Group Policy Central
In questo articolo vi parlerò di come potete usare i Criteri di gruppo per controllare il firewall che esce dalla scatola con Windows, ma prima voglio darvi un po’ di storia dell’evoluzione del firewall basato su host in Windows. I firewall sono stati a lungo in giro per un anno a proteggere le reti aziendali interne da aggressori esterni (vedi immagine sotto).
Con l’esplosione dei lavoratori mobili alla fine degli anni ’90 sempre più persone collegavano i loro computer portatili direttamente a internet senza il beneficio della protezione di un firewall aziendale. Di conseguenza, nei primi anni 2000, i prodotti firewall di terze parti come ZoneAlarm sono diventati un modo molto popolare per proteggersi dagli attacchi. Microsoft ha poi aggiunto un firewall basato su host con il rilascio di Windows XP/2003, che sfortunatamente era disattivato di default. Come risultato dell’avere il firewall disattivato di default, ci furono un certo numero di worms di cui i più importanti erano il Blaster worm e il Sasser worm che si diffusero a macchia d’olio su quasi tutti i computer Windows che non erano stati specificamente protetti.
Come risultato Microsoft decise di fare un cambiamento importante con il modo in cui Windows XP era configurato con il rilascio del Service Pack 2. Quando gli utenti installavano il service pack 2, veniva loro richiesto di attivare il firewall, proteggendoli così dalle comunicazioni dannose. Il problema con l’abilitazione di un firewall però è che generalmente si blocca tutto il traffico in entrata per impostazione predefinita, il che significa che prodotti come Skype e/o Windows Messenger non possono più ricevere chiamate o messaggi in entrata. Per aggirare questo problema, agli utenti finali verrebbe richiesto quando un’applicazione vuole aprire una porta in entrata sulla rete. Il personale IT aziendale poteva controllare questo per gli utenti utilizzando Criteri di gruppo attraverso la sezione Windows Firewall sotto Modelli amministrativi > Rete > Connessioni di rete.
Questo è stato un buon primo passo, tuttavia la creazione di una serie di regole firewall utilizzando l’impostazione nativa dei criteri di gruppo sotto Windows Firewall è stata impegnativa nel migliore dei casi, poiché la maggior parte delle impostazioni doveva essere configurata manualmente.
Con il rilascio di Windows Vista/2008 Microsoft ha completamente rinnovato il Windows Firewall per consentire un’amministrazione molto più facile. Gli amministratori IT ora hanno un controllo molto più granulare su come possono gestire le regole del firewall e ora hanno la possibilità di controllare la comunicazione in entrata e in uscita, oltre ad essere in grado di attivare selettivamente le regole a seconda della rete a cui il computer è collegato. Hanno anche cambiato il punto in cui si configurava il firewall tramite i criteri di gruppo in Impostazioni di Windows > Impostazioni di sicurezza > Windows Firewall con sicurezza avanzata che ha abilitato alcune caratteristiche interessanti come l’importazione e l’esportazione delle regole del firewall che approfondirò in seguito.
Di seguito farò un esempio di un amministratore IT che vuole impostare un set predefinito di regole del firewall per un computer portatile Windows 7 e con una regola per consentire Skype quando è collegato a casa e su Internet ma non quando è collegato al dominio. Normalmente nel mondo reale avreste molte più eccezioni in entrata, tuttavia dovreste essere in grado di usare questa come una guida per iniziare a costruire la vostra configurazione di regole firewall specifica per il vostro ambiente.
Prima di iniziare: Se avete già configurato le impostazioni del firewall nella vecchia sezione “Windows Firewall”, queste regole di policy saranno applicate e i due set di regole cercheranno di fondersi con risultati imprevedibili. Vi raccomando di assicurarvi che nessuna impostazione “Windows Firewall” sia applicata ai vostri computer Vista/2008 o superiori e di applicare esclusivamente l’impostazione del firewall a questi computer più recenti tramite l’opzione di sicurezza dei criteri di gruppo “Windows Firewall with Advanced Security”.
Configurazione delle regole firewall di Windows
Prima configureremo un computer di riferimento con le regole firewall come vogliamo e poi le esploreremo per poterle importare in un criterio di gruppo. Configurare le regole del firewall sul PC prima ci dà l’opportunità di testare correttamente le regole prima di distribuirle su altri computer. Se ci permette anche di esportare tutte le regole in una sola azione in modo da non dover passare attraverso il lungo processo di configurazione manuale di tutte le regole una per una.
In questo esempio questo computer ha Windows 7 e ha già installato Skype 4.2.
Passo 1. Clicca con il tasto destro sull’icona dello stato della rete nella barra delle applicazioni e clicca su “Apri Centro connessioni di rete e condivisione”
Passo 2. Clicca su “Windows Firewall” nell’angolo in basso a sinistra.
Step 3 opzionale. Stiamo per avere una rapida panoramica ad alto livello delle regole del firewall cliccando su “Consenti un programma o una funzione attraverso Windows Firewall” nel pannello di sinistra.
Come puoi vedere Skype è stato configurato per funzionare nei profili Dominio, Privato e Pubblico. In questo esempio lo configureremo in modo che funzioni solo nei profili Casa/Lavoro e Pubblico in modo che gli utenti non possano usare Skype quando sono connessi al dominio aziendale tramite la LAN.
Nota: le opzioni qui sono bloccate perché non hai ancora elevato le tue credenziali.
Passo 4 opzionale. Clicca su Annulla
Step 5. Clicca su “Impostazioni avanzate” nel pannello di sinistra.
Passo 6. Clicca su “Regole in entrata” e poi fai doppio clic sulla voce della regola del firewall “Skype” nella colonna di destra.
Nota: Il profilo attualmente configurato è impostato su “Tutti”
Ora configureremo la regola Skype per essere disabilitata usando il profilo del dominio, ma puoi anche usare questa finestra di dialogo delle proprietà per configurare altre impostazioni granulari. Ti raccomando di andare in tutte queste schede e familiarizzare con tutte le impostazioni che puoi controllare usando questa finestra di dialogo.
Passo 7. Clicca sulla scheda “Avanzate”
Passo 8. Deseleziona la casella di controllo “Dominio” e poi clicca su “OK”
Nota: Il profilo è ora configurato su “Privato, Pubblico”
Se torni indietro nell’opzione “Permetti ai programmi di comunicare con Windows Firewall” vedrai che l’opzione Dominio per Skype è stata deselezionata.
Ora devi testare la tua regola del firewall per assicurarti che si comporti come ti aspetti. Supponendo che tutto sia OK, allora esportate le vostre regole del firewall in modo da poterle importare in un criterio di gruppo. Potreste anche voler salvare l’esportazione del set di regole prima di iniziare per essere sicuri di avere qualcosa a cui tornare nel caso in cui abbiate completamente rovinato il set di regole e rotto la vostra rete.
Esportazione delle regole del firewall di Windows
Passo 1. Nella sezione Windows Firewall with Advance Security clicca su “Action” nel menu e poi su “Export Policy”
Step 2. Selezionare una posizione per salvare le regole del firewall e poi digitare il nome del file che si desidera salvare (ad esempio default_rules.wfw) quindi fare clic su “Salva”.
Nota: Se è stato necessario elevarsi come un altro utente per modificare le regole del firewall, allora il file verrà salvato nel profilo dell’account amministratore.
Step 3. Clicca “OK”
Importazione delle regole del firewall di Windows in un criterio di gruppo
Ora che hai esportato le regole del firewall, dobbiamo importare il file esportato in un criterio di gruppo in modo da poter applicare lo stesso set di regole a tutte le stazioni di lavoro sulla tua rete.
Passo 1. Modifica un Oggetto criteri di gruppo (GPO) che ha come obiettivo il computer a cui vuoi applicare queste regole del firewall.
Passo 2. Aprire Configurazione del computer > Politiche > Impostazioni di Windows > Impostazioni di sicurezza > Windows Firewall con sicurezza avanzata e cliccare su “Windows Firewall con sicurezza avanzata”
Step 3. Nel menu clicca su “Azione” e poi su “Importa criteri…”
Fase 4. Fate clic su “Sì”
Nota: Questo va bene se non l’avete fatto prima, ma se questa è la seconda volta che lo fate, potreste voler creare un nuovo GPO e importare le regole in quello, in modo da non rovinare le regole della policy esistente.
Step 5. Selezionare il file di esportazione delle regole del firewall creato in precedenza e fare clic su “Apri”
Aspetta…
Step 6. Cliccate “OK”
Fatto.
Ora potete rivedere le regole che sono state importate nel GPO.
Nota: Puoi vedere come la regola Skype è configurata come Privato, Pubblico come abbiamo configurato prima sul computer locale. Se vuoi cambiare ancora puoi semplicemente fare doppio clic sulla regola e personalizzarla come vuoi da qui.
Puoi anche disabilitare selettivamente le regole e tagliare, copiare &incollare le regole tra GPO separate. Questo è il modo di unire le regole se avete importato il set di regole da in una nuova GPO al passo 4.
Come copiare, cancellare o disabilitare una regola…
Come incollare una regola in una policy esistente…
Ora dovresti essere avvisato che in tutte le finestre di dialogo del firewall (vedi immagini sotto) sulla workstation che la policy del firewall è ora controllata tramite i criteri di gruppo.
Nota la nuova colonna che dichiara che questo è configurato da Group Policy. Ogni regola è elencata due volte: una rappresenta la regola del firewall controllata tramite Criteri di gruppo che non può essere configurata e l’altra rappresenta la regola locale che può ancora essere abilitata dall’amministratore locale.
Come applicare esclusivamente le regole firewall di Criteri di gruppo
Se non volete che l’amministratore locale sia in grado di applicare ulteriori regole firewall alla rete, potete anche configurarlo in modo che le regole di Criteri di gruppo siano applicate esclusivamente al firewall locale.
Passo 1. Ancora una volta aprite lo stesso GPO a cui avete applicato le regole del firewall e andate su Configurazione del computer > Politiche > Impostazioni di Windows > Impostazioni di sicurezza > Windows Firewall con sicurezza avanzata e cliccate con il tasto destro su “Windows Firewall con sicurezza avanzata” e cliccate su “Proprietà”
Step 2. Clicca sul pulsante “Personalizza…” nella sezione Impostazioni
Passo 3. Cambia l’opzione “Applica regole locali del firewall:” a “No” e clicca su OK
Ora se torni a “Programmi consentiti” sotto “Windows Firewall” noterai che la colonna Dominio è ora completamente grigia e nessuna regola può essere applicata al profilo di dominio anche se sei un amministratore locale.
Spero che questo ti abbia dato abbastanza per iniziare a controllare il tuo windows firewall usando i criteri di gruppo.
Se vi sentite davvero avventurosi potete anche fare la stessa cosa con i vostri server per mantenerli sicuri, poiché sono molto più statici con i requisiti delle regole del firewall, il che li rende ancora più facili da gestire. Per esempio potresti esportare le regole del firewall del tuo server SQL e poi importarle in un GPO che viene applicato a tutti gli altri server SQL. In questo modo quando si sposta un oggetto informatico nella OU di SQL Server le regole del firewall sono automaticamente impostate e applicate… Bello…