GPO to wspaniały mechanizm pozwalający na centralną i automatyczną konfigurację. bez GPO jak bez ręki. okazało się, że braqje trochę innej funkcjonalności i do polis dodano preferencje – GPP. potęga.
Windows Firewall uległ totalnej modernizacji do Windows Firewall with Advanced Security, wraz z implementacją stosu TCP/IP i całym modelem zarządzania od longhorna. kolejny świetny mechanizm – w zasadzie od wersji Vista nie trzeba żadnego dodatkowego softu. ma swoje ograniczenia ale ogólnie sprawuje się świetnie. GPO pozwala na jego konfigurację co umożliwia centralne zarządzanie zabezpieczeniami sieciowymi. no i jest wspaniały mechanizm NLA – Network Location Awarness, który sam wykryje typ sieci i ustawi najbezpieczniejszy profil.
od wersji w7/w2k8R2 NLA zostało jeszcze rozbudowane, pozwalając na używanie kilq profili na raz! czyli przy dwóch+ połączeniach każde może działać z innym profilem.
ilość superlatyw sugeruje gruby sarkazm… a fakt jest taki: przy bardziej zaawansowanych konfiguracjach nie można konfigurować WFwAS za pomocą GPO a NLA – jak większość automatów – potrafi nieźle namieszać.
na początek proponuję taki oto wątek – jak się NLA uprze, to nie ma … we wsi.
nie ma możliwości tworzenia własnych typów profili ponad 3 zdefiniowane. zapomniano o tym, że w serwerach jest często, gęsto od połączeń różnych typów – management, iSCSI, direct connections, VLANs itp itd etc i inne trzyliterówki
jeśli skonfiguruje się WFwAS via GPO nie ma możliwości wyłączenia firewalla dla konkretnej sieciówki. nie ma też możliwości zdefiniowania własnej sieci, dla której profil będzie wyłączony
na serwerze nie ma możliwości zdefiniowania profilu dla konkretnej sieci – nie do końca rozumiem dla czego. nie ma też możliwości zrobienia tego via netsh
nie ma mechanizmu pozwalającego określić że sieć np. X.Y.Z.0/24 jest ‘private’ nadpisując mechanizm NLA. to nadal było by za mało ale już coś
GPP nie oferuje możliwości włączenia FW przez co nie mechanizmu do zrealizowania scenariusza ‘włącz podstawowy firewall by default a potem sobie dodefiniuj’ bo polisy będą nadpisywać. oczywiście jest mechanizm mergowania zasad FW więc można dopisać parę rzeczy ponad te z GPO ale zarządzania profilami, chwilowe wyłączenie FW czy zarządzanie filtrowaniem per interfejs nie jest możliwe.
reasumując – mam dylemat czy to rozwój czy niedorozwój mechanizmu zabezpieczeń. w każdym razie na serwerach – GPO do śmietnika. ręczne włączenie zasad ):
Windows Firewall na serwerach – GPO czy lokalnie?
GPO to wspaniały mechanizm pozwalający na centralną i automatyczną konfigurację. bez GPO jak bez ręki. okazało się, że braqje trochę innej funkcjonalności i do polis dodano preferencje – GPP. potęga.
Windows Firewall uległ totalnej modernizacji do Windows Firewall with Advanced Security, wraz z implementacją stosu TCP/IP i całym modelem zarządzania od longhorna. kolejny świetny mechanizm – w zasadzie od wersji Vista nie trzeba żadnego dodatkowego softu. ma swoje ograniczenia ale ogólnie sprawuje się świetnie. GPO pozwala na jego konfigurację co umożliwia centralne zarządzanie zabezpieczeniami sieciowymi. no i jest wspaniały mechanizm NLA – Network Location Awarness, który sam wykryje typ sieci i ustawi najbezpieczniejszy profil.
od wersji w7/w2k8R2 NLA zostało jeszcze rozbudowane, pozwalając na używanie kilq profili na raz! czyli przy dwóch+ połączeniach każde może działać z innym profilem.
ilość superlatyw sugeruje gruby sarkazm… a fakt jest taki: przy bardziej zaawansowanych konfiguracjach nie można konfigurować WFwAS za pomocą GPO a NLA – jak większość automatów – potrafi nieźle namieszać.
reasumując – mam dylemat czy to rozwój czy niedorozwój mechanizmu zabezpieczeń. w każdym razie na serwerach – GPO do śmietnika. ręczne włączenie zasad ):
eN.