Groepsbeleid Centraal
In dit artikel ga ik het hebben over hoe je Groepsbeleid kunt gebruiken om de firewall te beheren die uit de doos komt met Windows, maar eerst wil ik je een beetje geschiedenis geven van de evolutie van host-gebaseerde firewall in Windows. Firewalls zijn er al lang om interne bedrijfsnetwerken te beschermen tegen aanvallers van buitenaf (zie onderstaande afbeelding).
Met de explosieve groei van het aantal mobiele werknemers aan het eind van de jaren 90 sloten steeds meer mensen hun laptops rechtstreeks aan op internet zonder het voordeel van de bescherming van een bedrijfsfirewall. Als gevolg hiervan werden in het begin van de jaren 2000 firewall producten van derden, zoals ZoneAlarm, een zeer populaire manier om zich tegen aanvallen te beschermen. Microsoft voegde vervolgens een host-gebaseerde firewall toe met de release van Windows XP/2003, die helaas standaard was uitgeschakeld. Als gevolg van het standaard uitschakelen van de firewall waren er een aantal computerwormen, waarvan de meest opvallende de Blaster worm en de Sasser worm waren, die zich als een lopend vuurtje verspreidden over vrijwel elke Windows computer die niet specifiek was beveiligd.
Als gevolg hiervan besloot Microsoft een grote verandering aan te brengen in de manier waarop Windows XP werd geconfigureerd met de release van Service Pack 2. Wanneer gebruikers Service Pack 2 installeerden, werden ze nu gevraagd om de firewall in te schakelen en zo beschermd te zijn tegen kwaadaardige communicatie. Het probleem met het inschakelen van een firewall is echter dat je over het algemeen standaard al het inkomende verkeer blokkeert, wat betekent dat producten zoals Skype en/of Windows Messenger geen inkomende gesprekken of berichten meer konden ontvangen. Om dit probleem te omzeilen zouden eindgebruikers worden gevraagd wanneer een applicatie een inkomende poort op het netwerk wil openen. IT-medewerkers van het bedrijf konden dit voor de gebruikers regelen met Groepsbeleid via de Windows Firewall-sectie onder Administratieve sjablonen > Netwerk > Netwerkverbindingen.
Dit was een goede eerste stap, maar het maken van een reeks firewall-regels met behulp van de eigen groepsbeleidinstelling onder Windows Firewall was op zijn best een uitdaging, omdat de meeste instellingen handmatig moesten worden geconfigureerd.
Met de release van Windows Vista/2008 heeft Microsoft de Windows Firewall volledig vernieuwd om een veel eenvoudiger beheer mogelijk te maken. IT-beheerders hebben nu veel meer granulaire controle over hoe ze kunnen beheren van de firewall-regels en ze hebben nu de mogelijkheid om zowel inkomende en uitgaande communicatie te controleren en in staat zijn om selectief regels in te schakelen, afhankelijk van welk netwerk de computer is aangesloten. Ze hebben ook de configuratie van de firewall via groepsbeleid veranderd in Windows Instellingen > Beveiligingsinstellingen > Windows Firewall met Geavanceerde beveiliging die een aantal coole functies heeft mogelijk gemaakt zoals het importeren en exporteren van firewall regels waar ik later op in zal gaan.
Hieronder zal ik een voorbeeld geven van een IT beheerder die een standaard set van firewall regels wil instellen voor een Windows 7 laptop computers en met een regel om Skype toe te staan wanneer deze thuis en op het internet is aangesloten maar niet wanneer deze is aangesloten op het domein. Normaal gezien zou je in de echte wereld veel meer inkomende uitzonderingen hebben, maar je zou dit moeten kunnen gebruiken als een leidraad om je op weg te helpen om je firewall regels specifiek voor jouw omgeving op te stellen.
Voordat je begint: Als je al firewall instelling hebt geconfigureerd onder de oudere “Windows Firewall” sectie zullen deze beleidsregels ook van toepassing zijn en zullen de twee regelsets proberen samen te voegen met onvoorspelbare resultaten. Ik raad u aan ervoor te zorgen dat er geen “Windows Firewall” instellingen worden toegepast op uw Vista/2008 of hoger computers en dat u de firewall instelling alleen toepast op deze nieuwere computers via de “Windows Firewall met Geavanceerde Beveiliging” groepsbeleid beveiligingsoptie.
Verfigureren van Windows Firewall Regel
Eerst zullen we een referentie computer instellen met de firewall regel zoals we die willen en ze dan onderzoeken zodat we ze kunnen importeren in een groepsbeleid. Het eerst instellen van de firewall regels op de PC geeft ons de mogelijkheid om de regels goed te testen alvorens ze uit te rollen naar andere computers. Het stelt ons ook in staat om alle regels in één actie te exporteren, zodat je niet het langdurige proces hoeft te doorlopen om alle regels één voor één handmatig in te stellen.
In dit voorbeeld draait deze computer op Windows 7 en is Skype 4.2 al geïnstalleerd.
Stap 1. Klik met de rechtermuisknop op het netwerkstatuspictogram in het systeemvak en klik op “Netwerkcentrum openen”
Stap 2. Klik op “Windows Firewall” in de linkerbenedenhoek.
Stap 3 optioneel. We gaan snel een overzicht van de firewallregels bekijken door in het linkerdeelvenster te klikken op “Een programma of functie toestaan via Windows Firewall”.
Zoals u kunt zien, is Skype ingesteld om te werken in de profielen Domein, Privé en Openbaar. In dit voorbeeld gaan we dit zo configureren dat het alleen werkt in de profielen Thuis/Werk en Openbaar, zodat gebruikers Skype niet kunnen gebruiken wanneer ze via het LAN met het bedrijfsdomein zijn verbonden.
Merk op: de opties hier zijn geblokkeerd omdat u uw credentials nog niet hebt verheven.
Stap 4 optioneel. Klik op Annuleren
Stap 5. Klik op “Geavanceerde instellingen” in het linkerdeelvenster.
Stap 6. Klik op “Inkomende regels” en dubbelklik vervolgens op de regel “Skype” in de rechterkolom.
Note: het momenteel geconfigureerde profiel is ingesteld op “Alle”
Nu zullen we de Skype-regel zo configureren dat deze wordt uitgeschakeld met behulp van het domeinprofiel, maar u kunt dit dialoogvenster met eigenschappen ook gebruiken om andere granulaire instellingen te configureren. Ik raad u aan om al deze tabs te doorlopen en vertrouwd te raken met alle instellingen die u met dit dialoogvenster kunt regelen.
Stap 7. Klik op het tabblad “Geavanceerd”
Stap 8. Schakel het selectievakje “Domein” uit en klik op “OK”
Note: het profiel is nu geconfigureerd als “Publiek, privé”
Als u nu teruggaat naar de optie “Programma’s toestaan om te communiceren dacht Windows Firewall”, ziet u dat de domeinopties voor Skype niet meer zijn aangevinkt.
Nu moet u uw firewall-regelset testen om er zeker van te zijn dat deze zich gedraagt zoals u verwacht. Ervan uitgaande dat alles in orde is, exporteer je de firewallregels zodat je ze kunt importeren in een Groepsbeleid. U kunt de regelset ook exporteren voordat u begint om er zeker van te zijn dat u iets hebt om op terug te grijpen in het geval u de regelset volledig verknoeit en uw netwerk kapot maakt.
Exporteren van Windows Firewall Regels
Stap 1. Klik in het gedeelte Windows Firewall met geavanceerde beveiliging op “Actie” in het menu en vervolgens op “Beleid exporteren”
Stap 2. Selecteer een locatie om uw firewallregels op te slaan en typ vervolgens de naam van het bestand waarin u deze wilt opslaan (bijvoorbeeld default_rules.wfw) en klik vervolgens op “Opslaan”.
Note: als u zich als een andere gebruiker hebt moeten verheffen om de firewallregels te wijzigen, moet u het bestand opslaan in het profiel van de beheerdersaccounts.
Stap 3. Klik op “OK”
Regels van Windows Firewall importeren in een groepsbeleid
Nu u de firewall-regels hebt geëxporteerd, gaan we het geëxporteerde bestand importeren in een groepsbeleid, zodat u dezelfde regelset kunt toepassen op alle werkstations in uw netwerk.
Stap 1. Bewerk een Group Policy Object (GPO) dat gericht is op de computer waarop u deze firewallregels wilt toepassen.
Step 2. Open Computerconfiguratie > Beleidsregels > Windows-instellingen > Beveiligingsinstellingen > Windows Firewall met geavanceerde beveiliging en klik op “Windows Firewall met geavanceerde beveiliging”
Stap 3. Klik in het menu op “Actie” en vervolgens op “Beleid importeren…”
Stap 4. Klik op “Ja”
Noot: Dit is goed als u dit nog niet eerder hebt gedaan, maar als dit de tweede keer is dat u dit doet, kunt u misschien beter een nieuwe GPO maken en de regels daarin importeren om uw bestaande beleidsregels niet te verprutsen.
Stap 5. Selecteer het exportbestand met de firewallregels dat u eerder hebt gemaakt en klik op “Openen”
Wacht…
Stap 6. Klik op “OK”
Done.
U kunt nu de regels bekijken die in de GPO zijn geïmporteerd.
Note: U kunt zien dat de Skype-regel is geconfigureerd als Private, Public zoals we eerder op de lokale computer hebben geconfigureerd. Als je de regel weer wilt veranderen, kun je dubbelklikken op de regel en de regel aanpassen zoals je wilt.
Je kunt regels ook selectief uitschakelen en regels knippen, kopiëren & plakken tussen afzonderlijke GPO’s. Dit is hoe u regels zou samenvoegen als u de regelset van in een nieuwe GPO zou importeren in stap 4.
Hoe kopieert, verwijdert of deactiveert u een regel…
Hoe plakt u een regel in een bestaand beleid…
U zou nu in alle dialoogvensters van de firewall (zie onderstaande afbeeldingen) op het werkstation moeten zien dat het firewall-beleid nu wordt beheerd via groepsbeleid.
Noteer de nieuwe kolom waarin staat dat dit weer wordt geconfigureerd via Groepsbeleid. Elke regel wordt twee keer vermeld: de ene staat voor de firewallregel die via groepsbeleid wordt geregeld en niet kan worden geconfigureerd, en de andere staat voor de lokale regel die nog door de lokale beheerder kan worden ingeschakeld.
Hoe Group Policy Firewall-regels exclusief toe te passen
Als u niet wilt dat de lokale beheerder extra firewall-regels op het netwerk kan toepassen, kunt u deze ook zo configureren dat de Group Policy-regels exclusief op de lokale firewall worden toegepast.
Stap 1. Open opnieuw dezelfde GPO waarop de firewallregels zijn toegepast en navigeer naar Computerconfiguratie > Beleidsregels > Windows-instellingen > Beveiligingsinstellingen > Windows Firewall met geavanceerde beveiliging en klik met de rechtermuisknop op “Windows Firewall met geavanceerde beveiliging” en klik op “Eigenschappen”
Stap 2. Klik op de knop “Aanpassen…” in het gedeelte Instellingen
Stap 3. Wijzig de optie “Lokale firewallregels toepassen:” in “Nee” en klik op OK
Als u nu teruggaat naar de “Toegestane programma’s” onder “Windows Firewall”, zult u zien dat de kolom Domein nu helemaal grijs is en dat er geen regels kunnen worden toegepast op het domeinprofiel, zelfs niet als u een lokale beheerder bent.
Hopelijk hebt u hiermee genoeg informatie om te beginnen met het beheren van uw Windows-firewall met behulp van groepsbeleid.
Als u echt avontuurlijk bent, kunt u hetzelfde doen met uw servers om ze veilig te houden, omdat ze veel statischer zijn wat betreft de vereisten voor firewallregels, waardoor ze nog eenvoudiger te beheren zijn. U zou bijvoorbeeld de firewall regels van uw SQL server kunnen exporteren en ze dan importeren in een GPO die wordt toegepast op al uw andere SQL Servers. Op deze manier worden bij het verplaatsen van een computerobject naar de SQL Server OU de firewall regels automatisch ingesteld en afgedwongen…… Nice….