কোনও ডোমেনে উইন্ডোজ ফায়ারওয়ালকে সঠিকভাবে সক্ষম করার জন্য কী করা যেতে পারে?

15

পটভূমি গবেষণা

আমি সত্যই বিশ্বাস করি যে এর মতো প্রশ্নগুলি: ওয়ার্কস্টেশনগুলি উইন্ডোজ ফায়ারওয়ালকে অক্ষম করতে বাধ্য করার জন্য অ্যাক্টিভ ডিরেক্টরি ডোমেনে জিপিও ব্যবহার করা - কীভাবে? অস্তিত্ব ছিল কারণ সাধারণভাবে উইন্ডোজ অ্যাডমিনগুলি শেখানো হয়েছিল যে:

"একটি ডোমেন কম্পিউটারের সাথে কাজ করার সময় সবচেয়ে সহজ কাজটি হ'ল উইন্ডোজ ফায়ারওয়ালটি অক্ষম করার জন্য ডোমেনে একটি জিপিও করা ... এটি আপনাকে শেষ পর্যন্ত অনেক কম ব্যথা করবে" " - বছরগুলি পেরিয়ে এলোমেলো আইটি প্রশিক্ষক / পরামর্শদাতা

আমিও বলতে পারি যে অধিকাংশ কোম্পানি এ আমি সম্পন্ন পাশ কাজ করেছি এই ক্ষেত্রে, যেখানে ন্যূনতম একটি জিপিও ডোমেইন প্রোফাইলের জন্য এবং অক্ষম উইন্ডোজ ফায়ারওয়াল হয়েছে জন্য খারাপ এটি অক্ষম জনসাধারণের প্রোফাইলের জন্য।

এরপরেও, কিছু এটি সার্ভারের জন্য নিজেরাই অক্ষম করবে: জিপিওর মাধ্যমে উইন্ডোজ সার্ভার ২০০৮ আর 2 এর সমস্ত নেটওয়ার্ক প্রোফাইলের জন্য ফায়ারওয়াল অক্ষম করুন

উইন্ডোজ ফায়ারওয়ালের একটি মাইক্রোসফ্ট টেকনেট আর্টিকেল আপনাকে উইন্ডোজ ফায়ারওয়ালটি অক্ষম না করার পরামর্শ দেয়:

অ্যাডভান্সড সিকিউরিটি সহ উইন্ডোজ ফায়ারওয়াল আপনার কম্পিউটারটিকে সুরক্ষা হুমকির হাত থেকে রক্ষা করতে গুরুত্বপূর্ণ ভূমিকা পালন করে, তাই আমরা আপনাকে সুপারিশ করি যে আপনি যদি কোনও নামীদামী বিক্রেতার কাছ থেকে অন্য কোনও ফায়ারওয়াল ইনস্টল না করেন যা আপনি সমতুল্য সুরক্ষা সরবরাহ করে।

এই সার্ভারফল্ট প্রশ্নটি আসল প্রশ্নটি জিজ্ঞাসা করে: গ্রুপ পলিসি ব্যবহার করে ল্যানে ফায়ারওয়াল বন্ধ করা কি ঠিক হবে? - এবং এখানকার বিশেষজ্ঞরা এমনকি তাদের মতে মিশ্রিত।

এবং বুঝুন আমি পরিষেবাটি অক্ষম / সক্ষম করার কথা উল্লেখ করছি না: আমি কীভাবে উইন্ডোজ ফায়ারওয়াল পরিষেবাটি অক্ষম না করার জন্য আমার প্রস্তাবটি ব্যাক আপ করতে পারি? - যাতে এটি পরিষ্কার হয়ে যায় যে এটি ফায়ারওয়াল পরিষেবা ফায়ারওয়ালকে সক্ষম করে বা এটি অক্ষম করে about

হ্যান্ড এ প্রশ্ন

সুতরাং আমি এই প্রশ্নের শিরোনামে ফিরে যাই ... কোনও ডোমেনে উইন্ডোজ ফায়ারওয়াল সঠিকভাবে পুনরায় সক্ষম করার জন্য কী করা যেতে পারে? বিশেষত ক্লায়েন্ট ওয়ার্কস্টেশন এবং তাদের ডোমেন প্রোফাইলের জন্য।

অক্ষম থেকে সক্ষম করে কেবলমাত্র জিপিওতে স্যুইচ করার আগে, স্যুইচটি উল্টিয়ে দেওয়ার ফলে গুরুত্বপূর্ণ ক্লায়েন্ট / সার্ভার অ্যাপ্লিকেশন, অনুমতিযোগ্য ট্র্যাফিক ইত্যাদির আকস্মিক ব্যর্থতা না ঘটে তা নিশ্চিত করার জন্য কোন পরিকল্পনা পদক্ষেপ গ্রহণ করা উচিত? বেশিরভাগ জায়গাগুলি এখানে "এটি পরিবর্তন করুন এবং দেখুন কে হেল্পডেস্ক বলে" মানসিকতা সহ্য করবে না।

এই জাতীয় পরিস্থিতি পরিচালনা করতে মাইক্রোসফ্ট থেকে চেকলিস্ট / ইউটিলিটি / পদ্ধতি উপলব্ধ আছে কি? আপনি কি এই পরিস্থিতিতে নিজেই ছিলেন এবং আপনি কীভাবে এটি মোকাবেলা করেছেন?

group-policy  windows-firewall 
পরিষ্কারকটি
সূত্র
3
উইন্ডোজ সার্ভার ডিফল্টরূপে ফায়ারওয়াল অক্ষম করে। (আমি ধরে নিচ্ছি যে এটি সর্বদা একটি ভাল কর্পোরেট ফায়ারওয়ালের পিছনে থাকবে)। ডোমেন ওয়ার্কস্টেশনগুলি সাধারণত তাদের অক্ষম করে দেয় কারণ উইন্ডোজ ফায়ারওয়াল একটি পিআইটিএ যা কাজ করে এবং বজায় রাখে। প্রতিটি অ্যাপ্লিকেশনকে কিছু বিশেষ বন্দর দরকার হয়, ডিসি একগুচ্ছ বন্দর ইত্যাদির উপর ডেটা বমি করে stuff ইত্যাদি stuff তারপরে আপনি চলে যাওয়ার সাথে সাথে আপনাকে আবার ফিরে এসে এটি ঠিক করতে হবে।
স্নাকডোক
10
@SnakeDoc windows server by default disables the firewall এটি সত্য নয়domain workstations typically have them disabled because the windows firewall is a PITA to work with and maintain এছাড়াও, সত্য নয়- আপনি গত 6 বছরে এটি পরিচালনার জন্য উপলব্ধ জিপিওগুলিকে দেখেছেন? এটি 2003 নয়, the DC vomits up data on a bunch of ports, etc etc. There's so much stuff going on, that enabling the windows firewall usually leads to a lot of time spent "fixing" it so normal apps work যখন আপনি এডি ডিএস ইনস্টল করেন, তখন সেগুলির জন্য প্রয়োজনীয় ব্যতিক্রমগুলি ডিসিগুলিতে পূর্ব-কনফিগার করা হয়
এমডিমারা
12
আমি আক্ষরিকভাবেই জানি না যে এই মুহুর্তে মন্তব্যটি কীভাবে +3 হয় যখন এতে তৈরি প্রতিটি একক পয়েন্ট সত্যই ভুল। এই মুহুর্তে / আর / সিসাদমিনের মতো অনুভূতি।
MDMarra
3
@ এমডিমারারা: আমি ঠিক একই জিনিসটি নিয়ে ভাবছিলাম আবার: সেই মন্তব্যে "+3"। আমি আশা করি আমি এই মন্তব্যটিকে নীচে নামাতে পারতাম। (আমি পতাকা উত্তোলন করা সঠিক জিনিস বলে মনে করি না তবে আমি সত্যিই প্রলুব্ধ হই ...)
ইভান অ্যান্ডারসন

উত্তর:

19

What can be done to properly re-enable the Windows firewall on a domain?

ঠিক আছে, সংক্ষিপ্ত উত্তরটি হ'ল আপনি যদি সামনে দাঁড়ানোর সিদ্ধান্ত নেন তবে এটি অনেক কাজ হয়ে যাবে, এবং রেকর্ডটির জন্য, আমি নিশ্চিত নই যে আমি যাব।

সাধারণ ক্ষেত্রে, ক্লায়েন্ট ফায়ারওয়ালগুলি কর্পোরেট নেটওয়ার্কে খুব বেশি সুরক্ষা দেয় না (যার মধ্যে সাধারণত হার্ডওয়্যার ফায়ারওয়াল থাকে এবং প্রান্তে এই ধরণের জিনিস নিয়ন্ত্রণ করে), এবং ম্যালওয়্যার লেখকরা আজকাল তাদের ট্র্যাফিকের জন্য পোর্ট ৮০ ব্যবহার করার জন্য যথেষ্ট স্মার্ট, কারণ কার্যত কেউ এই বন্দরটিকে অবরুদ্ধ করে না, তাই সীমিত সুরক্ষা সুবিধা সরবরাহের জন্য আপনি কিছু কিছু করার চেষ্টা করুন effort

তা বলে, দীর্ঘ উত্তর:

  1. ইনভেন্টরি অ্যাপ্লিকেশন এবং তাদের সংযোগের জন্য যতটা সম্ভব আপনি প্রয়োজন।
    • আপনি যদি কোনও allow allনিয়ম এবং লগিং সেট করে উইন্ডোজ ফায়ারওয়ালকে নিরাপদে সক্ষম করতে পারেন তবে আপনার কোন অ্যাপ্লিকেশানগুলিতে ফায়ারওয়াল বহির্গমন প্রয়োজন তা নির্ধারণের জন্য এটি ডেটা ট্রেজার হয়ে যাবে।
    • যদি আপনি লগিং ডেটা অ-ইন্টুসিভলি সংগ্রহ করতে না পারেন তবে আপনাকে একটি সরল জায় দিয়ে কাজ করতে হবে, বা এমন ব্যাবহারকারীদের উপর আপনার লগিং করতে হবে যারা বিঘ্ন ঘটতে পারে এবং আইটি ক্রিয়াকলাপটি পরিচালনা করতে পারে (যেমন নিজের এবং অন্যান্য প্রযুক্তিগুলির মতো)।
  2. আপনার সমস্যা সমাধানের প্রয়োজনগুলি সম্পর্কে চিন্তা করুন।
    • এমন কিছু জিনিস রয়েছে যা সম্ভবত সফ্টওয়্যার নিরীক্ষায় আসে না যা সম্পর্কে আপনার চিন্তা করা দরকার। উদাহরণ স্বরূপ:
      • আপনি আইসিএমপি (বা অনুমোদিত ঠিকানা স্থানগুলি থেকে আইসিএমপি) কে ট্রাবলশুটিং এবং আইপি অ্যাড্রেস ম্যানেজমেন্টকে ভয়াবহ না করার অনুমতি দিতে চাইতে পারেন।
      • তেমনি, আপনি ছেলেরা যে কোনও রিমোট ম্যানেজমেন্ট অ্যাপ্লিকেশন ব্যবহার করেন তা বাদ দেয়।
      • আপনি সম্ভবত নীতি দ্বারা ফায়ারওয়াল লগিং সেট করতে চাইবেন
  3. একটি বেসলাইন জিপিও তৈরি করুন এবং এটি একটি পরীক্ষা গ্রুপ, বা একাধিক পরীক্ষার গোষ্ঠীতে মোতায়েন করুন।
    • আপনি কেবল এটি করতে পারবেন না এবং হেল্পডেস্কটি এটি প্রত্যেকের জন্য বাছাই করতে দিন, পরিচালন হস্ত-বাছাই করা কর্মচারীদের একটি নির্বাচিত গোষ্ঠীর সাথে পরিবর্তনগুলি চালিত করার জন্য আরও অনেক উন্মুক্ত হতে চলেছে, বিশেষত যদি তারা মনে করে যে কোনও বৈধ সুরক্ষা উদ্বেগ আছে ।
    • আপনার পরীক্ষা গোষ্ঠীটি সাবধানে বাছুন। প্রথমে আইটি লোক ব্যবহার করা বুদ্ধিমানের কাজ হতে পারে, তারপরে গ্রুপটিকে আরও বিস্তৃত করে অন্যান্য বিভাগের লোকদের অন্তর্ভুক্ত করুন।
    • স্পষ্টতই, আপনার পরীক্ষার গোষ্ঠীটি নিরীক্ষণ করুন এবং আপনার প্রথমবারের মতো ধরা পড়েনি এমন সমস্যাগুলি দ্রুত সমাধানের জন্য তাদের সাথে ধ্রুবক যোগাযোগে থাকুন।
  4. ধীরে ধীরে এবং পর্যায়ক্রমে পরিবর্তনটি রোল করুন।
    • একবার আপনি এটি আপনার সন্তুষ্টির জন্য পরীক্ষা করে নিলে আপনার এখনও সতর্কতা অবলম্বন করা উচিত এবং কেবল একবারে এটি পুরো ডোমেনের দিকে ঠেলে দেওয়া উচিত নয়। এটি ছোট গ্রুপগুলিতে রোল আউট করুন, যা আপনাকে আপনার সংস্থার কাঠামো এবং প্রয়োজন অনুসারে নির্ধারণ করতে হবে।
  5. ভবিষ্যতের পরিবর্তনগুলি পরিচালনা করতে আপনার কাছে কিছু জায়গা রয়েছে তা নিশ্চিত করুন।
    • আপনার পরিবেশে এখন যা আছে কেবল এটির জন্য এটি কাজ করা যথেষ্ট হবে না, কারণ আপনি আপনার ডোমেনে নতুন অ্যাপ্লিকেশনগুলি শেষ করবেন এবং এগুলি সামঞ্জস্য করার জন্য আপনাকে ফায়ারওয়াল নীতিটি আপডেট হয়েছে তা নিশ্চিত করতে হবে, বা আপনার উপরের কেউ সিদ্ধান্ত নেবেন যে ফায়ারওয়াল এটির চেয়ে বেশি ঝামেলা এবং নীতিটি মুছে ফেলা হবে, মুছে ফেলা হবে এবং আপনি এ পর্যন্ত যে কাজটি রেখেছেন তা হ'ল।
HopelessN00b
সূত্র
12

সম্পাদনা: আমি কেবল এটিই বলতে চাই যে উইন্ডোজ ফায়ারওয়ালের সাথে অন্তর্নিহিত কোনও ভুল নেই। এটি সামগ্রিক প্রতিরক্ষা-গভীরতা কৌশলটির একটি সম্পূর্ণ গ্রহণযোগ্য অংশ। বিষয়টির সত্যতা হল, বেশিরভাগ দোকানগুলি যে অ্যাপ্লিকেশনগুলি চালায় সেগুলির জন্য ফায়ারওয়াল বিধিগুলি কী প্রয়োজন তা নির্ধারণ করার জন্য বিরক্তিহীন খুব অযোগ্য বা খুব অলস, এবং তাই তারা কেবল সর্বব্যাপী তা বন্ধ করে দেয়।

উদাহরণস্বরূপ, যদি উইন্ডোজ ফায়ারওয়াল আপনার ডোমেন নিয়ন্ত্রকদের তাদের কাজটি করা থেকে বিরত করে, কারণ আপনি ফায়ারওয়াল চালু করার আগে অ্যাক্টিভ ডিরেক্টরি কী প্রয়োজন তা জানেন না বা আপনি নীতিটি ভুলভাবে কনফিগার করেছেন বলে।

এটাই বিষয়টির মূল কথা line

প্রথমে আপনার প্রকল্প পরিচালকদের, আপনার কর্তাদের, আপনার স্টকের ধারকগণ, আপনার পরিবর্তন পরামর্শদাতা মন্ত্রিসভা, যে কোনও প্রক্রিয়া আপনার সংস্থায় থাকুক না কেন তাদের সাথে যোগাযোগ করুন এবং সামগ্রিকভাবে বৃদ্ধির জন্য আপনি উইন্ডোজ ফায়ারওয়ালের সাথে ক্রমান্বয়ে প্রতিকারের মধ্য দিয়ে যাবেন তা তাদের সকলকে অবহিত করুন আপনার পরিবেশ সুরক্ষা ভঙ্গি।

নিশ্চিত করুন যে তারা বুঝতে পারে যে ঝুঁকি রয়েছে। হ্যাঁ, অবশ্যই কোনও বাধা সৃষ্টি হবে না তা নিশ্চিত করার জন্য আমরা যা যা করতে পারি, সমস্ত পরিকল্পনা করব, তবে কোনও প্রতিশ্রুতি দেবো না। কোনও পুরানো ডোমেনকে আকার দেওয়ার চেষ্টা করা কঠোর পরিশ্রম।

এরপরে, আপনাকে ইনভেন্টরি অ্যাপ্লিকেশনগুলি ব্যবহার করতে হবে যা আপনার পরিবেশে ব্যবহৃত হয় এবং তাদের কী বন্দর প্রয়োজন। পরিবেশের উপর নির্ভর করে এটি খুব কঠিন হতে পারে। তবে এটা করতে হবে। মনিটরিং এজেন্টরা? এসসিসিএম এজেন্টরা? অ্যান্টিভাইরাস এজেন্ট? তালিকাটি এগিয়ে যায়।

আপনার এন্টারপ্রাইজ অ্যাপ্লিকেশনগুলির জন্য কাস্টম বিধি অন্তর্ভুক্ত এমন একটি উইন্ডোজ ফায়ারওয়াল জিপিও বিকাশ করুন। আপনার বিভিন্ন স্কোপ সহ একাধিক নীতি প্রয়োজন হতে পারে যা বিভিন্ন সার্ভারে প্রযোজ্য। উদাহরণস্বরূপ, একটি পৃথক নীতি যা 80, 443 ইত্যাদি পোর্টের জন্য কেবল ওয়েব সার্ভারে প্রযোজ্য

অন্তর্নির্মিত উইন্ডোজ ফায়ারওয়াল নীতিগুলি আপনার পক্ষে খুব সহায়ক হবে, কারণ তারা সাধারণভাবে সাধারণ উইন্ডোজ ক্রিয়াকলাপগুলিকে সামঞ্জস্য করার জন্য পুরোপুরি বিস্তৃত। এগুলি নিয়মগুলিতে তৈরি করা আরও ভাল কারণ এগুলি কেবল পুরো সিস্টেমে কোনও বন্দর খোলা বা বন্ধ করে দেয় না - এগুলি মেশিনে ঘটে যাওয়া খুব নির্দিষ্ট প্রক্রিয়া এবং প্রোটোকল ক্রিয়াকলাপের জন্য স্কোপ করা হয় তবে তারা আপনার কাস্টম অ্যাপ্লিকেশনগুলিকে আবরণ করে না don't , সুতরাং নীতিগুলিতে সহায়ক এসিএস হিসাবে সেই নিয়মগুলি যুক্ত করুন।

সম্ভব হলে প্রথমে পরীক্ষার পরিবেশে রোল আউট করুন এবং উত্পাদনের দিকে রোল আউট করার সময় প্রথমে সীমিত খণ্ডে এটি করুন। আপনার প্রথম যেতে যেতে কেবলমাত্র জিপিওর পুরো ডোমেনে প্লপ করবেন না।

এই শেষ বিবৃতিটি সম্ভবত পরামর্শের সেরা টুকরো যা আমি আপনাকে দিতে পারি - আপনার পরিবর্তনগুলি খুব ছোট, নিয়ন্ত্রিত স্কোপে রোল আউট করুন।

রায়ান রিস
সূত্র
1
এই উত্তরটির সাথে সম্পর্কিত নয় পরবর্তী মন্তব্য বাক্সে 24 ঘন্টা পায়। > = [
ক্রিস এস
6
@ ক্রিসস তাই, এই সপ্তাহান্তে আপনি কী করছেন?
MDMarra
4

ঠিক আছে, আমি এমন কিছু প্রস্তাব দিতে যা যা আপনাকে সমস্যায় ফেলতে পারে এবং নাও পারে, তবে ফায়ারওয়ালটি চালু করার সময় এটি আমি ব্যবহার করি।

Nmap। (যে কোনও বন্দর স্ক্যানার করত)) আমি আশঙ্কা করি যে বন্দরগুলি ব্যবহার হচ্ছে তার নথিভুক্তিতে আমি বিশ্বাস করি না। আমি নিজের জন্য দেখতে চাই

পটভূমি: আমি এমন একাডেমিক পরিবেশ থেকে এসেছি যেখানে শিক্ষার্থী ল্যাপটপগুলি আমাদের সার্ভারগুলি (উঘ!) দিয়ে কনুই ঘষে। আমি যখন নিজের সার্ভারে এনএমএপ ব্যবহার শুরু করি তখন আমাদের কোনও আইডি ছিল না, তাই আমি ইচ্ছামতো এনএম্যাপ করতে পারি এবং কারও নজরে আসেনি। তারপরে তারা আইডি প্রয়োগ করেছে এবং আমি ইমেলগুলি আমার কাছে পাঠিয়েছিলাম যা মূলত বলেছিল, "আপনার ওয়ার্কস্টেশন থেকে আপনার সার্ভারে নেটওয়র্ক পোর্ট স্ক্যান আক্রমণ করুন !!!!!" এবং আমি জবাব দেব এবং বলি, "হ্যাঁ, তিনিই আমি।" হেহ। কিছুক্ষণ পরে তারা এ সম্পর্কে একটি রসবোধের বোধ তৈরি করেছিল। ;)

আমি ওয়ার্কস্টেশনগুলিতে এনএম্যাপও ব্যবহার করেছি, উদাহরণস্বরূপ, কনফিগার অনুসন্ধান করার জন্য । এনএমএপি সম্ভবত এভি ম্যানেজমেন্ট পোর্ট, অন্য যে কোনও ম্যানেজমেন্ট সফটওয়্যার পোর্ট ইত্যাদি চালু করতে পারে (আপনি যদি তাদের ম্যানেজমেন্ট সফটওয়্যারটি ভাঙেন তবে ডেস্কটপটি খুব ক্র্যাবি হবে)) এটি আপনার পরিবেশের উপর নির্ভর করে অননুমোদিত সফ্টওয়্যারটি চালু করতে পারে।

যাই হোক। কিছু পরিবেশ এনএম্যাপ সম্পর্কে প্রকাশ করবে এবং কিছু এমনকি খেয়াল করবে না। আমি সাধারণত আমার নিজের সার্ভার বা ওয়ার্কস্টেশনগুলিকে নির্দিষ্ট উদ্দেশ্যে, যা সাহায্য করে। তবে হ্যাঁ, আপনি সম্ভবত সাফ করতে চান যে আপনি যে কোনও ব্যক্তিকে প্রকাশ করতে পারেন তার সাথে পোর্ট স্ক্যান চালাচ্ছেন।

তাহলে, আপনি জানেন। রায়ান রিস কী বলেছিল। পরিচালনা / পরিবর্তন ব্যবস্থাপনা / গোষ্ঠী নীতি ইত্যাদি।

ক্যাথরিন ভিলিয়ার্ড
সূত্র
কোনও ভাল নেটওয়ার্কের নেটওয়ার্ক পোর্ট স্ক্যানগুলি ফাঁস করে দেওয়া উচিত। বিশেষত যদি তারা অভ্যন্তরীণ হয়।
স্নেকডোক
ঠিক আছে, অবশ্যই, এটি অশুভ দেখাচ্ছে, তাই আমি অস্বীকার করেছি। এটি বলেছিল, আপনি অবাক হয়ে যাবেন কে আপনাকে এটি করতে দিয়েছে / খেয়াল করবে না।
ক্যাথরিন ভিলিয়ার্ড 23'14
LOL, যে কারণে আমি বলেছি "ভাল"। যদিও আপনি যে নেটওয়ার্কে বসে আছেন তার উপর নির্ভর করে "ভাল" এর আলাদা অর্থ রয়েছে ...
হি
3
যদি যত্ন সহকারে করা হয় তবে এটি কার্যকর পরামর্শ, যদি না অবশ্যই ফায়ারওয়াল মোতায়েনের পরিকল্পনা করা উচিত। nmapলক্ষ্যবস্তু এবং থ্রটলড হতে পারে। আপনি যদি ইতিমধ্যে নেটওয়ার্ক ক্রিয়াকলাপের জন্য দায়বদ্ধ বা অন্যথায় জড়িত থাকেন তবে আপনি কেবল সমস্ত স্টেকহোল্ডারদের সাথেই যোগাযোগ করুন যে আপনি নেটওয়ার্কটি জরিপ করছেন এবং কারওরও "ফ্রিক আউট" করার দরকার নেই।
ম্যাথিয়াস আর জেসেন
3
(কিউব দেয়ালের উপর দিয়ে চেঁচিয়ে) "আরে, টিম?" "হ্যাঁ?" "আমি আবার আইডিএস বিচলিত করতে চলেছি।" "(হেসে) ঠিক আছে।"
ক্যাথরিন ভিলিয়ার্ড
3

আমি বিশ্বাস করি না যে এটিতে মাইক্রোসফ্ট থেকে কোনও ইউটিলিটি উপলব্ধ রয়েছে তবে আমি যদি আমাদের ডোমেনে উইন্ডোজ ফায়ারওয়ালটি ব্যবহার করি (এটি যেখানে আমি কাজ করি সেখানে এটি সক্ষম করা হয়েছে) আমি নিম্নলিখিতটি নিশ্চিত করবো:

  1. সমস্ত দূরবর্তী প্রশাসনের সরঞ্জামগুলির জন্য ব্যতিক্রমগুলি বিদ্যমান (ডাব্লুএমআই, ইত্যাদি)
  2. সমস্ত ট্র্যাফিকের অনুমতি দেওয়ার জন্য প্রশাসনিক সার্ভারগুলিকে (যেমন এসসিসিএম / এসসিএম যেমন আপনার কাছে থাকে) অনুমতি দেওয়ার জন্য ডোমেন ওয়ার্কস্টেশনগুলিতে আইপি পরিসীমা ব্যতিক্রমগুলি তৈরি করুন।
  3. আপনি যদি কিছু জিনিস মিস করেন (তবে আপনি তা করবেন) তবে কেবলমাত্র সফ্টওয়্যারটির জন্য শেষ ব্যবহারকারীদের ডোমেন প্রোফাইলে ব্যতিক্রম যুক্ত করার অনুমতি দিন ।

সার্ভারগুলি কিছুটা আলাদা জন্তু। আমি বর্তমানে আমাদের সার্ভারগুলির জন্য ফায়ারওয়াল অক্ষম করেছি কারণ এটি সক্ষম করে দেওয়া ব্যতিক্রমী জায়গায় রেখেও অনেক সমস্যার সৃষ্টি করে। আপনাকে মূলত সমস্ত সার্ভারের জন্য একটি কম্বল "কঙ্কাল" নীতি প্রয়োগ করতে হবে (উদাহরণস্বরূপ, অনিরাপদ পোর্টগুলি অস্বীকার করে) তারপরে প্রতিটি সার্ভারে গিয়ে স্বতন্ত্রভাবে সেটিংস কাস্টমাইজ করতে হবে । এর কারণে, আমি অনেকগুলি আইটি লোকেরা কেবল ফায়ারওয়ালটি অক্ষম করার কারণটি দেখতে পাচ্ছি। আপনার ঘেরের ফায়ারওয়ালগুলিকে তাদের নিজস্ব ফায়ারওয়াল ছাড়াই এই মেশিনগুলি যথেষ্ট পরিমাণে রক্ষা করা উচিত। যাইহোক, কখনও কখনও উচ্চ-সুরক্ষা পরিবেশের জন্য স্বতন্ত্রভাবে সার্ভারগুলি কনফিগার করার প্রচেষ্টা সার্থক।

পার্শ্ব নোট হিসাবে, উইন্ডোজ ফায়ারওয়াল আইপিএসকের ব্যবহারকেও পরিচালনা করে, সুতরাং যদি এটি ব্যবহার করা হয় তবে যাইহোক আপনার ফায়ারওয়ালের প্রয়োজন।

নাথান সি
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.