如果您忽略或禁用了Windows防火墻,則可能會(huì)缺少一些易于設(shè)置和維護(hù)的良好基本保護(hù)。
自從Windows XP sp2以來(lái),Windows防火墻已經(jīng)默認(rèn)啟用,但我們?nèi)匀粫?huì)看到一些因?yàn)槔狭?xí)慣而在部署時(shí)關(guān)閉防火墻的案例。隨著Windows 10和Server 2019,最需要的防火墻策略大多已經(jīng)內(nèi)置,設(shè)置訪問(wèn)相對(duì)容易一些。但有時(shí)用戶仍應(yīng)該加強(qiáng)Windows防火墻的設(shè)置,以更好地保護(hù)用戶不受橫向移動(dòng)和攻擊。
為二進(jìn)制文件或可執(zhí)行文件構(gòu)建規(guī)則
如果應(yīng)用程序需要一個(gè)特殊的規(guī)則,用戶應(yīng)該基于二進(jìn)制文件或可執(zhí)行文件,而不是基于端口進(jìn)行構(gòu)建。這樣可以確保防火墻只在應(yīng)用程序處于活動(dòng)狀態(tài)時(shí)打開。如果使用端口構(gòu)建防火墻規(guī)則,則該端口將保持開放狀態(tài)并公開系統(tǒng)。
識(shí)別被阻止的應(yīng)用程序
當(dāng)應(yīng)用程序被阻止時(shí),Windows設(shè)備會(huì)默認(rèn)發(fā)出通知。但I(xiàn)T管理員可能希望使用事件日志來(lái)識(shí)別被阻止的應(yīng)用程序,而不是使用系統(tǒng)托盤中容易錯(cuò)過(guò)的可視彈出窗口。想要確定Windows防火墻阻止了哪些應(yīng)用程序,首先要搜索事件5031的事件日志,它表明Windows防火墻阻止了一個(gè)應(yīng)用程序接受網(wǎng)絡(luò)上的連接。使用此事件檢測(cè)不存在Windows防火墻規(guī)則的應(yīng)用程序。
設(shè)置安全監(jiān)控
如果您使用安全事件日志監(jiān)視解決方案來(lái)監(jiān)視事件,請(qǐng)記住以下幾點(diǎn):
●如果您有一個(gè)預(yù)定義的應(yīng)用程序來(lái)執(zhí)行此事件報(bào)告的操作,則監(jiān)視“Application”不屬于您定義的應(yīng)用程序的事件。
●監(jiān)視“Application”是否在標(biāo)準(zhǔn)文件夾中(例如,不在System32或Program Files中)或在受限文件夾中(例如,臨時(shí)Internet文件)。
●如果在應(yīng)用程序名稱中有一個(gè)預(yù)定義的受限子字符串或單詞列表(例如,“mimikatz”或“cain.exe”),請(qǐng)?jiān)凇癆pplication”中檢查這些子字符串。
阻止PowerShell訪問(wèn)Internet
您可以使用Windows防火墻來(lái)阻止應(yīng)用程序訪問(wèn)資源。你可以阻止PowerShell訪問(wèn)互聯(lián)網(wǎng)。下面的第一個(gè)規(guī)則允許PowerShell訪問(wèn)本地子網(wǎng)。第二條規(guī)則是減少交通流量:
C:\》 netsh advfirewall firewall add rule name=“PS-Allow-LAN“ dir=out \
remoteip=localsubnet action=allow program=”c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe“ \
enable=yes
C:\》 netsh advfirewall firewall add rule name=“PS-Deny-All” dir=out \
action=block program=“c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe” \
enable=yes
這樣可以保護(hù)您的系統(tǒng)免受利用PowerShell調(diào)用命令和控制計(jì)算機(jī)啟動(dòng)勒索軟件和其他攻擊的攻擊。PowerShell不應(yīng)該被刪除,而應(yīng)該進(jìn)行加固和記錄,以確保它按預(yù)期使用。
你還可以為多個(gè)版本的PowerShell構(gòu)建規(guī)則:
C:\》 for /R %f in (powershell*.exe) do ( netsh advfirewall firewall add rule name=“PS-Allow-LAN (%f)“ dir=out remoteip=localsubnet action=allow program=“%f” enable=yes
netsh advfirewall firewall add rule name=“PS-Deny-All (%f)“ dir=out action=block program=“%f” enable=yes )
您將在出站防火墻規(guī)則設(shè)置中看到生成的規(guī)則:
如果PowerShell有意通過(guò)另一個(gè)位置調(diào)用二進(jìn)制文件或重命名自身來(lái)隱藏自己,那么這個(gè)過(guò)程將無(wú)法進(jìn)行。
使用PowerShell設(shè)置防火墻規(guī)則
您可以按照Microsoft的說(shuō)明使用PowerShell設(shè)置防火墻規(guī)則 。例如,要阻止服務(wù)器上的出站端口80,請(qǐng)使用以下PowerShell命令:
New-NetFirewallRule -DisplayName “Block Outbound Port 80” -Direction Outbound -LocalPort 80 -Protocol TCP -Action Block
你需要填寫的基本屬性是:
●防火墻規(guī)則的友好名稱
●方向——是否阻塞離開計(jì)算機(jī)(出站)或進(jìn)入計(jì)算機(jī)(入站)的流量
●行動(dòng)——如果滿足規(guī)則,采取什么行動(dòng),允許或阻止
您可以使用許多PowerShell模塊來(lái)更好地控制和管理Windows防火墻。所有這些都記錄在Netsecurity部分中。
您需要填寫的基本屬性是:
●DisplayName –防火墻規(guī)則的友好名稱
●方向–阻止流量離開計(jì)算機(jī)(出站)或進(jìn)入計(jì)算機(jī)(入站)
●行動(dòng)-如果滿足規(guī)則,采取什么行動(dòng),是允許還是進(jìn)行阻止。
您可以使用許多PowerShell模塊來(lái)更好地控制和管理Windows防火墻。所有內(nèi)容都記錄在“ Netsecurity” 部分中。
檢查新的Windows 10安全基準(zhǔn)
不要忘記,微軟在Windows 10的每個(gè)版本都會(huì)發(fā)布新的安全基準(zhǔn)。作為基準(zhǔn)的一部分,它們包括建議的防火墻策略。
默認(rèn)情況下,應(yīng)該為域配置文件和專用配置文件阻止入站連接。
定期審計(jì)設(shè)置
最后,在檢查網(wǎng)絡(luò)的安全狀態(tài)時(shí),定期隨機(jī)抽取一些工作站,并審計(jì)它們的設(shè)置。檢查每個(gè)示例工作站上的防火墻策略。
-
WINDOWS
+關(guān)注
關(guān)注
4文章
3608瀏覽量
90980 -
防火墻
+關(guān)注
關(guān)注
0文章
429瀏覽量
36084 -
應(yīng)用程序
+關(guān)注
關(guān)注
38文章
3322瀏覽量
58763
發(fā)布評(píng)論請(qǐng)先 登錄
【jiasuba】列舉Vista防火墻十大注意事項(xiàng)
【電腦安全技巧】電腦防火墻的使用技巧
發(fā)現(xiàn) STM32 防火墻的安全配置
防火墻多級(jí)安全參考模型的設(shè)計(jì)與實(shí)現(xiàn)

防火墻技術(shù)
防火墻原理入門

評(píng)論