Jak mogę wykonać kopię zapasową mojej rekomendacji, aby NIE wyłączać usługi Zapory systemu Windows?

14

Wiem z bezpośredniego osobistego doświadczenia, że ​​wyłączenie usługi Zapory systemu Windows w systemach post-XP może prowadzić do różnego rodzaju problemów z siecią i że właściwym sposobem jej wyłączenia jest skonfigurowanie jej tak, aby nie blokowała żadnego ruchu, ale pozostawia działającą usługę . Wynika to z faktu, że począwszy od systemu Vista usługa Zapory systemu Windows jest kluczowym składnikiem stosu sieciowego systemu Windows, a jej zatrzymanie spowoduje spustoszenie w całkowicie losowy sposób.

Jednak ciągle napotykam ludzi, którzy myślą, że zatrzymanie i wyłączenie usługi jest dobrym rozwiązaniem, a poświęcenie czasu na jej prawidłowe wyłączenie jest po prostu zbyt dużą niepotrzebną pracą. Następnie, gdy pojawią się różnego rodzaju bóle sieciowe, po prostu nie uznają prawdziwego powodu i spróbują wszystkiego innego, zanim niechętnie zaakceptują to, tak, może ta usługa powinna naprawdę pozostać uruchomiona.

Oprócz uderzania osób ciężkimi (i / lub ostrymi) przedmiotami, prawdziwym rozwiązaniem byłby tutaj oficjalny dokument stwierdzający, że „nie wyłączaj tej usługi, albo po prostu prosisz o kłopoty”. A jednak jedyny post na ten temat, który udało mi się znaleźć, po prostu mówi, że „zatrzymanie usługi związanej z Zaporą systemu Windows z zaawansowanymi zabezpieczeniami nie jest obsługiwane przez Microsoft”, co po prostu nie wygląda na wystarczająco groźne, aby powstrzymać ich od robienia idiotycznych rzeczy .

Czy jest coś lepszego, na co mogę się powołać, aby wykonać kopię zapasową mojego twierdzenia, że ​​Zapora systemu Windows naprawdę NIE powinna zostać zatrzymana?


Trochę wyjaśnienia: w rzeczywistości nie odnosiłem się do użytkowników, ale do administratorów o zbyt dużym nastawieniu i zbyt małej realnej wiedzy, którzy uważają, że wyżej opisana konfiguracja jest odpowiednia, wdrożyli ją za pośrednictwem obiektów GPO w całej sieci i po prostu nie są słuchanie, gdy mówię im, że napotykane przez nich przypadkowe problemy z siecią mają bardzo dużą szansę na spowodowanie.

Obecnie mam za zadanie naprawienie tych problemów (i wdrożenie niektórych nowych usług, które nie działają zgodnie z oczekiwaniami z powodu tego problemu) i potrzebuję sposobu, aby przekonać ich, aby po prostu zostawili tę cholerną usługę w spokoju; niestety, osobiste doświadczenie nie wydaje się wystarczająco oficjalne.

Massimo
źródło

Odpowiedzi:

12

Wiesz już, jaka jest najlepsza praktyka; rzecz wspierana przez MS. Widziałeś już, jak wyłączenie usługi może prowadzić do nieprzewidzianych zachowań i że psuje inne funkcje, które są stycznie związane z usługą. Jeśli jako administrator nie jesteś w stanie powstrzymać idiotów przed robieniem idiotycznych rzeczy, przekaż to administratorowi, który to robi, i niech umieści go w GPO. Poproś decydentów w swojej firmie, aby zadbali o to, aby nie wyłączać tej usługi. Zatem nie są tylko idiotami, naruszają zasady firmy.

/superuser/137930/when-the-windows-firewall-service-is-disabled-i-cannot-remote-desktop-rdp-to-t

http://weestro.blogspot.com/2009/06/server-2008-and-windows-firewall.html

Ryan Ries
źródło
1
Wyłączenie zapory powoduje uszkodzenie IPSec.
mfinni
Rozszerzony dla przejrzystości. Mam problemy z przekonaniem innych administratorów , a nie użytkowników.
Massimo
2
Piszesz „prawdziwym rozwiązaniem byłby tutaj oficjalny dokument stwierdzający„ nie wyłączaj tej usługi lub po prostu prosisz o kłopoty ”, a następnie w następnym zdaniu łączysz się z oficjalnym dokumentem MS, mówiącym:„ nie wyłączaj tego usługa lub po prostu prosisz o kłopoty! ”Ponadto umieściłem dwa linki jako przykłady facetów, którzy złamali RDP, ponieważ wyłączyli usługę. Ponadto powiedziałem ci, że jeśli Twoi administratorzy dokonują złych wyborów, to znaczy problem związany HR i powinny być kierowane przez politykę Spółka nie wiem, co jeszcze dać..
Ryan Ries
4
„Zatrzymywanie usługi związanej z Zaporą systemu Windows z zabezpieczeniami zaawansowanymi nie jest obsługiwane przez Microsoft”. To jest oświadczenie dostawcy.
Ryan Ries
2
@Massimo Ten artykuł w Technet jest całkowicie jasny. Jeśli twoi współpracownicy tego nie rozumieją, być może nie są w stanie utrzymać obecnej pozycji.
Michael Hampton