Windows Firewall

  • Как да подобрите сигурността в AD инфраструктурата, като използвате наличния Windows Firewall

    В повечето случаи, администраторите използваме комбинация от редица инструменти, за да повишим сигурността на нашата инфраструктура – от традиционни решения, като антивирусен софтуер и защитна стена на изхода на мрежата, до по-иновативни, като IDR, XDR и NGFW. В условията на криза обаче, не всички разполагат с нужния ресурс.

    Как да си осигурите добра защита ако бюджетът ви е орязан

    Често неглижираме вградените инструменти, сред които е и Windows Firewall. Обзалагам се, че повечето от вас дори не са поглеждали правилата му. Доскоро аз също попадах в това число –  използвах Windows Firewall единствено в случаите, когато трябва да разреша трафика на определено приложение.

    Ще се съгласите, че приемаме вградените инструменти за даденост и не им обръщаме особено внимание. Добрите практики  в информационната сигурност и по-точно методологията на многопластовата защита (Defence-in-depth) обаче сочат, че с всеки един слой добавяме още една защита, която би могла да попречи на злонамерените лица при опит за експлоатиране на вътрешната ни инфраструктура.

    Какво по-добро средство от вградения Windows Firewall – добавяме още един слой защита без да инвестираме допълнително.

    Решение, което си струва да опитате

    Наскоро попаднах на един много интересен случай, при който е постигнато доста добро ниво на защита на крайните станции, чрез използването на AD, GPO и Windows Firewall. Постигнато е:

    • Централизирано управление на правилата в Windows Firewall чрез GPO
    • Високо ниво на сигурност, базирано на Block by default т.е. трафик, за който няма създадено правило в Windows Firewall, се блокира
    • Задължително удостоверяване преди да се разреши комуникацията към критичните услуги
    • Криптиране на протоколите, които изпращат информацията в чист вид
    • Използване на сигурни шифри при криптирането на комуникацията
    • Игнориране на локалните Firewall настройки – така сте сигурни, че тази политика ще се приложи на всички машини

    Като краен резултат получавате изолация на ниво работна станция, което прави много по-трудно зловредното движение в мрежата (Lateral movement). Освен това, протоколи, които изпращат информацията в чист вид ще бъдат криптирани, което би предотвратило атаки от типа човек по средата (man-in-the-middle). Постигнато е и подсигуряване на RDP (Remote Desk Protocol), един от най-често експлоатираните протоколи при атаки от криптовирус (ransomware), като достъпът до него е възможен само чрез успешно удостоверяване чрез Kerberos.

    При това, тези, както и други защитни механизми са възможни с използването само и единствено на вградения Windows Firewall!

    ВНИМАНИЕ! Екипът на Freedomonline.bg не е автор на гореописаната тема и не носи отговорност  за евентуални негативни последствия от прилагането на описаните конфигурации. Всяка инфраструктура е индивидуална и уникална – възможно е само част от предложенията или дори една конкретна настройка да бъде приложима за вас. Нека всеки да използва това, което смята, че ще му бъде полезно в неговата ежедневна работа. При всички положения, екипът на Freedomonline.bg съветва, преди да подходите към имплементирането на каквато и да е била конфигурация, от този или от друг източник, първо да я тествате в контролирана среда, която да се доближава максимално до реалната ви среда. По този начин ще избегнете разминавания между очаквания и постигнатия резултат.

Back to top button