Хорошей основой для правил брандмауэра будет Zero Trust — разрешать только то, что необходимо. Но во многих случаях вы не знаете всех необходимых правил для подключения к серверу. В результате во многих средах брандмауэр Windows либо отключен, либо плохо управляется
Я подумал, что, возможно, это будет полезным подходом:
Установите сервер Windows со всеми необходимыми приложениями. Это тестовая установка или у вас есть снимок
разрешить все
начать работать и отслеживать связи
из трассировки соединения создайте правила брандмауэра - я бы предпочел команды PowerShell / скрипт
внимательно изучите сценарий
возможно, применить некоторые общеизвестные правила (например, Ping / ICMP, правила AD, ...) Большинство должно управляться через GPO / из шаблона
создать новый сервер или вернуться к снимку
применить правила брандмауэра, которые вы отследили ранее. Это будут единственные разрешенные правила
отрицать все остальное --> Нулевое доверие
дальнейшие необходимые правила применяются при отказе или запросе
Имеет ли это смысл?
Если да, то я не знаю, как лучше всего захватить трафик и создать правила/скрипт на его основе.
Может кто-нибудь мне помочь?
Спасибо!