Windows Firewall na serwerach – GPO czy lokalnie?

GPO to wspaniały mechanizm pozwalający na centralną i automatyczną konfigurację. bez GPO jak bez ręki. okazało się, że braqje trochę innej funkcjonalności i do polis dodano preferencje – GPP. potęga.

Windows Firewall uległ totalnej modernizacji do Windows Firewall with Advanced Security, wraz z implementacją stosu TCP/IP i całym modelem zarządzania od longhorna. kolejny świetny mechanizm – w zasadzie od wersji Vista nie trzeba żadnego dodatkowego softu. ma swoje ograniczenia ale ogólnie sprawuje się świetnie. GPO pozwala na jego konfigurację co umożliwia centralne zarządzanie zabezpieczeniami sieciowymi. no i jest wspaniały mechanizm NLA – Network Location Awarness, który sam wykryje typ sieci i ustawi najbezpieczniejszy profil.

od wersji w7/w2k8R2 NLA zostało jeszcze rozbudowane, pozwalając na używanie kilq profili na raz! czyli przy dwóch+ połączeniach każde może działać z innym profilem.

ilość superlatyw sugeruje gruby sarkazm… a fakt jest taki: przy bardziej zaawansowanych konfiguracjach nie można konfigurować WFwAS za pomocą GPO a NLA – jak większość automatów – potrafi nieźle namieszać.

  • na początek proponuję taki oto wątek – jak się NLA uprze, to nie ma … we wsi.
  • nie ma możliwości tworzenia własnych typów profili ponad 3 zdefiniowane. zapomniano o tym, że w serwerach jest często, gęsto od połączeń różnych typów – management, iSCSI, direct connections, VLANs itp itd etc i inne trzyliterówki
  • jeśli skonfiguruje się WFwAS via GPO nie ma możliwości wyłączenia firewalla dla konkretnej sieciówki. nie ma też możliwości zdefiniowania własnej sieci, dla której profil będzie wyłączony
  • na serwerze nie ma możliwości zdefiniowania profilu dla konkretnej sieci – nie do końca rozumiem dla czego. nie ma też możliwości zrobienia tego via netsh
  • nie ma mechanizmu pozwalającego określić że sieć np. X.Y.Z.0/24 jest ‘private’ nadpisując mechanizm NLA. to nadal było by za mało ale już coś
  • GPP nie oferuje możliwości włączenia FW przez co nie mechanizmu do zrealizowania scenariusza ‘włącz podstawowy firewall by default a potem sobie dodefiniuj’ bo polisy będą nadpisywać. oczywiście jest mechanizm mergowania zasad FW więc można dopisać parę rzeczy ponad te z GPO ale zarządzania profilami, chwilowe wyłączenie FW czy zarządzanie filtrowaniem per interfejs nie jest możliwe.

reasumując – mam dylemat czy to rozwój czy niedorozwój mechanizmu zabezpieczeń. w każdym razie na serwerach – GPO do śmietnika. ręczne włączenie zasad ):

eN.