如何在域上正确地重新启用 Windows 防火墙？

Question

背景调查

我真的相信这样的问题：在 Active Directory 域中使用 GPO 强制禁用工作站 Windows 防火墙 - 如何？之所以存在，是因为 Windows 管理员通常在很久以前就被教导：

“在处理域计算机时，最简单的做法就是在域上设置一个 GPO 来禁用 Windows 防火墙……最终会让你少很多心痛。” - 过去几年的随机 IT 讲师/导师

我还可以说，在大多数公司，我已经为此做了一些辅助工作，其中 GPO 至少禁用了域配置文件的 Windows 防火墙，最糟糕的是也禁用了公共配置文件。

更进一步，有些人会为服务器本身禁用它：通过 GPO 为 Windows Server 2008 R2 上的所有网络配置文件禁用防火墙

WINDOWS防火墙上的 Microsoft Technet 文章建议您不要禁用 Windows 防火墙：

由于具有高级安全性的 Windows 防火墙在帮助保护您的计算机免受安全威胁方面发挥着重要作用，因此我们建议您不要禁用它，除非您安装另一个来自信誉良好的供应商提供的同等保护级别的防火墙。

这个 ServerFault 问题提出了一个真正的问题：使用组策略关闭 LAN 中的防火墙是否可以？——而这里的专家们的看法更是喜忧参半。

并理解我不是指禁用/启用服务：如何支持我不禁用 Windows 防火墙服务的建议？-- 以便清楚这是关于防火墙服务是否启用或禁用防火墙。

---

手头的问题

所以我回到这个问题的标题......可以做些什么来正确地重新启用域上的 Windows 防火墙？ 专门用于客户端工作站及其域配置文件。

在简单地将 GPO 从禁用切换到启用之前，应该采取哪些计划步骤来确保翻转开关不会导致关键的客户端/服务器应用程序、允许的流量等突然失败？ 大多数地方都不会容忍这里的“改变它，看看谁打电话给帮助台”的心态。

Microsoft 是否提供清单/实用程序/程序来处理这种情况？您自己是否遇到过这种情况，您是如何处理的？

Answer 1

What can be done to properly re-enable the Windows firewall on a domain?

嗯，简短的回答是，如果你决定继续前进，这将是很多工作，而且为了记录，我不确定我会这样做。

在一般情况下，客户端防火墙在公司网络（通常有硬件防火墙并在边缘控制此类事物）中并没有提供太多安全性，而如今的恶意软件作者足够聪明，可以使用端口 80 来处理其流量，因为几乎没有人阻止该端口，因此您需要花费大量精力来部署某些东西以提供有限的安全优势。

话虽如此，长答案是：

1. 尽最大努力清点应用程序及其连接需求。
   • 如果您可以使用allow all规则安全地启用 Windows 防火墙并设置日志记录，这将是一个数据宝库，用于确定您拥有哪些需要防火墙排除的应用程序。
   • 如果您无法以非侵入方式收集日志数据，您将不得不使用简单的清单，或者对可以处理中断和侵入性 IT 活动的用户（例如您自己和其他技术人员）进行日志记录。
2. 考虑您的故障排除需求。
   • 有些事情可能不会出现在您需要考虑的软件审计中。例如：
     • 您可能希望允许 ICMP（或来自已批准地址空间的 ICMP）使故障排除和 IP 地址管理变得不那么可怕。
     • 同样，排除你们使用的任何远程管理应用程序。
     • 您可能还想按策略设置防火墙日志记录
3. 创建基线 GPO 并将其部署到一个测试组或多个测试组。
   • 虽然您不能只是这样做并让帮助台为每个人解决问题，但管理层将更加开放地与精选的一组精选员工一起试行变更，特别是如果他们认为存在有效的安全问题.
   • 仔细选择你的测试组。首先使用 IT 人员，然后扩大组以包括来自其他部门的人员可能是明智的。
   • 显然，监控您的测试组并与他们保持持续沟通，以快速解决您第一次没有发现的问题。
4. 缓慢地、分阶段地进行更改。
   • 一旦您对其进行了满意的测试，您仍然应该谨慎行事，而不是立即将其推送到整个域。将其推广到较小的小组，您必须根据组织的结构和需求对其进行定义。
5. 确保你有一些东西来处理未来的变化。
   • 仅仅让它适用于您现在的环境是不够的，因为您最终会在您的域中出现新的应用程序，并且您必须确保更新防火墙策略以适应它们，或者你上面的人会认为防火墙比它的价值更麻烦，并且会删除策略，消除你迄今为止投入的工作。

Answer 2

编辑：我只想说明 Windows 防火墙本身没有任何问题。它是整体纵深防御战略的一个完全可以接受的部分。事实是，大多数商店都太无能或太懒了，以至于无法弄清楚他们运行的应用程序需要哪些防火墙规则，因此他们只是无处不在地强制关闭它。

例如，如果 Windows 防火墙阻止您的域控制器执行其工作，那是因为您在打开防火墙之前不知道 Active Directory 需要哪些端口，或者因为您错误地配置了策略。

这就是问题的底线。

首先，与您的项目经理、您的老板、您的利益相关者、您的变更顾问室进行沟通，无论您公司的流程如何，并告知他们您将进行涉及 Windows 防火墙的逐步修复，以提高整体您的环境的安全状况。

确保他们了解存在风险。是的，当然，我们会尽我们所能，尽我们所能进行计划，以确保不会中断，但不要做出任何承诺。试图将一个旧域名打造成形状是一项艰巨的工作。

接下来，您必须清点在您的环境中使用的应用程序以及它们需要哪些端口。根据环境的不同，这可能非常困难。但它必须完成。监控代理？SCCM代理？杀毒代理？名单还在继续。

开发包含企业应用程序自定义规则的 Windows 防火墙 GPO。您可能需要适用于不同服务器的具有不同范围的多个策略。例如，单独的策略仅适用于端口 80、443 等的 Web 服务器。

内置的 Windows 防火墙策略对您非常有帮助，因为它们的范围非常适合大多数常见的 Windows 活动。这些内置规则更好，因为它们不只是打开或关闭整个系统的端口 - 它们的范围仅限于机器上发生的非常特定的进程和协议活动等。但它们不涵盖您的自定义应用程序，因此将这些规则作为辅助 ACE 添加到策略中。

如果可能，首先在测试环境中推出，在推出生产时，首先在有限的块中进行。不要只是在第一次使用时就在整个域上放置 GPO。

最后一句可能是我能给你的最好的建议——在非常小的、可控的范围内推出你的更改。

Answer 3

我不相信 Microsoft 提供任何可用的实用程序，但如果我要在我们的域上使用 Windows 防火墙（它在我工作的地方启用），我将确保以下几点：

1. 所有远程管理工具（WMI 等）都存在例外情况
2. 在域工作站上创建 IP 范围例外，以允许管理服务器（例如 SCCM/SCOM，如果有的话）允许所有流量。
3. 允许最终用户仅为软件添加例外到域配置文件，以防您遗漏某些内容（并且您会遗漏某些内容）。

服务器有点不同。我目前为我们的服务器禁用了防火墙，因为启用它会导致许多问题，即使存在例外情况。您基本上必须对所有服务器应用一揽子“骨架”策略（例如，禁止不安全的端口），然后转到每个服务器并单独自定义设置。正因为如此，我明白了很多 IT 人员禁用防火墙的原因。您的外围防火墙应该足以保护这些计算机，而无需它们自己的防火墙。然而，有时为高安全性环境单独配置服务器是值得的。

附带说明一下，Windows 防火墙还管理 IPsec 的使用，因此如果使用 IPsec，则无论如何都需要防火墙。