Защитник Windows Брандмауэр с руководством по разработке advanced Security

Область применения

  • Windows 10
  • Windows Server 2016

Защитник Windows Брандмауэр с advanced Security — это хост-брандмауэр, который помогает защитить устройство двумя способами. Во-первых, он может фильтровать сетевой трафик, разрешенный для входа в устройство из сети, а также управлять сетевым трафиком, который устройство может отправлять в сеть. Во-вторых Защитник Windows брандмауэр поддерживает IPsec, что позволяет требовать проверки подлинности с любого устройства, пытающееся взаимодействовать с устройством. При необходимости проверки подлинности устройства, которые не могут проверить подлинность, не могут взаимодействовать с вашим устройством. С помощью IPsec можно также зашифровать определенный сетевой трафик, чтобы предотвратить его чтение или перехват во время транзита между устройствами.

Интерфейс брандмауэра Защитник Windows гораздо более гибкий, чем пользовательский интерфейс, найденный в панели управления брандмауэром Защитник Windows брандмауэра. Они взаимодействуют с одними и теми же службами, но обеспечивают различные уровни контроля над этими службами. Хотя панель управления Защитник Windows брандмауэра отвечает требованиям для защиты одного устройства в домашней среде, она не обеспечивает достаточное количество функций централизованного управления или безопасности, чтобы обеспечить более сложный сетевой трафик, найденный в типичной корпоративной среде бизнеса.

Дополнительные сведения см. в Защитник Windows брандмауэра с расширенным обеспечением безопасности.

Об этом руководстве

В этом руководстве содержится рекомендация по выбору или созданию дизайна для развертывания брандмауэра Защитник Windows в корпоративной среде. В руководстве описываются некоторые общие цели использования брандмауэра Защитник Windows брандмауэра, а затем помогают составить карту целей, применимых к вашему сценарию, к проектам, представленным в этом руководстве.

Это руководство предназначено для ИТ-специалистов, которым была назначена задача развертывания брандмауэра и технологий IPsec в сети организации для достижения целей безопасности организации.

Защитник Windows Брандмауэр должен быть частью комплексного решения по безопасности, которое реализует различные технологии безопасности, такие как брандмауэры периметра, системы обнаружения вторжений, виртуальная частная сеть (VPN), проверка подлинности IEEE 802.1X для беспроводных и проводных подключений, а также правила безопасности подключения IPsec.

Чтобы успешно использовать это руководство, необходимо хорошо понимать возможности, предоставляемые брандмауэром Защитник Windows, и как доставить параметры конфигурации на управляемые устройства с помощью групповой политики в Active Directory.

Вы можете использовать цели реализации для формирования одного из Защитник Windows брандмауэра с расширенными конструкциями безопасности или настраиваемого дизайна, который объединяет элементы из представленных здесь:

  • Базовый дизайн политики брандмауэра. Ограничивает сетевой трафик на устройствах только тем, которые необходимы и разрешены.

  • Разработка политики изоляции домена. Не позволяет устройствам, которые являются членами домена, получать нежелательный сетевой трафик с устройств, которые не являются членами домена. Дополнительные "зоны" можно установить для поддержки специальных требований некоторых устройств, таких как:

    • "Зона границ" для устройств, которые должны иметь возможность получать запросы с не изолированных устройств.

    • "Зона шифрования" для устройств, которые хранят конфиденциальные данные, которые должны быть защищены при передаче сети.

  • Разработка политики изоляции сервера. Ограничивает доступ к серверу только ограниченной группе авторизованных пользователей и устройств. Обычно настраивается как зона в дизайне изоляции домена, но также может быть настроена как автономный дизайн, обеспечивая многие преимущества изоляции домена для небольшого набора устройств.

  • Разработка политики изоляции на основе сертификатов. Этот дизайн является дополнением к обоим предыдущим двум проектам и поддерживает все их возможности. Он использует криптографические сертификаты, развернутые на клиентах и серверах для проверки подлинности, вместо проверки подлинности Kerberos V5, используемой по умолчанию в Active Directory. Это позволяет устройствам, которые не являются частью домена Active Directory, например устройствам, работающим с операционными системами, Windows, участвовать в решении изоляции.

В дополнение к описаниям и примеру для каждого проекта вы найдете рекомендации по сбору необходимых данных об окружающей среде. Затем можно использовать эти рекомендации для планирования и разработки брандмауэра Защитник Windows с помощью развертывания advanced Security. После прочтания этого руководства и завершения сбора, документирования и сопоставления требований организации у вас есть сведения, которые необходимо приступить к развертыванию брандмауэра Защитник Windows с помощью руководства в брандмауэре Защитник Windows с помощью руководства по развертыванию расширенных систем безопасности.

Вы можете найти брандмауэр Защитник Windows с расширенным руководством по развертыванию безопасности в этих местах:

В этом разделе

Статья Описание
Понимание брандмауэра Защитник Windows с расширенным процессом разработки безопасности Узнайте, как начать работу с брандмауэром Защитник Windows с помощью процесса разработки advanced Security.
Определение брандмауэра Защитник Windows с расширенными целями развертывания безопасности Узнайте, как определить брандмауэр Защитник Windows с целями реализации advanced Security.
Сопоставление целей развертывания с брандмауэром Защитник Windows с расширенным дизайном безопасности После завершения проверки существующего брандмауэра Защитник Windows с целями реализации advanced Security и определения целей, важных для конкретного развертывания, можно сопостерить эти цели с определенным брандмауэром Защитник Windows с расширенным дизайном безопасности.
Разработка брандмауэра Защитник Windows с помощью расширенных стратегий безопасности Чтобы выбрать наиболее эффективный проект для защиты сети, необходимо потратить время на сбор ключевых сведений о текущей компьютерной среде.
Планирование брандмауэра Защитник Windows с помощью advanced Security Design После сбора соответствующих сведений в предыдущих разделах и понимания основ конструкций, описанных ранее в этом руководстве, можно выбрать дизайн (или сочетание проектов), которые соответствуют вашим потребностям.
Приложение A. Пример файлов шаблонов GPO для параметров, используемых в этом руководстве XML-файл, содержащий настраиваемые настройки реестра, можно импортировать в объект групповой политики (GPO) с помощью функции Preferences консоли управления групповой политикой (GPMC).

Терминология, используемая в этом руководстве

В следующей таблице определяются термины, используемые в этом руководстве.

Термин Определение
Домен Active Directory Группа устройств и пользователей, управляемых администратором с помощью служб домена Active Directory (AD DS). Устройства в домене имеют общую базу данных каталогов и политики безопасности. Несколько доменов могут сосуществовать в лесу с доверительные отношения, которые устанавливают лес " " как границу безопасности.
Проверка подлинности Процесс, позволяющий отправителю сообщения доказать свою личность приемнику. Для обеспечения безопасности подключения Windows выполняется проверка подлинности пакетом протоколов IPsec.
Граничная зона Подмножество устройств в изолированном домене, которые должны иметь возможность получать нежелательный и неавентированный сетевой трафик с устройств, которые не являются членами изолированного домена. Устройства в запросе пограничной зоны, но не требуют проверки подлинности. Они используют IPsec для связи с другими устройствами в изолированном домене.
Правило безопасности подключения Правило в Защитник Windows брандмауэра, которое содержит набор условий и действие, которое должно применяться к сетевым пакетам, которые соответствуют условиям. Действие может разрешить пакет, заблокировать пакет или потребовать, чтобы пакет был защищен IPsec. В предыдущих версиях Windows это называлось правилом IPsec.
Изоляция на основе сертификатов Способ добавления устройств, которые не могут использовать проверку подлинности Kerberos V5 в изолированном домене, с помощью альтернативной техники проверки подлинности. Каждое устройство в изолированном домене и устройства, которые не могут использовать Kerberos V5, имеют сертификат устройства, который можно использовать для проверки подлинности друг с другом. Изоляция на основе сертификатов требует способа создания и распространения соответствующего сертификата (если вы решите не покупать его у коммерческого поставщика сертификатов).
Изоляция домена Метод, помогающий защитить устройства в организации, требуя от устройств проверки подлинности удостоверений друг друга перед обменом данными и отказа от запросов на подключение с устройств, которые не могут проверить подлинность. Изоляция домена может использовать членство в домене Active Directory и протокол проверки подлинности Kerberos V5, доступный всем членам домена. Кроме " того, в этой таблице " см. изолированный домен.
Зона шифрования Подмножество устройств в изолированном домене, которое обрабатывает конфиденциальные данные. Устройства, которые являются частью зоны шифрования, имеют весь сетевой трафик, зашифрованный для предотвращения просмотра пользователями, не уполномоченными. Устройства, которые являются частью зоны шифрования, также обычно подвергаются ограничениям доступа к изоляции сервера.
Правило брандмауэра Правило в Защитник Windows брандмауэра, содержа которое содержит набор условий, используемых для определения того, разрешено ли сетевому пакету проходить через брандмауэр.
По умолчанию правила брандмауэра в Windows Server 2016. Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 10, Windows 8, Windows 7 и Windows Vista блокируют нежелательный входящий сетевой трафик. Кроме того, по умолчанию разрешен весь исходящие сетевые трафики. Брандмауэр, включенный в предыдущие версии Windows только отфильтрованный входящий сетевой трафик.
Безопасность протокола Интернета (IPsec) Набор отраслевых служб защиты и протоколов на основе криптографии. IPsec защищает все протоколы в пакете протоколов TCP/IP, за исключением протокола разрешения адресов (ARP).
Политика IPsec Набор правил безопасности подключения, которые обеспечивают необходимую защиту сетевого трафика, входя и покидая устройство. Защита включает проверку подлинности устройства отправки и получения, защиту целостности обменяемого между ними сетевого трафика и может включать шифрование.
Изолированный домен Домен Active Directory (или лес Active Directory или набор доменов с двунастройными отношениями доверия), который имеет параметры групповой политики, применяемые для защиты устройств-членов с помощью правил безопасности подключения к IPsec. Члены изолированного домена требуют проверки подлинности на всех нежелательных входящие подключения (за исключением других зон).
В этом руководстве термин изолированный домен относится к концепции IPsec группы устройств, которые могут обмениваться проверкой подлинности. Термин Active Directory относится к группе устройств, использующих базу данных безопасности с помощью Active Directory.
Изоляция сервера Метод использования членства в группе для ограничения доступа к серверу, который, как правило, уже является членом изолированного домена. Дополнительная защита обеспечивается с помощью учетных данных проверки подлинности запрашиваемого устройства для определения его членства в группе, а затем позволяет получить доступ только в том случае, если учетная запись компьютера (а также учетная запись пользователя) входит в авторизованную группу.
Запрашиваемая сеть трафика Сетевой трафик, который отправляется в ответ на запрос. По умолчанию Защитник Windows брандмауэр позволяет использовать весь запрашиваемый сетевой трафик.
Нежелательный сетевой трафик Сетевой трафик, который не является ответом на предыдущий запрос, и что получаюющее устройство не может обязательно предвидеть. По умолчанию Защитник Windows брандмауэр блокирует весь нежелательный сетевой трафик.
Зона Зона — это логическая группировка устройств, которые имеют общие политики IPsec из-за требований к связи. Например, в пограничной зоне разрешены входящие подключения с не доверенных устройств. Зона шифрования требует шифрования всех подключений.
Это не связано с зоной терминов, используемой системой доменных имен (DNS).

Далее:понимание Защитник Windows брандмауэра с помощью процесса разработки advanced security