如何在域上正确重新启用Windows防火墙？

背景研究

老实说，我相信这样的问题：在Active Directory域中使用GPO强制工作站禁用Windows防火墙-如何？之所以存在，是因为Windows管理员通常早就被教导：

“与域计算机打交道时，最简单的事情就是在域上仅具有一个GPO来禁用Windows防火墙……最终，这将使您的心痛减轻很多。” -过去几年中的随机IT讲师/导师

我也可以说，在MOST公司，我已经做了这种辅助工作，其中GPO至少禁用了域配置文件的Windows防火墙，而WORST也禁用了公共配置文件的Windows防火墙。

更进一步，有些服务器将禁用它本身：通过GPO禁用Windows Server 2008 R2上所有网络配置文件的防火墙

WINDOWS防火墙上的Microsoft Technet文章建议您不要禁用Windows防火墙：

因为具有高级安全性的Windows防火墙在帮助保护您的计算机免受安全威胁方面起着重要的作用，所以我们建议您不要禁用它，除非您从信誉良好的供应商处安装另一个提供等效保护级别的防火墙。

这个ServerFault问题提出了一个真正的问题：是否可以使用组策略关闭LAN中的防火墙？-甚至这里的专家也有不同的看法。

并且了解我不是在指禁用/启用服务：如何备份不禁用Windows防火墙服务的建议？-为了清楚起见，这与防火墙服务是启用还是禁用防火墙有关。

手头的问题

因此，我回到这个问题的标题... 该如何做才能在域上正确重新启用Windows防火墙？ 专门用于客户端工作站及其域配置文件。

在简单地将GPO从“禁用”切换为“启用”之前，应采取哪些计划步骤来确保翻转开关不会导致关键的客户端/服务器应用程序，允许的流量等突然失效？ 大多数地方在这里不会容忍“更改它，看看谁叫帮助台”的心态。

Microsoft是否可以使用清单/实用程序/程序来处理这种情况？您自己曾经遇到过这种情况吗？如何处理？

What can be done to properly re-enable the Windows firewall on a domain?

好吧，简短的答案是，如果您决定勇往直前，这将需要大量的工作，而就记录而言，我不确定是否会。

在一般情况下，客户端防火墙无法在公司网络（通常具有硬件防火墙并在边缘控制此类事件）中提供太多安全性，如今，恶意软件作者足够聪明，可以使用端口80进行通信，因为实际上没有人阻塞该端口，所以您需要付出很多努力才能提供有限的安全性。

话虽如此，长答案是：

1. 清单应用程序及其连接性需要尽最大可能。
   • 如果您可以使用allow all规则安全地启用Windows防火墙并设置日志记录，这将是用于确定您需要哪些应用程序进行防火墙保护的数据宝库。
   • 如果您不能非侵入式地收集日志记录数据，则必须使用简单的清单进行记录，或者登录可以处理中断和侵入性IT活动的用户（例如，您本人和其他技术人员）。
2. 考虑您的故障排除需求。
   • 您可能需要考虑的事情可能不会在软件审核中出现。例如：
     • 您可能希望允许ICMP（或批准的地址空间中的ICMP）使故障排除和IP地址管理变得不那么糟糕。
     • 同样，排除您使用的任何远程管理应用程序。
     • 您可能还想按策略设置防火墙日志记录
3. 创建基准GPO并将其部署到一个或多个测试组。
   • 虽然您不仅可以做到这一点，而且可以让服务台为所有人进行分类，但是管理层将更加愿意与一群精心挑选的员工一起试行变更，特别是如果他们认为存在有效的安全问题。
   • 仔细选择您的测试组。最好先使用IT人员，然后再扩大组群以包括其他部门的人员。
   • 显然，监视您的测试组并与他们保持经常性的交流，以快速解决您第一次没有遇到的问题。
4. 缓慢并分阶段推出更改。
   • 对它进行满意的测试后，您仍应谨慎行事，而不是立即将其推向整个领域。将其推广到较小的小组，您必须根据组织的结构和需求进行定义。
5. 确保您准备好一些东西来应对将来的更改。
   • 仅使它适合您现在环境中的功能还远远不够，因为您最终将在域中拥有新的应用程序，并且必须确保已更新防火墙策略以适应它们，或者您上方的某人会认为防火墙比其应有的麻烦还要多，并且将删除，消除策略以及到目前为止已投入的工作。

编辑：我只想声明Windows防火墙没有天生的错误。这是整体纵深防御策略的一个完全可以接受的部分。事实是，大多数商店太无能或太懒惰，以至于不愿意弄清楚它们所运行的应用程序需要什么防火墙规则，因此他们无处不在。

例如，如果Windows防火墙阻止域控制器执行其工作，那是因为在打开防火墙之前您不知道Active Directory需要哪些端口，或者是因为策略配置不正确。

那是事情的底线。

首先，与您的项目经理，老板，利益相关者，变更咨询内阁进行沟通，无论公司采取何种流程，并告知他们所有您将逐步接受Windows防火墙的修复，以提高整体水平。您环境的安全状态。

确保他们了解存在风险。是的，我们当然会竭尽所能，并会进行所有计划，以确保不会出现干扰，但不会做出任何承诺。试图鞭策旧领域是艰巨的工作。

接下来，您必须清点环境中正在使用的应用程序以及它们所需的端口。根据环境，这可能非常困难。但是必须这样做。监控代理？SCCM代理商？防病毒代理？清单继续。

开发Windows防火墙GPO，其中包括针对企业应用程序的自定义规则。您可能需要适用于不同服务器的具有不同范围的多个策略。例如，一个单独的策略仅适用于端口80、443等的Web服务器。

内置的Windows防火墙策略对您非常有帮助，因为它们的范围非常适合大多数常见的Windows活动。这些内置的规则会更好，因为它们不仅打开或关闭整个系统的端口-它们的范围仅限于计算机上发生的非常特定的过程和协议活动，等等。但是它们不涵盖您的自定义应用程序，因此将这些规则添加到策略中作为辅助ACE。

如果可能，请首先在测试环境中进行部署，然后在进行生产时首先进行有限的测试。刚开始时，不要只是将GPO放在整个域上。

最后的陈述可能是我可以给您的最好的建议-在很小的可控范围内展开您的更改。

好的，我将提出一些可能会或可能不会给您带来麻烦的建议，但这就是我打开防火墙时使用的方法。

Nmap。（任何端口扫描程序都可以。）我担心我不信任正在使用哪些端口的文档。我想亲自看看。

背景： 我来自一个学术环境，学生用笔记本电脑用我们的服务器擦手肘（U！）。当我开始在自己的服务器上使用nmap时，我们也没有IDS，因此我可以随意进行nmap，而且没人会注意到。然后他们实施了IDS，然后我收到一封转发给我的电子邮件，其中的内容基本上是：“网络端口扫描会从您的工作站攻击您的服务器！！！！！” 我会回答说：“是的，就是我。” h 一段时间后，他们对此产生了幽默感。;）

例如，我还在工作站上使用了nmap 来查找conficker。Nmap可能会打开AV管理端口，任何其他管理软件端口等。（如果您破坏了它们的管理软件，则台式机将非常麻烦。）它还会根据您的环境打开未授权的软件。

无论如何。有些环境会吓坏nmap，有些甚至不会注意到。我通常仅将nmap自己的服务器或工作站用于特定目的，这很有帮助。但是，是的，您可能想清除一下，将与任何可能对您发狂的人进行端口扫描。

然后，你知道。瑞安·里斯（Ryan Ries）说的话。管理/变更管理/组策略/等

我不相信Microsoft可以提供任何实用程序，但是如果我要在我们的域上使用Windows防火墙（在我工作的地方启用它），我将确保以下各项：

1. 所有远程管理工具（WMI等）均存在例外
2. 在域工作站上创建IP范围例外，以允许管理服务器（如SCCM / SCOM，如果有的话）允许所有流量。
3. 允许最终用户仅将某些例外情况添加到软件的域配置文件中，以防万一您错过了某些事情（将来会）。

服务器有点不同。我目前为我们的服务器禁用了防火墙，因为启用防火墙会导致很多问题，即使有例外。基本上，您必须对所有服务器（例如，禁止不安全的端口）应用一揽子“骨架”策略，然后转到每个服务器并分别自定义设置。因此，我可以看到许多IT人员只是禁用防火墙的原因。您的外围防火墙应在没有自己的防火墙的情况下充分保护这些计算机。但是，有时值得为高安全性环境单独配置服务器。

附带说明一下，Windows防火墙还控制IPsec的使用，因此，如果使用了IPsec，则仍然需要防火墙。