Windows Güvenlik Duvarı hizmetini DEVRE DIŞI BIRAKMAM için önerimi nasıl yedekleyebilirim?

Doğrudan kişisel deneyimimden, XP sonrası sistemlerde Windows Güvenlik Duvarı hizmetinin devre dışı bırakılmasının her türlü ağ sorununa yol açabileceğini ve bunu devre dışı bırakmanın doğru yolunun, trafiği engellemeyecek şekilde yapılandırmak, ancak gerçek hizmeti çalışır durumda bırakmak olduğunu biliyorum. . Bunun nedeni, Vista'dan itibaren Windows Güvenlik Duvarı hizmetinin Windows ağ yığınının kritik bir bileşeni olması ve durdurulması tamamen rasgele yollara zarar verecektir.

Ancak, hizmeti durdurmanın ve devre dışı bırakmanın iyi bir çözüm olduğunu ve düzgün bir şekilde devre dışı bırakmak için zaman ayırmanın çok fazla gereksiz iş olduğunu düşünen insanlara rastlamaktayım. Daha sonra, her türlü ağ sancıları ortaya çıktığında, gerçek nedeni kabul etmeyecekler ve isteksizce kabul etmeden önce başka bir şey deneyeceklerdir , evet, belki de bu hizmet gerçekten çalışır durumda bırakılmalıdır.

Ağır (ve / veya keskin) nesnelerle bu insanlara çarpmanın yanı sıra, buradaki gerçek çözüm, "bu hizmeti devre dışı bırakmayın ya da sadece sorun istersiniz" şeklinde resmi bir belge olacaktır. Ve yine de, bu konuda bulabildiğim tek gönderi, basitçe "Gelişmiş Güvenlik ile Windows Güvenlik Duvarı ile ilişkili hizmeti durdurmanın Microsoft tarafından desteklenmediğini" söylüyor, bu da onların aptalca şeyler yapmasını engelleyecek kadar tehditkar görünmüyor .

Windows Güvenlik Duvarı hizmetinin gerçekten durdurulmaması gerektiği iddiamı yedeklemek için başvurabileceğim daha iyi bir şey var mı?

Biraz açıklama: Aslında kullanıcılara atıfta bulunmuyordum, ancak yukarıda açıklanan konfigürasyonun Doğru olduğunu düşünen, çok fazla tutum ve çok az gerçek bilgiye sahip yöneticilere tüm ağlarında GPO'lar aracılığıyla uyguladım ve sadece onlara yaşadığım rasgele ağ problemlerinin neden olma şansının çok yüksek olduğunu söylediğimde dinlemek.

Şu anda bu sorunları düzeltmekle görevliyim (ve bu sorun nedeniyle beklendiği gibi çalışmayan bazı yeni hizmetleri uygulamak) ve onları sadece bu hizmeti yalnız bırakmaya ikna etmek için bir yola ihtiyacım var; ne yazık ki, kişisel deneyim yeterince resmi görünmüyor.

windows windows-service windows-firewall

— Massimo
kaynak

En iyi uygulamanın ne olduğunu zaten biliyorsunuz; MS destekli bir şey yapmak. Hizmeti devre dışı bırakmanın öngörülemeyen davranışlara nasıl yol açabileceğini ve hizmete teğet olarak bağlı diğer işlevleri bozduğunu zaten gördünüz. Yönetici olarak, aptalların aptalca şeyler yapmalarını durdurma gücünüz yoksa, bunu yapan ve GPO'ya yerleştiren yöneticiye iletin. Şirketinizdeki politika yapıcılara bu hizmetin devre dışı bırakılmayacağı politikasını sunmalarını sağlayın. O zaman sadece aptal değil, şirket politikasını da ihlal ediyorlar.

/superuser/137930/when-the-windows-firewall-service-is-disabled-i-cannot-remote-desktop-rdp-to-t

http://weestro.blogspot.com/2009/06/server-2008-and-windows-firewall.html

— Ryan Ries
kaynak

Güvenlik duvarının devre dışı bırakılması bir kere IPSec'i keser.

— mfinni

Netlik için genişletildi. Kullanıcıları değil, diğer yöneticileri ikna etmekte sıkıntı yaşıyorum .

— Massimo

"Buradaki gerçek çözüm, bu hizmeti devre dışı bırakmadığınızı belirten resmi bir belge olacaktır" ya da sadece sorun istiyorsunuz "yazıyorsunuz, daha sonraki cümlede" bunu devre dışı bırakma "diyen resmi bir MS belgesine bağlanırsınız. hizmet ya da sadece sorun istiyor! "Bunun üzerine, hizmet devre dışı bıraktıkları için RDP kırdı adamların örnekleri olarak iki bağlantı dahil. Bunun üzerine, yöneticilerin kötü seçimler yaparsanız, yani İK sorunudur ve şirket politikaları ile ele alınmalıdır.Ya da başka ne vereceğinizden emin değilim

— Ryan Ries

"Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı ile ilişkili hizmeti durdurmak Microsoft tarafından desteklenmez." Bu satıcıdan bir açıklama.

— Ryan Ries

@Massimo Bu Technet makalesi çok açık. Eğer iş arkadaşlarınız bunu anlamıyorsa, belki de şu anki pozisyonlarını koruma yetkisi yoktur.

— Michael Hampton