Пошаговое руководство по развертыванию политик брандмауэра операционной системы Windows в режиме повышенной безопасности
Корпорация Майкрософт
Опубликовано: октябрь 2007 г.
Автор: Дейв Бишоп (Dave Bishop)
Редактор: Скотт Сомохано (Scott Somohano)
Технические рецензенты: Сара Валерт (Sarah Wahlert), Том Бакстер (Tom Baxter), Сиддхарт Патил (Siddharth Patil), Л. Джоан Девро (L. Joan Devraun)
Рецензенты MVP: Майкл Готч (Michael Gotch), Родриго Иммаджинарио (Rodrigo Immaginario), Роберт Стужински (Robert Stuczynski)
Краткий обзор
В данном руководстве показано, как централизованно настроить и распространить широко используемые параметры и правила брандмауэра операционной системы (ОС) Windows в режиме повышенной безопасности посредством описания типичных задач общего сценария. Здесь также предоставлена возможность приобретения практического опыта реализации в лабораторной среде типичных настроек брандмауэра путем создания и редактирования объектов групповой политики (GPO) с помощью средств управления групповыми политиками. Рассмотрены вопросы конфигурирования объектов GPO с целью реализации типовых сценариев изоляции сервера и домена и показан эффект, производимый такими настройками.
Информация, приведенная в этом документе, соответствует позиции корпорации Майкрософт в отношении описываемых задач на момент публикации документа. Из-за необходимости соответствовать изменяющимся рыночным условиям сведения в этом документе не должны расцениваться как обязательства корпорации Майкрософт. Актуальность представленной информации позднее даты ее публикации не гарантируется.
Руководство предназначено только для ознакомительных целей. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДПИСАННЫХ ЗАКОНОМ, В ОТНОШЕНИИ СВЕДЕНИЙ, СОДЕРЖАЩИХСЯ В ЭТОМ ДОКУМЕНТЕ.
Соблюдение всех соответствующих авторских прав является обязанностью пользователя. Без явного письменного разрешения корпорации Майкрософт запрещается воспроизведение любых частей этого документа, сохранение или представление их в информационно-поисковых системах, а также передача этих частей кому бы то ни было в любой форме — электронной, механической, в виде фотокопии, записи и т.п.
На содержимое этого документа может распространяться действие патентов, заявок на патенты, товарных знаков и других прав интеллектуальной собственности корпорации Майкрософт. Без письменного лицензионного соглашения с корпорацией Майкрософт данный документ не предоставляет никаких прав на патенты, товарные знаки, реализацию авторских прав или иных объектов интеллектуальной собственности.
Все компании, организации, продукты, доменные имена, адреса электронной почты, логотипы, люди, места и события, упомянутые в примерах, являются вымышленными, если не указано обратное. Любые возможные совпадения с реально существующими компанией, организацией, продуктом, доменным именем, адресом электронной почты, логотипом, человеком, местом или событием являются непреднамеренными и не должны трактоваться иначе.
© 2007 Корпорация Майкрософт. Все права защищены.
Microsoft Windows Server, Windows Vista и Windows XP являются товарными знаками группы компаний корпорации Майкрософт.
Все остальные товарные знаки принадлежат соответствующим владельцам.
Содержание
Пошаговое руководство по развертыванию политик брандмауэра операционной системы Windows в режиме повышенной безопасности 1
Краткий обзор 1
Содержание 3
Пошаговое руководство по развертыванию политик брандмауэра ОС Windows в режиме повышенной безопасности 5
Пошаговое руководство по развертыванию политик брандмауэра ОС Windows в режиме повышенной безопасности 5
Обзор сценария 6
Определение настроек по умолчанию на клиентах и серверах 7
Развертывание основных настроек с помощью групповой политики 7
Создание правил, разрешающих определенный входящий трафик 8
Создание правил, блокирующих нежелательный исходящий трафик 8
Развертывание настроек изоляции домена 8
Изолирование сервера обязательным шифрованием и членством в группе 9
Создание правил, позволяющих отдельным компьютерам или пользователям обходить запрещающие правила брандмауэра 9
Обзор технологий развертывания брандмауэра ОС Windows в режиме повышенной безопасности 9
Служба сетевого расположения 10
Работа службы сетевого расположения 10
Персональный брандмауэр 11
Работа персонального брандмауэра 12
Безопасность подключения и протокол IPsec 13
Функционирование протокола IPsec 13
Групповые политики 14
Функционирование групповых политик 14
Требования для выполнения сценариев 15
Требования к оборудованию 16
Требования к программному обеспечению 16
Часто используемые процедуры 16
Настройка компьютеров лаборатории 17
Определение настроек по умолчанию на клиентах и серверах 19
Шаги по определению настроек по умолчанию на клиентах и серверах 20
Шаг 1. Запуск брандмауэра ОС Windows из панели управления 20
Шаг 2. Изучение основных параметров, доступных через интерфейс панели управления 22
Шаг 3. Изучение основных параметров с помощью средства командной строки Netsh 24
Шаг 4. Изучение основных параметров, доступных через оснастку MMC брандмауэра ОС Windows в режиме повышенной безопасности 25
Развертывание основных настроек с помощью групповых политик 26
Развертывание основных настроек с помощью групповой политики 26
Шаг 1. Создание подразделений и размещение в них учетных записей компьютеров 27
Шаг 2. Создание объектов GPO для хранения настроек 28
Шаг 3. Добавление настройки GPO, включающей брандмауэр на рядовых клиентских компьютерах 29
Шаг 4. Развертывание начального объекта GPO с тестовыми настройками брандмауэра 31
Шаг 5. Добавление настройки, запрещающей локальным администраторам применять конфликтующие правила 32
Шаг 6. Настройка остальных параметров брандмауэра клиентского компьютера 35
Шаг 7. Создание групповых фильтров и фильтров WMI 37
Шаг 8. Включение ведения журнала брандмауэра 41
Создание правил, разрешающих необходимый входящий трафик 42
Шаги по созданию правил, разрешающих необходимый входящий трафик 43
Шаг 1. Настройка предопределенных правил с помощью групповой политики 43
Шаг 2. Разрешение незапрошенного входящего сетевого трафика для указанной программы 45
Шаг 3. Разрешение входящего трафика на указанном порту TCP или UDP 49
Шаг 4. Разрешение входящего сетевого трафика, использующего динамический порт RPC 50
Шаг 5. Просмотр журнала брандмауэра 54
Создание правил, блокирующих нежелательный исходящий трафик 56
Шаги по созданию правил, запрещающих нежелательный исходящий трафик 56
Шаг 1. Блокирование трафика программы с помощью правила исходящего подключения 56
Шаг 2. Развертывание и тестирование созданного правила 57
Развертывание основной политики изоляции домена 58
Шаги по созданию правил безопасности подключения, обеспечивающих изоляцию домена 59
Шаг 1. Создание правила безопасности подключения, запрашивающего проверку подлинности 59
Шаг 2. Развертывание и тестирование созданного правила 61
Шаг 3. Изменение правила изоляции в сторону обязательной проверки подлинности 63
Шаг 4. Тестирование изоляции с помощью компьютера, не имеющего правила изоляции домена 64
Шаг 5. Создание освобождающего правила для компьютеров, не входящих в домен 65
Изолирование сервера обязательным шифрованием и членством в группе 66
Шаги по созданию правил безопасности подключения, обеспечивающих изоляцию сервера 66
Шаг 1. Создание группы безопасности 67
Шаг 2. Включение в правило брандмауэра требования членства в группе и шифрования 67
Шаг 3. Создание клиентского правила брандмауэра для поддержки шифрования 68
Шаг 4. Тестирование правила, когда клиентский компьютер не входит в группу 70
Шаг 5. Добавление клиентского компьютера в группу и повторное тестирование 70
Создание правил, позволяющих отдельным компьютерам или пользователям обходить запрещающие правила брандмауэра 71
Шаги по созданию правил, разрешающих отдельным пользователям или компьютерам обходить брандмауэр 72
Шаг 1. Добавление и тестирование правила брандмауэра, блокирующего весь трафик службы Telnet 72
Шаг 2. Включение в разрешающее правило службы Telnet параметра Override Block Rules 73
Заключение 74
Дополнительные источники 75
Брандмауэр ОС Windows в режиме повышенной безопасности 75
Протокол IPsec 75
Изоляция серверов и доменов 75
Групповая политика 76
|
