ドメインでWindowsファイアウォールを適切に再度有効にするにはどうすればよいですか？

背景調査

私は正直、このような質問を信じています：Active DirectoryドメインでGPOを使用して、ワークステーションのWindowsファイアウォールを強制的に無効にします-方法は？一般的にWindows管理者が次のことを教えられたために存在していました。

「ドメインコンピュータを扱う場合に最も簡単なことは、ドメインにGPOを配置してWindowsファイアウォールを無効にすることです。これにより、最終的には心痛がはるかに少なくなります。」-過去のランダムなITインストラクター/メンター

また、MOST企業でこれについて副次的な作業を行った場合、GPOがドメインプロファイルのWindowsファイアウォールを少なくとも無効にし、最悪の場合パブリックプロファイルでも無効にしたということがあります。

さらに、サーバー自体に対して無効にするユーザーもいます。WindowsServer 2008 R2上のすべてのネットワークプロファイルのファイアウォールをGPO経由で無効にします

Windowsファイアウォールに関するMicrosoft Technetの記事では、Windowsファイアウォールを無効にしないことを推奨しています。

セキュリティが強化されたWindowsファイアウォールは、コンピューターをセキュリティの脅威から保護する上で重要な役割を果たすため、同等のレベルの保護を提供する信頼できるベンダーの別のファイアウォールをインストールしない限り、コンピューターを無効にしないことをお勧めします。

このServerFaultの質問は本当の質問です。グループポリシーを使用してLAN内のファイアウォールをオフにしても大丈夫ですか？-そして、ここの専門家は彼らの見解でさえ混同しています。

また、サービスの無効化/有効化について言及していないことを理解してください。Windowsファイアウォールサービスを無効にしないように推奨事項をバックアップするにはどうすればよいですか？-これは、ファイアウォールサービスがファイアウォールを有効にするか無効にするかに関することであることを明確にするためです。

手元の質問

だから私はこの質問のタイトルに戻ります... ドメインのWindowsファイアウォールを適切に再度有効にするために何ができますか？ 特にクライアントワークステーションとそのドメインプロファイル用。

GPOを単に無効から有効に切り替える前に、スイッチを切り替えても重要なクライアント/サーバーアプリケーション、許容トラフィックなどが突然失敗しないようにするために、どのような計画手順を実行する必要がありますか？ ほとんどの場所では、ここで「変更してヘルプデスクに電話をかける」という考え方を容認しません。

このような状況を処理するために、Microsoftから利用可能なチェックリスト/ユーティリティ/手順はありますか？あなたは自分でこの状況にあり、どのように対処しましたか？

What can be done to properly re-enable the Windows firewall on a domain?

まあ、短い答えは、あなたが前進することを決めた場合、それは多くの仕事になるだろうということです、そして、記録のために、私はそうするかどうかわかりません。

一般的な場合、クライアントファイアウォールは企業ネットワーク（通常はハードウェアファイアウォールを持ち、この種のことをエッジで制御します）であまりセキュリティを提供しません。最近のマルウェア作成者は、トラフィックにポート80を使用するほど賢い実質的に誰もそのポートをブロックしないため、セキュリティ上のメリットを限定的に提供するために何かを配置するのに多大な労力が費やされるためです。

とはいえ、長い答えは次のとおりです。

1. インベントリアプリケーションとその接続のニーズは可能な限り最高です。
   • allow allルールを使用してWindowsファイアウォールを安全に有効にし、ログを設定できる場合、これは、ファイアウォールの除外が必要なアプリを判断するための宝の山になります。
   • ロギングデータを非侵入的に収集できない場合は、単純なインベントリで対処するか、中断や侵入的なITアクティビティを処理できるユーザー（自分や他の技術など）でロギングを行う必要があります。
2. トラブルシューティングのニーズについて考えてください。
   • あなたが考える必要があるソフトウェア監査ではおそらく出てこないものがあります。例えば：
     • ICMP（または承認されたアドレススペースからのICMP）を許可して、トラブルシューティングとIPアドレス管理を恐ろしくしないようにすることができます。
     • 同様に、皆さんが使用するリモート管理アプリケーションの除外。
     • また、ポリシーによってファイアウォールのログを設定することもできます。
3. ベースラインGPOを作成し、テストグループまたは複数のテストグループに展開します。
   • ただそれを実行してヘルプデスクに全員を整理させることはできませんが、管理者は、特に有効なセキュリティ上の懸念があると考える場合、厳選された従業員の選択グループで変更を試験することにもっとオープンになるでしょう。
   • テストグループを慎重に選択してください。最初にIT担当者を使用し、次にグループを拡大して他の部門の人を含めるのが賢明かもしれません。
   • 明らかに、テストグループを監視し、テストグループと常に連絡を取り合って、最初にキャッチしなかった問題をすばやく解決してください。
4. ゆっくりと段階的に変更を展開します。
   • 満足のいくテストを行った後は、ドメイン全体に一度にプッシュするのではなく、引き続き注意を払う必要があります。組織の構造とニーズに応じて定義する必要がある小さなグループに展開します。
5. 将来の変更を処理するための場所があることを確認してください。
   • 現在の環境にあるもので機能させるだけでは十分ではありません。ドメインで新しいアプリケーションが作成されるため、それらに対応するためにファイアウォールポリシーを更新する必要があります。あなたの上の誰かがファイアウォールが価値があるよりもトラブルであると判断し、ポリシーを削除し、削除し、これまでに投入した作業を削除します。

編集： Windowsファイアウォールに本質的に問題はないことを述べたいと思います。これは、全体的な多層防御戦略の完全に受け入れられる部分です。問題の事実は、ほとんどのショップは、彼らが実行するアプリケーションにどのファイアウォールルールが必要なのかわからないほど無能であるか怠け者であるため、ユビキタスにそれを強制するだけです。

たとえば、Windowsファイアウォールによってドメインコントローラーがジョブを実行できない場合、ファイアウォールを有効にする前にActive Directoryが必要とするポートがわからなかったか、ポリシーを誤って構成したことが原因です。

それが問題の一番下の行です。

最初に、プロジェクトマネージャー、上司、ステークホルダー、変更アドバイザリーキャビネット、社内のプロセスに関係なく、Windowsファイアウォールを使用して段階的な修復を行うことをすべて通知し、全体的な改善を図ります。環境のセキュリティ態勢。

リスクがあることを彼らが理解していることを確認してください。はい、もちろん、できる限りのこと、できる限りの計画を立てて、中断がないことを保証しますが、約束はしません。古いドメインを形にするのは大変な作業です。

次に、環境で使用されているアプリケーションとそれらが必要とするポートのインベントリを作成する必要があります。環境によっては、これは非常に難しい場合があります。しかし、それは行われなければなりません。監視エージェント？SCCMエージェント？アンチウイルス剤？リストは続きます。

エンタープライズアプリケーションのカスタムルールを含むWindowsファイアウォールGPOを開発します。異なるサーバーに適用される異なるスコープを持つ複数のポリシーが必要になる場合があります。たとえば、ポート80、443などのWebサーバーにのみ適用される個別のポリシー。

組み込みのWindowsファイアウォールポリシーは、ほとんどの一般的なWindowsアクティビティに対応できるように完全に範囲が定められているため、非常に役立ちます。これらのビルトインルールは、システム全体へのポートを開閉するだけではなく、マシン上で行われる特定のプロセスやプロトコルアクティビティなどに限定されるため、より優れています。ただし、カスタムアプリケーションは対象外です。 、それらのルールを補助ACEとしてポリシーに追加します。

可能な場合は最初にテスト環境でロールアウトし、実稼働環境にロールアウトする場合は、限られたチャンクで最初にロールアウトします。はじめてドメイン全体にGPOを追加するだけではいけません。

その最後のステートメントは、おそらく私があなたに与えることができる最良のアドバイスです-非常に小さな、制御されたスコープであなたの変更を展開してください。

さて、私はあなたを困らせるかもしれないし、しないかもしれない何かを提案しようとしていますが、それは私がファイアウォールをオンにするときに使用するものです。

Nmap。（どのポートスキャナーでも実行できます。）どのポートが使用されているかのドキュメントを信用できないのではないかと心配しています。自分で見たいです。

背景： 学生のラップトップがひじをサーバーでこすったアカデミック環境の出身です（うーん！）。自分のサーバーでnmapを使い始めたとき、IDSもなかったので、思いのままにnmapでき、誰も気付かないでしょう。その後、彼らはIDSを実装し、基本的には「ワークステーションからサーバーへのネットワークポートスキャン攻撃!!!!!」と言ったメールを転送してきました。返信して「はい、私です」と言います。へえ。しばらくして、彼らはそれについてユーモアのセンスを身につけました。;）

また、confickerを探すために、ワークステーションでnmapも使用しました。Nmapは、AV管理ポート、その他の管理ソフトウェアポートなどを起動する可能性があります（管理ソフトウェアを壊すと、デスクトップは非常に粗雑になります）。環境によっては、不正なソフトウェアも起動する場合があります。

とにかく。一部の環境ではnmapに驚いたり、気付かない環境もあります。私は通常、自分のサーバー、または特定の目的のためにワークステーションのみをnmapします。しかし、はい、おそらくあなたはあなたを驚かせる可能性のある人とポートスキャンを実行することを明確にしたいでしょう。

その後、あなたは知っています。ライアン・リースが言ったこと。管理/変更管理/グループポリシー/など。

Microsoftからこのユーティリティを入手できるとは思いませんが、ドメインでWindowsファイアウォールを使用する場合（作業場所で有効になっている場合）、次のことを確認します。

1. すべてのリモート管理ツール（WMIなど）には例外があります
2. ドメインワークステーションでIP範囲の例外を作成して、管理サーバー（SCCM / SCOMなどの場合）がすべてのトラフィックを許可できるようにします。
3. 何かを逃した場合（およびそうする場合）に、エンドユーザーがソフトウェアのドメインプロファイルに例外を追加できるようにします。

サーバーは少し違う。ファイアウォールを有効にすると、例外が設定されていても多くの問題が発生するため、現在、サーバーのファイアウォールを無効にしています。基本的に、すべてのサーバーにブランケット「スケルトン」ポリシーを適用し（たとえば、安全でないポートを許可しない）、各サーバーに移動して個別に設定をカスタマイズする必要があります。このため、多くのITスタッフがファイアウォールを無効にしている理由がわかります。境界ファイアウォールは、独自のファイアウォールなしでこれらのマシンを十分に保護する必要があります。ただし、高セキュリティ環境向けにサーバーを個別に構成する価値がある場合もあります。

補足として、WindowsファイアウォールはIPsecの使用も管理しているため、IPsecを使用する場合はファイアウォールが必要です。