ZEDA.nl

ZEDA.nl

Tips & Tweaks voor Windows

Gebruikerswaardering:  / 0
ZwakZeer goed 

Windows Firewall GPO's

Op het moment dat ik dit artikel schrijf, zit ik comfortabel op de bank met mijn laptop. Zoals iedereen tegenwoordig wil ik overal kunnen werken. Maar wel veilig natuurlijk.

Een goede stap in die richting zijn de Group Policies voor Windows Firewall with Advanced Security.

Dit artikel bescrijft:

  • De netwerk typen: Home, Work, Public en Domain
  • De firewall profielen: Private, Public en Domain
  • Het zetten van default firewall GPO instellingen
  • Het maken van inbound en outbound rules
  • Do's & Don'ts

De locatie bepalen

Het eerste wat van belang is is de locatie van je (draadloos) netwerk. Ik heb meer vertrouwen in mijn bedrijfsnetwerk, dan in het netwerk van een hamburgerketen, dus is het logisch om de firewall op de laatste locatie iets strakker dicht te hebben.

Via NLA - Network Location Awareness - bepaalt Windows (Vista, 7 en 2008) samen met de gebruiker de aard van het netwerk. Bij het succesvol verbinding maken met een netwerk, vraagt Windows om wat voor netwerk het gaat. Je hebt hierbij keuze uit Work network, Home network en Public network.

In het geval dat Windows het netwerk niet kan identificeren, zal automatisch gekozen worden voor Public network. Dit gebeurt bijvoorbeeld als een default gateway ontbreekt.

Naast deze drie opties bestaat er ook nog een vierde optie die automatisch geselecteerd wordt als computer toegang tot het domein heeft. Deze optie heet Domain network en is niet handmatig te kiezen of te wijzigen.

Onderscheid tussen locaties in de firewall

De Windows Firewall with Advanced Security maakt onderscheid tussen drie netwerktypen i.p.v. vier. De netwerken Public en Domain zien we terug, maar Home en Work worden samengevoegd tot Private.

De GPO instellingen

Nu de theorie over de typen netwerken duidelijk is, kunnen we naar de GPO gaan kijken. De settings voor Windows Firewall with Advanced Security vind je onder policies -> Windows Settings -> Security Settings

Je ziet hier al de Inbound en Outbound rules staan, maar eerst gaan we regelen wat er gebeurt als er geen rule van toepassing is. Vraag hiervoor de Properties op van Windows Firewall with Advanced Security.

In de tabbladen zie je de drie netwerktypen Domain, Private en Public terug, met in ieder tabblad dezelfde instellingen. Je bepaald de default instellingen dus per type netwerk.

Als aanbevolen instellingen staat in de GPO voor alle netwerken de firewall aan, wordt het inkomende verkeer geblokkeerd en het uitgaande verkeer toegestaan. Het uitgaande verkeer is het verkeer dat jij (of jouw computer) initieert en inkomend is het verkeer dat een ander initieert. Als je de aanbevolen waardes instelt ben je dus goed op weg.

Ik ben wat meer paranoïde aangelegd en stel bij het Public Profile de instellingen voor Outbound connections in op Block. Om ervoor te zorgen dat ik in een publieke plaats toch nog iets kan doen, verplicht ik me hiermee wel om outbound rules te maken.

Inbound Rules

Hoewel het over het algemeen prettig is dat niemand de computer binnen kan komen, wil ik de computers wel toegankelijk maken voor de beheerders. Ik maak dus een inbound rule voor het beheerders VLAN 10.10.10.0/24.

1. Klik met de rechter muistoets Inbound Rules en kies voor New rule. Er verschijnt een wizard voor het aanmaken van een nieuwe regel.

2. Ik wil volledige toegang verschaffen en zie daar geen optie voor, dus kies ik voor Custom.

3. Het volgende scherm vraagt om het programma dat ik wil toelaten. Ik kies All programs.

4. Ook voor protocollen een poorten wil ik alles door laten, dus ik kies voor Protocol type Any.

5. Nu kom ik bij het gedeelte dat ik een IP range kan ingeven. Ik voeg hier het netwerk 10.10.10.0/24 toe als Remote IP addresses.

6. Ik kies voor Allow the connection om het verkeer toe te laten.

7. Van de drie netwerktypen wil ik dat de rule alleen van toepassing is op mijn domein netwerk. Ik vink daarom Private en Public uit.

8. Als laatste geef je de rule nog een naam en omschrijving en beëindig je de wizard. De regel is nu zichtbaar onder Inbound rules.

Outbound Rules

Op een soortgelijke manier heb ik een rule aangemaakt waarin ik DNS toegang naar buiten geef aan de computer in een Public Netwerk en HTTP en HHTP(s) toegang voor het programma Internet Explorer.

Do's and Don'ts

Een aantal belangrijke zaken om over na te denken.

Don't: Ontneem een computer nooit alle outbound rechten op de profielen domain en Private. Een computer zal bij opstarten altijd eerst een private profiel gebuiken. Pas bij contact met het domein zal deze veranderen in een Domain profiel.

Als het private profiel niet bij het domein mag komen zal dit dus nooit gebeuren. GPupdate om je nieuwe settings op te halen zal ook niet werken.

Do: Start met de aanbevolen settings aangevuld met inbound rules voor toegang voor beheerders.

Do: Test je instellingen uitvoerig voor je ze in productie gebruikt. Dit is geen overbodige luxe.

Do: Denk goed na over toegang tot het ophalen van updates (Windows Update, virus definities, etc).

Do: Denk goed na over de vrijheden die je de gebruiker - met name thuis - wil geven, denk hierbij aan internet gebruik, chatten, printen naar een netwerk printer, streaming media, VPN, etc.

Don't: Laat je niet ontmoedigen door deze Do's & Don'ts

Dit artikel is van toepassing op: Windows 2008, Windows 2008 R2, Windows Vista, Windows 7.

ZEDA.nl

Tips & Tweaks for Windows

Meest gelezen:

Ad:

Tools:

EU e-Privacy Directive

Deze site gebruikt cookies voor analytics, advertenties en voor functionele doeleinden. Wilt u de cookies toestaan?

You have declined cookies. This decision can be reversed.

You have allowed cookies to be placed on your computer. This decision can be reversed.