Jak*_*ake 3 firewall group-policy
使用组策略完全关闭 AD 域中的 Windows 防火墙是否是一个好主意或常见做法?这时候,连服务器的防火墙都关闭了。唯一不受影响的设备是面向路由器/防火墙的 WAN。
这是我们曾经参与的一种做法,在一个 AD 域上,通过 VPN 连接到多个国家/地区的多个办公室,并认为这很好。
直到某个偏远岛屿办公室的某人将客户的笔记本电脑接入网络。在 10 分钟内,每个办公室都感染了 Conficker,我们不得不断开所有互联网连接,3 名工程师花了一周的大部分时间从我们所有的系统中清除蠕虫(当时 ps A/V 是赛门铁克,它不是)在此之后很长时间)。
如今,蠕虫病毒不那么流行了,但是您真的需要在工作站上打开文件和打印机共享端口吗?您将在各种服务器上需要它们,但这就是 GPO 的魅力所在。默认策略将其锁定,为您需要的端口添加一个策略对象,并仅应用于真正需要它的服务器。
虽然很明显公司政策不应该将外部笔记本电脑插入域(并且确实如此),但会发生事故,人们从访问中携带病毒/蠕虫等。安全总比非常抱歉好!
| 归档时间: |
|
| 查看次数: |
3001 次 |
| 最近记录: |