Firewall do Windows com segurança avançada guia de implantação
Aplica-se a: Windows Server 2012
Você pode usar oFirewall do Windows com Segurança Avançadasnap-in do MMC noWindows 8Windows 7Windows VistaWindows Server 2012Windows Server 2008eWindows Server 2008 R2para ajudar a proteger os computadores e os dados que eles compartilham através da rede.
Você pode usar o Firewall do Windows para controlar o acesso ao computador da rede. Você pode criar regras que permitam ou bloqueiem tráfego de rede em qualquer direção com base em seus requisitos de negócios. Você também pode criar regras de segurança para ajudar a proteger seus dados durante o tráfego pela rede de um computador para outro conexão IPsec.
Sobre este guia
Este guia destina-se para uso por administradores e engenheiros de sistema. Ele fornece orientação detalhada para implantar umFirewall do Windows com Segurança Avançadadesign que você ou um arquiteto de infra-estrutura especialista ou sistema na sua organização tiver selecionado.
Comece examinando as informações emPlanejando a implantação do Firewall do Windows com segurança avançada.
Se você ainda não tiver selecionado um design, recomendamos que você aguarde para seguir as instruções deste guia até depois de revisar as opções de design naFirewall do Windows com segurança avançada guia de Designe selecionado um o mais apropriado para sua organização.
Depois de selecionar o design e coletar as informações necessárias sobre os sistemas de operacionais zonas (isolamento de limite e criptografia), suporte e outros detalhes, você pode usar este guia para implantar seuFirewall do Windows com Segurança Avançadadesign no ambiente de produção. Este guia fornece etapas para implantar a seguir designs primário que são descritas no guia de Design:
Use as listas de verificaçãoImplementando o Firewall do Windows com segurança avançada plano de Designpara determinar a melhor usar as instruções neste guia para implantar seu design específico.
Aviso
É recomendável que você use as técnicas documentadas neste guia somente para os GPOs que devem ser implantados para a maioria dos computadores na sua organização, e somente quando a hierarquia de UO em seu domínio do Active Directory não corresponde às necessidades de implantação desses GPOs. Essas características são típicas de GPOs para situações de isolamento de domínio e servidor, mas não são comuns à maioria dos outros GPOs. Quando a hierarquia de UO aceitá-la, implante um GPO vinculando-o para o nível mais baixo OU que contém todas as contas às quais o GPO se aplica.
Em um ambiente de grande porte com centenas ou milhares de GPOs, usando essa técnica com muitos GPOs pode resultar em contas de usuário ou computador que são membros de um número excessivo de grupos; Isso pode resultar em problemas de conectividade de rede se os limites de protocolo de rede são excedidos. Para obter mais informações sobre os problemas associados a associação de grupo excessiva, consulte os seguintes artigos da Base de dados de Conhecimento Microsoft:
-
Artigo 327825, "Nova resolução para problemas com a autenticação Kerberos quando usuários pertencem a muitos grupos" (https://go.microsoft.com/fwlink/?linkid=128367)
-
263693 "diretiva de grupo não poderá ser aplicado aos usuários que pertencem a muitos grupos" do artigo (https://go.microsoft.com/fwlink/?linkid=128368)
-
Artigo 328889 "os usuários que são membros de grupos mais de 1,015 podem falhar a autenticação de logon" (https://go.microsoft.com/fwlink/?linkid=128369)
O que este guia não contém
Este guia não fornece:
Diretrizes para criação de regras de firewall para aplicativos de rede específico. Essas informações, consultePlanejamento de configurações para uma diretiva de Firewall básiconoFirewall do Windows com Segurança Avançadaguia de Design.
Diretrizes para configurar os serviços de domínio Active Directory (AD DS) para dar suporte à diretiva de grupo. Para obter mais informações, consulte Active Directory Domain Services (https://go.microsoft.com/fwlink/?linkid=102573) e a diretiva de grupo (https://go.microsoft.com/fwlink/?linkid=93542).
Orientação para a configuração de autoridades de certificação (CAs) para criar certificados para autenticação baseada em certificado. Essas informações, consulte Active Directory Certificate Services (https://go.microsoft.com/fwlink/?linkid=110820).
Visão geral do Firewall do Windows com segurança avançada
Firewall do Windows com Segurança AvançadaemWindows 8Windows 7Windows VistaWindows Server 2012Windows Server 2008eWindows Server 2008 R2é um firewall de host com monitoração de estado que ajuda a proteger o computador, permitindo que você crie regras que determinam qual tráfego de rede tem permissão para inserir o computador da rede e tráfego de rede na qual o computador tem permissão para enviar à rede.Firewall do Windows com Segurança Avançadatambém oferece suporte ao Internet Protocol security (IPsec), que pode ser usada para exigir a autenticação de qualquer computador que está tentando se comunicar com o computador. Quando a autenticação for necessária, os computadores que não podem ser autenticados como um computador confiável não podem se comunicar com o computador. Você também pode usar IPsec para exigir que determinados tráfegos de rede é criptografado para impedir a serem lidos por analisadores de pacotes de rede que podem ser conectados à rede por um usuário mal-intencionado.
OFirewall do Windows com Segurança Avançadasnap-in do MMC é mais flexível e oferece muito mais funcionalidade do que a interface do Firewall do Windows amigáveis para os consumidores encontrada no painel de controle. Ambas as interfaces de interagem com os mesmos serviços subjacentes, mas fornecem diferentes níveis de controle sobre esses serviços. Enquanto o programa do painel de controle do Windows Firewall pode proteger um único computador em um ambiente doméstico, ele não fornece recursos de gerenciamento ou de segurança bastante centralizados para ajudar a proteger o tráfego de rede mais complexo em um ambiente de empresa típicos de negócios.
Para obter mais informações sobreFirewall do Windows com Segurança AvançadaconsulteFirewall do Windows com a visão geral da segurança avançadaem https://technet.microsoft.com/library/hh831365.aspx.