Безопасно ли отключать брандмауэр Windows в частной сети?
Очевидно, это зависит. Какая частная сеть и что вы считаете "безопасным"?
Я бы ответил в трех частях:
Если вы заменяете брандмауэр Windows каким-либо превосходным продуктом, то, конечно, можно безопасно отключить брандмауэр Windows после работы другого продукта.
- Это идеальное решение, конечно.
Если вы говорите о том, что БЕЗОПАСНОСТЬ программного обеспечения в частных сетях БЕЗОПАСНА, то вам следует подумать об этом.
- Поскольку "частная сеть" Windows - это то, что вы говорите, "Windows" является "частной" сетью, о каких сетях вы говорите, что Windows является частной?
- Насколько они безопасны?
- Откуда ты знаешь, насколько они безопасны?
- Почему вы считаете их текущий уровень "безопасным" для тех, кто соответствует требованиям?
- Если что-то из этого «потому что другие люди / машины в сети не делают ничего слишком рискованного», то пометьте их сеть как "небезопасную". Всплывающая реклама с эксплойтами нулевого дня может поразить любой компьютер, на котором запущен любой браузер, с любого сайта, даже сайтов, которым вы доверяете, поскольку доверять им - это не то же самое, что доверять их рекламе.
- Если вы оцениваете их безопасность, потому что они имеют значительную инфраструктуру сетевой безопасности, включая вышеупомянутые брандмауэры потребительского уровня, устройства IDS / IPS, встроенные средства защиты от вредоносных программ / антивирусы и т.д. И т.д., То это означает, что вы доверяете их сети самостоятельно. Это может быть допустимо, но это то, что нужно тщательно обдумать - эксплойты нулевого дня могут ударить НИКОГО - KRACK, Heartbleed, Meltdown / Spectre и т.д.
- Вы лично используете собственный аппаратный брандмауэр в каждой "частной" сети? Если да, то я бы сказал, что ваш аппаратный брандмауэр сделает брандмауэр Windows излишним, если он находится между вашим оборудованием и ВСЕМ другим оборудованием.
TL; DR: безопасность - это все о слоях
Безопасность - это слои. Каждый слой может быть уязвим для атак; и, честно говоря, каждый уровень будет уязвим для атак в некоторые моменты времени, от надстройки вашего браузера до самого вашего процессора. Наличие все большего и большего количества слоев позволяет повысить вероятность того, что не все слои будут уязвимы в одно и то же время.
Например, слои нормальной семьи будут включать:
- NAT от провайдера
- Потребительский класс "роутер / брандмауэр"
- С NAT внутри
- С паролем администратора по умолчанию, без исправлений прошивки, и никто не следит за его бесполезными журналами.
- Wi-Fi с WPA2-Personal с использованием AES
- С паролем по умолчанию, предоставленным провайдером
- Который никогда не имел никаких патчей
- Локальная сеть
- Твой компьютер
- Который может иметь программный брандмауэр для ограничения входящего доступа
- Который может иметь антивирус
- Который может иметь другие анти-вредоносные программы
- Чьи логи никто, наверное, не контролирует
Более безопасная система будет иметь:- NAT от интернет-провайдера - Среднюю линию к расширенному брандмауэру - Недавно исправлены - Чьи журналы отслеживаются и / или которые выдают предупреждения - IDS / IPS в режиме IPS - Недавно исправлены - с актуальными сигнатурами - Встроенный антивирус / защита от вредоносных программ на уровне сети - с современными сигнатурами - Wi-Fi с WPA2-Personal с AES - с длинным случайным паролем - исправлено недавно - чьи журналы отслеживаются, чтобы увидеть, какие устройства подключаются - с включенной изоляцией клиента - локальная локальная сеть - с VLAN, разделяющими трафик - Ваше устройство (как указано выше)