도메인에서 Windows 방화벽을 올바르게 다시 활성화하려면 어떻게해야합니까?


15

배경 조사

솔직히 다음과 같은 질문을 믿습니다. Active Directory 도메인에서 GPO를 사용하여 워크 스테이션 Windows 방화벽을 비활성화하려면 어떻게해야합니까? Windows 관리자는 일반적으로 오래 전에 다음과 같은 교훈을 얻었 기 때문에 존재했습니다.

"도메인 컴퓨터를 다룰 때 가장 쉬운 방법은 도메인에 GPO를 설치하여 Windows 방화벽을 비활성화하는 것입니다. 결국에는 훨씬 덜 아프게됩니다." -지난 몇 년간의 무작위 IT 강사 / 멘토

또한 대부분의 회사에서 부업을했다고도 말할 수 있습니다. 최소한 GPO가 도메인 프로필에 대해 Windows 방화벽을 비활성화하고 WORST 에서 공개 프로필에 대해서는 비활성화했습니다.

또한 일부는 서버 자체에서이를 비활성화합니다. GPO를 통해 Windows Server 2008 R2의 모든 네트워크 프로필에 대해 방화벽 비활성화

WINDOWS FIREWALL의 Microsoft Technet 기사 는 Windows 방화벽을 비활성화 하지 않는 것이 좋습니다 .

고급 보안 기능을 가진 Windows 방화벽은 보안 위협으로부터 컴퓨터를 보호하는 데 중요한 역할을하므로 동등한 수준의 보호 기능을 제공하는 평판이 좋은 공급 업체로부터 다른 방화벽을 설치하지 않으면 비활성화하지 않는 것이 좋습니다.

이 ServerFault 질문은 실제 질문을합니다. 그룹 정책을 사용하여 LAN에서 방화벽을 해제해도 괜찮습니까? -그리고 여기에있는 전문가들은 그들의 견해에 있어서도 혼합되어 있습니다.

그리고 서비스 비활성화 / 활성화를 말하는 것이 아니라는 것을 이해 하십시오. Windows 방화벽 서비스를 비활성화하지 않는 권장 사항을 어떻게 백업 할 수 있습니까? 방화벽 서비스가 방화벽을 활성화 또는 비활성화하는지 여부에 관한 것입니다.


손에 질문

이 질문의 제목으로 돌아가서 도메인에서 Windows 방화벽을 올바르게 다시 활성화하려면 어떻게해야합니까? 특히 클라이언트 워크 스테이션 및 해당 도메인 프로필에 적합합니다.

GPO를 Disabled에서 Enabled로 간단히 전환하기 전에 스위치를 뒤집어도 중요한 클라이언트 / 서버 응용 프로그램, 허용 가능한 트래픽 등이 갑자기 실패하지 않도록하려면 어떤 계획 단계를 수행해야합니까? 대부분의 장소는 여기에서 "변경하고 헬프 데스크에 전화하는 사람보기"를 용납하지 않습니다.

이러한 상황을 처리하기 위해 Microsoft에서 제공하는 점검 목록 / 유틸리티 / 절차가 있습니까? 이 상황에 처해 있었으며 어떻게 처리 했습니까?


3
Windows 서버는 기본적으로 방화벽을 비활성화합니다. (항상 좋은 회사 방화벽 뒤에 있다고 가정합니다). Windows 방화벽은 작업 및 유지 관리를위한 PITA이므로 도메인 워크 스테이션에서는 일반적으로 도메인 워크 스테이션에서 비활성화되어 있습니다. 모든 응용 프로그램에는 특수 포트가 필요하고 DC는 많은 포트 등에서 데이터를 구토합니다. 많은 일이 진행되고 있습니다. Windows 방화벽을 활성화하면 일반적으로 "고정"하는 데 많은 시간이 걸리므로 정상적인 응용 프로그램이 작동합니다. 그런 다음 걸어가 자마자 돌아와서 다시 고쳐야합니다.
SnakeDoc

10
@SnakeDoc windows server by default disables the firewall 사실이 아닙니다 . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain 또한 지난 6 년 동안 GPO를 관리 할 수있는 GPO를 살펴 보셨습니까? 더 이상 2003 년이 아님 the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work AD DS를 설치할 때 DC에 사전 구성된 모든 항목에 필요한 예외
MDMarra

12
나는 모든 단일 지점이 실제로 잘못되었을 때 그 의견이 지금 +3인지 어떻게 알지 못합니다. 이것은 현재 / r / sysadmin과 같은 느낌입니다.
MDMarra

3
@ MDMarra : 나는 그 의견에 "+3"과 똑같은 것을 생각하고있었습니다. 그 의견을 공감할 수 있으면 좋겠다. (플래 깅이 옳은 일이라고 생각하지 않지만 정말로 유혹 받고 있습니다 ...)
Evan Anderson

답변:


19

What can be done to properly re-enable the Windows firewall on a domain?

짧은 대답은 앞서 가겠다 고 결심하면 많은 일이 될 것입니다. 그리고 기록을 위해, 나는 확실하지 않을 것입니다.

일반적으로 클라이언트 방화벽은 회사 네트워크 (일반적으로 하드웨어 방화벽이 있으며 이러한 유형의 장치를 가장자리에서 제어)에서 많은 보안을 제공하지 않으며, 오늘날 맬웨어 작성자는 트래픽에 포트 80을 사용하기에 충분합니다. 사실상 그 포트를 차단하는 사람이 없기 때문에 제한된 보안 이점을 제공하기 위해 무언가를 배치하기 위해 많은 노력을 기울입니다.

긴 대답은 다음과 같습니다.

  1. 인벤토리 응용 프로그램 및 연결 기능이 가장 좋습니다.
    • allow all규칙을 사용하여 Windows 방화벽을 안전하게 활성화하고 로깅을 설정하면 방화벽 제외가 필요한 앱을 결정하는 데 유용한 데이터가됩니다.
    • 방해가되지 않는 로깅 데이터를 수집 할 수없는 경우 간단한 인벤토리를 사용하거나 방해 및 IT 활동을 방해 할 수있는 사용자 (예 : 자신 및 다른 기술)에 대한 로깅을 수행해야합니다.
  2. 문제 해결 요구 사항을 고려하십시오.
    • 생각해야 할 소프트웨어 감사에는 없을 것입니다. 예를 들면 다음과 같습니다.
      • ICMP (또는 승인 된 주소 공간의 ICMP)가 문제 해결 및 IP 주소 관리를 끔찍하게 만들도록 할 수 있습니다.
      • 마찬가지로, 여러분이 사용하는 모든 원격 관리 응용 프로그램에 대한 제외.
      • 정책별로 방화벽 로깅을 설정하고 싶을 수도 있습니다.
  3. 기준 GPO를 만들어 테스트 그룹 또는 여러 테스트 그룹에 배포하십시오.
    • 이를 수행 할 수없고 헬프 데스크가 모든 사람을 위해 분류 할 수는 없지만, 특히 보안 관련 문제가 있다고 생각되는 경우 엄선 된 엄선 된 직원 그룹을 통해 변경 사항을 시험 할 수 있도록 경영진이 훨씬 더 개방적입니다. .
    • 테스트 그룹을 신중하게 선택하십시오. IT 직원을 먼저 사용하고 다른 부서의 직원을 포함하도록 그룹을 넓히는 것이 좋습니다.
    • 테스트 그룹을 모니터링하고 지속적으로 의사 소통을 유지하여 처음에는 발견하지 못한 문제를 신속하게 해결하십시오.
  4. 변경 사항을 천천히 그리고 단계적으로 롤아웃하십시오.
    • 만족스럽게 테스트 한 후에도 한 번에 전체 도메인으로 푸시하지 않고주의를 기울여야합니다. 더 작은 그룹으로 롤아웃하면 조직의 구조와 요구에 따라 정의해야합니다.
  5. 향후 변경을 처리 할 수있는 무언가가 있는지 확인하십시오.
    • 도메인에 새로운 응용 프로그램이 생길 수 있으므로 방화벽 환경이 업데이트되도록해야합니다. 위의 누군가는 방화벽이 가치가있는 것보다 더 문제가 많은 것으로 판단하고 정책을 제거하여 지금까지 수행 한 작업을 제거하고 제거 할 것입니다.

12

편집 : Windows 방화벽에는 본질적으로 아무런 문제가 없다고 말하고 싶습니다. 전체 심층 방어 전략에서 완벽하게 수용 가능한 부분입니다. 문제의 대부분은 대부분의 상점이 실행하는 애플리케이션에 어떤 방화벽 규칙이 필요한지 파악하기에 너무 무능하거나 너무 게으 르기 때문에 유비쿼터스하게 강제 실행하는 것입니다.

예를 들어 Windows 방화벽으로 인해 도메인 컨트롤러가 작업을 수행하지 못하는 경우 방화벽을 켜기 전에 Active Directory에 필요한 포트를 알지 못했거나 정책을 잘못 구성했기 때문입니다.

이것이 문제의 결론입니다.


먼저 회사의 프로세스가 무엇이든 프로젝트 관리자, 상사, 스테이크 보유자, 변경 자문 캐비닛과 의사 소통하고 Windows 방화벽과 관련된 점진적인 개선 조치를 받고 있음을 모든 사람들에게 알리십시오. 환경의 보안 자세.

그들이 위험이 있음을 이해하도록하십시오. 물론, 우리는 중단이 없도록 약속하지만 약속을하지 않기 위해 가능한 모든 계획을 다하겠습니다. 오래된 도메인을 모양으로 채찍질하는 것은 어려운 일입니다.

다음으로, 환경에서 사용중인 응용 프로그램 및 필요한 포트를 인벤토리해야합니다. 환경에 따라 이것은 매우 어려울 수 있습니다. 그러나 반드시 이루어져야합니다. 모니터링 요원? SCCM 요원? 바이러스 백신 에이전트? 목록은 계속됩니다.

엔터프라이즈 응용 프로그램에 대한 사용자 지정 규칙이 포함 된 Windows 방화벽 GPO를 개발하십시오. 다른 서버에 적용되는 범위가 다른 여러 정책이 필요할 수 있습니다. 예를 들어 포트 80, 443 등의 웹 서버에만 적용되는 별도의 정책

기본 제공 Windows 방화벽 정책은 가장 일반적인 Windows 활동을 수용 할 수 있도록 완벽하게 범위가 지정되어 있으므로 매우 유용합니다. 이러한 기본 제공 규칙은 전체 시스템에 대한 포트를 열거 나 닫는 것이 아니라 기계 등에서 발생하는 매우 구체적인 프로세스 및 프로토콜 활동 범위에 속하기 때문에 더 좋습니다. 그러나 사용자 지정 응용 프로그램은 다루지 않습니다. 따라서 이러한 규칙을 정책에 보조 ACE로 추가하십시오.

가능하면 먼저 테스트 환경에서 롤아웃하고 프로덕션으로 롤아웃 할 때 제한된 청크에서 먼저 수행하십시오. 처음에 도메인 전체에 GPO를 적용하지 마십시오.

마지막 진술은 아마도 내가 당신에게 줄 수있는 가장 좋은 조언 일 것입니다-매우 작고 통제 된 범위에서 변경 사항을 롤아웃하십시오.


1
이 답변과 관련이없는 다음 의견은 상자에 24 시간 표시됩니다. > = [
Chris S

6
@ChrisS 그래서 이번 주말에 무엇을하십니까?
MDMarra

4

좋아, 나는 당신을 곤경에 빠뜨릴 수도 있고 제안하지 않을 수도 있지만 방화벽을 켤 때 사용하는 것입니다.

Nmap. (어떤 포트 스캐너라도 가능합니다.) 사용중인 포트에 대한 문서를 신뢰하지 않습니다. 나는 나 자신을보고 싶다.

배경 : 저는 학생 랩탑이 서버와 팔꿈치를 문지르는 학업 환경에서 왔습니다. 내 서버에서 nmap을 사용하기 시작했을 때 IDS도 없었기 때문에 마음대로 nmap 할 수 있었고 아무도 눈치 채지 못했습니다. 그런 다음 IDS를 구현했으며 기본적으로 "WORKSTATION에서 서버에 대한 네트워크 포트 스캔 공격 !!!!!"이라는 이메일이 전달됩니다. 답장을 보내겠습니다. "그래, 나야." 허. 잠시 후 그들은 유머 감각이 생겼습니다. ;)

예를 들어, conficker를 찾기 위해 워크 스테이션에서 nmap을 사용했습니다 . Nmap은 AV 관리 포트, 기타 관리 소프트웨어 포트 등을 켤 수 있습니다. (관리 소프트웨어를 분리하면 데스크탑이 매우 거칠어집니다.) 또한 환경에 따라 무단 소프트웨어가 나타날 수도 있습니다.

어쨌든. 일부 환경은 nmap을 놀라게 할 것이고 일부는 눈치 채지 못할 것입니다. 나는 일반적으로 특정 목적을 위해 내 자신의 서버 또는 워크 스테이션을 nmap 만하면 도움이됩니다. 그러나 그렇습니다. 아마도 당신을 놀라게 할 사람과 포트 스캔을 할 것임을 분명히하고 싶을 것입니다.

그럼 알 잖아 Ryan Ries가 말한 것. 관리 / 변경 관리 / 그룹 정책 등


좋은 네트워크는 네트워크 포트 스캔에 놀라게됩니다. 특히 내부에있는 경우.
SnakeDoc

글쎄, 그것은 불길한 것처럼 보이기 때문에 내가 부인했습니다. 즉, 누가 당신이 그것을 할 수 있는지 / 알지 못했는지에 놀랄 것입니다.
Katherine Villyard

ㅋㅋㅋ ㅋㅋㅋ ㅋㅋㅋ "좋은"은 네트워크의 어느쪽에 있는지에 따라 다른 의미를
갖지만

3
방화벽 배치를 계획 할 때 꼭 필요한 것이 아니라면주의해서 수행해야합니다. nmap타겟팅하고 조절할 수 있습니다. 이미 네트워크 운영에 대한 책임이 있거나 다른 방식으로 관여하고 있다면, 네트워크를 조사하고 있다는 사실을 모든 이해 당사자에게 알리기 만하면 아무도 "괴물을 낼"필요가 없습니다.
Mathias R. Jessen

3
"입방체 벽 위로 소리 쳐" "야, 팀?" "네?" "IDS를 다시 화나게하려고합니다." "(웃음) 좋아요."
Katherine Villyard

3

나는 이것에 대해 Microsoft가 제공하는 유틸리티가 없다고 생각하지만 도메인에서 Windows 방화벽을 사용한다면 (작동하는 곳에서 활성화되어 있음) 다음을 보장합니다.

  1. 모든 원격 관리 도구 (WMI 등)에는 예외가 있습니다.
  2. 관리 서버 (예 : SCCM / SCOM 등)가 모든 트래픽을 허용 할 수 있도록 도메인 워크 스테이션에서 IP 범위 예외를 만듭니다.
  3. 일부 사용자가 누락 된 경우 최종 사용자 는 소프트웨어에 대해서만 도메인 프로필 에 예외를 추가 할 수 있습니다 .

서버는 약간 다른 짐승입니다. 예외가 있어도 많은 문제가 발생했기 때문에 현재 서버 에서 방화벽을 사용하지 않도록 설정했습니다. 기본적으로 모든 서버에 대해 "골격"정책을 적용한 다음 (예 : 안전하지 않은 포트 허용 안 함) 서버 로 이동하여 개별적으로 설정을 사용자 지정해야합니다. 이 때문에 많은 IT 직원이 방화벽을 비활성화하는 이유를 알 수 있습니다. 주변 방화벽은 자체 방화벽없이 이러한 시스템을 충분히 보호해야합니다. 그러나 때로는 보안 수준이 높은 환경에 맞게 서버를 개별적으로 구성하는 것이 좋습니다.

참고로 Windows 방화벽은 IPsec의 사용도 관리하므로 사용되는 경우 방화벽이 필요합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.