11 Windows 防火墙最佳实践

在本指南中，我分享了我的 Windows Defender 防火墙最佳实践和技巧。

大多数最佳实践都适用于使用组策略或 Intune 的企业网络。

这些是我在现实世界中使用过的设置。他们进行了仔细的规划、大量的测试和批准。没有两个网络或组织是相同的，因此这些设置可能不适合您。我建议您在对生产系统进行更改之前进行测试并获得批准。

防火墙最佳实践列表：

1. 使用组策略集中管理防火墙
2. 创建基线防火墙策略
3. 为特定规则创建单独的 GPO
4. 保留默认入站和出站规则
5. 启用所有防火墙配置文件
6. 禁用规则合并
7. 启用日志
8. 限制防火墙规则的范围
9. 启用防火墙
10. 防火墙规则命名约定
11. 文档设置和使用 GPO 注释

我真的需要 Windows 防火墙吗？

Windows 防火墙可以帮助保护您的计算机免受不需要的流量的侵害。它被 Microsoft 和其他安全专业人士视为 Active Directory 安全最佳实践。禁用和关闭防火墙可能会使您的计算机更容易受到病毒、勒索软件和其他恶意攻击。即使您的网络外围有基于网络的防火墙，仍然建议启用基于主机的防火墙。您拥有的安全层越多，您受到的保护就越好。

许多安全组织（例如 Internet 安全中心）建议启用 Windows 防火墙。以下是 CIS 安全控制中有关防火墙的屏幕截图。

如何检查我的防火墙状态？

有几种方法可以检查 Windows 防火墙是否打开。

以下命令将显示所有三个配置文件的防火墙状态：

netsh advfirewall show all

检查防火墙状态的另一种方法是单击 Windows 开始按钮并键入防火墙，然后选择“检查防火墙状态”

在上图中，您可以看到公共网络的防火墙已打开，但专用网络的防火墙未打开。

1. 使用组策略集中管理防火墙

如果您有 Active Directory 环境或带有加入域的计算机的 Azure，则应集中管理防火墙设置。您不希望用户能够管理规则，或更糟的是禁用防火墙。我经常看到防火墙弹出窗口并说某些内容被阻止，然后用户只需单击即可添加规则。这可能是一场灾难，并会削弱您的端点安全性。

集中管理防火墙有助于确保您在所有系统上拥有一致的防火墙规则。

2. 创建基线防火墙策略

我喜欢创建一个可以应用于所有计算机或大量计算机的基线防火墙策略。这将包括大多数计算机都会安装的常见程序。这些工具包括 Microsoft Teams、Outlook、Java、Office 应用程序、Adobe 等。

我为需要更严格规则的服务器和其他特殊用途计算机创建了单独的基准策略。例如，警车中的移动计算机将获得单独的基线策略。

创建基线时，我只允许需要的内容。同样，我只是寻找大多数用户使用的常用程序。诸如 FTP 或允许 SMTP 之类的特定内容将进入一个单独的 GPO，我将在技巧 #4 中对其进行介绍。

3. 为特定规则创建单独的 GPO

假设您推出了基线防火墙 GPO，然后有人需要解锁 FTP，您会怎么做？您将其添加到基线吗？决不。这会为大量用户解锁 FTP，并削弱您的安全性。

我所做的，也取得了很好的效果，是创建一个新的 GPO，它可以解锁 FTP（或任何需要的内容），并且仅将其应用于安全组。这非常有效，有两个原因。首先，它只为一小部分用户解除阻止 FTP，并保持对所有其他用户的阻止。其次，通过使用安全组，您可以轻松查看哪些用户或计算机打开了特定规则。

如何将 GPO 应用到安全组？

使用 GPO 上的“委派”选项卡更改权限并仅允许某个组使用。您需要将“Authenticated Users”更改为“Deny”以应用组策略。然后添加新组并为其授予读取和应用组策略允许权限。在推出之前一定要对此进行测试。

这有助于最大限度地减少所需的 GPO，并允许防火墙 100% 由 GPO 管理。

4. 保留默认入站和出站规则

微软表示“这些设置旨在保护您的设备在大多数网络场景中使用”。

我同意，因为这默认会阻止不需要的入站连接。我所说的不需要的连接是指您的计算机未启动的连接。例如，如果有人尝试管理共享 (c$) 或 RDP 到您的计算机，它将被阻止。这也将阻止黑客工具和病毒的横向移动。巨大的胜利！

这仍然允许您的计算机建立您的计算机启动的出站连接。例如，当您打开 Chrome 或 Firefox 时，这些默认规则将允许这样做。这些默认规则可以轻松实现安全配置，同时减少对用户的干扰。

如果您有严格的要求并且需要控制所有入站和出站流量，则不要使用默认的允许出站规则。例如，如果您只想允许端口 443 出站到特定地址，则不要使用这些默认值。

您最终可能会得到使用默认值和其他不使用默认值的 GPO 的混合体。也许您的基线是默认的，但随后有特定的计算机默认阻止所有内容。每个组织都是不同的，并且没有一种适合所有防火墙规则的规则。

5. 启用所有防火墙配置文件

Windows 防火墙具有三个配置文件：域、专用和公共。

域配置文件：此配置文件适用于计算机可以通过域控制器进行身份验证的网络。

私人配置文件：此配置文件是用户分配的配置文件，用于私人和家庭网络。

公共配置文件：连接到公共网络（例如公共 WiFi）时使用。

最佳实践是启用所有三个配置文件。创建新的防火墙规则时，您可以将规则设置为最适用的组（有时是全部三个）。

例如，如果您正在创建规则以允许访问内部 FTP 服务器，则无需将其应用于公共配置文件。如果您没有应用非常严格的规则并将其应用于公共配置文件，那么您只是打开了来自互联网的入站 FTP 连接（当连接到公共网络时）。

6. 禁用规则合并

禁用规则合并意味着忽略本地防火墙规则。端点防火墙设置将 100% 由组策略管理。这是我的偏好。

如果不是 100% 集中管理，那么如何保持安全态势？我不希望应用程序或用户创建自己的防火墙规则，这只会在防火墙上造成漏洞。

如果您在计算机本地添加了防火墙规则并将其设置为“否”，则本地规则将不再适用。

7. 日志设置

我建议启用丢弃数据包的日志记录并增加日志文件的大小。有时，防火墙会阻止合法程序，您或其他人需要对其进行故障排除。记录被阻止的连接可以非常容易地识别防火墙何时导致连接问题。

防火墙无日志文件问题

很多时候默认日志文件位置缺少写入日志文件的权限。我猜这是微软的一个错误，因为这种情况经常发生。要解决此问题，计算机需要让 mpssvc 服务帐户具有对 c:\windows\system32\logfiles 目录的写入权限。

这是日志文件的示例。

8.限制防火墙规则的范围

解除阻止程序或服务时，限制对远程 IP 地址或授权计算机的访问。例如，如果您允许 Jim 的计算机允许 FTP 连接，则不要只允许来自任何 IP 地址的 FTP。您可以限制范围，例如，我只允许 Jim 的计算机接受来自 192.168.100.20 的 FTP 连接。

防火墙的黄金法则是只允许需要的内容。允许 Jim 的计算机接受来自任何远程地址的 FTP 连接存在安全风险。有多种方法可以做到这一点。我还建议将规则锁定到应用程序、端口号和远程地址。

这可能并不总是可行，但如果可以的话，请尽可能锁定它。

9.启用防火墙

我对有多少组织仍然禁用 Windows 防火墙或配置不当感到震惊。

Windows 防火墙提供了许多安全优势，包括：

• 控制入站和出站连接
• 阻止病毒和勒索软件在您的网络上传播
• 阻止用户共享计算机上的文件夹和打印机
• 减少网络威胁
• 加密网络上的网络通信
• 减缓攻击者在您的网络上的移动速度
• 默认阻止不安全端口

大多数安全组织（例如 sans CIS 和 CISA）建议使用基于主机的防火墙来减轻恶意网络活动。

刚发布时，XP 的 Windows 防火墙非常糟糕，每个人都将其禁用。它的功能有限并且难以配置。由于所有的抱怨，微软做出了重大改进，从那时起它就成为了一个很好的企业防火墙。

不幸的是，它仍然被广泛禁用。这是一个巨大的错误。

大多数组织都有基于网络的防火墙，并认为他们不需要 Windows 防火墙。这是错误且不好的做法。安全性取决于层，层越多，您受到的保护就越好。您需要在网络参数上安装网络防火墙，并在所有端点上启用防火墙。

10. 防火墙规则命名约定

端点很可能拥有所有默认规则，除非您应用策略来清除它们。本地防火墙规则将不起作用，但仍会显示。这可能会令人困惑，并且很难找到您通过组策略推出的规则。

我喜欢以下划线或三个字母开头的 GPO 规则名称。这样可以轻松地在本地端点上找到我的 GPO 防火墙规则。

例如，在上图中，我使用 _GPO_ 启动它们，现在当我打开本地防火墙时，所有 GPO 规则都位于顶部并且很容易找到。

同样，当您禁用规则合并（提示＃7）时，所有本地防火墙规则都将不会应用。使用技巧 5 时，这并不像您想象的那么大。

11.文档设置和使用GPO注释

记录防火墙 GPO 设置并与您的员工共享。防火墙经常被归咎于所有事情，因此当您的员工知道 GPO 规则在做什么时，它会有所帮助。即使他们知道，他们仍然会经常责怪防火墙。发生这种情况时，您可以向他们显示防火墙日志并证明防火墙没有阻止任何内容。

GPO 中的注释部分非常有用，它为管理员提供了一种快速了解 GPO 用途的方法。

您可以通过右键单击 GPO > 属性，然后单击注释选项卡来访问注释。

现在单击评论选项卡。

概括

基于主机的防火墙对于组织的安全策略至关重要。为了获得良好的安全性，您必须拥有多层防御，而 Windows 防火墙又添加了一层。而且它是免费的。

一项不常被提及的巨大好处是基于主机的防火墙如何阻止网络中的横向移动。这是黑客和病毒用来破坏系统和整个网络的常见策略。实施这些最佳实践将阻止这种横向移动和许多其他不需要的连接。

如果您当前禁用防火墙或不集中管理它，那么我建议您开始考虑更改它。

来源

• 配置 Windows Defender 防火墙的最佳实践
• 基本防火墙策略设计示例
• 在小型到大型生产网络中实施这些规则