PHLiGHT Asked: 2013-08-03 08:14:31 +0800 CST2013-08-03 08:14:31 +0800 CST 2013-08-03 08:14:31 +0800 CST 通过 GPO 控制 Windows XP 和 7 防火墙 772 我从以前的同事那里学到了一些坏习惯,我想我应该改变其中的一些。仅禁用 Windows 防火墙是标准做法,因为它导致的问题比过去解决的问题多。 我怎样才能慢慢改变这一点,值得付出努力吗?我想推出一个允许流量但记录哪些应用程序连接到互联网的 GPO。因此,我可以根据需要有选择地开始对 GPO 进行例外处理。 这在 XP(25% 的 PC)和 Windows 7(75% 的 PC)环境中是否可行? 谢谢 windows-7 2 个回答 Voted Best Answer MikeAWood 2013-08-03T10:22:18+08:002013-08-03T10:22:18+08:00 根据您配置 Active Directory 的方式,您可以将其应用到桌面的临时 OU,将 GPO 应用到该临时 OU,然后一次将它们移动到其中,直到它们全部完成。然后,当您感到高兴时,将其在 AD 中移得更高,以便它适用于甚至新机器。 我们也这样做了,当它们全部启用时,生活会更好。好的部分是中央 GP 可以更轻松地进行批量更改,但要花一些时间找出哪些应用程序需要打开哪些应用程序。大多数用户不需要任何打开。但是有些服务可以(我们的防病毒软件、RDP 和一些启用了打印机共享的端口需要)。 Tim Brigham 2013-08-03T11:25:59+08:002013-08-03T11:25:59+08:00 我最近在 XP 和 7 上使用 Windows 防火墙实现了网络分段,用于 PCI-DSS。这样做绝对是可能的(并且推荐)。 只要您不限制来自工作站的出站流量,通常就没有问题。 我发现的唯一例外往往是一次性的——通过工作站共享的打印机就是一个很好的例子。大多数其他东西 - 远程 RDP 访问、入站 WMI 或防病毒等 - 可以在事后发现,因为它只影响 IS。 我过去所做的是在 AD 中创建一个组并将某些测试计算机添加到其中。该组将根据策略委派设置应用防火墙策略。这将让您在不混淆现有 AD 结构的情况下进行测试。它还允许您轻松更新所有范围内系统的策略 -psexec \\testsystem gpupdate /target:Computer 非常适合这一点。 慢慢来,确保不会造成不必要的干扰。如果可能,我也强烈建议使用 IPSec。入站规则的身份验证非常有用,在 7 和 XP 上更是如此。
根据您配置 Active Directory 的方式,您可以将其应用到桌面的临时 OU,将 GPO 应用到该临时 OU,然后一次将它们移动到其中,直到它们全部完成。然后,当您感到高兴时,将其在 AD 中移得更高,以便它适用于甚至新机器。
我们也这样做了,当它们全部启用时,生活会更好。好的部分是中央 GP 可以更轻松地进行批量更改,但要花一些时间找出哪些应用程序需要打开哪些应用程序。大多数用户不需要任何打开。但是有些服务可以(我们的防病毒软件、RDP 和一些启用了打印机共享的端口需要)。
我最近在 XP 和 7 上使用 Windows 防火墙实现了网络分段,用于 PCI-DSS。这样做绝对是可能的(并且推荐)。
只要您不限制来自工作站的出站流量,通常就没有问题。
我发现的唯一例外往往是一次性的——通过工作站共享的打印机就是一个很好的例子。大多数其他东西 - 远程 RDP 访问、入站 WMI 或防病毒等 - 可以在事后发现,因为它只影响 IS。
我过去所做的是在 AD 中创建一个组并将某些测试计算机添加到其中。该组将根据策略委派设置应用防火墙策略。这将让您在不混淆现有 AD 结构的情况下进行测试。它还允许您轻松更新所有范围内系统的策略 -
psexec \\testsystem gpupdate /target:Computer非常适合这一点。慢慢来,确保不会造成不必要的干扰。如果可能,我也强烈建议使用 IPSec。入站规则的身份验证非常有用,在 7 和 XP 上更是如此。