Windows防火墙从WindowsXPsp2开始就默认开启了,但是我们还是看到一些部署时因为老习惯关闭防火墙的情况。在Windows10和Server2019中,大多数最需要的防火墙策略已经内置,设置访问权限相对容易。但有时用户还是应该加强Windows防火墙的设置,以更好地保护用户免受横向移动和攻击。二进制文件或可执行文件的构建规则如果应用程序需要特殊规则,则用户应基于二进制文件或可执行文件而不是端口进行构建。这确保防火墙仅在应用程序处于活动状态时打开。如果您使用端口构建防火墙规则,该端口将保持打开状态并暴露系统。识别被阻止的应用Windows设备默认情况下会在应用被阻止时通知您。但IT管理员可能希望使用事件日志来识别被阻止的应用程序,而不是使用系统托盘中容易错过的视觉弹出窗口。要确定Windows防火墙阻止了哪些应用程序,请首先在事件日志中搜索事件5031,这表明Windows防火墙已阻止应用程序接受网络连接。使用此事件检测不存在Windows防火墙规则的应用程序。设置安全监控如果您使用安全事件日志监控解决方案来监控事件,请记住以下几点:如果您有一个预定义的应用程序来执行此事件报告的操作,则监控“应用程序”不是您定义的应用程序的一部分事件。监视“应用程序”是在标准文件夹中(例如不在System32或ProgramFiles中)还是在受限文件夹中(例如Internet临时文件)。如果应用程序名称中有预定义的受限子字符串或单词列表(例如,“mimikatz”或“cain.exe”),请在“应用程序”中检查这些子字符串。阻止PowerShell访问Internet您可以使用Windows防火墙来阻止应用程序访问资源。您可以阻止PowerShell访问互联网。下面的第一条规则允许PowerShell访问本地子网。第二个规则是减少流量:C:\>netshadvfirewallfirewalladdrulename="PS-Allow-LAN"dir=out\ remoteip=localsubnetaction=allowprogram="c:\windows\system32\WindowsPowerShell\v1.0\powershell。exe"\ enable=yes C:\>netshadvfirewallfirewalladdrulename="PS-Deny-All"dir=out\ action=blockprogram="c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe"\ enable=yes这可以保护您的系统免受利用PowerShell调用命令并控制您的计算机启动勒索软件和其他攻击的攻击。PowerShell不应被删除,而应强化和记录以确保按预期使用。您还可以为多个版本的PowerShell构建规则:C:\>for/R%fin(powershell*.exe)do(netshadvfirewallfirewalladdrulename="PS-Allow-LAN(%f)"dir=outremoteip=localsubnetaction=allowprogram="%f"enable=yes netshadvfirewallfirewalladdrulename="PS-Deny-All(%f)"dir=outaction=blockprogram="%f"enable=yes)防火墙规则阻止PowerShell访问Internet请参阅规则设置中的生成规则:Windows防火墙规则如果PowerShell通过从另一个位置调用二进制文件或重命名自己来故意隐藏自己,则该过程将无法运行。使用PowerShell设置防火墙规则您可以按照Microsoft的说明使用PowerShell设置防火墙规则。例如,要阻止服务器上的出站端口80,请使用以下PowerShell命令:计算机(出站)或进入计算机(入站)操作–如果满足规则,允许或阻止要采取的操作您可以使用许多PowerShell模块来更好地控制和管理Windows防火墙。所有这些都记录在网络安全部分中。您需要填写的基本属性是:DisplayName——防火墙规则的友好名称Direction——防止流量离开计算机(出站)或进入计算机(入站)允许或阻止。您可以使用许多PowerShell模块来更好地控制和管理Windows防火墙。一切都记录在“网络安全”部分。查看新的Windows10安全基线不要忘记Microsoft会在每次发布Windows10时发布新的安全基线。作为基线的一部分,它们包括推荐的防火墙策略。Windows102004基准策略应该默认阻止域配置文件和私有配置文件的入站连接。定期审核设置最后,在检查网络的安全状态时,定期对工作站进行随机抽样并审核其设置。检查每个示例工作站上的防火墙策略。
