Вопрос или проблема
Я пытаюсь ужесточить свою серверную среду, отключив ненужные правила брандмауэра. Я не хочу удалять ненужные правила и не хочу создавать блокирующие правила, просто отключаю те, которые не хочу, чтобы были включены. Это не зависит от того, есть ли на самом деле слушатель для связанного порта. Это больше вопрос соблюдения, чем безопасности – правило брандмауэра не должно быть включено.
Я пытаюсь сделать это через GPO, однако мои правила постоянно дублируются – одно локальное и одно из групповой политики. Из-за природы брандмауэра Windows, если существует хотя бы одно правило, разрешающее трафик, то он разрешен, если нет блокирующего правила (которого в моем случае не будет). Вот пример рабочего процесса:
Настройка: Серверы имеют два включенных правила в группе “AllJoyn Router”. Поскольку мы это не используем и нет слушателя, нет причины, чтобы правила были включены.
- Убедитесь, что политика связана с правильным OU и сервер существует непосредственно в этом OU (без подпапок OU).
- Убедитесь, что к OU не применяются другие политики, либо напрямую, либо по наследству.
- Настройте все три профиля следующим образом:
- Состояние брандмауэра = Включено
- Входящие подключения = Блокировать
- Исходящие подключения = Разрешить
- Отображать уведомление = Да
- Разрешить ответ unicаst = Да
- Применять локальные правила брандмауэра = Да (или “Нет”. Это, похоже, не имеет значения.)
- Применять локальные правила безопасности подключения = Да
- Добавьте новое правило “Входящие” в политику, используя тип правила Предопределенный = “AllJoyn Router”
- Оставьте флажки отмеченными
- Разрешите подключение
- Выберите все правила, щелкните правой кнопкой мыши и выберите “Отключить правило”
- Принудительно обновите групповую политику на сервере
- Проверьте консоль “Защита Windows с повышенной безопасностью” и увидьте, что теперь есть четыре правила “AllJoyn Router”, два из которых включены (как и было изначально) и два отключены.
Я полагал, что “Применять локальные правила брандмауэра = Да” должно объединять правила, переопределяя локальные правила версией групповой политики. Однако это не происходит. Независимо от того, “Применять локальные правила брандмауэра” равно “Да” или “Нет”, я всегда получаю свои правила дублированными.
Либо я что-то упускаю, либо не понимаю. Я ожидаю, что будет только одно из каждого правила, и каждое правило должно отражать свою конфигурацию в групповой политике.
Ответ или решение
Как использовать Group Policy для обновления существующих предустановленных правил брандмауэра
Ваша цель заключается в том, чтобы обеспечить соответствие политике безопасности вашего сервера, отключив ненужные правила брандмауэра, без их удаления. Использование Group Policy (GPO) для управления этими правилами может быть несколько сложным, если не учитывать некоторые нюансы.
Понимание работы GPO и правил брандмауэра
Windows Firewall управляет правилами сетевого доступа и может конфликтовать с настройками, которые влияют на поведение локальных правил. Когда вы применяете GPO для управления правилами брандмауэра, важно следить за настройками, которые могут привести к дублированию правил.
Шаги для настройки GPO
-
Проверьте связывание политики с нужным OU: Убедитесь, что ваша GPO связана с правильным организационным единицей (OU) и что сервер находится непосредственно в этом OУ. Избегайте наследования политик из родительских OU, чтобы не возникло конфликтов.
-
Отключите другие GPO: Проверьте, нет ли других политик, которые могут применяться к вашему OU. Это включает как прямые ссылки, так и унаследованные.
-
Настройка профилей брандмауэра:
- Убедитесь, что состояние брандмауэра включено.
- Настройте входящие соединения на блокировку.
- Разрешите исходящие соединения.
- Включите уведомления.
- Разрешите ответ на юникаст.
- Установите параметры "Применить локальные правила брандмауэра" и "Применить локальные правила управления соединениями" на "Да".
-
Добавление нового правила:
- Создайте новое правило в разделе "Inbound" (входящие) с использованием типа правила "Предустановленное" и выберите "AllJoyn Router".
- Убедитесь, что все чекбоксы отмечены.
- Разрешите соединения и отключите все правила, щелкнув правой кнопкой мыши и выбрав "Отключить правило".
-
Применение изменений:
- Принудительно обновите группу политик на сервере с помощью команды
gpupdate /force
. - Откройте консоль "Расширенная безопасность Windows Defender Firewall" для проверки состояния правил.
- Принудительно обновите группу политик на сервере с помощью команды
Решение проблемы с дублированием правил
Если вы обнаруживаете дублирование правил (например, два набора правил "AllJoyn Router", один включен, другой отключен), вероятное объяснение заключается в функции применения локальных правил. Даже с установленным значением "Да" для "Применить локальные правила брандмауэра", правила могут не полностью отменять локально заданные параметры.
Рекомендации:
-
Удаление локальных правил перед применением GPO: Возможно, вам следует временно удалить локальные правила или вручную отключить их перед применением GPO. Это может помочь предотвратить дублирование.
-
Проверка обновлений и исправлений: Убедитесь, что на ваших серверах установлены последние обновления Windows. Некоторые проблемы с GPO могут быть вызваны ошибками, которые были исправлены в последних обновлениях.
-
Использование PowerShell для управления правилами: Если проблема сохраняется, вы можете рассмотреть возможность использования PowerShell для управления правилами брандмауэра, так как это может дать вам больше контроля над тем, что происходит на локальном уровне.
-
Мониторинг и аудит: Включите аудит правил брандмауэра, чтобы отслеживать изменения, которые происходят в результате применения GPO. Это позволит вам лучше понимать, как GPO влияет на настройки брандмауэра.
Заключение
Работа с GPO и правилами брандмауэра Windows может быть непростой задачей, особенно когда вы стремитесь избежать дублирования правил. Важно четко следовать рекомендациям и вносить изменения с учетом особенностей вашей инфраструктуры. Если у вас возникнут трудности, не стесняйтесь использовать другие инструменты управления для более точного контроля.