Was kann getan werden, um die Windows-Firewall in einer Domäne ordnungsgemäß wieder zu aktivieren?

15

HINTERGRUND / FORSCHUNG

Ich glaube ehrlich, dass Fragen wie diese: Verwenden von Gruppenrichtlinienobjekten in der Active Directory-Domäne, um die Deaktivierung der Windows-Firewall für Arbeitsstationen zu erzwingen - wie? existierte, weil Windows-Administratoren im Allgemeinen vor langer Zeit gelehrt wurden, dass:

"Wenn Sie mit einem Domänencomputer arbeiten, ist es am einfachsten, nur ein Gruppenrichtlinienobjekt in der Domäne zu haben, um die Windows-Firewall zu deaktivieren. Dies wird Ihnen am Ende viel weniger Kummer bereiten." - zufällige IT-Instruktoren / Mentoren aus vergangenen Jahren

Ich kann auch sagen, dass bei den MEISTEN Unternehmen, für die ich nebenbei gearbeitet habe, ein Gruppenrichtlinienobjekt die Windows-Firewall für das Domänenprofil und bei WORST auch für das öffentliche Profil deaktiviert hat.

Einige deaktivieren dies auch für die Server selbst: Deaktivieren Sie die Firewall für alle Netzwerkprofile unter Windows Server 2008 R2 über das Gruppenrichtlinienobjekt

In einem Microsoft Technet-Artikel zur WINDOWS FIREWALL wird empfohlen , die Windows-Firewall NICHT zu deaktivieren:

Da die Windows-Firewall mit erweiterter Sicherheit eine wichtige Rolle beim Schutz Ihres Computers vor Sicherheitsbedrohungen spielt, wird empfohlen, sie nur zu deaktivieren, wenn Sie eine andere Firewall von einem seriösen Anbieter installieren, der ein gleichwertiges Schutzniveau bietet.

Diese ServerFault-Frage stellt die eigentliche Frage: Ist es in Ordnung, die Firewall in einem LAN mithilfe von Gruppenrichtlinien zu deaktivieren? - und die Experten hier sind sogar uneins.

Und ich verstehe, dass ich mich nicht auf das Deaktivieren / Aktivieren des Dienstes beziehe: Wie kann ich meine Empfehlung sichern, den Windows-Firewall-Dienst NICHT zu deaktivieren? - Damit klar wird, ob der Firewall-Dienst die Firewall aktiviert oder deaktiviert.


DIE FRAGE AN DER HAND

Ich komme also zum Titel dieser Frage zurück. Was kann getan werden, um die Windows-Firewall in einer Domäne wieder ordnungsgemäß zu aktivieren? Speziell für Client-Workstations und deren Domänenprofil.

Bevor Sie das Gruppenrichtlinienobjekt einfach von "Deaktiviert" auf "Aktiviert" umschalten, welche Planungsschritte sollten durchgeführt werden, um sicherzustellen, dass das Umlegen des Schalters nicht zu einem plötzlichen Ausfall kritischer Client / Server-Anwendungen, zulässigen Datenverkehrs usw. führt? Die meisten Orte tolerieren die Einstellung "Ändern und sehen, wer den Helpdesk anruft" hier nicht.

Gibt es Checklisten / Dienstprogramme / Verfahren von Microsoft, um mit einer solchen Situation umzugehen? Waren Sie selbst in dieser Situation und wie sind Sie damit umgegangen?

Der Reiniger
quelle
3
Windows Server deaktiviert standardmäßig die Firewall. (Ich gehe davon aus, dass es sich immer um eine gute Unternehmens-Firewall handelt). Auf Domänenarbeitsstationen sind sie normalerweise deaktiviert, da die Windows-Firewall ein PITA ist, mit dem gearbeitet und gewartet werden muss. Jede Anwendung benötigt einige spezielle Ports, der DC erbricht Daten über eine Reihe von Ports usw. Es ist so viel los, dass das Aktivieren der Windows-Firewall normalerweise viel Zeit kostet, um sie zu "reparieren", damit normale Apps funktionieren. Sobald du dann weggehst, musst du zurückkommen und es wieder reparieren.
SnakeDoc
10
@ SnakeDoc windows server by default disables the firewall Dies ist nicht wahr . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain auch nicht wahr - haben Sie sich die verfügbaren Gruppenrichtlinienobjekte für die Verwaltung in den letzten 6 Jahren angesehen? Es ist nicht mehr 2003. the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work Wenn Sie AD DS installieren, sind die dafür erforderlichen Ausnahmen auf den
Domänencontrollern
12
Ich habe buchstäblich keine Ahnung, wie dieser Kommentar im Moment +3 ist, wenn jeder einzelne darin enthaltene Punkt sachlich falsch ist. Das fühlt sich gerade wie / r / sysadmin an.
MDMarra
3
@MDMarra: Ich habe genau dasselbe überlegt: die "+3" für diesen Kommentar. Ich wünschte, ich könnte diesen Kommentar ablehnen. (Ich glaube nicht, dass das Markieren das Richtige ist, aber ich bin wirklich versucht ...)
Evan Anderson

Antworten:

19

What can be done to properly re-enable the Windows firewall on a domain?

Nun, die kurze Antwort ist, dass es eine Menge Arbeit sein wird, wenn Sie sich dazu entschließen, voranzukommen, und für das Protokoll bin ich nicht sicher, ob ich das tun würde.

Im Allgemeinen bieten Client-Firewalls in einem Unternehmensnetzwerk (das in der Regel über Hardware-Firewalls verfügt und solche Vorgänge am Rande steuert) nur wenig Sicherheit, und Malware-Autoren sind heutzutage schlau genug, Port 80 für ihren Datenverkehr zu verwenden. Da praktisch niemand diesen Port blockiert, müssen Sie viel tun, um einen begrenzten Sicherheitsvorteil zu erzielen.

Trotzdem lautet die lange Antwort:

  1. Inventarisierungsanwendungen und deren Konnektivitätsanforderungen, so gut Sie können.
    • Wenn Sie die Windows-Firewall sicher mit einer allow allRegel aktivieren und die Protokollierung festlegen können, ist dies ein Schatz an Daten, um zu bestimmen, welche Apps Firewall-Ausnahmen erfordern.
    • Wenn Sie Protokolldaten nicht ohne Eingriff erfassen können, müssen Sie sich mit einer einfachen Bestandsaufnahme begnügen oder Benutzer anmelden, die mit Störungen und aufdringlichen IT-Aktivitäten umgehen können (wie Sie selbst und andere Techniker zum Beispiel).
  2. Überlegen Sie, was Sie zur Fehlerbehebung benötigen.
    • Es gibt Dinge, über die Sie bei einem Software-Audit wahrscheinlich nicht nachdenken müssen. Beispielsweise:
      • Möglicherweise möchten Sie ICMP (oder ICMP aus genehmigten Adressräumen) zulassen, damit die Fehlerbehebung und die Verwaltung von IP-Adressen nicht schrecklich werden.
      • Ebenso Ausschlüsse für alle Remoteverwaltungsanwendungen, die Sie verwenden.
      • Möglicherweise möchten Sie auch die Firewall-Protokollierung nach Richtlinie festlegen
  3. Erstellen Sie ein Basis-Gruppenrichtlinienobjekt und stellen Sie es für eine Testgruppe oder mehrere Testgruppen bereit.
    • Sie können es nicht einfach tun und es vom Helpdesk für alle regeln lassen, aber das Management wird viel offener sein, die Änderungen mit einer ausgewählten Gruppe handverlesener Mitarbeiter zu steuern, insbesondere, wenn sie der Meinung sind, dass ein berechtigtes Sicherheitsrisiko besteht .
    • Wählen Sie Ihre Testgruppe sorgfältig aus. Es kann sinnvoll sein, zuerst IT-Mitarbeiter einzusetzen und dann die Gruppe um Mitarbeiter aus anderen Abteilungen zu erweitern.
    • Natürlich sollten Sie Ihre Testgruppe überwachen und in ständiger Kommunikation mit ihnen bleiben, um Probleme, die Sie beim ersten Mal nicht erkannt haben, schnell zu lösen.
  4. Rollen Sie das Wechselgeld langsam und schrittweise aus.
    • Wenn Sie es zu Ihrer Zufriedenheit getestet haben, sollten Sie dennoch vorsichtig sein und es nicht nur auf einmal auf die gesamte Domäne übertragen. Rollen Sie es auf kleinere Gruppen aus, die Sie entsprechend der Struktur und den Anforderungen Ihrer Organisation definieren müssen.
  5. Stellen Sie sicher, dass Sie über etwas verfügen, um zukünftige Änderungen zu bewältigen.
    • Es reicht nicht aus, es für das zu machen, was Sie jetzt in Ihrer Umgebung haben, da Sie dann neue Anwendungen in Ihrer Domain haben und sicherstellen müssen, dass die Firewall-Richtlinie aktualisiert wird, um sie zu berücksichtigen, oder Jemand über Ihnen wird entscheiden, dass die Firewall mehr Probleme bereitet als es wert ist, und die Richtlinie wird entfernt, beseitigt und die Arbeit, die Sie bisher in sie gesteckt haben.
HopelessN00b
quelle
12

Bearbeiten: Ich möchte nur feststellen, dass an der Windows-Firewall nichts von Natur aus falsch ist. Dies ist ein durchaus akzeptabler Teil einer umfassenden Strategie zur Verteidigung. Tatsache ist, dass die meisten Shops zu inkompetent oder zu faul sind, um herauszufinden, welche Firewall-Regeln für die von ihnen ausgeführten Anwendungen erforderlich sind, und sie es daher allgegenwärtig erzwingen.

Wenn beispielsweise die Windows-Firewall verhindert, dass Ihre Domänencontroller ihre Arbeit ausführen, wissen Sie nicht, welche Ports Active Directory benötigt, bevor Sie die Firewall aktiviert haben, oder Sie haben die Richtlinie falsch konfiguriert.

Das ist die Quintessenz der Sache.


Kommunizieren Sie zunächst mit Ihren Projektmanagern, Ihren Vorgesetzten, Ihren Stakeholdern, Ihrem Change Advisory Cabinet und teilen Sie allen mit, dass Sie eine schrittweise Korrektur der Windows-Firewall durchführen werden, um die Gesamtleistung zu steigern Sicherheitslage Ihrer Umgebung.

Stellen Sie sicher, dass sie verstehen, dass Risiken bestehen. Ja, natürlich werden wir alles tun, um sicherzustellen, dass es keine Unterbrechungen gibt, aber keine Versprechungen machen. Der Versuch, eine alte Domäne in Form zu bringen, ist harte Arbeit.

Als Nächstes müssen Sie Anwendungen inventarisieren, die in Ihrer Umgebung verwendet werden, und welche Ports sie benötigen. Dies kann je nach Umgebung sehr schwierig sein. Aber es muss getan werden. Überwachungsagenten? SCCM-Agenten? Antivirus-Agenten? Die Liste geht weiter.

Entwickeln Sie ein Windows-Firewall-Gruppenrichtlinienobjekt, das benutzerdefinierte Regeln für Ihre Unternehmensanwendungen enthält. Möglicherweise benötigen Sie mehrere Richtlinien mit unterschiedlichen Gültigkeitsbereichen, die für verschiedene Server gelten. Beispielsweise eine separate Richtlinie, die nur für Webserver für die Ports 80, 443 usw. gilt.

Die integrierten Windows-Firewall-Richtlinien sind für Sie sehr hilfreich, da sie genau auf die häufigsten Windows-Aktivitäten zugeschnitten sind. Diese integrierten Regeln sind besser, da sie nicht nur einen Port für das gesamte System öffnen oder schließen, sondern sich auf sehr spezifische Prozess- und Protokollaktivitäten auf dem Computer usw. beziehen. Sie decken jedoch nicht Ihre benutzerdefinierten Anwendungen ab Fügen Sie diese Regeln als zusätzliche ACEs zu den Richtlinien hinzu.

Wenn möglich, rollen Sie zuerst in einer Testumgebung aus, und wenn Sie zur Produktion ausrollen, tun Sie dies zuerst in begrenzten Teilen. Plotten Sie das Gruppenrichtlinienobjekt nicht einfach auf der gesamten Domäne, wenn Sie zum ersten Mal gehen.

Diese letzte Aussage ist wahrscheinlich der beste Rat, den ich Ihnen geben kann - rollen Sie Ihre Änderungen in sehr kleinen, kontrollierten Bereichen aus.

Ryan Ries
quelle
1
Der nächste Kommentar, der sich nicht auf diese Antwort bezieht, wird innerhalb von 24 Stunden im Kästchen angezeigt. > = [
Chris S
6
@ ChrisS Also, was hast du an diesem Wochenende vor?
MDMarra
4

Okay, ich möchte Ihnen etwas vorschlagen, das Sie möglicherweise in Schwierigkeiten bringt oder nicht, aber ich verwende es, wenn ich die Firewall einschalte.

Nmap. (Jeder Port-Scanner würde das tun.) Ich fürchte, ich vertraue der Dokumentation, welche Ports verwendet werden, nicht. Ich möchte für mich selbst sehen.

Hintergrund: Ich komme aus einem akademischen Umfeld, in dem Studenten-Laptops sich mit unseren Servern die Ellbogen rieben (Ugh!). Als ich anfing, nmap auf meinen eigenen Servern zu verwenden, hatten wir auch keine IDS, also konnte ich nmap nach Belieben verwenden und niemand würde es bemerken. Dann implementierten sie IDS und ich erhielt E-Mails mit der Nachricht "NETWORK PORT SCAN ATTACK ON YOUR SERVER FROM YOUR WORKSTATION !!!!!". und ich antwortete und sagte: "Ja, das bin ich." Heh. Nach einer Weile entwickelten sie einen Sinn für Humor. ;)

Ich habe nmap auch auf Workstations verwendet, um beispielsweise nach Conficker zu suchen . Nmap wird wahrscheinlich die AV-Management-Ports, alle anderen Management-Software-Ports usw. aktivieren. (Der Desktop wird sehr mürrisch, wenn Sie die Management-Software beschädigen.) Abhängig von Ihrer Umgebung wird möglicherweise auch nicht autorisierte Software aktiviert.

Wie auch immer. In einigen Umgebungen wird nmap unangenehm und in anderen gar nicht. Ich kann in der Regel nur meine eigenen Server oder Workstations für einen bestimmten Zweck zuordnen, was hilfreich ist. Aber ja, Sie möchten wahrscheinlich klarstellen, dass Sie einen Port-Scan mit jedem durchführen, der Ihnen auf den Fersen sein könnte.

Dann weißt du. Was Ryan Ries gesagt hat. Management / Änderungsmanagement / Gruppenrichtlinien / etc.

Katherine Villyard
quelle
Jedes gute Netzwerk sollte bei Netzwerk-Port-Scans ausflippen. Besonders wenn sie intern sind.
SnakeDoc
Na klar, es sieht bedrohlich aus, weshalb ich abgelehnt habe. Das heißt, Sie wären überrascht, wer Sie das machen lässt / nicht bemerkt.
Katherine Villyard
lol, deshalb habe ich "gut" gesagt. Obwohl "gut" eine unterschiedliche Bedeutung hat, je nachdem, auf welcher Seite des Netzwerks Sie sitzen ... hehe
SnakeDoc
3
Wenn Sie dies sorgfältig tun, ist dies ein guter Rat, wenn nicht ein Muss bei der Planung von Firewall-Bereitstellungen. nmapkann gezielt und gedrosselt werden. Wenn Sie bereits für den Netzwerkbetrieb verantwortlich sind oder anderweitig daran beteiligt sind, teilen Sie einfach allen Beteiligten mit, dass Sie das Netzwerk überwachen, und niemand muss "ausflippen".
Mathias R. Jessen
3
(schreit über die Würfelwände) "Hey, Tim?" "Ja?" "Ich werde das IDS gleich wieder aufregen." "(lacht) Okay."
Katherine Villyard
3

Ich glaube nicht, dass Microsoft hierfür Dienstprogramme zur Verfügung stellt, aber wenn ich die Windows-Firewall in unserer Domäne verwenden würde (sie ist dort aktiviert, wo ich arbeite), würde ich Folgendes sicherstellen:

  1. Ausnahmen bestehen für alle Remoteverwaltungstools (WMI usw. usw.).
  2. Erstellen Sie IP-Bereichsausnahmen auf Domänenarbeitsstationen, damit Verwaltungsserver (wie z. B. SCCM / SCOM, sofern vorhanden) den gesamten Datenverkehr zulassen können.
  3. Erlauben Sie Endbenutzern, dem Domain-Profil Ausnahmen nur für Software hinzuzufügen, falls Sie einige Dinge verpassen (und Sie werden es tun).

Server sind ein bisschen anders. Ich habe derzeit die Firewall für unsere Server deaktiviert, da das Aktivieren viele Probleme verursachte, auch wenn Ausnahmen vorhanden waren. Grundsätzlich müssen Sie für alle Server eine pauschale "Skeleton" -Richtlinie anwenden (z. B. unsichere Ports nicht zulassen), um dann zu jedem Server zu wechseln und die Einstellungen individuell anzupassen. Aus diesem Grund kann ich feststellen, dass viele IT-Mitarbeiter die Firewall einfach deaktivieren. Ihre Perimeter-Firewall sollte diese Computer ohne eigene Firewalls ausreichend schützen. Manchmal lohnt es sich jedoch, Server für Hochsicherheitsumgebungen individuell zu konfigurieren.

Nebenbei bemerkt regelt die Windows-Firewall auch die Verwendung von IPSec. In diesem Fall benötigen Sie die Firewall also trotzdem.

Nathan C
quelle