Group Policy Central
În acest articol voi vorbi despre cum puteți folosi Politica de grup pentru a controla firewall-ul care vine la pachet cu Windows, dar mai întâi vreau să vă prezint un pic de istorie a evoluției firewall-ului bazat pe gazdă în Windows. Firewall-urile există de mult timp de un an protejând rețelele interne ale companiilor de atacatorii externi (a se vedea imaginea de mai jos).
Cu explozia numărului de lucrători mobili de la sfârșitul anilor ’90, tot mai multe persoane își conectau laptopurile direct la internet fără a beneficia de protecția unui firewall corporativ. Ca urmare, la începutul anilor 2000, produsele firewall de la terți, cum ar fi ZoneAlarm, au devenit o modalitate foarte populară de securitate împotriva atacurilor. Microsoft a adăugat apoi un firewall bazat pe gazdă odată cu lansarea Windows XP/2003, care, din păcate, a fost dezactivat în mod implicit. Ca urmare a faptului că firewall-ul a fost dezactivat în mod implicit, au apărut o serie de viermi de calculator, dintre care cei mai importanți au fost viermele Blaster și viermele Sasser, care s-au răspândit ca un foc de paie pe aproape orice calculator Windows care nu fusese securizat în mod special.
Ca urmare, Microsoft a decis să facă o schimbare majoră în ceea ce privește modul în care era configurat Windows XP odată cu lansarea Service Pack 2. Atunci când utilizatorii instalau Service Pack 2, li se cerea acum să activeze firewall-ul, protejându-i astfel de comunicările malițioase. Cu toate acestea, problema cu activarea unui firewall este că, în general, blochează în mod implicit tot traficul de intrare, ceea ce înseamnă că produse precum Skype și/sau Windows Messenger nu mai pot primi apeluri sau mesaje primite. Pentru a ocoli această problemă, utilizatorii finali ar trebui să primească un mesaj atunci când o aplicație dorește să deschidă un port de intrare în rețea. Personalul IT al corporației ar putea controla acest lucru pentru utilizatori folosind Group Policy prin intermediul secțiunii Windows Firewall din Administrative Templates > Network > Network Connections.
Acesta a fost un prim pas bun, însă crearea unui set de reguli de firewall folosind setările native ale politicii de grup din cadrul Windows Firewall a fost cel puțin dificilă, deoarece acolo majoritatea setărilor trebuiau să fie configurate manual.
Cu ocazia lansării Windows Vista/2008, Microsoft a remodelat în totalitate Windows Firewall pentru a permite o administrare mult mai ușoară. Administratorii IT au acum un control mult mai granular asupra modului în care pot gestiona regulile de firewall și au acum posibilitatea de a controla atât comunicațiile de intrare, cât și cele de ieșire, precum și posibilitatea de a activa selectiv regulile în funcție de rețeaua la care este conectat calculatorul. De asemenea, au schimbat locul în care se configurează firewall-ul prin intermediul politicii de grup în Windows Settings > Security Settings > Windows Firewall with Advanced Security, ceea ce a permis activarea unor caracteristici interesante, cum ar fi importul și exportul de reguli de firewall, despre care voi vorbi mai târziu.
Mai jos voi da un exemplu de administrator IT care dorește să configureze un set implicit de reguli de firewall pentru un laptop cu Windows 7 și cu o regulă care să permită Skype atunci când este conectat acasă și pe internet, dar nu și atunci când este conectat la domeniu. În mod normal, în lumea reală, veți avea mult mai multe excepții de intrare, însă ar trebui să puteți folosi acest exemplu ca un ghid pentru a începe să vă construiți configurarea regulilor de firewall în mod specific pentru mediul dumneavoastră.
Înainte de a începe: Dacă ați configurat deja setarea de firewall în cadrul secțiunii mai vechi „Windows Firewall”, aceste reguli de politică se vor aplica și ele, iar cele două seturi de reguli vor încerca să fuzioneze cu rezultate imprevizibile. Vă recomand să vă asigurați că nicio setare „Windows Firewall” nu este aplicată pe computerele Vista/2008 sau mai mari și că aplicați setarea de firewall numai pe aceste computere mai noi prin intermediul opțiunii de securitate a politicii de grup „Windows Firewall with Advanced Security”.
Configurarea regulii Windows Firewall
În primul rând vom configura un computer de referință cu regula de firewall așa cum dorim și apoi le vom explora pentru a le putea importa într-o politică de grup. Configurarea regulilor de firewall pe PC-ul de referință ne oferă mai întâi posibilitatea de a testa corect regulile înainte de a le implementa pe alte calculatoare. Dacă ne permite, de asemenea, să exportăm toate regulile într-o singură acțiune, astfel încât să nu fie nevoie să trecem prin procesul îndelungat de configurare manuală a tuturor regulilor, una câte una.
În acest exemplu, acest computer rulează Windows 7 și are deja instalat Skype 4.2.
Pasul 1. Faceți clic dreapta pe pictograma de stare a rețelei din tava de sistem și faceți clic pe „Open Network and Sharing Center”
Pasul 2. Faceți clic pe „Windows Firewall” în colțul din stânga jos.
Etapa 3 opțional. Vom avea o prezentare rapidă la nivel înalt a regulilor de firewall făcând clic pe „Allow a program or feature through Windows Firewall” (Permiteți un program sau o caracteristică prin Windows Firewall) în panoul din stânga.
După cum puteți vedea, Skype a fost configurat pentru a funcționa în profilurile Domain, Private și Public. În acest exemplu, vom configura acest lucru astfel încât să funcționeze numai în profilurile Home/Work și Public, astfel încât utilizatorii să nu poată utiliza Skype atunci când sunt conectați la domeniul corporativ prin intermediul LAN.
Rețineți: că opțiunile de aici sunt blocate deoarece nu v-ați ridicat încă acreditările.
Pasul 4 opțional. Faceți clic pe Cancel
Pasul 5. Faceți clic pe „Advanced Settings” (Setări avansate) în panoul din stânga.
Pasul 6. Faceți clic pe „Inbound Rules” (Reguli de intrare) și apoi faceți dublu clic pe intrarea regulii de firewall „Skype” din coloana din dreapta.
Nota: Profilul configurat în prezent este setat la „All”
Acum vom configura regula Skype pentru a fi dezactivată folosind profilul de domeniu, însă puteți utiliza, de asemenea, această casetă de dialog cu proprietăți pentru a configura alte setări granulare. Vă recomand să parcurgeți toate aceste file și să vă familiarizați cu toate setările pe care le puteți controla cu ajutorul acestei casete de dialog.
Pasul 7. Faceți clic pe fila „Advanced” (Avansat)
Pasul 8. Debifați caseta „Domain” (Domeniu) și apoi faceți clic pe „OK”
Nota: Profilul este acum configurat la „Private, Public”
Dacă reveniți la opțiunea „Allow programs to communicate thought Windows Firewall” (Permiteți programelor să comunice prin Windows Firewall), veți vedea acum că opțiunile Domain (Domeniu) pentru Skype au fost debifate.
Acum trebuie să testați setul de reguli de firewall pentru a vă asigura că se comportă așa cum vă așteptați. Presupunând că totul este în regulă, atunci exportați regulile de firewall pentru a le putea importa într-o Politică de grup. Este posibil să doriți, de asemenea, să salvați exportul setului de reguli înainte de a începe, pentru a vă asigura că aveți ceva la care să vă întoarceți în cazul în care ați încurcat complet setul de reguli și v-ați stricat rețeaua.
Exportul regulilor de firewall Windows
Pasul 1: Exportați setul de reguli de firewall Windows. În secțiunea Windows Firewall with Advance Security dați click pe „Action” în meniu și apoi pe „Export Policy”
Pasul 2. Selectați o locație în care să salvați regulile de firewall și apoi tastați numele fișierului sub care doriți să le salvați (de exemplu, default_rules.wfw), apoi faceți clic pe „Save”.
Nota: Dacă a trebuit să vă ridicați ca un alt utilizator pentru a modifica regulile de firewall, atunci veți salva fișierul în profilul conturilor de administrator.
Pasul 3. Faceți clic pe „OK”
Importul regulilor de firewall Windows într-o politică de grup
Acum că ați exportat regulile de firewall, vom importa acum fișierul exportat într-o politică de grup, astfel încât să puteți aplica același set de reguli la toate stațiile de lucru din rețea.
Pasul 1. Editați un obiect de politică de grup (GPO) care vizează computerul pe care doriți să aplicați aceste reguli de firewall.
Pasul 2. Deschideți Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security și faceți clic pe „Windows Firewall with Advanced Security”
Pași 3. În meniu, faceți clic pe „Acțiune” și apoi pe „Importați politica…”
Etapa 4. Faceți clic pe „Yes”
Nota: Acest lucru este în regulă dacă nu ați mai făcut acest lucru înainte, totuși, dacă este a doua oară când faceți acest lucru, este posibil să doriți să creați un nou GPO și să importați regulile în acela pentru a nu distruge regulile de politică existente.
Pasul 5. Selectați fișierul de export al regulilor de firewall care a fost creat anterior și faceți clic pe „Open”
Așteptați…
Pasul 6. Faceți clic pe „OK”
Făcut.
Acum puteți revizui regulile care au fost importate în GPO.
Nota: Puteți vedea cum regula Skype este configurată ca Private, Public așa cum am configurat înainte pe calculatorul local. Dacă doriți să schimbați din nou, puteți pur și simplu să faceți dublu clic pe regulă și să personalizați regula așa cum doriți de aici.
De asemenea, puteți dezactiva selectiv regulile și puteți tăia, copia & lipi regulile între GPO-uri separate. Acesta este modul în care ați îmbina regulile dacă ați importa setul de reguli din într-un nou GPO la pasul 4.
Cum să copiați, să ștergeți sau să dezactivați o regulă…
Cum să lipiți o regulă într-o politică existentă…
Ar trebui să fiți acum notificat că în toate casetele de dialog ale firewall-ului (a se vedea imaginile de mai jos) de pe stația de lucru că politica de firewall este acum controlată prin intermediul politicii de grup.
Observați noua coloană care indică vremea în care aceasta este configurată prin politica de grup. Fiecare regulă este listată de două ori, deoarece una reprezintă regula de firewall controlată prin politica de grup care nu poate fi configurată, iar cealaltă reprezintă regula locală care poate fi totuși activată de către administratorul local.
Cum se aplică exclusiv regulile de firewall Group Policy
Dacă nu doriți ca administratorul local să poată aplica reguli de firewall suplimentare în rețea, atunci puteți, de asemenea, să o configurați astfel încât regulile Group Policy să fie aplicate exclusiv pe firewall-ul local.
Pasul 1: În cazul în care nu doriți ca administratorul local să poată aplica reguli de firewall suplimentare în rețea, atunci puteți configura astfel încât regulile Group Policy să fie aplicate exclusiv pe firewall-ul local. Deschideți din nou același GPO căruia i s-au aplicat regulile de firewall și navigați la Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security și faceți clic dreapta pe „Windows Firewall with Advanced Security” și faceți clic pe „Properties”
Pași 2. Faceți clic pe butonul „Customize…” (Personalizați..) din secțiunea Setting (Setări)
Etapă 3. Schimbați opțiunea „Apply local firewall rules:” la „No” (Nu) și faceți clic pe OK
Acum, dacă vă întoarceți la „Allowed Programs” (Programe permise) din cadrul „Windows Firewall” (Firewall Windows), veți observa că coloana Domain (Domeniu) este acum complet gri și nicio regulă nu poate fi aplicată profilului de domeniu, chiar dacă sunteți administrator local.
Sperăm că acest lucru v-a dat suficiente informații pentru a începe să vă controlați firewall-ul Windows folosind politica de grup.
Dacă vă simțiți cu adevărat aventuros, puteți face același lucru și cu serverele dvs. pentru a le menține în siguranță, deoarece acestea sunt mult mai statice în ceea ce privește cerințele regulilor de firewall, ceea ce le face și mai ușor de gestionat. De exemplu, ați putea exporta regulile de firewall ale serverului dvs. SQL și apoi să le importați într-un GPO care se aplică tuturor celorlalte servere SQL. În acest fel, atunci când mutați un obiect informatic în SQL Server OU, regulile de firewall sunt configurate și aplicate automat… Drăguț…