Параметры настройки групповой политики межсетевого экрана Windows расположены по следующему пути: Конфигурация компьютера | Административные шаблоны | Сеть | Сетевые подключения | Брандмауэр Windows (рис. 5.7). Настройки снабжены подробным пояснением, поэтому обратим внимание только на основные моменты конфигурирования.

В политике предусмотрено два контейнера: профиль домена и стандартный профиль. Параметры профиля домена используются в случае работы компьютера в сети домена (работа в составе домена определяется по параметрам сетевого адреса и доступности контроллера домена). Если компьютер, например ноутбук, включен в другую сеть, то настройки межсетевого экрана будут выполнены согласно параметрам, содержащимся в контейнере стандартного профиля.

Рис. 5.7. Настройка параметров МСЭ при помощи групповых политик Какие настройки могут быть рекомендованы для применения в обоих случаях? Во-первых, наиболее безопасным вариантом является использование межсетевого экрана как в условиях работы в домене, так и в публичной сети. Во-вторых, должна быть определена политика исключений защиты. При работе в домене, естественно, должны быть включены правила, относящиеся к работе в локальной сети. Кроме того, необходимо создать исключения и отразить их в групповой политике для тех программ управления, которые эксплуатируются на предприятии. Например, если вы используете корпоративную антивирусную программу, то должны разрешить доступ к компьютерам по тем портам, которые она использует (например, для антивируса от Symantec используемые порты описаны в документе http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2005033011582148? OpenDocument&src=ent_hot&dtype=corp&seg=ent&prod=Symantec%20Client% 20Firewall&ver=8.0&tpre=).

А если на предприятии внедрена система удаленного мониторинга, то должны быть открыты порты для данной программы или включена опция Разрешать исключения для удаленного управления для возможности управления через удаленную консоль. В каждом конкретном случае перечень таких исключений индивидуален, а их количество должно быть минимально разумным.

Для стандартного профиля правилом должен стать запрет использования всех исключений межсетевого экрана, поскольку такой вариант наиболее безопасен для публичной сети.

В табл. 5.1 приведены возможные настройки параметров групповой политики для межсетевого экрана Windows.

Таблица 5.1. Рекомендуемые параметры настройки МСЭ

Параметр

Рекомендуется для профиля

домена стандартного
Защитить все сетевые подключения Включен Включен
Не разрешать исключения Не задан Включен, и настроены исключения для используемых программ
Задать исключения Включен, и настроены Включен, и настроены
для программ исключения для исполь исключения для используе-
зуемых программ мых программ
Разрешать локальные исключения для программ Отключен Отключен
Разрешать исключения для удаленного управления Отключен Отключен
Разрешать исключения для общего доступа к файлам и принтерам Отключен Отключен
Разрешать исключения ICMP Отключен Отключен
Разрешать исключения для удаленного рабочего стола Включен Включен
Разрешать исключения для UPnP-инфраструктуры Отключен Отключен
Запретить уведомления Отключен Отключен
Разрешать ведение журнала Не задан Не задан
Запретить одноадресные ответы на многоадресные или широковещательные запросы Включен Включен
Задать исключения портов Отключен Отключен
Разрешать локальные исключения для портов Отключен Отключен

Настройка параметров межсетевого экрана при помощи групповой политики | Самоучитель системного администратора | Межсетевой экран linux


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31