Está certo desativar o firewall em uma LAN usando a Diretiva de Grupo?

Essa é uma prática que costumamos participar, em um domínio do AD com VPNs para vários escritórios em vários países, e achamos que está tudo bem.

Até que alguém em um escritório remoto da ilha conecte o laptop de um cliente à rede. Em 10 minutos, todos os escritórios foram infectados pelo Conficker, tivemos que puxar todas as conexões de internet e 3 engenheiros passaram a maior parte de uma semana limpando o worm de todos os nossos sistemas (ps A / V na época era Symantec, não era por muito tempo depois disso.

Worms são menos prevalentes atualmente, mas você realmente precisa de portas de compartilhamento de arquivos e impressoras abertas em suas estações de trabalho? Você precisará deles em vários servidores, mas é aí que entra a beleza do GPO. A política padrão bloqueia, adiciona um objeto de política às portas necessárias e aplica-se apenas aos servidores que realmente precisam isso.

Embora seja óbvio que a política da empresa não deve ser laptops externos conectados ao domínio (e foi), acidentes acontecem, pessoas trazem vírus / worms de visitas, etc. É melhor estar seguro do que muito triste!

Eu usei para desativar o firewall via GPO, mas não o faço mais desde um incidente envolvendo uma máquina comprometida sendo conectada à minha rede. Embora o firewall possa ser um verdadeiro incômodo às vezes, como mencionado por Massimo, acredito que seja preferível aplicar regras apropriadas em vez de desativá-lo completamente. Atualmente, há muitas ameaças provenientes de muitas fontes e a camada extra de proteção é bem-vinda.

Uma estratégia sólida para proteger uma rede é a ideia de "defesa em profundidade". O que isso significa é estabelecer várias camadas de defesa para proteger os ativos e informações da rede. No início da internet, nem tínhamos firewalls. Hoje, temos um firewall de perímetro, firewalls de estação de trabalho, antimalware, antispam, restringimos as portas de saída e garantimos que todo o software seja mantido atualizado.

A defesa em profundidade permite a falha de qualquer componente enquanto ainda mantém a proteção do ambiente.

Dito isso, quando você tem várias camadas, se precisar tomar uma decisão tática de remover o firewall de uma caixa problemática ou desativar a verificação de malware em tempo real de uma determinada máquina, ainda terá as outras camadas para proteger você.

Esta questão não tem uma resposta definitiva, pois depende das suas circunstâncias, por isso pode ser específica do negócio.

Em geral é uma má prática desligá-lo completamente. Quanto mais camadas de segurança você tiver implementado para não interferir na produtividade de seus usuários ou na sua capacidade de gerenciar o sistema, melhor. E o firewall é praticamente invisível para seus usuários, então é uma coisa boa.

Dito isso, desativamos internamente em nossa organização. A chave é ter uma maneira de mitigar a ameaça que surge ao não ter o firewall no lugar. Temos centenas de sistemas, mas eles estão executando o Deep Freeze; uma infecção na rede será eliminada ao desligar todos os computadores de uma vez, pois o Deep Freeze os redefinirá para um estado de pré-infecção e, se o usuário tiver um perfil, haverá detecção de malware / vírus no servidor que pode ser executado e limpo los para fora.

Mas isso pode falhar, como um exemplo nas respostas aponta. AV e Anti-Malware que dependem de assinaturas são uma solução de banda; há sempre uma corrida armamentista e você corre o risco de não ter uma cura antes da infecção.

Dito isto, você está perguntando isso, então você deve ter uma razão para isso. E mais para o ponto que você está sendo específico em que você quer desligá-lo através da política de grupo. Então ... você está perguntando sobre ter o firewall no lugar, ou o método de desligá-lo? Se você está perguntando sobre como encerrá-lo, sim, desligue-o com a política de grupo. Se você está perguntando se é bom desligar o firewall, você está recebendo muitas respostas sobre isso: -)

(Para notar, encerramos porque era uma dor no @ #% quando precisávamos trabalhar remotamente nos sistemas das pessoas, e o firewall do Windows estava interferindo em certos aplicativos. O uso do Deep Freeze mitigou cerca de 85% do risco de infecções rápidas em nossa rede interna, e sim, nós nos engajamos no combate a um worm dentro da rede antes devido à falta de firewall e descobrimos que ainda conseguimos um bom funcionamento devido ao que temos em funcionamento. também ajuda a mitigar o risco.)