我从以前的同事那里收集到一些坏习惯,我想我应该改变其中的一些。 禁用Windows防火墙是标准做法,因为它造成的问题比过去解决的还要多。
我怎样才能慢慢改变这个,是值得的努力? 我想推出一个GPO,允许stream量,但logging什么应用程序连接到互联网。 因此,我可以根据需要有select地开始对GPO进行例外处理。
在XP(25%的个人电脑)和Windows 7(个人电脑的75%)环境中,这是可能的吗?
谢谢
根据您configuration的Active Directory的方式,可以将其应用于桌面的临时OU,将GPO应用到该OU,并将它们一次一个地移动到其中,直到完成所有操作。 那么当你快乐的时候,在AD中移动它就可以使它适用于新的机器。
我们也是这样做的,当它们全部启用时,生活会更好。 好的一点是,这样一个中央GP可以更容易地进行批量更改,但花一些时间,找出需要什么样的应用程序。 大多数用户不需要任何打开。 但有些服务(我们的防病毒软件,RDP和一些打印机共享启用的端口需要)。
我最近使用XP和7上的Windows防火墙实现了networking分段,以实现PCI-DSS。 这是绝对可能的(并build议)这样做。
只要你不限制工作站的出站stream量,通常没有问题。
我发现的唯一例外往往是一个例外 – 通过工作站共享打印机是一个很好的例子。 大多数其他的东西 – 远程RDP访问,入站WMI或防病毒等 – 都可以在事后发现,因为它只影响IS。
我过去所做的是在AD中创build一个组,并为其添加特定的testing计算机。 该组将根据策略委派设置应用防火墙策略。 这可以让你testing,而不会混淆你现有的AD结构。 它还允许您轻松更新范围系统中的所有策略 – psexec \\testsystem gpupdate /target:Computer对此psexec \\testsystem gpupdate /target:Computer 。
慢慢来,确保你不会造成不必要的干扰。 如果可能,我也强烈build议使用IPSec。 入站规则的身份validation非常有用,在XP上更是如此。