LATAR BELAKANG / PENELITIAN
Jujur saya percaya bahwa pertanyaan seperti ini: Menggunakan GPO di domain Direktori Aktif untuk memaksa workstation Windows Firewall dinonaktifkan - bagaimana? ada karena Windows Admin secara umum diajarkan sejak lama bahwa:
"Hal termudah untuk dilakukan ketika berhadapan dengan komputer domain adalah dengan hanya memiliki GPO pada domain tersebut untuk menonaktifkan Windows Firewall ... itu akan menyebabkan Anda jauh lebih sedikit sakit hati pada akhirnya." - instruktur / mentor TI acak dari tahun-tahun berlalu
Saya juga bisa mengatakan bahwa di sebagian besar perusahaan saya telah melakukan pekerjaan sampingan untuk hal ini, di mana GPO setidaknya menonaktifkan Windows Firewall untuk profil domain dan pada WORST menonaktifkannya juga untuk profil publik.
Lebih jauh lagi, beberapa akan menonaktifkannya untuk server sendiri: Nonaktifkan firewall untuk semua profil jaringan pada Windows Server 2008 R2 hingga GPO
Sebuah Microsoft Technet Artikel tentang WINDOWS FIREWALL merekomendasikan Anda TIDAK menonaktifkan Windows Firewall:
Karena Windows Firewall dengan Keamanan Lanjutan memainkan peran penting dalam membantu melindungi komputer Anda dari ancaman keamanan, kami sarankan agar Anda tidak menonaktifkannya kecuali Anda menginstal firewall lain dari vendor terkemuka yang memberikan tingkat perlindungan yang setara.
Pertanyaan ServerFault ini menanyakan pertanyaan sesungguhnya: Apakah boleh untuk mematikan firewall di LAN menggunakan Kebijakan Grup? - dan para ahli di sini bahkan bercampur dalam pandangan mereka.
Dan mengerti saya tidak mengacu pada menonaktifkan / mengaktifkan LAYANAN: Bagaimana saya dapat mencadangkan rekomendasi saya untuk TIDAK menonaktifkan layanan Windows Firewall? - sehingga menjadi jelas bahwa ini tentang apakah atau tidak layanan firewall mengaktifkan firewall atau menonaktifkannya.
PERTANYAAN DI TANGAN
Jadi saya kembali ke Judul pertanyaan ini ... apa yang dapat dilakukan untuk mengaktifkan kembali firewall Windows pada domain dengan benar? Khusus untuk workstation klien dan profil domain mereka.
Sebelum hanya mengganti GPO dari Dinonaktifkan ke Diaktifkan, langkah perencanaan apa yang harus diambil untuk memastikan bahwa membalik sakelar tidak menyebabkan aplikasi kritis klien / server, lalu lintas yang diijinkan, dll. Tiba-tiba gagal? Sebagian besar tempat tidak akan mentolerir pola pikir "ubah dan lihat siapa yang memanggil Helpdesk" di sini.
Apakah ada daftar periksa / utilitas / prosedur yang tersedia dari Microsoft untuk menangani situasi seperti itu? Pernahkah Anda dalam situasi ini sendiri dan bagaimana Anda menghadapinya?
windows server by default disables the firewall
Ini tidak benar . domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain
juga, tidak benar- sudahkah Anda melihat GPO yang tersedia untuk mengelolanya dalam 6 tahun terakhir? Ini bukan 2003 lagi the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work
Saat Anda menginstal AD DS, pengecualian yang diperlukan untuk semua itu sudah dikonfigurasikan sebelumnya pada DC