使用组策略彻底closuresAD域中的Windows防火墙是一个好主意或惯例吗? 此时,即使是服务器的防火墙也是closures的。 唯一不受影响的设备是面向广域网的路由器/防火墙。
这是我们曾经参与的一个实践,在一个拥有多个国家多个办公室的VPN域名的AD域名中被认为是好的。
直到有人在一个偏远的岛屿办事处将客户的笔记本电脑插入networking。 在10分钟之内,每个办公室都感染了Conficker,我们不得不拉上所有的互联网连接,3名工程师花了一周的最佳时间清理我们所有系统中的蠕虫(当时PS A / V是赛门铁克,在此之后很长时间)。
现在蠕虫不太stream行,但是你真的需要在你的工作站上打开文件和打印机共享端口吗? 您将在各种服务器上使用它们,但这正是GPO的美妙之处。默认策略将其locking,为您需要的端口添加一个策略对象,并仅将其应用于真正需要的端口。
虽然很明显,公司的政策应该是没有外部笔记本电脑插入域(这是),事故发生时,人们带来病毒/蠕虫访问等更好的安全,非常非常抱歉!
我曾经通过GPO禁用防火墙,但不再这样做,因为涉及一个被入侵的机器插入到我的networking事件。 尽pipe防火墙有时候会成为一个麻烦,但正如Massimo所说,我认为最好是应用适当的规则,而不是完全禁用它。 现在有太多的威胁来自太多的来源,额外的保护是受欢迎的。
确保networking的坚实战略就是“纵深防御”。 这意味着build立多层防御体系来保护networking资产和信息。 在互联网的曙光,我们甚至没有防火墙。 今天,我们有一个外围防火墙,工作站防火墙,反恶意软件,反垃圾邮件,我们限制出站端口,并确保所有软件保持最新。
纵深防御允许任何一个组件的故障,同时仍然保持对环境的保护。
也就是说,当你有多个层次时,如果你需要作出一个战术决定,从一个麻烦的盒子中删除防火墙,或者禁用实时恶意软件扫描特定的机器,你仍然有其他层保护你。
这个问题没有明确的答案,因为它取决于你的情况,所以它可以是具体的业务。
一般来说 ,完全closures它是不好的做法。 您所拥有的更多层次的安全性不会影响您的用户生产力或pipe理系统的能力,效果会更好。 而且防火墙对用户来说几乎是不可见的,所以这是一件好事。
也就是说,我们在组织内部closures它。 关键是要有一种方法来减轻没有防火墙的威胁。 我们有数百个系统,但他们正在运行Deep Freeze; networking上的感染将通过一次性closures所有计算机来清除,因为Deep Freeze会将其重置为感染前状态,如果用户拥有configuration文件,则可以运行并清理服务器上的恶意软件/病毒检测他们出去。
但是,这可能会失败,作为答案中的一个例子指出。 AV和反恶意软件依赖签名是一个乐队援助解决scheme; 总是有一场军备竞赛,在感染之前,你有可能无法治愈。
也就是说,你问这个,所以你必须有一个理由。 更重要的是,你要具体说明你想通过组策略closures它。 所以…你是在问防火墙到位还是closures的方法? 如果你问如何closures它,是的,closures组策略。 如果你问closures防火墙是否好,你可以得到很多答案:-)
(要注意的是,当我们需要远程工作在人们的系统上时,我们把它closures了,因为这是一个痛苦的事情,而且Windows防火墙正在干扰某些应用程序,使用Deep Freeze可以减less大约85%的快速风险在我们的内部networking中移动感染,是的,由于缺乏防火墙,我们之前在networking内部进行了一次针对蠕虫的攻击,并且发现由于我们已经做好了准备,我们仍然可以pipe理好,保持系统补丁也有助于缓解风险。)