GPO to wspaniały mechanizm pozwalający na centralną i automatyczną konfigurację. bez GPO jak bez ręki. okazało się, że braqje trochę innej funkcjonalności i do polis dodano preferencje – GPP. potęga.

Windows Firewall uległ totalnej modernizacji do Windows Firewall with Advanced Security, wraz z implementacją stosu TCP/IP i całym modelem zarządzania od longhorna. kolejny świetny mechanizm – w zasadzie od wersji Vista nie trzeba żadnego dodatkowego softu. ma swoje ograniczenia ale ogólnie sprawuje się świetnie. GPO pozwala na jego konfigurację co umożliwia centralne zarządzanie zabezpieczeniami sieciowymi. no i jest wspaniały mechanizm NLA – Network Location Awarness, który sam wykryje typ sieci i ustawi najbezpieczniejszy profil.

od wersji w7/w2k8R2 NLA zostało jeszcze rozbudowane, pozwalając na używanie kilq profili na raz! czyli przy dwóch+ połączeniach każde może działać z innym profilem.

ilość superlatyw sugeruje gruby sarkazm… a fakt jest taki: przy bardziej zaawansowanych konfiguracjach nie można konfigurować WFwAS za pomocą GPO a NLA – jak większość automatów – potrafi nieźle namieszać.

  • na początek proponuję taki oto wątek – jak się NLA uprze, to nie ma … we wsi.
  • nie ma możliwości tworzenia własnych typów profili ponad 3 zdefiniowane. zapomniano o tym, że w serwerach jest często, gęsto od połączeń różnych typów – management, iSCSI, direct connections, VLANs itp itd etc i inne trzyliterówki
  • jeśli skonfiguruje się WFwAS via GPO nie ma możliwości wyłączenia firewalla dla konkretnej sieciówki. nie ma też możliwości zdefiniowania własnej sieci, dla której profil będzie wyłączony
  • na serwerze nie ma możliwości zdefiniowania profilu dla konkretnej sieci – nie do końca rozumiem dla czego. nie ma też możliwości zrobienia tego via netsh
  • nie ma mechanizmu pozwalającego określić że sieć np. X.Y.Z.0/24 jest ‘private’ nadpisując mechanizm NLA. to nadal było by za mało ale już coś
  • GPP nie oferuje możliwości włączenia FW przez co nie mechanizmu do zrealizowania scenariusza ‘włącz podstawowy firewall by default a potem sobie dodefiniuj’ bo polisy będą nadpisywać. oczywiście jest mechanizm mergowania zasad FW więc można dopisać parę rzeczy ponad te z GPO ale zarządzania profilami, chwilowe wyłączenie FW czy zarządzanie filtrowaniem per interfejs nie jest możliwe.

reasumując – mam dylemat czy to rozwój czy niedorozwój mechanizmu zabezpieczeń. w każdym razie na serwerach – GPO do śmietnika. ręczne włączenie zasad ):

eN.

Spread the love

Comments (2)

  1. gt

    Odpowiedz

    Niedorozwój. W końcu jest to pierwszy prawdziwy firewall w systemach Microsoftu i pewnie zabrakło czasu na zrobienie porządnego mechanizmu zarządzającego. Jak w Windows Server 8 nie poprawią, to będzie wstyd. A jak poprawią, to znaczy, że w 2008 dostaliśmy coś prawie w pełni funkcjonalnego. IMHO lepsze takie niż takie jak w 2003.

  2. Odpowiedz

    Doing some browsing and noticed your website appears a bit messed up in my K-meleon internet browser. But fortunately hardly anyone uses it any longer but you may want to look into it. A benevolent man should allow a few faults in himself, to keep his friends in countenance. Benjamin Franklin 1706 1790

Pozostaw odpowiedź gt Anuluj pisanie odpowiedzi

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.