RECHERCHE EN ARRIÈRE PLAN
Je crois honnêtement que des questions comme celle-ci: Utilisation de GPO dans le domaine Active Directory pour forcer les postes de travail Pare-feu Windows à désactiver - comment? existe parce que les administrateurs Windows en général ont appris depuis longtemps que:
"la chose la plus simple à faire lorsque vous traitez avec un ordinateur de domaine est d'avoir juste un GPO sur le domaine pour désactiver le pare-feu Windows ... cela vous causera beaucoup moins de chagrin à la fin." - des instructeurs / mentors en TI choisis au hasard depuis des années
Je peux également dire que dans la plupart des entreprises, j'ai effectué un travail parallèle pour cela, où un objet de stratégie de groupe a au minimum désactivé le pare-feu Windows pour le profil de domaine et, au pire, l'a désactivé également pour le profil public.
Encore plus, certains le désactiveront pour les serveurs eux-mêmes: désactivez le pare-feu pour tous les profils réseau sur Windows Server 2008 R2 via GPO
Un article Microsoft Technet sur le PARE-FEU WINDOWS vous recommande de NE PAS désactiver le pare-feu Windows:
Étant donné que le pare-feu Windows avec sécurité avancée joue un rôle important dans la protection de votre ordinateur contre les menaces de sécurité, nous vous recommandons de ne pas le désactiver, sauf si vous installez un autre pare-feu d'un fournisseur réputé qui offre un niveau de protection équivalent.
Cette question ServerFault pose la vraie question: est-il correct de désactiver le pare-feu dans un réseau local à l'aide de la stratégie de groupe? - et les experts ici sont même mitigés dans leur avis.
Et comprenez que je ne parle pas de désactiver / activer le SERVICE: Comment puis-je sauvegarder ma recommandation de ne PAS désactiver le service Pare-feu Windows? - afin de préciser qu'il s'agit de savoir si le service de pare-feu active ou non le pare-feu.
LA QUESTION À LA MAIN
Je reviens donc au titre de cette question ... que peut-on faire pour réactiver correctement le pare-feu Windows sur un domaine? Spécifiquement pour les postes de travail clients et leur profil de domaine.
Avant de simplement passer l'objet de stratégie de groupe de Désactivé à Activé, quelles étapes de planification devez-vous prendre pour vous assurer que le basculement du commutateur n'entraîne pas l'échec soudain des applications client / serveur critiques, du trafic autorisé, etc. La plupart des endroits ne toléreront pas l'état d'esprit "changez-le et voyez qui appelle le Helpdesk" ici.
Existe-t-il des listes de contrôle / utilitaires / procédures disponibles auprès de Microsoft pour gérer une telle situation? Avez-vous été vous-même dans cette situation et comment l'avez-vous gérée?
windows server by default disables the firewall
Ce n'est pas vrai . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain
aussi, pas vrai - avez-vous regardé les GPO disponibles pour le gérer au cours des 6 dernières années? Ce n'est plus 2003 the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work
Lorsque vous installez AD DS, les exceptions nécessaires pour tout cela sont préconfigurées sur les