Política de Grupo Central
Neste artigo eu vou falar sobre como você pode usar a Política de Grupo para controlar o firewall que sai da caixa com o Windows, mas primeiro eu quero lhe dar um pouco de história da evolução do firewall baseado no host no Windows. Firewalls já existem há um ano protegendo redes corporativas internas de atacantes externos (ver imagem abaixo).
Com a explosão de trabalhadores móveis no final dos anos 90 mais e mais pessoas estavam conectando seus laptops diretamente à internet sem o benefício da proteção de um firewall corporativo. Como resultado, no início dos anos 2000, produtos de firewall de terceiros, como o ZoneAlarm, tornaram-se uma forma muito popular de segurança contra ataques. A Microsoft então adicionou um firewall baseado no host com o lançamento do Windows XP/2003 que infelizmente foi desligado por padrão. Como resultado de ter o firewall desligado por padrão, havia uma série de worms de computador, dos quais os mais notáveis eram o worm Blaster e o worm Sasser, que se espalharam como fogo selvagem para praticamente qualquer computador Windows que não tinha sido especificamente protegido.
Como resultado a Microsoft decidiu fazer uma grande mudança com a configuração do Windows XP com o lançamento do Service Pack 2. Quando os usuários instalaram o Service Pack 2, eles agora foram solicitados a ligar o firewall, protegendo-os de comunicações maliciosas. O problema de ativar um firewall, no entanto, é que você geralmente bloqueia todo o tráfego de entrada por padrão, o que significa que produtos como o Skype e/ou o Windows Messenger não poderiam mais receber chamadas ou mensagens recebidas. Para contornar esses problemas, os usuários finais seriam avisados quando um aplicativo quisesse abrir uma porta de entrada na rede. A equipe de TI corporativa poderia controlar isso para os usuários que usam a Política de Grupo através da seção Firewall do Windows em Modelos Administrativos > Rede > Conexões de Rede.
Este foi um bom primeiro passo, porém criar um conjunto de regras de firewall usando a configuração de política de grupo nativa sob Windows Firewall foi um desafio na melhor das hipóteses, pois a maioria das configurações tinha que ser configurada manualmente.
Com o lançamento do Windows Vista/2008 a Microsoft reformulou totalmente o Firewall do Windows para permitir uma administração muito mais fácil. Os administradores de TI agora têm muito mais controle granular sobre como eles podem gerenciar as regras do firewall e agora eles têm a capacidade de controlar tanto a comunicação de entrada quanto a de saída, além de serem capazes de habilitar seletivamente as regras, dependendo da rede em que o computador está conectado. Eles também mudaram onde você configurou o firewall através da política de grupo para Configurações do Windows > Configurações de Segurança > Firewall do Windows com Segurança Avançada, que habilitou alguns recursos legais, como importação e exportação de regras de firewall, que eu irei mais tarde.
Below Eu irei através de um exemplo de um administrador de TI que deseja configurar um conjunto padrão de regras de firewall para um computador laptop com Windows 7 e com uma regra para permitir o Skype quando conectado em casa e na Internet, mas não quando conectado ao domínio. Normalmente, no mundo real, você teria muito mais exceções de entrada, porém você deve ser capaz de usar isso como um guia para começar a construir sua configuração de regras de firewall especificamente para o seu ambiente.
Antes de começar: Se você já configurou a configuração do firewall na seção antiga “Windows Firewall”, essas regras de política também serão aplicadas e os dois conjuntos de regras tentarão se fundir com resultados imprevisíveis. Eu recomendo que você certifique-se de que nenhuma configuração de “Firewall do Windows” seja aplicada aos seus computadores Vista/2008 ou superiores e que você aplique somente a configuração do firewall a esses computadores mais novos através da opção de política de segurança do grupo “Firewall do Windows com Segurança Avançada”.
Configurando a Regra do Firewall do Windows
Primeiro vamos configurar um computador de referência com a regra do firewall da maneira que quisermos e depois explorá-los para que possamos importá-los para uma política de grupo. A configuração das regras de firewall no PC primeiro nos dá a oportunidade de testar as regras corretamente antes de implantá-las em outros computadores. Se também nos permitir exportar todas as regras em uma ação para que você não tenha que passar pelo longo processo de configurar todas as regras manualmente, uma a uma.
Neste exemplo, este computador está executando o Windows 7 e já tem o Skype 4.2 instalado.
Passo 1. Clique com o botão direito do mouse no ícone de status da rede na bandeja do sistema e clique em “Open Network and Sharing Center”
Passo 2. Clique em “Windows Firewall” no canto inferior esquerdo.
Passo 3 opcional. Vamos ter uma rápida visão geral de alto nível das regras do firewall clicando em “Permitir um programa ou recurso através do Firewall do Windows” no painel esquerdo.
Como você pode ver, o Skype foi configurado para funcionar nos perfis Domínio, Privado e Público. Neste exemplo, vamos configurá-lo para que funcione apenas nos perfis Casa/Trabalho e Público, para que os usuários não possam usar o Skype quando estiverem conectados ao domínio corporativo através da LAN.
Nota: que as opções aqui estão bloqueadas porque você ainda não elevou suas credenciais.
Passo 4 opcional. Clique em Cancelar
Passo 5. Clique em “Configurações avançadas” no painel da esquerda.
Passo 6. Clique em “Regras de entrada” e depois clique duas vezes na entrada de regras de firewall “Skype” na coluna da direita.
Nota: O Perfil configurado atualmente está definido para “Todos”
Agora vamos configurar a regra do Skype para ser desativada usando o perfil de domínio, porém você também pode usar esta caixa de diálogo de propriedades para configurar outras configurações granulares. Eu recomendo que você vá através de todas estas abas e se familiarize com todas as configurações que você pode controlar usando esta caixa de diálogo.
Passo 7. Clique no separador “Avançado”
Passo 8. Desmarque a caixa de seleção “Domínio” e clique em “OK”
Note: O Perfil agora está configurado para “Privado, Público”
Se você voltar para a opção “Permitir que programas comuniquem pensamento Windows Firewall”, você verá que as opções de Domínio para Skype foram desmarcadas.
Agora você precisa testar o conjunto de regras do seu firewall para ter certeza de que ele se comporta como você espera. Assumindo que tudo está OK, então você exporta suas regras de firewall para que você possa importá-las para uma Política de Grupo. Você também pode querer salvar a exportação do conjunto de regras antes de começar a se certificar de que você tem algo para se comportar no caso de você empalhar totalmente o conjunto de regras e quebrar sua rede.
Exportando Regras de Firewall do Windows
Passo 1. Na secção Firewall do Windows com Segurança Avançada clique em “Action” no menu e depois em “Export Policy”
Step 2. Selecione um local para salvar suas regras de firewall e então digite o nome do arquivo que você deseja salvar como (por exemplo, default_rules.wfw) e clique em “Salvar”.
Note: Se você teve que se elevar como outro usuário para modificar as regras do firewall, então você estará salvando o arquivo no perfil de contas do administrador.
Step 3. Clique “OK”
Importar regras de firewall do Windows para uma política de grupo
Agora que você exportou as regras de firewall, agora importaremos o arquivo exportado para uma política de grupo para que você possa aplicar o mesmo conjunto de regras para todas as estações de trabalho em sua rede.
Passo 1. Edite um objeto de política de grupo (GPO) que tem como alvo o computador que você quer aplicar estas regras de firewall.
Passo 2. Abra a Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Firewall do Windows com Segurança Avançada e clique em “Firewall do Windows com Segurança Avançada”
Passo 3. No menu clique em “Action” e depois em “Import Policy…”.
Passo 4. Clique “Yes”
Note: Isto é ok se você não tiver feito isto antes, entretanto se esta é a segunda vez que você fez isto você pode querer criar um novo GPO e importar as regras para aquele, de modo a não desperdiçar suas regras de política existentes.
Step 5. Selecione o arquivo de exportação de regras de firewall criado antes e clique em “Open”
Wait…
Step 6. Clique “OK”
Done.
Pode agora rever as regras que foram importadas para o GPO.
Nota: Você pode ver como a regra do Skype é configurada como Privada, Pública como nós configuramos antes no computador local. Se você quiser mudar a outra vez você pode simplesmente clicar duas vezes na regra e personalizar a regra como você quer daqui.
Você também pode desativar as regras e cortar seletivamente, copiar & colar as regras entre GPO’s separadas. É assim que você fundiria regras se importasse o conjunto de regras de um novo GPO de volta no passo 4.
Como copiar, excluir ou desabilitar uma regra…
Como colar uma regra em uma política existente…
Você deve agora ser notificado de que em todas as caixas de diálogo de firewall (veja as imagens abaixo) na estação de trabalho que a política de firewall está agora sendo controlada através da política de grupo.
Note a nova coluna que afirma que o tempo está configurado pela política de grupo. Cada regra é listada duas vezes como uma representa a regra de firewall controlada através da Política de Grupo que não pode ser configurada e a outra representa a regra local que ainda pode ser habilitada pelo administrador local.
Como aplicar exclusivamente as regras de Firewall de Política de Grupo
Se você não quiser que o administrador local seja capaz de aplicar regras de firewall adicionais à rede, então você também pode configurá-las para que as regras de Política de Grupo sejam aplicadas exclusivamente ao firewall local.
Passo 1. Abra novamente a mesma GPO que você tem as regras de firewall aplicadas e navegue até Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Firewall do Windows com Segurança Avançada e clique com o botão direito em “Firewall do Windows com Segurança Avançada” e clique em “Propriedades”
Passo 2. Clique no botão “Personalizar…” na seção de configuração
Passo 3. Altere a opção “Apply local firewall rules:” para “No” e clique em OK
Agora se você voltar para “Allowed Programs” em “Windows Firewall” você notará que a coluna Domínio agora está totalmente cinza e nenhuma regra pode ser aplicada ao perfil do domínio mesmo se você for um administrador local.
Esperançosamente você terá dado o suficiente para começar a controlar seu firewall do Windows usando a política de grupo.
Se você está se sentindo realmente aventureiro, você também pode fazer a mesma coisa com seus servidores para mantê-los seguros, pois eles são muito mais estáticos com os requisitos das regras de firewall, o que os torna ainda mais fáceis de gerenciar. Por exemplo, você poderia exportar as regras de firewall do seu servidor SQL e depois importá-las para um GPO que é aplicado a todos os seus outros servidores SQL. Desta forma, quando você move um objeto de computador para o SQL Server OU as regras de firewall são automaticamente configuradas e aplicadas… Ótimo…