¿Qué se puede hacer para volver a habilitar correctamente el Firewall de Windows en un dominio?

15

INVESTIGACIÓN DE FONDO

Sinceramente, creo que preguntas como esta: Uso de GPO en el dominio de Active Directory para forzar la desactivación de las estaciones de trabajo Windows Firewall: ¿cómo? existía porque a los administradores de Windows en general se les enseñó hace mucho tiempo que:

"Lo más fácil cuando se trata con una computadora de dominio es tener un GPO en el dominio para deshabilitar el Firewall de Windows ... al final le causará mucho menos dolor". - instructores / mentores de TI al azar de años pasados

También puedo decir que en la MAYORÍA de las empresas he realizado trabajos paralelos para este caso, donde un GPO como mínimo deshabilitó el Firewall de Windows para el perfil de dominio y, en el PEOR, lo deshabilitó también para el perfil público.

Aún más, algunos lo deshabilitarán para los propios servidores: deshabilite el firewall para todos los perfiles de red en Windows Server 2008 R2 a través de GPO

Un artículo de Microsoft Technet en WINDOWS FIREWALL recomienda que NO desactive el Firewall de Windows:

Debido a que el Firewall de Windows con seguridad avanzada desempeña un papel importante para ayudar a proteger su computadora de las amenazas de seguridad, le recomendamos que no la desactive a menos que instale otro firewall de un proveedor confiable que brinde un nivel de protección equivalente.

Esta pregunta de ServerFault hace la pregunta real: ¿Está bien desactivar el firewall en una LAN utilizando la Política de grupo? - Y los expertos aquí incluso están mezclados en su opinión.

Y entiendo que no me refiero a deshabilitar / habilitar el SERVICIO: ¿Cómo puedo hacer una copia de seguridad de mi recomendación para NO deshabilitar el servicio Firewall de Windows? - para que quede claro que se trata de si el servicio de firewall habilita o no el firewall o lo deshabilita.


LA PREGUNTA EN MANO

Así que vuelvo al Título de esta pregunta ... ¿qué se puede hacer para volver a habilitar correctamente el firewall de Windows en un dominio? Específicamente para estaciones de trabajo cliente y su perfil de dominio.

Antes de simplemente cambiar el GPO de Deshabilitado a Habilitado, ¿qué pasos de planificación se deben tomar para garantizar que al cambiar el interruptor no se produzcan fallas repentinas en las aplicaciones críticas del cliente / servidor, el tráfico permitido, etc.? La mayoría de los lugares no tolerarán la mentalidad de "cambiarlo y ver quién llama al servicio de asistencia" aquí.

¿Hay listas de verificación / utilidades / procedimientos disponibles de Microsoft para manejar tal situación? ¿Has estado tú mismo en esta situación y cómo la enfrentaste?

El limpiador
fuente
3
Windows Server por defecto deshabilita el firewall. (supongo que siempre estará detrás de un buen firewall corporativo). Las estaciones de trabajo de dominio generalmente las tienen deshabilitadas porque el firewall de Windows es un PITA para trabajar y mantener. Cada aplicación necesita algunos puertos especiales, el DC vomita datos en varios puertos, etc. Hay tantas cosas que suceden que habilitar el firewall de Windows generalmente lleva mucho tiempo "reparándolo" para que las aplicaciones normales funcionen. Luego, tan pronto como te vayas, tendrás que volver y arreglarlo nuevamente.
SnakeDoc
10
@SnakeDoc windows server by default disables the firewall Esto no es cierto . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain Además, no es cierto: ¿ha mirado los GPO disponibles para administrarlo en los últimos 6 años? Ya no es 2003 the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work Cuando instala AD DS, las excepciones necesarias para todo eso están preconfiguradas en los DC
MDMarra
12
Literalmente no tengo idea de cómo ese comentario es +3 en este momento cuando cada punto que se hace es incorrecto. Esto se siente como / r / sysadmin en este momento.
MDMarra
3
@MDMarra: Estaba pensando exactamente lo mismo en relación con el "+3" en ese comentario. Desearía poder rechazar ese comentario. (No siento que marcar sea lo correcto, pero estoy realmente tentado ...)
Evan Anderson

Respuestas:

19

What can be done to properly re-enable the Windows firewall on a domain?

Bueno, la respuesta corta es que va a ser mucho trabajo si decides seguir adelante, y para el registro, no estoy seguro de que lo haga.

En el caso general, los firewalls de los clientes no brindan mucha seguridad en una red corporativa (que generalmente tiene firewalls de hardware y controla este tipo de cosas en el borde), y los autores de malware en estos días son lo suficientemente inteligentes como para usar el puerto 80 para su tráfico, porque prácticamente nadie bloquea ese puerto, por lo que tiene mucho esfuerzo poner algo en su lugar para proporcionar un beneficio de seguridad limitado.

Dicho esto, la respuesta larga es:

  1. Haga un inventario de las aplicaciones y sus necesidades de conectividad lo mejor que pueda.
    • Si puede habilitar de manera segura el Firewall de Windows con una allow allregla y establecer el registro, este será un tesoro de datos para determinar qué aplicaciones tiene que necesitan la eliminación del firewall.
    • Si no puede recopilar datos de registro de manera no intrusiva, tendrá que conformarse con un inventario simple o iniciar sesión en los usuarios que pueden manejar la interrupción y la actividad intrusiva de TI (como usted y otros técnicos, por ejemplo).
  2. Piensa en tus necesidades de solución de problemas.
    • Hay cosas que probablemente no aparecerán en una auditoría de software en las que deba pensar. Por ejemplo:
      • Es posible que desee permitir que ICMP (o ICMP de espacios de direcciones aprobados) haga que la solución de problemas y la administración de direcciones IP no sean horribles.
      • Del mismo modo, exclusiones para cualquier aplicación de administración remota que usen.
      • También es probable que desee establecer el registro de firewall por política
  3. Cree un GPO de línea de base e impleméntelo en un grupo de prueba o en varios grupos de prueba.
    • Si bien no puede hacerlo y dejar que el servicio de asistencia lo resuelva para todos, la gerencia estará mucho más abierta a poner a prueba los cambios con un grupo selecto de empleados cuidadosamente seleccionados, especialmente si creen que hay una preocupación de seguridad válida .
    • Elija su grupo de prueba con cuidado. Puede ser aconsejable utilizar primero a las personas de TI, luego ampliar el grupo para incluir a personas de otros departamentos.
    • Obviamente, monitoree su grupo de prueba y manténgase en comunicación constante con ellos para resolver rápidamente los problemas que no captó la primera vez.
  4. Despliegue el cambio lentamente y por etapas.
    • Una vez que lo haya probado satisfactoriamente, debe tener precaución, y no solo llevarlo a todo el dominio a la vez. Extiéndalo a grupos más pequeños, que tendrá que definir de acuerdo con la estructura y las necesidades de su organización.
  5. Asegúrese de tener algo en su lugar para manejar los cambios futuros.
    • Hacer que funcione para lo que tiene en su entorno ahora no será suficiente, porque terminará con nuevas aplicaciones en su dominio, y tendrá que asegurarse de que la política de firewall esté actualizada para acomodarlos, o alguien por encima de usted decidirá que el firewall es más problemático de lo que vale y tendrá la política eliminada, eliminando y el trabajo que ha realizado hasta ahora.
HopelessN00b
fuente
12

Editar: Me gustaría decir que no hay nada intrínsecamente malo con el Firewall de Windows. Es una parte perfectamente aceptable de una estrategia general de defensa en profundidad. El hecho es que la mayoría de las tiendas son demasiado incompetentes o perezosas para molestarse en averiguar qué reglas de firewall son necesarias para las aplicaciones que ejecutan, por lo que simplemente lo fuerzan de manera ubicua.

Si el Firewall de Windows, por ejemplo, impide que sus controladores de dominio hagan su trabajo, es porque no sabía qué puertos necesitaba Active Directory antes de activar el firewall, o porque configuró la política incorrectamente.

Esa es la conclusión del asunto.


Primero, comuníquese con sus gerentes de proyecto, sus jefes, sus partes interesadas, su gabinete de asesoría de cambios, cualquiera que sea el proceso en su empresa, e infórmeles a todos que se someterá a una solución gradual que involucra el Firewall de Windows para aumentar el total postura de seguridad de su entorno.

Asegúrese de que entiendan que hay riesgos. Sí, por supuesto, haremos todo lo que podamos, toda la planificación que podamos, para garantizar que no haya interrupciones, pero no hagamos ninguna promesa. Intentar poner en forma un antiguo dominio es un trabajo duro.

A continuación, debe realizar un inventario de las aplicaciones que están en uso en su entorno y qué puertos requieren. Dependiendo del entorno, esto puede ser muy difícil. Pero tiene que hacerse. Agentes de vigilancia? Agentes de SCCM? Agentes antivirus La lista continua.

Desarrolle un GPO de Firewall de Windows que incluya reglas personalizadas para sus aplicaciones empresariales. Es posible que necesite varias políticas con diferentes ámbitos que se apliquen a diferentes servidores. Por ejemplo, una política separada que se aplica solo a los servidores web para los puertos 80, 443, etc.

Las políticas integradas de Firewall de Windows serán muy útiles para usted, ya que tienen un alcance perfecto para acomodar las actividades más comunes de Windows. Estas reglas integradas son mejores porque no solo abren o cierran un puerto a todo el sistema, sino que abarcan un proceso muy específico y una actividad de protocolo que tiene lugar en la máquina, etc. Pero no cubren sus aplicaciones personalizadas , agregue esas reglas a las políticas como ACE auxiliares.

Primero, despliegue en un entorno de prueba, si es posible, y cuando vaya a la producción, hágalo primero en fragmentos limitados. No solo deje el GPO en todo el dominio en su primer intento.

Esa última declaración es probablemente el mejor consejo que puedo darle: despliegue sus cambios en ámbitos muy pequeños y controlados.

Ryan Ries
fuente
1
El siguiente comentario no relacionado con esta respuesta tiene 24 horas en el cuadro. > = [
Chris S
66
@ Chris Entonces, ¿qué estás haciendo este fin de semana?
MDMarra
4

De acuerdo, estoy a punto de sugerir algo que puede meterte o no en problemas, pero es lo que uso cuando enciendo el firewall.

Nmap. (Cualquier escáner de puertos funcionaría). Me temo que no confío en la documentación de qué puertos están en uso. Quiero ver por mi mismo.

Antecedentes: Soy de un entorno académico donde las computadoras portátiles de los estudiantes se codearon con nuestros servidores (¡Uf!). Cuando comencé a usar nmap en mis propios servidores, tampoco teníamos IDS, por lo que pude nmap a voluntad y nadie se dio cuenta. Luego implementaron IDS y me enviaron correos electrónicos que básicamente decían: "¡ATAQUE DE ESCANEO DE PUERTO DE RED EN SU SERVIDOR DESDE SU ESTACIÓN DE TRABAJO!" y respondía y decía: "Sí, ese soy yo". Je Después de un tiempo desarrollaron un sentido del humor al respecto. ;)

También usé nmap en estaciones de trabajo, por ejemplo, para buscar conficker . Es probable que Nmap active los puertos de administración de AV, cualquier otro puerto de software de administración, etc. (El escritorio será muy malhumorado si interrumpe su software de administración). También puede activar software no autorizado, dependiendo de su entorno.

De todas formas. Algunos entornos se asustarán con nmap y algunos ni siquiera lo notarán. Por lo general, solo asigno mis propios servidores o estaciones de trabajo para un propósito específico, lo que ayuda. Pero sí, es probable que desee aclarar que va a ejecutar un escaneo de puertos con cualquier persona que pueda asustarse.

Entonces sabes. Lo que dijo Ryan Ries. Gestión / gestión del cambio / política de grupo / etc.

Katherine Villyard
fuente
Cualquier buena red debería asustarse con los escaneos de puertos de red. Especialmente si son internos.
SnakeDoc
Bueno, claro, parece ominoso, por eso lo rechacé. Dicho esto, te sorprendería saber quién te dejaría hacerlo / no se daría cuenta.
Katherine Villyard
jajaja, por eso dije "bien". Aunque "bueno" tiene un significado diferente según el lado de la red en el que se encuentre ... jeje
SnakeDoc
3
Si se hace con cuidado, este es un buen consejo, si no es imprescindible en la planificación de las implementaciones de firewall. nmappuede ser dirigido y estrangulado. Si ya es responsable o está involucrado de alguna otra manera en las operaciones de la red, simplemente comunique a todos los interesados ​​que está inspeccionando la red, y nadie necesita "asustarse".
Mathias R. Jessen
3
(gritando sobre las paredes del cubo) "¿Hola, Tim?" "¿Si?" "Estoy a punto de alterar el IDS nuevamente". "(Risas) Está bien".
Katherine Villyard
3

No creo que haya ninguna utilidad disponible de Microsoft en esto, pero si tuviera que usar Windows Firewall en nuestro dominio (está habilitado donde trabajo) me aseguraría de lo siguiente:

  1. Existen excepciones para todas las herramientas de administración remota (WMI, etc., etc.)
  2. Cree excepciones de rango de IP en estaciones de trabajo de dominio para permitir que los servidores administrativos (como SCCM / SCOM, si los tiene) permitan todo el tráfico.
  3. Permita que los usuarios finales agreguen excepciones al perfil de dominio solo para el software en caso de que omita algunas cosas (y lo hará).

Los servidores son una bestia un poco diferente. Actualmente tengo el firewall deshabilitado para nuestros servidores porque habilitarlo causó muchos problemas incluso con excepciones. Básicamente, debe aplicar una política general de "esqueleto" para todos los servidores (no permitir puertos no seguros, por ejemplo) y luego ir a cada servidor y personalizar individualmente la configuración. Debido a esto, puedo ver la razón por la que mucha gente de TI simplemente deshabilita el firewall. Su firewall perimetral debe proteger estas máquinas lo suficiente sin sus propios firewalls. Sin embargo, a veces vale la pena el esfuerzo de configurar servidores individualmente para entornos de alta seguridad.

Como nota al margen, el Firewall de Windows también gobierna el uso de IPsec, por lo que si se usa, necesita el firewall de todos modos.

Nathan C
fuente