Параметры настройки групповой политики межсетевого экрана Windows расположены по следующему пути: Конфигурация компьютера | Административные шаблоны | Сеть | Сетевые подключения | Брандмауэр Windows (рис. 5.7). Настройки снабжены подробным пояснением, поэтому обратим внимание только на основные моменты конфигурирования.
В политике предусмотрено два контейнера: профиль домена и стандартный профиль. Параметры профиля домена используются в случае работы компьютера в сети домена (работа в составе домена определяется по параметрам сетевого адреса и доступности контроллера домена). Если компьютер, например ноутбук, включен в другую сеть, то настройки межсетевого экрана будут выполнены согласно параметрам, содержащимся в контейнере стандартного профиля.
Рис. 5.7. Настройка параметров МСЭ при помощи групповых политик Какие настройки могут быть рекомендованы для применения в обоих случаях? Во-первых, наиболее безопасным вариантом является использование межсетевого экрана как в условиях работы в домене, так и в публичной сети. Во-вторых, должна быть определена политика исключений защиты. При работе в домене, естественно, должны быть включены правила, относящиеся к работе в локальной сети. Кроме того, необходимо создать исключения и отразить их в групповой политике для тех программ управления, которые эксплуатируются на предприятии. Например, если вы используете корпоративную антивирусную программу, то должны разрешить доступ к компьютерам по тем портам, которые она использует (например, для антивируса от Symantec используемые порты описаны в документе http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2005033011582148? OpenDocument&src=ent_hot&dtype=corp&seg=ent&prod=Symantec%20Client% 20Firewall&ver=8.0&tpre=).
А если на предприятии внедрена система удаленного мониторинга, то должны быть открыты порты для данной программы или включена опция Разрешать исключения для удаленного управления для возможности управления через удаленную консоль. В каждом конкретном случае перечень таких исключений индивидуален, а их количество должно быть минимально разумным.
Для стандартного профиля правилом должен стать запрет использования всех исключений межсетевого экрана, поскольку такой вариант наиболее безопасен для публичной сети.
В табл. 5.1 приведены возможные настройки параметров групповой политики для межсетевого экрана Windows.
Таблица 5.1. Рекомендуемые параметры настройки МСЭ
Параметр |
Рекомендуется для профиля |
|
домена | стандартного | |
Защитить все сетевые подключения | Включен | Включен |
Не разрешать исключения | Не задан | Включен, и настроены исключения для используемых программ |
Задать исключения | Включен, и настроены | Включен, и настроены |
для программ | исключения для исполь | исключения для используе- |
зуемых программ | мых программ | |
Разрешать локальные исключения для программ | Отключен | Отключен |
Разрешать исключения для удаленного управления | Отключен | Отключен |
Разрешать исключения для общего доступа к файлам и принтерам | Отключен | Отключен |
Разрешать исключения ICMP | Отключен | Отключен |
Разрешать исключения для удаленного рабочего стола | Включен | Включен |
Разрешать исключения для UPnP-инфраструктуры | Отключен | Отключен |
Запретить уведомления | Отключен | Отключен |
Разрешать ведение журнала | Не задан | Не задан |
Запретить одноадресные ответы на многоадресные или широковещательные запросы | Включен | Включен |
Задать исключения портов | Отключен | Отключен |
Разрешать локальные исключения для портов | Отключен | Отключен |
⇐Настройка параметров межсетевого экрана при помощи групповой политики | Самоучитель системного администратора | Межсетевой экран linux⇒