Nem tudom, pontosan mire probalsz utalni.
- Hogy nem biztonsagos a belso halo? Az. De a Windows tuzfala ezen semmit nem valtoztat. Jellemzoen a belulrol erkezo tamadasok tipikusan amugy is engedelyezett szolgaltatasok ellen iranyulnak (RPC, SMB, HTTP(WinRM) ami itt szobajohet), raadasul az epkezlab menedzselhetoseghez agyuval kell lyuggatni a Windows tuzfalat, hogy minden fisz-fasz menedzsment cucc atmehessen rajta.
- Hogy ha be is jutottak nehezebb megtorni egy gepet, ha van tuzfala? Jellemzoen, ha megtortek egy gepet, akkor megprobaljak valamelyik admin jelszavat visszafejteni, ami egy olyan integralt halozatban, mint amilyet az AD biztosit, gyakorlatilag szabad utat biztosit. Arrol nem is beszelve, hogy a Windowsban heti szinten talalnak biztonsagi reseket, ami ellen a Windows tuzfal semmit nem ved, raadasul - mivel Server Core-rol beszelunk - nem sok biztonsagi termek van, ami egyaltalan megvedheti a gepet. A Microsoftnak peldaul semmilyen ilyen jellegu megoldasa nincsen, ami megvedhetne egy Server Core szervert.
Arrol nem is beszelve, hogy az FTP mukodesehez pl. az egesz 1024 feletti tartomanyt ki kell nyitni ha a tuzfal a legszigorubb beallitason van (mert nem adhato meg egyszeruen, hogy az FTP milyen portokat hasznalhat), ettol mar csak egy apro lepes a tuzfal letiltasa. Mivel a Windows tuzfal messze nem rendelkezik az ISA (TMG? Nem tudom mar mi lett a helyettese) kepessegeivel, igy nem lehet benne connection alapu szabalyt hozni, nem ismeri az FTP protokoll ilyen iranyu mukodeset.
Kerlek, utalasok helyett inkabb gyere szakmai ervekkel.
Es mielott lehulyeznel: pontosan tudom, miert jo ha van tuzfal egy gepen. Viszont izolalt kornyezetben, ahol kivulrol kozvetlenul nem lehet elerni egy gepet, ott a tuzfalnak megkerdojelezheto haszna van. Ha pedig a tamado bejutott a belso halora, az mar amugy is regen rossz, egy Server Core-n raadasul nem sok kozvetlenul hasznos adat van, leven hogy a Hyper-V -t jellemzoen shared storage-ra teszik, a komplett VHD-t meg eleg nyugos ugy ellopni, hogy ne tunjon fel a konstans kifele iranyu forgalom.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:
()=()
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()