Nadzirete tko s kojih mrežnih adresa pristupa kojim sistemskim portovima i aplikacijama na računaliama pod vašom jurisdikcijom.
Ne možete nadzirati koje aplikacije s kojih sistemskih portova šalju podatke nekome na mreži.

Drugim riječima, ako se virusi, crvi i razni spyware programi nasele na korisnička računala i počnu gušiti mrežu morate posegnuti za drugim načinima obrane.

Windows Firewallom, preko Active Directoryja, može se upravljati forsirajući željene sigurnosne postavke pomoću group policyja. Pri tome su nam na raspolaganju mogućnosti kod dvije različite situacije:

"Domain Profile" postavke - firewall konfiguracija primijenjena kada je računalo član Windows domene na kojoj je aktivan pripadajući domain kontroler
"Standard profile" postavke - firewall konfiguracija koja je učitana i aktivna u slučaju kada naš domain kontroler domene čije je računalo član nije na raspolaganju.

Unutar oba seta postavki na raspolaganju imamo 14 izbora:

1. Windows Firewall: Protect all network connections  - omogućuje određivanje firewall postavki za sve mrežne konekcije bez iznimki (Dial-Up, Ethernet, IEE1394, Wireless); Ukoliko je ova opcija uključena (Enabled) Windows Firewall će na klijentskom računalu biti aktivan i isforsiranih postavki bez obzira što je možda korisnik sa lokalnim administratorskim ovlastima odredio drugačije. Ukoliko je opcija isključena (Disabled) korisnik sa lokalnim administratorskim ovlastima neće moći koristiti Windows Firewall. Ukoliko ovu opciju niste konfigurirali lokalni će administratori moći sami definirati svoje sigurnosne postavke.
2. Windows Firewall: Do not allow exceptions  -  Omogućuje blokiranje meželjenog dolaznog prometa bez iznimke i pri tome se ne obazire na eventualno kasnije definirane policy stavke koje takav promet dopuštaju (Program exceptions i Local Program exceptions). Ukoliko je ova opcija uključena (Enabled), lokalnim administratorima će biti onemugućeno mjenjanje uključene opcije "Don't allow exceptions" unutar Windows Firewall opcije Control Panela. Ova opcija MORA biti uključena zajedno sa uključenom prvom opcijom - inače lokalno prijavljeni korisnik sa administratorskim ovlastima ima mogućnost mjenjanja ove postavke na način da će jednostavno isključiti Windows Firewall! Okoliko ovu opciju isljučite (Disabled) policy će prihvaćati postavke definirane unutar "Program exceptions" i "Local Program exceptions" stavki. Pri tome lokalni administrator neće moći mjenjati ovaj put neoznačenu opciju Windows Firewalla "Don't allow exceptions". Ukoliko pak ovu opciju ne definirate (Not Configured) lokalni administrator može sam birati opcije Windows Firewalla unutar Control Panela.
3. Windows Firewall: Define program exceptions  - Windows Firewall koristi dvije "program excpetion" liste: prvu definirana domain group policyj i o njoj govorimo sada a drugu možemo definirati lokalno na računalu Exceptions tabom unutar Windows Firewall opcije Control Panela. Ukoliko je ova opcija uključena (Enabled) na raspolaganju nam je mogućnost definiranja liste prema slijedećoj sintaksi:
<Path>:<Scope>:<Status>:<Name>
pa tako aplikacija definirana putanjom <Path> može sa mrežnih adresa ili subneta definiranih scopem <Scope> primati ili odbijati konekcije Enabled/Disabled <Status>. <Name> predstavlja opisni tekst ovog pravila.
PRIMJER:
c:\direktorij\aplikacija.exe;192.168.1.0;enabled;BLOK aplikacija
znači, pravilo koje se zove "BLOK aplikacija" omogućuje aplikaciji sa putanje c:\direktorij\aplikacija.exe da priča sa bilo kime na mreži 192.168.1.0.
Pri tome Windows Firewall propušta promet na bilo kojem portu kojeg netko sa mreže 192.168.1.0 zatraži iako on može biti blokiran definicijom unutar nekih drugih opcija, npr."Windows Firewall: Define port exceptions". važno je znati da ako želite promjeniti definiciju za pojedinu aplikaciju, prvo je potrebno obrisati posstojeću definiciju sa liste. Ukoliko želite osigurati lokalnom administratoru mogućnost definiranja lokalne liste slijedeća opcija domain group policyja "Windows Firewall: Allow local program exceptions" mora biti uključena. Ukoliko je pak "Define program exceptions" opcija onemogućena (Disabled) lokalna lista programa na korisničkom računalu će biti ignorirana OSIM opet ako ne omogućite "Windows Firewall: Allow local program exceptions" postavku. ukoliko pak ovu opciju ne definirate (Noe Configured) aktivna će biti samo lokalna lista.
Važno je znati da ukoliko napravite pogrešnu referenciju na aplikaciju koju želite staviti na listu (datoteka ne postoji ili je unutar druge putanje) Windows Firewall neće provjeravati grešku. Ovo je učinjeno iz razloga što je time omogućeno da definirate ponašanje aplikacija koje još nisu instalirane na računala. Dakle, kontrole ovdje nema od strane sustava, stoga oprez! Dalje, ukoliko je <Status> parametar postavljen na DISABLED firewall će ignorirati zahtjeve dane aplikacije za otvaranjem portova i ignorirati će ostala evetualna pravila definirana za datu aplikaciju a na koja vrijedi ENABLED pravilo! Naravno, iako je statusa DISABLED aplikacija svejedno može PRIMATI mrežni promet ukoliko je ovaj dozvoljen nekim drugim pravilom. Također, računajte na činjenicu da Widows Firewall otvara portove jedino ako je u pogonu aplikacija koja ih zahtjeva - ako aplikacija nije pokrenuta portovi će biti zatvoreni.
4. Windows Firewall: Allow local program exceptions  - Već spominjana ova opcija omogućuje (Enabled) lokalnom administratoru definiranje vlastitih lokalnih exceptions listi. Ukoliko je isključena (Disabled) lokalni administrator neće imati ove mogućnosti. Ukoliko niste odredili ovu opciju (Not Defined) pravo lokalnog administrator određuje konfiguracija opcije "Windows Firewall: Define program exceptions". Ukoliko niti ona nije definirana, naravno, lokalni administrator moći će napraviti svoju lokalnu exceptions listu.
5. Windows Firewall: Allow remote administration exception  - Ova mogućnost regulira pristup računalu pomoću MMC i WMIa. Pritom pomoću RPCa i DCOMa pritupaju SVCHOSTu i LSASSu koriteći portove tpc 135 i tcp 445. Nakon toga ovi servisi komuniciraju na višim portovima tcp 1024 do 1034 koji se dodjeljuju dinamički. Windows Firewall se ovdje brine da nitko izvan definiranih pravila nema pristup na ove servise i da naši SVCHOST i LSASS "pričaju" samu unutar zadanog intervala dinamički dodjeljenih portova. Ukoliko je uključena ova opcija (Enabled) morate definirati IP adrese ili subnet sa kojege će Firewall dozvoliti pristup SVCHOSTu i LSASSu. Ukoliko pak ovu opciju isključite (Disabled) SVCHOST i LSASS neće moći primati ništa na portovima tcp 135 i 445 ali Firewall će dozvoljavati trošenje ovih portova za recimo "File And Print Sharing" (naravno, ukoliko drugačije nije rečeno).
6. Windows Firewall: Allow file and print sharing exception  - Uključivanjem ove opcije (Enabled) osiguran je pristup slijedećim portovima koje troši "File And Print Sharing" servis - to su UDP portovi 137 i 138 te TCP portovi 139 i 445. Pritom valja definirati IP adrese ili subnet sa kojih je dozvoljen pristup ovome servisu. To možemo napraviti dodavanjem IP adresa i subneta odjeljenih zarezima: npr. 192.168.1.0; localsubnet; 192.168.20/24 itd... Ukoliko je opcija isključena (Disabled) pristup ovim resursima na svim računalima gdje je primjenjen ovaj policy neće biti moguć a lokalni će administrator unutar Windows Firewall taba u Control Panelu vidjeti opciju "File and Printer Sharing" neoznačenu i neće je moći mjenjati.
7. Windows Firewall: Allow ICMP exceptions  - Opcija omogućuje definiranje dozvoljenog korištenja ICMP prometa pojedinačno kako slijedi:
- Allow outbound destination unreachable;
- Allow outbound source quench;
- Allow redirect;
- Allow inbound echo request;
- Allow inbound router request;
- Allow outbound time exceeded;
- Allow outbound parameter problem;
- Allow inbound timestamp request;
- Allow inbound mask request;
- Allow outbound packet too big;
Uključenje (Enabled) ove opcije dozvoljava isključivo odabran ICMP promet, isključenje (Disabled) zabranjuje sav ICMP promet. Važno je znati da ukoliko bilo koja opcija otvara port TCP 445 Windows Firewall će otvoriti pristup ICMPu "inbound echo requests" makar je možda blokiran kasnije unutar opcije "Windows Firewall: Allow ICMP exceptions". Port TCP 445 "troše" još File&Print Sharing, Remote Admin alati MMC i WMI pa treba pripaziti.
8. Windows Firewall: Allow Remote Desktop exception  - Pristup računalu RDPom (Remote Desktop Protocol), dakle pristup portu TCP 3389 kontrolira se ovdje. Ukoliko je opcija uključena (Enabled) potrebno je još definirati sa kojih IP adresa i subneta je moguće pristupiti RDPu. Lokalni administrator ovdje neće moći ništa promjeniti. Ukoliko je opcija isključena (Disabled) pristup RDPu je onemogućen, nikakva prava nema ovdje niti lokalni administrator.
9. Windows Firewall: Allow UPnP framework exception  - neki mrežni uređaji (routeri sa ugrađenim firewall opcijama) mogu slati UP'n'P poruke koje naši WIndowsi primaju preko portova UDP 1900 i TCP 2869. Ukoliko je opcija uključena (Enabled) potrebno je definirati IP adrese ili subnet sa kojega će Windows Firewall prihvaćati ovaj promet. Ukoliko ova opcija nije označena (Not Defined) lokalni administrator može sam definirati ovu opciju.
10. Windows Firewall: Prohibit notifications  - Ukoliko je ova opcija uključena (Enabled) Windows Firewall Pop-Up porukom nudi korisniku stavljanje aplikacije koja prima promet izvana na lokalnu Exceptions listu. Ukoliko je opcija isključena Pop-Up poruke se ne prikazuju i nije ih moguće uključiti lokalno.
11. Windows Firewall: Allow logging  - Uključenjem ove opcije (Enabled) forsira se praćenje aktivnosti lokalnog firewalla i bilježenje odgovarajućih logova. pri tome se omogućuje bilježenje odbijenog mrežnog prometa zbog firewall pravila. Omogućuje se i definiranje mjesta na kojem će se log datoteka pohraniti. I ovdje je osigurano bilježenje aktivnosti firewalla bez mogućnosti uplitanja lokalnog administratora računala.
12. Windows Firewall: Prohibit unicast response to multicast or broadcast requests  - Osigurava kontrolu nad primanjem unicast prometa koji je nastao kao rezultat broadcast i unicast zahtjeva sa korisničkog računala. Windows Firewall ovdje razlikuje DHCP promet pa ovi paketi uredno prolaze.
13. Windows Firewall: Define port exceptions  - I ovdje Windowsi poznaju dvije port exceptions liste: onu definiranu group policyjem i lokalnu koju kontroliramo. Uključenjem ove opcije forsiramo listu definiranu group policyjem i ignoriramo lokalnu listu ukoliko je nismo dozvolili uključenjem zadnje opcije "Windows Firewall: Allow local port exceptions". Kada je opcija uključena na raspolaganju nam je mogućnost definiranja port exceptions liste prema sintaksi:
<Port>:<Transport>:<Scope>:<Status>:<Name>
primjer:
80:TCP:192.168.1.0:enabled:Web servis
osigurava pristup ip adresama sa mreže 192.168.1.0 na lokalni port TCP 80.
14. Windows Firewall: Allow local  port exceptions  - Ukoliko je ova opcija uključena (Enabled) lokalni administrator ima prava definirati vlastite port exceptions liste.

Naša domena unutar koje želimo primjeniti nove Windows Firewall postavke još nije svjesna što može pa je potrebno da tzv. "Default Domain Policy" nadogradimo sa novim mogućnostima. Ovo je najlaške učiniti na slijedeći način:
- Na računalo člana domene instaliramo Service Pack 2, restartamo računalo i logiramo se kao normalan korisnik;
- iz Command Prompta pokrenemo Microsoft Management konzolu sa ovlastima korisnika člana grupe "Doamin Administrators", "Enterprise Administrators" i Policy Creator Owners sec. grupe:
runas /user:DOMENA\administrator "mmc"
- po podizanju prazne konzole odaberemo unutar FILE menija opciju "Add/Remove Snap-in" i sa "Standalone" taba odaberemo "Add";
- sa "Avialable Stanalone Snap-in" taba odaberemo "Group Policy" no ne "Local Computer" group policy object već odabirom "Browse" opcije odaberemo "Default Domain Policy".
Ovako ćemo napraviti update glavnog group policyja i proširiti ćemo ga za nove stavke kojima upravljamo Windows Firewallom. Novonastale stavke su vidljive unutar Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall.
Za okruženje koje pokriva korisnike osobnih računala koji su učlanjeni u domenu opcije nebi trebale biti jako restriktivne no svakako treba računati na mogućnost štete koja može nastati zbog nestručnosti ili nespretnosti korisnika sa lokalnim administratorskim ovlastima. Stoga:

1. Windows Firewall: Protect all network connections  - UKLJUČENO! (Enabled).
2. Windows Firewall: Do not allow exceptions  -  ostavite nedefinirano (Not Defined).
3. Windows Firewall: Define program exceptions  - UKLJUČENO! (Enabled) sa složenom listom standardnih programa za korištenje Interneta, ne zabravite na svoj antivirusni alat koji se nadograđuje preko Interneta, a možda vam se korisnici pobune ukoliko na listi ne bude njihov omiljeni Peer-To-Peer alat).
4. Windows Firewall: Allow local program exceptions  - ostavite uključeno (Enabled).
5. Windows Firewall: Allow remote administration exception  - preporučamo da ISKLJUČITE ovu opciju (Disabled) osim eventualno u okruženju tipa računalne učionice.
6. Windows Firewall: Allow file and print sharing exception  - UKLJUČITE (Enabled) i pažljivo definirajte sa kojih IP adresa i subneta se smije pristupati ovim resursima.
7. Windows Firewall: Allow ICMP exceptions  - ukoliko vam je ovaj protokol potreban zbog dijagnostičkih alata uključite ga. Ponavljamo i ovdje da ukoliko bolo koja kasnija opcija osigura otvaranje porta TCP 445 WIndows Firewall će automatski omogućiti i "inbound echo requests" (ping..) a to vam može biti dovoljno.
8. Windows Firewall: Allow Remote Desktop exception  - ako koristite Remote Desktop Connetions klijent za administriranje klijentskih računala uključite ovu opciju, inače ISKLJUČITE.
9. Windows Firewall: Allow UPnP framework exception  - u većem broju slučajeva ovo vam nije potrebno, stoga ISKLJUČITE.
10. Windows Firewall: Prohibit notifications  - ISKLJUČITE, osim ako vaše korisnike ne smeta često skakanje upozorenja a niste im omogućili da promjene zadane restrikcije.
11. Windows Firewall: Allow logging  - uključite na kritičnim računalima ili kod korisnika koji potencijalno mogu biti izvor problema na mreži.
12. Windows Firewall: Prohibit unicast response to multicast or broadcast requests  - ovu mogućnost možete ostaviti nedefiniranu (Not Configured).
13. Windows Firewall: Define port exceptions  - ukoliko postoji politika da na vašoj mreži korisnici imaju otvoren port TCP 80 npr. za neki network messenger klijent to možete osigurati ovdje neovisno o vrsit samog klijenta. Ali oprezno.
14. Windows Firewall: Allow local  port exceptions  - ISKLJUČITE, osim ukoliko korisnik stvarno ima razloga sam definirati ovu mogućnost.

Na kraju, ne zaboravite na mogućnost definiranja više group policyja sa različitim Windows Firewall konfiguracijama koje možete primjeniti na različita računala unutar različitih Organizational Unit jedinica Active Directoryja - za neka okruženja (učionice, javna računala) i za neke korisnike moraju vrijediti stroža sigurnosna pravila.