Come posso eseguire il backup del mio consiglio per NON disabilitare il servizio Windows Firewall?


14

So per esperienza personale diretta che disabilitare il servizio Windows Firewall sui sistemi post-XP può portare a tutti i tipi di problemi di rete e che il modo corretto di disabilitarlo è configurarlo in modo da non bloccare alcun traffico, lasciando comunque attivo il servizio . Questo perché da Vista in poi il servizio Windows Firewall è un componente critico dello stack di rete di Windows e arrestarlo causerà il caos in modi completamente casuali.

Tuttavia, continuo a inciampare su persone che pensano che fermare e disabilitare il servizio sia un'ottima soluzione e che prendersi il proprio tempo per disabilitarlo correttamente sia semplicemente troppo lavoro non necessario. Quindi, quando derivano tutti i tipi di problemi di rete, semplicemente non riconosceranno il vero motivo e proveranno qualcos'altro prima di accettare a malincuore che, sì, forse quel servizio dovrebbe essere davvero lasciato in esecuzione.

Oltre a colpire quelle persone con oggetti pesanti (e / o affilati), la vera soluzione qui sarebbe un documento ufficiale che affermi "non disabilitare questo servizio o stai solo chiedendo problemi". Eppure, l'unico post su questo argomento che sono riuscito a trovare dice semplicemente che "arrestare il servizio associato a Windows Firewall con sicurezza avanzata non è supportato da Microsoft", che non sembra abbastanza minaccioso da impedire loro di fare cose idiote .

Esiste qualcosa di meglio a cui posso fare riferimento per sostenere la mia affermazione che il servizio Windows Firewall NON dovrebbe essere effettivamente arrestato?


Un po 'di chiarimento: in realtà non mi riferivo agli utenti, ma agli amministratori con troppo atteggiamento e troppa poca conoscenza reale, che pensano che la configurazione sopra descritta sia Giusta, implementata tramite oggetti Criteri di gruppo su tutta la loro rete e semplicemente non lo sono ascoltando quando dico loro che quei problemi di rete casuali che stanno vivendo hanno una probabilità molto alta di essere causati da esso.

Attualmente sono incaricato di risolvere tali problemi (e di implementare alcuni nuovi servizi che non funzionano come previsto a causa di questo problema) e ho bisogno di un modo per convincerli a lasciare solo quel fottuto servizio; purtroppo, l'esperienza personale sembra non essere abbastanza ufficiale.

Risposte:


12

Sai già qual è la migliore pratica; la cosa supportata dalla SM da fare. Hai già visto come la disabilitazione del servizio può portare a comportamenti imprevedibili e che interrompe altre funzionalità che sono tangenzialmente legate al servizio. Se tu, come amministratore, non hai il potere di impedire agli idioti di fare cose idiote, allora inoltra questo all'amministratore che lo fa e fagli mettere un oggetto Criteri di gruppo. Chiedi ai responsabili politici della tua azienda di stabilire che questo servizio non deve essere disabilitato. Quindi non sono solo idioti, ma violano la politica aziendale.

/superuser/137930/when-the-windows-firewall-service-is-disabled-i-cannot-remote-desktop-rdp-to-t

http://weestro.blogspot.com/2009/06/server-2008-and-windows-firewall.html


1
La disabilitazione del firewall interrompe IPSec, per prima cosa.
mfinni,

Ampliato per chiarezza. Sto avendo problemi a convincere altri amministratori di questo, non gli utenti.
Massimo

2
Scrivi "la vera soluzione qui sarebbe un documento ufficiale che affermi" non disabilitare questo servizio o stai solo chiedendo problemi ", quindi nella frase successiva, ti colleghi a un documento ufficiale di MS che dice" non disabilitare questo servizio o stai solo chiedendo problemi! "Oltre a ciò, ho incluso due link come esempi di ragazzi che hanno rotto RDP perché hanno disabilitato il servizio. Inoltre, ti ho detto che se i tuoi amministratori fanno scelte sbagliate, è un problema di risorse umane e dovrebbe essere affrontato attraverso le politiche aziendali. Non so cos'altro darti.
Ryan Ries

4
"L'arresto del servizio associato a Windows Firewall con sicurezza avanzata non è supportato da Microsoft." Questa è una dichiarazione del venditore.
Ryan Ries,

2
@Massimo Quell'articolo di Technet è abbondantemente chiaro. Se i tuoi colleghi non lo capiscono, forse non sono competenti a mantenere le loro posizioni attuali.
Michael Hampton
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.