可以做些什么来正确地重新启用域上的Windows防火墙？

What can be done to properly re-enable the Windows firewall on a domain?

那么简单的答案是，如果你决定开拓进取，这将是一个很大的工作，而且logging下来，我不确定。

在一般情况下，客户端防火墙在企业networking（通常具有硬件防火墙并在边缘控制这种types的东西）中不提供太多的安全性，现在恶意软件作者足够聪明地使用端口80来进行通信，因为实际上没有人阻止这个端口，所以你会花费很多精力来提供有限的安全优势。

话虽如此，漫长的答案是：

1. 库存应用程序及其连接需求尽可能最好。
   • 如果您可以通过allow all规则并设置日志logging来安全启用Windows防火墙，那么这将成为确定需要防火墙排除的应用程序的宝贵数据。
   • 如果您不能非侵入性地收集日志logging数据，那么您只能使用简单的清单，或者logging可以处理干扰和干扰性IT活动的用户（例如像您和其他技术人员）。
2. 考虑您的故障排除需求。
   • 有些事情可能不会出现在您需要考虑的软件审计中。 例如：
     • 您可能希望允许ICMP（或从批准的地址空间的ICMP）使故障排除和IP地址pipe理不可怕。
     • 同样，您使用任何远程pipe理应用程序的排除。
     • 您也可能想要按策略设置防火墙日志logging
3. 创build基准GPO并将其部署到testing组或多个testing组。
   • 虽然你不能这样做，并让服务台为所有人分类，但是pipe理层将更愿意与一群精选的员工一起试点变革，特别是如果他们认为有一个有效的安全问题。
   • 仔细挑选你的testing组。 首先使用IT民间可能是明智的，然后将群体扩大到包括其他部门的人员。
   • 显然，监测你的testing小组，并保持与他们不断沟通，以迅速解决你第一次没有发现的问题。
4. 慢慢地，分阶段地推出变化。
   • 一旦你testing了你的满意度，你仍然应该谨慎行事，而不是一下子把它推到整个领域。 将其展开成较小的组，您必须根据组织的结构和需求来定义这些组。
5. 确保你有一些东西来处理未来的变化。
   • 仅仅为了现有的环境而工作是不够的，因为最终你的域名上会有新的应用程序，你必须确保防火墙策略得到更新以适应它们，或者你上面的某个人会决定防火墙比它的价值更麻烦，并且将会删除策略，消除和你迄今为止所做的工作。

编辑：我只想说，Windows防火墙没有什么本质上的错误。 这是一个完整的纵深防御策略的完美组成部分。 事实是，大多数商店太无能或太懒惰，无法弄清楚他们运行的应用程序需要哪些防火墙规则，所以他们只是无处不在。

例如，如果Windows防火墙阻止您的域控制器执行其工作，这是因为在打开防火墙之前您不知道Active Directory需要什么端口，或者因为您错误地configuration了策略。

这是事情的底线。

首先，与您的项目经理，您的老板，您的利益相关方，您的变更咨询内阁，无论您的公司的过程是什么，并告诉他们你将经历一个逐步补救涉及Windows防火墙，以增加整体你的环境的安全姿势。

确保他们明白有风险。 是的，我们当然会尽我们所能，尽我们所能的计划，确保不会中断，但不作任何承诺。 试图把一个旧的领域变成一个形状是很困难的。

接下来，您必须清点您的环境中正在使用的应用程序以及他们需要的端口。 根据环境，这可能是非常困难的。 但是必须要做。 监测代理？ SCCM代理？ 防病毒代理？ 名单继续。

开发包含适用于企业应用程序的自定义规则的Windows防火墙GPO。 您可能需要具有适用于不同服务器的不同范围的多个策略。 例如，一个单独的策略，仅适用于端口80,443等的Web服务器

内置的Windows防火墙策略将对您非常有用，因为它们完全适用于大多数常见的Windows活动。 这些内置的规则更好，因为他们不只是打开或closures整个系统的端口 – 它们的范围是在机器上发生的非常特定的过程和协议活动等，但它们不包括您的自定义应用程序，所以将这些规则作为辅助ACE添加到策略中。

如果可能的话，首先在testing环境中展开，然后在生产时首先以有限的区块进行。 不要只是在你的第一次去GPO的整个域名。

最后的陈述可能是我可以给你的最好的build议 – 在非常小的受控范围内推出你的改变。

好吧，我将要提出一些可能会使您不舒服的事情，但这是我在打开防火墙时使用的。

NMAP。 （任何端口扫描器都可以。）我担心我不相信正在使用什么端口的文档。 我想亲眼看看。

背景：我来自一个学生的笔记本电脑用我们的服务器擦胳膊肘的学术环境（呃！）。 当我开始在自己的服务器上使用nmap时，我们也没有IDS，所以我可以随意地映射，没有人会注意到。 然后他们实施了IDS，我会收到邮件转发给我，基本上说：“networking端口扫描攻击你的服务器从你的工作站!!!!!” 我会回复并说，“是的，就是我。” 嘿。 过了一会儿，他们对此产生了一种幽默感。 ;）

例如，我也在工作站上使用nmap 来查找conficker 。 Nmap可能会打开AVpipe理端口，任何其他pipe理软件端口等等。（如果你打断他们的pipe理软件，桌面将会变得非常糟糕）。根据你的环境，它也可能会出现未经授权的软件。

无论如何。 有些环境会对nmap感到厌烦，有些甚至不会注意到。 我通常只会映射自己的服务器或工作站，以达到特定的目的，这有所帮助。 但是，是的，您可能想要清楚说明您将与任何可能吓倒您的人进行端口扫描。

那么，你知道。 Ryan Ries说什么。 pipe理/变更pipe理/组策略/等。

我不相信有任何来自微软的实用工具，但是如果我在我们的域中使用Windows防火墙（它启用了我的工作），我会确保以下内容：

1. 所有远程pipe理工具（WMI等）都存在例外情况
2. 在域工作站上创buildIP范围例外，以允许pipe理服务器（如SCCM / SCOM，如果有的话）允许所有stream量。
3. 允许最终用户只为软件添加例外到域configuration文件 ，以防万一您错过了某些事情（您将会）。

服务器是一个不同的野兽。 我目前已经禁用了我们的服务器的防火墙，因为即使有exception，启用它也会导致很多问题。 您基本上必须为所有服务器应用一个“骨架”策略（例如，禁止不安全的端口），然后转到每个服务器并单独定制设置。 正因为如此，我可以看到很多IT人士只是禁用防火墙的原因。 你的外围防火墙应该保护这些机器没有自己的防火墙。 但是，有时为高安全性环境单独configuration服务器是值得的。

顺便提一句，Windows防火墙也pipe理IPsec的使用，所以如果使用了这个，你仍然需要防火墙。