Grundlegendes Firewallrichtlinienentwurfsbeispiel (Windows) (2023)

Table of Contents
In diesem Artikel Entwurfsanforderungen Entwurfsdetails Videos
  • Artikel
  • 7Minuten Lesedauer
  • Gilt für::
    Windows 10, ✅ Windows 11, ✅ Windows Server 2016, ✅ Windows Server 2019, ✅ Windows Server 2022

In diesem Beispiel ist das fiktive Unternehmen Woodgrove Bank ein Finanzdienstleistungsinstitut.

Die Woodgrove Bank verfügt über eine Active Directory-Domäne, die Gruppenrichtlinie-basierte Verwaltung für alle Ihre Windows-Geräte bereitstellt. Die Active Directory-Domänencontroller hosten auch DNS (Domain Name System) für die Hostnamenauflösung. Separate Geräte hosten Windows Internet Name Service (WINS) für die NetBIOS-Namensauflösung (Network Basic Input/Output System). Eine Gruppe von Geräten, auf denen UNIX ausgeführt wird, stellen die DHCP-Dienste (Dynamic Host Configuration Protocol) für die automatische IP-Adressierung bereit.

Die Woodgrove Bank migriert ihre Geräte derzeit von Windows Vista und Windows Server 2008 zu Windows 10 und Windows Server 2016. Auf einer beträchtlichen Anzahl der Geräte der Woodgrove Bank wird weiterhin Windows Vista und Windows Server 2008 ausgeführt. Die Interoperabilität zwischen den vorherigen und neueren Betriebssystemen muss aufrechterhalten werden. Wenn möglich, müssen Sicherheitsfeatures, die auf die neueren Betriebssysteme angewendet werden, auch auf die vorherigen Betriebssysteme angewendet werden.

Ein wichtiges Branchenprogramm namens WGBank besteht aus einem Clientprogramm, das auf den meisten Desktopgeräten in der Organisation ausgeführt wird. Dieses Programm greift auf mehrere Front-End-Servergeräte zu, auf denen der serverseitige Teil der WGBank ausgeführt wird. Diese Front-End-Server führen nur die Verarbeitung durch, sie speichern die Daten nicht. Die Daten werden auf mehreren Back-End-Datenbankgeräten gespeichert, auf denen Microsoft SQL Server ausgeführt wird.

Entwurfsanforderungen

Die Netzwerkadministratoren möchten Windows Defender Firewall mit erweiterter Sicherheit in ihrer gesamten Organisation implementieren, um eine weitere Sicherheitsebene für ihre allgemeine Sicherheitsstrategie bereitzustellen. Sie möchten Firewallregeln erstellen, die den Betrieb ihrer Geschäftsprogramme ermöglichen und gleichzeitig den nicht gewünschten Netzwerkdatenverkehr blockieren.

Die folgende Abbildung zeigt die Anforderungen an den Schutz des Datenverkehrs für dieses Entwurfsbeispiel.

Grundlegendes Firewallrichtlinienentwurfsbeispiel (Windows) (1)

(Video) PXE Explained: PreBoot Execution Environment, how to deploy an operating system.

  1. Die Netzwerkinfrastrukturserver, auf denen Dienste wie Active Directory, DNS, DHCP oder WINS ausgeführt werden, können unerwünschte eingehende Anforderungen von Netzwerkclients empfangen. Die Netzwerkclients können die Antworten von den Infrastrukturservern empfangen.

  2. Die WGBank-Front-End-Server können unerwünschten eingehenden Datenverkehr von den Clientgeräten und den WGBank-Partnerservern empfangen. Die WGBank-Clientgeräte und Partnerserver können die Antwort empfangen.

    See Also
    Bewährte Methoden zum Konfigurieren von Windows Defender Firewall

  3. Die WGBank-Front-End-Server können aktualisierte Informationen an die Clientgeräte senden, um die Echtzeitanzeige zu unterstützen. Die Clients fragen diesen unerwünschten Datenverkehr nicht ab, müssen ihn aber empfangen können.

  4. Die WGBank-Back-End-Server können SQL-Abfrageanforderungen von den WGBank-Front-End-Servern empfangen. Die WGBank-Front-End-Server können die entsprechenden Antworten empfangen.

  5. Es gibt keine direkte Kommunikation zwischen den Clientgeräten und den WGBank-Back-End-Geräten.

  6. Es gibt keinen unerwünschten Datenverkehr von den WGBank-Back-End-Geräten zu den WGBank-Front-End-Servern.

  7. Die Unternehmensrichtlinie verbietet die Verwendung von Peer-to-Peer-Dateiübertragungssoftware. Eine kürzlich durchgeführte Überprüfung des IT-Personals ergab, dass die Umkreisfirewall zwar verhindert, dass die meisten Programme in dieser Kategorie funktionieren, aber zwei Programme von Mitarbeitern verwendet werden, die keinen externen Server benötigen. Firewallregeln müssen den von diesen Programmen erstellten Netzwerkdatenverkehr blockieren.

  8. Die WGBank-Partnerserver können eingehende Anforderungen von Partnergeräten über das Internet empfangen.

Andere Verkehrsnotizen:

(Video) So bauen Sie mit Nethserver kostenlos Ihren eigenen Homeserver

  • Geräte dürfen keinen unerwünschten Datenverkehr von anderen computern empfangen als oben zulässig.

  • Anderer ausgehender Netzwerkdatenverkehr von den Clientgeräten, die in diesem Beispiel nicht identifiziert wurden, ist zulässig.

Entwurfsdetails

Woodgrove Bank verwendet Active Directory-Gruppen und Gruppenrichtlinie Objects, um die Firewalleinstellungen und -regeln für die Geräte in ihrem Netzwerk bereitzustellen. Sie wissen, dass sie Richtlinien für die folgenden Gerätesammlungen bereitstellen müssen:

  • Clientgeräte, auf denen Windows 11, Windows 10, Windows 8 oder Windows 7 ausgeführt wird

  • WGBank-Front-End-Server, auf denen Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 oder Windows Server 2008 R2 ausgeführt wird (es sind noch keine vorhanden, aber ihre Lösung muss das Hinzufügen unterstützen)

  • WGBank-Partnerserver, auf denen Windows Server 2008 ausgeführt wird

  • WGBank-Back-End SQL Server Geräten, auf denen Windows Server 2008 ausgeführt wird (es sind noch keine vorhanden, aber ihre Lösung muss das Hinzufügen unterstützen)

  • Infrastrukturserver, auf denen Windows Server 2008 ausgeführt wird

  • Active Directory-Domänencontroller mit Windows Server 2008 R2 oder Windows Server 2012

    (Video) Portmaster - Open-Source-Firewall für Windows und Linux: ein VPN-Ersatz?

  • DHCP-Server, auf denen das UNIX-Betriebssystem ausgeführt wird

Nachdem die Netzwerkadministratoren der Woodgrove Bank diese Gerätegruppen ausgewertet und mit der Struktur der Active Directory-Organisationseinheit (OE) verglichen haben, stellten sie fest, dass es keine gute 1:1-Übereinstimmung zwischen den Organisationseinheiten und den Gruppen gab. Daher werden die Firewall-GPOs nicht direkt mit Organisationseinheiten verknüpft, die die relevanten Geräte enthalten. Stattdessen werden die Gruppenrichtlinienobjekte mit dem Domänencontainer in Active Directory verknüpft, und dann werden WMI- und Gruppenfilter an das Gruppenrichtlinienobjekt angefügt, um sicherzustellen, dass es auf die richtigen Geräte angewendet wird.

Das Einrichten von Gruppen wie hier beschrieben stellt sicher, dass Sie nicht wissen müssen, welches Betriebssystem auf einem Computer ausgeführt wird, bevor Sie es einer Gruppe zuweisen. Eine Kombination aus WMI-Filtern und Sicherheitsgruppenfiltern wird verwendet, um sicherzustellen, dass Mitglieder der Gruppe das Gruppenrichtlinienobjekt erhalten, das für die Auf diesem Computer ausgeführte Windows-Version geeignet ist. Für einige Gruppen verfügen Sie möglicherweise über vier oder sogar fünf Gruppenrichtlinienobjekte.

Die folgenden Gruppen wurden mithilfe des MMC-Snap-Ins (Active Directory-Benutzer und -Computer Microsoft Management Console) erstellt, und alle Geräte, auf denen Windows ausgeführt wird, wurden den richtigen Gruppen hinzugefügt:

  • CG_FIREWALL_ALLCOMPUTERS. Fügen Sie die vordefinierte und vom System verwaltete Domänencomputergruppe als Mitglied dieser Gruppe hinzu. Alle Mitglieder der FIREWALL_ALLCOMPUTERS Gruppe erhalten ein betriebssystemspezifisches Gruppenrichtlinienobjekt mit den allgemeinen Firewallregeln, die auf alle Geräte angewendet werden.

    Die beiden Gerätetypen (Client und Server) werden durch die Verwendung eines WMI-Filters unterschieden, um sicherzustellen, dass nur die Richtlinie für Geräte mit einer Clientversion von Windows auf diesen Computer angewendet werden kann. Ein ähnlicher WMI-Filter für das Server-GPO stellt sicher, dass nur Geräte, auf denen Serverversionen von Windows ausgeführt werden, dieses Gruppenrichtlinienobjekt anwenden können. Jede der Gruppenrichtlinienobjekte verfügt außerdem über Sicherheitsgruppenfilter, um zu verhindern, dass Mitglieder der Gruppe FIREWALL_NO_DEFAULT eine dieser beiden Gruppenrichtlinienobjekte erhalten.

    • Clientgeräte erhalten ein Gruppenrichtlinienobjekt, das Windows Defender Firewall konfiguriert, um das Standardverhalten der Windows Defender Firewall zu erzwingen (ausgehenden Datenverkehr zulassen, unerwünschten Eingehenden blockieren). Das Clientstandard-GPO enthält auch die integrierten Firewallregelgruppen Kernnetzwerk und Datei- und Druckerfreigabe. Die Kernnetzwerkgruppe ist für alle Profile aktiviert, während die Gruppe Datei- und Druckerfreigabe nur für die Profile Domäne und Privat aktiviert ist. Das Gruppenrichtlinienobjekt enthält auch Firewallregeln für eingehenden Datenverkehr, um dem Dashboard des WGBank-Front-End-Servers das Aktualisieren des Datenverkehrs zu ermöglichen, sowie Regeln, mit denen verhindert wird, dass vom Unternehmen verbotene Programme sowohl eingehenden als auch ausgehenden Netzwerkdatenverkehr senden oder empfangen.

    • Servergeräte erhalten ein Gruppenrichtlinienobjekt, das eine ähnliche Firewallkonfiguration wie das Clientcomputer-GPO enthält. Der Hauptunterschied besteht darin, dass die Regeln für alle Profile (nicht nur domänen- und privat) aktiviert sind. Außerdem sind die Regeln für das Update des WGBank-Dashboards nicht enthalten, da es auf Servergeräten nicht benötigt wird.

    Alle Regeln sind so ausgerichtet, dass nur Netzwerkdatenverkehr von Geräten im Unternehmensnetzwerk der Woodgrove Bank zugelassen wird.

    (Video) Windows Firewall einstellen, importieren, exportieren

  • CG_FIREWALL_NO_DEFAULT. Mitglieder dieser Gruppe erhalten nicht das Standard-Firewall-GPO. Geräte werden dieser Gruppe hinzugefügt, wenn eine geschäftliche Anforderung besteht, dass sie vom Standardmäßigen Firewallverhalten ausgenommen werden. Die Verwendung einer Gruppe, um die Ausnahmen anstelle der Gruppenmitglieder direkt darzustellen, erleichtert die Unterstützung der dynamischen Natur der Clientcomputerpopulation. Ein neuer Computer, der der Domäne beigetreten ist, erhält automatisch das entsprechende Standard-Firewall-GPO, es sei denn, er ist Mitglied dieser Gruppe.

  • CG_FIREWALL_WGB_FE. Diese Gruppe enthält die Computerkonten für alle WGBank-Front-End-Servergeräte. Mitglieder dieser Gruppe erhalten ein Gruppenrichtlinienobjekt, das Windows Defender Firewall mit eingehenden Firewallregeln konfiguriert, um unerwünschten WGBank-Clientdatenverkehr zuzulassen. Geräte in dieser Gruppe erhalten auch das Standard-Firewall-GPO.

  • CG_FIREWALL_WGB_SQL. Diese Gruppe enthält die Computerkonten für alle WGBank-Back-End-Geräte, auf denen SQL Server ausgeführt werden. Mitglieder dieser Gruppe erhalten ein Gruppenrichtlinienobjekt, das Windows Defender Firewall mit Eingehenden Firewallregeln konfiguriert, damit das SQL Server Programm nicht angeforderte Abfragen nur von den WGBank-Front-End-Servern empfangen kann. Geräte in dieser Gruppe erhalten auch das Standard-Firewall-GPO.

  • CG_FIREWALL_BOUNDARY_WGBANKFE. Diese Gruppe enthält die Computerkonten für die Server, die Webdienste hosten, auf die über das Internet zugegriffen werden kann. Mitglieder dieser Gruppe erhalten ein Gruppenrichtlinienobjekt, das eine Firewallregel für eingehenden Datenverkehr hinzufügt, um eingehenden HTTP- und HTTPS-Netzwerkdatenverkehr von einer beliebigen Adresse zuzulassen, einschließlich des Internets. Geräte in dieser Gruppe erhalten auch das Standard-Firewall-GPO.

  • CG_FIREWALL_WINS. Diese Gruppe enthält die Computerkonten für alle WINS-Servergeräte. Mitglieder dieser Gruppe erhalten ein Gruppenrichtlinienobjekt, das Windows Defender Firewall mit einer Eingehenden Firewallregel konfiguriert, um unaufgeforderte eingehende Anforderungen von WINS-Clients zuzulassen. Geräte in dieser Gruppe erhalten auch das Standard-Firewall-GPO.

  • CG_FIREWALL_ADDC. Diese Gruppe enthält alle Computerkonten für die Servergeräte des Active Directory-Domänencontrollers. Mitglieder dieser Gruppe erhalten ein Gruppenrichtlinienobjekt, das Windows Defender Firewall mit eingehenden Firewallregeln konfiguriert, um unerwünschten Active Directory-Client- und Server-zu-Server-Datenverkehr zuzulassen. Geräte in dieser Gruppe erhalten auch das Standard-Firewall-GPO.

Erstellen Sie in Ihrem eigenen Entwurf eine Gruppe für jede Computerrolle in Ihrer Organisation, die unterschiedliche oder mehrere Firewallregeln erfordert. Beispielsweise erfordern Dateiserver und Druckserver mehr Regeln, um den eingehenden Netzwerkdatenverkehr für diese Funktionen zuzulassen. Wenn eine Funktion normalerweise auf den meisten Geräten im Netzwerk ausgeführt wird, können Sie erwägen, Geräte, die diese Rollen ausführen, zum allgemeinen Standard-Firewall-GPO-Satz hinzuzufügen, es sei denn, es gibt einen Sicherheitsgrund, sie nicht dort einzuschließen.

Weiter:Entwurfsbeispiel für die Domänenisolationsrichtlinie

Videos

1. What is a Proxy Server?
(PowerCert Animated Videos)
2. IPFire Firewall Basics
(IPFire Copymaster)
3. FortiGate SSL VPN Configuration (FortiOS 6.4.0 Basic)
(Fortinet Guru)
4. Windows WMI: WMI repository, Providers, Infrastructure, and namespaces
(TechsavvyProductions)
5. Introduction to building SMB Firewall rules using open-source security appliances.
(TechsavvyProductions)
6. Sophos XG Home | Lizenz, Download, Installation & Grundkonfiguration
(Xelsionex - Tutorials)
Top Articles
Latest Posts
Article information

Author: Corie Satterfield

Last Updated: 03/05/2023

Views: 5802

Rating: 4.1 / 5 (42 voted)

Reviews: 89% of readers found this page helpful

Author information

Name: Corie Satterfield

Birthday: 1992-08-19

Address: 850 Benjamin Bridge, Dickinsonchester, CO 68572-0542

Phone: +26813599986666

Job: Sales Manager

Hobby: Table tennis, Soapmaking, Flower arranging, amateur radio, Rock climbing, scrapbook, Horseback riding

Introduction: My name is Corie Satterfield, I am a fancy, perfect, spotless, quaint, fantastic, funny, lucky person who loves writing and wants to share my knowledge and understanding with you.