ponto que você está sendo específico em que você quer desligá-lo através da política de grupo. Então ... você está perguntando sobre ter o firewall no lugar, ou o método de desligá-lo? Se você está perguntando sobre como encerrá-lo, sim, desligue-o com a política de grupo. Se você está perguntando se é bom desligar o firewall, você está recebendo muitas respostas sobre isso: -)

(Para notar, encerramos porque era uma dor no @ #% quando precisávamos trabalhar remotamente nos sistemas das pessoas, e o firewall do Windows estava interferindo em certos aplicativos. O uso do Deep Freeze mitigou cerca de 85% do risco de infecções rápidas em nossa rede interna, e sim, nós nos engajamos no combate a um worm dentro da rede antes devido à falta de firewall e descobrimos que ainda conseguimos um bom funcionamento devido ao que temos em funcionamento. também ajuda a mitigar o risco.)

    
por 30.09.2011 / 14:40