Quero garantir que todos os computadores no domínio tenham o Firewall do Windows ativado e o usuário (mesmo que esteja conectado como Administrador) não possa desabilitá-lo.
Eu sei como fazer isso localmente por máquina, mas como eu faria isso no Windows Server 2003 para garantir que isso se aplica a todos os computadores?
Sim , você pode gerenciar o Firewall do Windows por meio do GPO.
Computer Config > Windows Settings > Security Settings > Windows Firewall.
Eu uso o GPO para meu ambiente misto 2k3 e 2k8.
Você pode bloquear o administrador local? Acho que não. Para isso, você pode precisar de um pacote de firewall comercial gerenciado centralmente. Eu sei que o Symantec Endpoint Protection tem esse recurso, por exemplo.
Como o schroeder disse, você pode gerenciar as configurações do Firewall pelo GPO:
Configuração do computador - > Configurações do Windows - > Configurações de segurança - > Firewall do Windows com Segurança Avançada
No entanto, essas configurações afetarão todos que estiverem conectados ao PC. Também administradores. Ao acessar as propriedades, ele mostrará isso (observe o estado do Firewall acinzentado).
Euescreviumblogsobreessasconfiguraçõesnasquaisvocêpodeler:
Eu também usei GPOs no ambiente Win2k3 e Win2k8. Confira o artigo da Microsoft sobre Implantando as configurações do Firewall do Windows com a Diretiva de Grupo , caso ainda não tenha feito isso. Em seguida, execute gpupdate nas máquinas ou aguarde o envio das configurações.
Quanto aos direitos do usuário, recomendo apenas dar o mínimo necessário para que eles funcionem. Os usuários que exigem mais privilégios, mas não precisam deles, irão descobrir uma maneira de contornar essa medida de segurança ou simplesmente desistir. Eu sempre digo que não pode ser concedido a menos que documentado por escrito para evitar problemas legais mais tarde para esse usuário.
Tags windows active-directory