किसी डोमेन पर Windows फ़ायरवॉल को ठीक से पुन: सक्षम करने के लिए क्या किया जा सकता है?

15

पृष्ठभूमि शोध

मैं ईमानदारी से मानता हूं कि इस तरह के सवाल: सक्रिय निर्देशिका डोमेन में GPO का उपयोग करके वर्कस्टेशन को Windows फ़ायरवॉल को अक्षम करने के लिए मजबूर किया जाता है - कैसे? सामान्य रूप से Windows Admins बहुत पहले सिखाए जाने के कारण मौजूद थे:

"डोमेन कंप्यूटर के साथ काम करते समय सबसे आसान बात यह है कि विंडोज फ़ायरवॉल को निष्क्रिय करने के लिए डोमेन पर बस एक GPO होना चाहिए ... यह अंत में आपको बहुत कम दिल का दर्द पैदा करेगा।" - वर्षों से यादृच्छिक आईटी प्रशिक्षक / संरक्षक

मैं यह भी कह सकता हूँ कि MOST कंपनियों में मैंने इसके लिए साइड काम किया है, यह मामला रहा है, जहाँ एक GPO डोमेन प्रोफ़ाइल के लिए Windows फ़ायरवॉल को न्यूनतम अक्षम करता है और WORST पर इसे सार्वजनिक प्रोफ़ाइल के लिए भी अक्षम कर दिया है।

आगे भी, कुछ इसे स्वयं सर्वर के लिए अक्षम कर देंगे: GPO के माध्यम से विंडोज सर्वर 2008 R2 पर सभी नेटवर्क प्रोफाइल के लिए फ़ायरवॉल अक्षम करें

Windows फ़ायरवॉल पर Microsoft तकनीक आलेख आपको Windows फ़ायरवॉल अक्षम नहीं करने की अनुशंसा करता है :

क्योंकि उन्नत सुरक्षा वाला Windows फ़ायरवॉल आपके कंप्यूटर को सुरक्षा खतरों से बचाने में मदद करने में एक महत्वपूर्ण भूमिका निभाता है, हम अनुशंसा करते हैं कि आप इसे तब तक अक्षम न करें जब तक कि आप एक प्रतिष्ठित विक्रेता से एक और फ़ायरवॉल स्थापित न करें जो सुरक्षा के बराबर स्तर प्रदान करता है।

यह सर्वरफॉल्ट प्रश्न वास्तविक प्रश्न पूछता है: क्या ग्रुप पॉलिसी का उपयोग करके LAN में फ़ायरवॉल को बंद करना ठीक है? - और यहां के विशेषज्ञ भी उनके विचार में मिश्रित हैं।

और समझें कि मैं सेवा को अक्षम / सक्षम करने का उल्लेख नहीं कर रहा हूं: मैं Windows फ़ायरवॉल सेवा को अक्षम नहीं करने के लिए अपनी सिफारिश कैसे कर सकता हूं? - ताकि यह स्पष्ट हो सके कि यह इस बारे में है कि फ़ायरवॉल सेवा फ़ायरवॉल को सक्षम करती है या नहीं।

हाथ पर प्रश्न

इसलिए मैं इस सवाल के शीर्षक पर वापस जाता हूं ... एक डोमेन पर विंडोज फ़ायरवॉल को फिर से सक्षम करने के लिए क्या किया जा सकता है? विशेष रूप से क्लाइंट वर्कस्टेशन और उनके डोमेन प्रोफाइल के लिए।

बस GPO को अक्षम से सक्षम करने से पहले, यह सुनिश्चित करने के लिए क्या योजना बनाई जानी चाहिए कि स्विच को फ़्लिप करने से महत्वपूर्ण क्लाइंट / सर्वर एप्लिकेशन, स्वीकार्य ट्रैफ़िक आदि अचानक विफल न हों? अधिकांश स्थान "इसे परिवर्तित करें और देखें कौन हेल्पडेस्क" मानसिकता को यहाँ सहन नहीं करेगा।

क्या ऐसी स्थिति से निपटने के लिए Microsoft से चेकलिस्ट / यूटिलिटीज / प्रक्रियाएं उपलब्ध हैं? क्या आप स्वयं इस स्थिति में हैं और आपने इसके साथ कैसे व्यवहार किया?

group-policy  windows-firewall 
सफाई कर्मी
स्रोत
3
डिफ़ॉल्ट रूप से विंडोज़ सर्वर फ़ायरवॉल को निष्क्रिय कर देता है। (मुझे लगता है कि यह हमेशा एक अच्छा कॉर्पोरेट फ़ायरवॉल के पीछे होगा)। डोमेन वर्कस्टेशन आमतौर पर उन्हें अक्षम कर दिया गया है क्योंकि विंडोज़ फ़ायरवॉल एक PITA है जिसके साथ काम करना और बनाए रखना है। हर एप्लिकेशन को कुछ विशेष पोर्ट की आवश्यकता होती है, डीसी पोर्ट्स के एक समूह पर डेटा उल्टी करता है, आदि आदि वहां बहुत अधिक सामान चल रहा है, जिससे विंडोज़ फ़ायरवॉल को सक्षम करने में आमतौर पर बहुत समय लगता है "फिक्सिंग" यह सामान्य एप्लिकेशन काम करता है। फिर जैसे ही आप दूर जाते हैं, आपको वापस आना होगा और इसे फिर से ठीक करना होगा।
स्नेकडोक
10
@SnakeDoc windows server by default disables the firewall यह सच नहीं हैdomain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain यह भी सच नहीं है- क्या आपने पिछले 6 वर्षों में इसे प्रबंधित करने के लिए उपलब्ध जीपीओ को देखा है? यह अब 2003 नहीं है the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work जब आप AD DS स्थापित करते हैं, तो उन सभी के लिए आवश्यक अपवाद DC पर पूर्व-कॉन्फ़िगर किए गए हैं
MDMarra
12
मुझे अभी पता नहीं है कि यह टिप्पणी अभी कैसे +3 है जब इसमें बनाया गया प्रत्येक बिंदु तथ्यात्मक रूप से गलत है। यह अभी / आर / sysadmin की तरह लग रहा है।
एमडीएमरा
3
@MDMarra: मैं बिल्कुल वही बात फिर से सोच रहा था: "+3" उस टिप्पणी पर। काश मैं उस टिप्पणी को दरकिनार कर सकता। (मुझे ऐसा नहीं लगता कि झंडा फहराना सही काम है लेकिन मैं वास्तव में ललचा गया हूं ...)
इवान एंडरसन

जवाबों:

19

What can be done to properly re-enable the Windows firewall on a domain?

ठीक है, संक्षिप्त उत्तर यह है कि यदि आप आगे बढ़ने का निर्णय लेते हैं और रिकॉर्ड के लिए, तो मुझे यकीन नहीं है कि यह बहुत काम आने वाला है।

सामान्य स्थिति में, क्लाइंट फ़ायरवॉल एक कॉर्पोरेट नेटवर्क (जो आमतौर पर हार्डवेयर फ़ायरवॉल होता है और किनारे पर इस प्रकार की चीज़ों को नियंत्रित करता है) में अधिक सुरक्षा प्रदान नहीं करता है, और इन दिनों मैलवेयर लेखक अपने ट्रैफ़िक के लिए पोर्ट 80 का उपयोग करने के लिए पर्याप्त स्मार्ट होते हैं, क्योंकि वस्तुतः कोई भी उस पोर्ट को ब्लॉक नहीं करता है, इसलिए आपको सीमित सुरक्षा लाभ प्रदान करने के लिए बहुत कुछ करने का प्रयास करना पड़ता है।

कहा जा रहा है कि, लंबा जवाब है:

  1. इन्वेंटरी एप्लिकेशन और उनकी कनेक्टिविटी के रूप में सबसे अच्छा आप कर सकते हैं की जरूरत है।
    • यदि आप सुरक्षित रूप से विंडोज फ़ायरवॉल को एक allow allनियम और सेट लॉगिंग के साथ सक्षम कर सकते हैं , तो यह निर्धारित करने के लिए डेटा का एक खजाना होगा कि आपके पास कौन से ऐप हैं, जिन्हें फ़ायरवॉल एक्सेलशन की आवश्यकता है।
    • यदि आप लॉगिंग डेटा को गैर-आंतरिक रूप से एकत्रित नहीं कर सकते हैं, तो आपको एक सरल सूची के साथ करना होगा, या अपने लॉगिंग उन उपयोगकर्ताओं पर करना होगा जो व्यवधान और दखल देने वाली आईटी गतिविधि (जैसे अपने और अन्य टेक, उदाहरण के लिए) को संभाल सकते हैं।
  2. अपनी समस्या निवारण आवश्यकताओं के बारे में सोचें।
    • ऐसी चीजें हैं जो शायद एक सॉफ्टवेयर ऑडिट में नहीं आएंगी जिनके बारे में आपको सोचने की जरूरत है। उदाहरण के लिए:
      • आप समस्या निवारण और IP पता प्रबंधन को भयानक नहीं बनाने के लिए ICMP (या स्वीकृत पते के स्थानों से ICMP) की अनुमति देना चाह सकते हैं।
      • इसी तरह, आपके द्वारा उपयोग किए जाने वाले किसी भी दूरस्थ प्रबंधन एप्लिकेशन के लिए बहिष्करण।
      • आप शायद पॉलिसी द्वारा फ़ायरवॉल लॉगिंग सेट करना चाहते हैं
  3. एक आधारभूत GPO बनाएँ और इसे एक परीक्षण समूह, या कई परीक्षण समूहों में तैनात करें।
    • हालांकि आप ऐसा नहीं कर सकते हैं और हेल्पडेस्क को सभी के लिए छाँटने देते हैं, प्रबंधन हाथ से चुने गए कर्मचारियों के एक समूह के साथ परिवर्तनों को पायलट करने के लिए बहुत अधिक खुला है, खासकर अगर उन्हें लगता है कि एक वैध सुरक्षा चिंता है। ।
    • अपने परीक्षण समूह को ध्यान से चुनें। यह समझदारी हो सकती है कि पहले आईटी लोक का उपयोग करें, फिर अन्य विभागों के लोगों को शामिल करने के लिए समूह को चौड़ा करें।
    • जाहिर है, अपने परीक्षण समूह की निगरानी करें और उन मुद्दों को जल्दी से हल करने के लिए निरंतर संचार में रहें, जिन्हें आपने पहली बार नहीं पकड़ा था।
  4. धीरे-धीरे और चरणों में परिवर्तन करें।
    • एक बार जब आप इसे अपनी संतुष्टि के लिए परीक्षण कर लेते हैं, तो आपको अभी भी सावधानी बरतनी चाहिए, और न केवल इसे एक बार में पूरे डोमेन पर धकेल दें। इसे छोटे समूहों में रोल करें, जिसे आपको अपने संगठन की संरचना और जरूरतों के अनुसार परिभाषित करना होगा।
  5. सुनिश्चित करें कि आपके पास भविष्य में होने वाले परिवर्तनों को संभालने के लिए कुछ है।
    • बस अपने परिवेश में आपके पास जो काम है, उसे करना पर्याप्त नहीं है, क्योंकि आप अपने डोमेन पर नए अनुप्रयोगों के साथ समाप्त हो जाएंगे, और आपको यह सुनिश्चित करना होगा कि फायरवॉल नीति को उन्हें समायोजित करने के लिए अपडेट किया गया है, या आपके ऊपर का कोई व्यक्ति तय करेगा कि फ़ायरवॉल अधिक परेशान करने लायक है और इसमें आपके द्वारा अब तक डाली गई नीति को समाप्त करना, समाप्त करना और कार्य करना होगा।
HopelessN00b
स्रोत
12

संपादित करें: मैं केवल यह बताना चाहूंगा कि विंडोज फ़ायरवॉल के साथ कुछ भी गलत नहीं है। यह समग्र रक्षा-में-गहराई की रणनीति का पूरी तरह स्वीकार्य हिस्सा है। इस तथ्य का तथ्य यह है कि अधिकांश दुकानें बहुत अक्षम या बहुत आलसी हैं जो यह जानने के लिए परेशान हैं कि उनके द्वारा चलाए जाने वाले अनुप्रयोगों के लिए फ़ायरवॉल नियमों की क्या आवश्यकता है, और इसलिए वे इसे सर्वव्यापी रूप से लागू करते हैं।

उदाहरण के लिए, विंडोज फ़ायरवॉल, आपके डोमेन नियंत्रकों को अपना काम करने से रोकता है, यह इसलिए है क्योंकि आपको पता नहीं था कि फ़ायरवॉल चालू करने से पहले आपको सक्रिय निर्देशिका में किन पोर्ट्स की आवश्यकता है, या क्योंकि आपने नीति को गलत तरीके से कॉन्फ़िगर किया था।

इस मामले की निचली रेखा है।

सबसे पहले, अपने प्रोजेक्ट मैनेजर्स, अपने बॉस, अपने स्टेक होल्डर्स, अपने चेंज एडवाइज़री कैबिनेट, जो भी प्रक्रिया आपकी कंपनी में है, और उन सभी को सूचित करें कि समग्र रूप से बढ़ाने के लिए आप विंडोज फ़ायरवॉल को शामिल करते हुए एक क्रमिक विमुद्रीकरण से गुजरेंगे। आपके वातावरण की सुरक्षा मुद्रा।

सुनिश्चित करें कि वे समझते हैं कि जोखिम हैं। हां, निश्चित रूप से हम वह सब कुछ करेंगे जो हम कर सकते हैं, सभी योजना जो हम कर सकते हैं, यह सुनिश्चित करने के लिए कि कोई रुकावट नहीं होगी, लेकिन कोई वादा नहीं करते हैं। पुराने डोमेन को आकार में बदलने की कोशिश करना कठिन काम है।

अगला, आपको उन अनुप्रयोगों को सूचीबद्ध करना होगा जो आपके वातावरण में उपयोग में हैं और उन्हें किन बंदरगाहों की आवश्यकता है। पर्यावरण के आधार पर, यह बहुत मुश्किल हो सकता है। लेकिन इसे किया ही जाना है। निगरानी करने वाले एजेंट? SCCM एजेंट? एंटीवायरस एजेंट? सूची चलती जाती है।

एक Windows फ़ायरवॉल GPO विकसित करें जिसमें आपके एंटरप्राइज़ अनुप्रयोगों के लिए कस्टम नियम शामिल हों। आपको अलग-अलग सर्वर पर लागू होने वाली अलग-अलग स्कोप वाली कई नीतियों की आवश्यकता हो सकती है। उदाहरण के लिए, एक अलग नीति जो पोर्ट 80, 443, आदि के लिए केवल वेब सर्वर पर लागू होती है।

अंतर्निहित Windows फ़ायरवॉल नीतियां आपके लिए बहुत उपयोगी होंगी, क्योंकि वे अधिकांश सामान्य Windows गतिविधियों को समायोजित करने के लिए पूरी तरह से स्कैन की जाती हैं। ये बिल्ट इन रूल्स बेहतर होते हैं क्योंकि ये पूरे सिस्टम के लिए एक पोर्ट नहीं खोलते या बंद नहीं करते हैं - वे मशीन पर होने वाली बहुत ही विशिष्ट प्रक्रिया और प्रोटोकॉल गतिविधि के लिए स्कूप किए जाते हैं, लेकिन वे आपके कस्टम एप्लिकेशन को कवर नहीं करते हैं। , इसलिए उन नियमों को सहायक एसीई के रूप में नीतियों में जोड़ें।

यदि संभव हो तो पहले एक परीक्षण वातावरण में रोल आउट करें, और उत्पादन के लिए रोल आउट करते समय, पहले सीमित चंक्स में ऐसा करें। बस अपने पहले जाने पर पूरे डोमेन पर GPO न रखें।

वह आखिरी बयान शायद सलाह का सबसे अच्छा टुकड़ा है जो मैं आपको दे सकता हूं - अपने परिवर्तनों को बहुत छोटे, नियंत्रित स्कोप में रोल आउट करें।

रयान रीस
स्रोत
1
इस उत्तर से संबंधित अगली टिप्पणी बॉक्स में 24 घंटे नहीं मिलती है। > = [
क्रिस एस
6
@ क्रिस, तो, आप इस सप्ताह के अंत तक क्या कर रहे हैं?
एमडीएमरा
4

ठीक है, मैं कुछ ऐसा सुझाव देने वाला हूं, जो आपको परेशानी में डाल सकता है या नहीं, लेकिन जब मैं फ़ायरवॉल चालू कर रहा हूं तो इसका उपयोग करता हूं।

Nmap। (कोई भी पोर्ट स्कैनर करेगा।) मुझे डर है कि मुझे इस बात पर भरोसा नहीं है कि पोर्ट किस उपयोग में हैं। मैं अपने लिए देखना चाहता हूं।

पृष्ठभूमि: मैं एक शैक्षणिक वातावरण से हूं, जहां छात्र लैपटॉप हमारे सर्वर (ऊग!) के साथ कोहनी रगड़ते हैं। जब मैंने अपने स्वयं के सर्वर पर नैम्प का उपयोग करना शुरू किया, तो हमारे पास कोई आईडी नहीं था, इसलिए, मैं इच्छा-सूची में नैम्प कर सकता था और कोई भी नोटिस नहीं करेगा। फिर उन्होंने आईडीएस को लागू किया और मुझे ईमेल मिले, जो मूल रूप से कहा गया था, "नेटवर्क पोर्ट स्कैन आपके काम से अलग है! !!!!!" और मैं जवाब देता हूं और कहता हूं, "हां, मैं हूं।" हे। थोड़ी देर के बाद उन्होंने इसके बारे में हास्य की भावना विकसित की। ;)

मैंने वर्कस्टेशंस पर नैम्प का भी उपयोग किया, उदाहरण के लिए, कंफ़र्ट देखने के लिए । Nmap संभवतः AV प्रबंधन पोर्ट, किसी भी अन्य प्रबंधन सॉफ़्टवेयर पोर्ट, आदि को चालू करेगा (यदि आप उनके प्रबंधन सॉफ़्टवेयर को देखते हैं तो डेस्कटॉप बहुत ही क्रैबी हो जाएगा।) यह आपके पर्यावरण पर निर्भर करते हुए अनधिकृत सॉफ़्टवेयर को भी बंद कर सकता है।

वैसे भी। कुछ वातावरण नैम्प के बारे में बताएंगे और कुछ भी ध्यान नहीं देंगे। मैं आम तौर पर केवल एक विशिष्ट उद्देश्य के लिए अपने स्वयं के सर्वर, या कार्यस्थानों का उपयोग करता हूं, जो मदद करता है। लेकिन हां, आप शायद यह साफ कर देना चाहते हैं कि आप किसी ऐसे व्यक्ति के साथ पोर्ट स्कैन करवाने जा रहे हैं, जो आपके बारे में सोच सकता है।

फिर, तुम्हें पता है। रायन रीस ने क्या कहा। प्रबंधन / परिवर्तन प्रबंधन / समूह नीति / आदि।

कैथरीन विलिअर्ड
स्रोत
किसी भी अच्छे नेटवर्क को नेटवर्क पोर्ट स्कैन में फ्रीक करना चाहिए। खासकर अगर वे आंतरिक हैं।
स्नेकडोक
खैर, निश्चित रूप से, यह अशुभ लग रहा है, यही कारण है कि मैंने खुलासा किया। उस ने कहा, आपको आश्चर्य होगा कि आपको किसने ऐसा करने दिया / नोटिस नहीं किया।
कैथरीन विलियार्ड
योग्य, जिसके कारण मैंने "अच्छा" कहा। यद्यपि "अच्छा" का अलग अर्थ है कि आप नेटवर्क के किस पक्ष पर निर्भर हैं ... hehe
SnakeDoc
3
यदि देखभाल के साथ किया जाता है, तो यह ध्वनि सलाह है, अगर फ़ायरवॉल की तैनाती के लिए योजना नहीं होनी चाहिए। nmapलक्षित और गला घोंटा जा सकता है। यदि आप नेटवर्क संचालन के लिए पहले से ज़िम्मेदार हैं या अन्यथा शामिल हैं, तो आप बस उन सभी हितधारकों से संवाद करते हैं, जिन्हें आप नेटवर्क का सर्वेक्षण कर रहे हैं, और किसी को "फ्रीक आउट" करने की आवश्यकता नहीं है।
मथियास आर। जेसेन
3
(घन दीवारों पर चिल्लाते हुए) "अरे, टिम?" "हाँ?" "मैं आईडीएस को फिर से परेशान करने वाला हूं।" "(हंसते हुए) ठीक है।"
कैथरीन विलियार्ड
3

मुझे विश्वास नहीं है कि इस पर Microsoft की कोई उपयोगिता उपलब्ध है, लेकिन अगर मुझे हमारे डोमेन पर Windows फ़ायरवॉल का उपयोग करना था (यह सक्षम है जहाँ मैं काम करता हूँ) मैं निम्नलिखित सुनिश्चित करूँगा:

  1. सभी दूरस्थ प्रशासन उपकरण (WMI, आदि) के लिए अपवाद मौजूद हैं
  2. प्रशासनिक ट्रैफ़िक (जैसे SCCM / SCOM, यदि आपके पास है) को ट्रैफ़िक की अनुमति देने के लिए डोमेन वर्कस्टेशन पर IP रेंज अपवाद बनाएं।
  3. अंतिम उपयोगकर्ताओं को केवल सॉफ्टवेयर में कुछ चीजें छूटने पर (और आप करेंगे) डोमेन प्रोफ़ाइल में अपवाद जोड़ने की अनुमति दें ।

सर्वर एक अलग जानवर के एक बिट हैं। मेरे पास वर्तमान में हमारे सर्वर के लिए फ़ायरवॉल अक्षम है क्योंकि इसे सक्षम करने से कई अपवादों के साथ भी कई समस्याएं पैदा हो गई हैं। आपको मूल रूप से सभी सर्वरों के लिए एक कंबल "कंकाल" नीति को लागू करना होगा (उदाहरण के लिए असुरक्षित बंदरगाहों को बंद करना), फिर प्रत्येक सर्वर पर जाकर व्यक्तिगत रूप से सेटिंग्स को अनुकूलित करना। इस वजह से, मैं यह देख सकता हूं कि बहुत सारे आईटी लोक सिर्फ फ़ायरवॉल को अक्षम कर सकते हैं। आपकी परिधि के फ़ायरवॉल को इन मशीनों को अपने फ़ायरवॉल के बिना पर्याप्त सुरक्षा प्रदान करनी चाहिए। हालांकि, कभी-कभी यह उच्च-सुरक्षा वातावरण के लिए सर्वर को व्यक्तिगत रूप से कॉन्फ़िगर करने के प्रयास के लायक है।

एक साइड नोट के रूप में, विंडोज फ़ायरवॉल IPsec के उपयोग को नियंत्रित करता है, इसलिए यदि इसका उपयोग किया जाता है तो आपको फ़ायरवॉल की आवश्यकता होती है।

नाथन सी
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.