Controlando o Windows XP e o firewall 7 via GPO

Dependendo de como você tem o Active Directory configurado, você pode aplicá-lo a uma OU temporária para as áreas de trabalho, aplicar o GPO a isso e movê-los para um de cada vez até que todos estejam concluídos. Então, quando você estiver feliz, mova-o mais para cima em AD, de modo que ele se aplique a novas máquinas.

Também fizemos isso e a vida é melhor quando todos estão ativados. Boa parte é que um GP central facilita a realização de alterações em massa, mas gasta algum tempo e descobre quais apps precisam ter o que é aberto. A maioria dos usuários não precisa de nenhum aberto. Mas alguns serviços fazem (nosso antivírus, RDP e portas são necessários para alguns que têm o compartilhamento de impressora ativado).

Recentemente, implementei segmentação de rede usando o firewall do Windows no XP e 7 para fins de PCI-DSS. É definitivamente possível (e recomendado) fazê-lo.

Desde que você não esteja restringindo o tráfego de saída de suas estações de trabalho, geralmente não há problema.

As únicas exceções que eu encontrei para isso tendem a ser um offs - impressoras compartilhadas através de uma estação de trabalho, sendo um excelente exemplo. A maioria das outras coisas - acesso RDP remoto, WMI de entrada ou antivírus, etc. - pode ser descoberta após o fato, pois afeta apenas o IS.

O que fiz no passado é criar um grupo no AD e adicionar alguns computadores de teste a ele. Esse grupo aplicará a política de firewall com base nas configurações de delegação de política. Isso permitirá que você teste sem turvar sua estrutura AD existente. Ele também permite que você atualize suas políticas para todos em sistemas de escopo facilmente - psexec \testsystem gpupdate /target:Computer é ótimo para isso.

Vá devagar e certifique-se de não causar interrupções desnecessárias. Eu também sugiro usar o IPSec, se possível. A autenticação para regras de entrada é extremamente útil, mais do que no XP.