«

»

abr 14

Desabilitando o Firewall do Windows por GPO

O servidor Windows Server 2012 R2 vem com o Firewall do Windows habilitado por padrão. Para garantir a comunicação efetiva entre os servidores em uma rede corporativa, é importante que o Firewall do Windows seja desabilitado. Existem três perfis de redes no Windows Server 2012 R2: Domain network, Private network e Public network. O perfil de rede se altera dependendo da rede em que o computador está conectado. Domain network é usada quando o computador está conectado a uma rede que possui um domínio Active Directory ao qual esse computador pertence. Private network é uma rede destinada a uso doméstico ou ambientes de trabalho que utilizem computadores sem um domínio Active Directory. Por fim, Public network é utilizada quando o computador está conectado a uma rede pública, como aeroportos e cafés; esse é o perfil de rede em que o Firewall do Windows impõe mais restrições.

Você pode utilizar um Group Policy Object (GPO), que trata de políticas de grupos, para gerenciar o comportamento de diversos aspectos do computador e do usuário, inclusive as configurações de Firewall. As GPOs podem ser aplicadas tanto a computadores como usuários em forma de políticas (uma imposição) ou preferências (uma configuração não imposta), conforme pode ser visualizado na figura 1.

Post12-Image1Figura 1: Estrutura de GPOs

Para criar uma GPO que desabilite as configurações de Firewall do Windows para o perfil de rede Domain network, siga os passos abaixo.

Passo 1: Entre no Server Manager, selecione o menu Tools e clique em Group Policy Management.

Passo 2: Na console Group Policy Management, expanda Domains, expanda contoso.com (ou seu domínio) e clique em Group Policy Objects para criar uma nova GPO.

Post12-Image2Figura 2: Cirando uma nova GPO

Passo 3: Clique com o botão direito em Group Policy Objects, selecione New e digite um nome, por exemplo, Firewall Policy. Clique em OK para criar a nova GPO.

Post12-Image3Figura 3: Adicionando um nome a uma nova GPO

Passo 4: Clique com o botão direito na nova GPO criada (Firewall Policy) e selecione Edit. Uma nova janela chamada Group Policy Management Editor será aberta.

Post12-Image4Figura 4: Editando uma GPO

Passo 5: Nessa janela, perceba que você tem dois objetos que podem ser modificados: Computer Configuration e User Configuration, conforme descrevemos anteriormente. Além disso, você pode modificar Policies (Políticas), algo imposto ao usuário, ou Preferences (Preferências), algo que você configura no ambiente do usuário, mas não é imposto. O usuário pode interagir com essas preferências e modificá-las. Nesse procedimento, vamos modificar uma política aplicada a computadores.

Passo 6: Para desabilitar o Firewall, expanda Computer Configuration, expanda Policies, expanda Windows Settings, expanda Security Settings, expanda Windows Firewall with Advanced Security. Clique com o botão direito em Windows Firewall with Advanced Security e clique em Properties.

Post12-Image5Figura 5: Modificando as propriedades do Firewall do Windows

Passo 7: Na tab Domain Profile, ao lado de Firewall state, clique no menu e selecione Off. Clique em OK. Você pode fechar o Group Policy Management Editor.

Post12-Image6Figura 6: Desabilitando o Firewall do Windows para Domain network

Passo 8: Quando você retornar ao Group Policy Management, pode clicar em cima da nova GPO criada (Firewall Policy) e selecionar o menu Settings. Ao fazer isso, um relatório será automaticamente gerado. Você pode clicar no link Show ao lado de cada configuração para visualizar as políticas, como na figura 7. Observe aqui visualizamos que a política de Firewall para o Domain Profile está configurado como Off.

Post12-Image7Figura 7: Relatório da nova GPO

Passo 9: Com a GPO configurada, você precisa criar um Link para garantir que ela seja aplicada nos objetos do Active Directory. Perceba que políticas podem ter Links em diferentes níveis, como Site, Domínio e Organizational Unit (OU). Para determinar onde aplicar a GPO, você precisa definir o escopo de objetos que devem ser atingidos por essa GPO. Por exemplo, se você deseja aplicar uma GPO para todos os usuários ou computadores de um domínio, você deve criar um Link no nível de domínio. Se você deseja aplicar uma GPO apenas para os usuários ou computadores do departamento de Marketing, você deve criar uma OU Marketing, mover usuários ou computadores para a OU Marketing e criar um Link em nível de OU. Se, finalmente, você precisa aplicar uma GPO para todos os usuários ou computadores de uma determinada subrede (site), você deve criar um Link em nível de site. Como nosso escopo é atingir todos os computadores do domínio, independente do site ou OU, vamos criar um Link em nível de domínio.

Passo 10: Para criar um Link em nível de domínio, clique com o botão direito em contoso.com e selecione Link an Existing GPO… Na janela Select GPO, selecione Firewall Policy e clique em OK.

Post12-Image8Figura 8: Criando um Link a uma GPO para aplicar suas configurações aos objetos do Active Directory

Post12-Image9Figura 9: Selecionando a nova GPO criada para aplicar em nível de domínio

Passo 11: Pronto, a GPO agora possui um Link para o domínio e será aplicada a todos os computadores. Para visualizar os Links de uma GPO, basta selecionar a nova GPO, em Group Policy Objects e selecionar a tab Scope (figura 10). Veja que ela está aplicada em nível de domínio.

Post12-Image10Figura 10: Visualizando o escopo de aplicação de uma GPO

Você pode aplicar uma GPO em diversos níveis, dependendo de suas necessidades. Uma GPO pode possuir filtro de segurança e filtro de WMI. Filtro de segurança (Security Filtering na figura 10) define quais usuários ou computadores tem permissão para receber essa GPO. Por exemplo, se você aplicar uma GPO em nível de domínio e manter o filtro de segurança padrão, todos os usuários e computadores receberão suas políticas, pois o filtro de segurança está permitido ao Authenticated Users (computadores também são autenticados no domínio). Se você quisesse restringir para somente aos computadores, poderia remover o Authenticated Users e adicionar o grupo Domain Computers. Desse modo, somente computadores teriam permissão para processar essa GPO. Se você precisa garantir que um determinado grupo não vai processar essa GPO (como um grupo de gerentes ou diretores), você pode ir na GPO, clicar na tab Delegation e clicar no botão Advanced. Na janela da ACL, adicione o grupo que você deseja restringir e marque a opção Deny na permissão Apply group policy. No exemplo, estou negando a aplicação dessa GPO para o grupo Directores (figura 11).

Post12-Image11Figura 11: Negando a aplicação da nova GPO a um grupo de usuários do Active Directory

Finalmente, o filtro de WMI restringe a execução de uma GPO baseado em características dos computadores que a estão recebendo, através de consultas WMI, um repositório de informações com características de Hardware e Software que existe em cada computador. Poderíamos criar um filtro de WMI, por exemplo, para garantir que somente computadores físicos aplicassem uma determinada GPO, excluindo as máquinas virtuais. Outro exemplo é restringir a aplicação de uma GPO para desktops, permitindo somente a laptops. Dessa forma, ao invés de criarmos um grupo com os laptops, algo complicado de gerenciar, a GPO faz uma consulta no computador antes de aplicar a GPO para saber ele é um laptop ou não através do filtro de WMI, que restringe ou não a aplicação da GPO.

Para finalizar, duas informações importantes. A GPO é aplicada automaticamente aos computadores durante o processo de Startup e aos usuários durante o processo de logon. A GPO é reaplicada em intervalos de 90 a 120 minutos após sua primeira aplicação. Se você precisar aplicar uma GPO imediatamente sem aguardar os tempos padrão, pode rodar o comando gpupdate no PowerShell ou Command Prompt. Para visualizar a GPO aplicada, pode rodar o comando gpresult, o que gera um relatório com as GPOs aplicadas no sistema, ou gpresult /H report.html, que gera um relatório em uma página web mais amigável.

Post12-Image12Figura 12: Resultando do gpupdate e gpresult

Post12-Image13Figura 13: Relatório gerado pelo gpresult

Caso tenha curiosidade, verifique após rodar o gpupdate as propriedades do Firewall do Windows. Conforme a figura 14, veja que ele a opção de Domain network settings está desabilitada, pois agora é controlada pela GPO.

Post12-Image14Figura 14: Perfil Domain network desabilitado pela política impostas pela GPO

Para finalizar, vocês podem estar perguntando: e como faz isso tudo em PowerShell? Devido as configurações de políticas e preferências para usuários e computadores serem bastante complexas, usamos muito o editor de GPO e os cmdlets são usados principalmente para criação e gerenciamento de GPO. Por exemplo, você pode utilizar o cmdlet ‘New-GPO -Name “Firewall Policy” –Domain contoso.com’ para criar essa GPO e o cmdlet ‘New-GPLink -Name “Firewall Policy” -Target “dc=contoso, dc=com ” -LinkEnabled Yes’ para fazer um Link no domínio. Ou simplemente:

New-GPO -Name “Firewall Policy” –Domain contoso.com | New-GPLink -Target “dc=contoso, dc=com” -LinkEnabled Yes

Note que nesse último exemplo, utilizamos um pipeline e não precisamos informar o nome da GPO para fazer um Link. Essa parte é bastante cobrada nas provas de certificações 70-410, 70-411 e 70-412. Sugiro que faça testes como esses e outros, pois a prática facilita bastante a resolução de questões sobre GPO.

Saudações,
Gustavo Zimmermann Montesdioca

Referências

MICROSOFT. Understand the Windows Firewall Profiles for Different Networks. Disponível em http://technet.microsoft.com/en-us/magazine/ee851569.aspx. Acesso em 26 dez. 2014.

Comments

comments

Deixe uma resposta