Windows 7: Jak włączyć zaporę wyłączoną przez globalne zasady na komputerze przyłączonym do domeny?

Na 64-bitowym laptopie z systemem Windows 7 Enterprise dołączonym do domeny korporacyjnej Zapora systemu Windows jest wyłączona na podstawie zasad globalnych.

Czy istnieje sposób na włączenie Zapory systemu Windows w tym scenariuszu?

Ustawienie gpedit.msc Windows Firewall: Protect all network connectionsjest niedostępne.

EDYCJA: Wygląda na to, że zmiana HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ gpsvc \ Start wartość na 4 spowoduje wyłączenie GPO i pozwoli na uruchomienie zapory ogniowej i powstrzymanie botów przed wypychaniem cr * p na komputer ... sprawdzi w poniedziałek a jeśli to zadziała, potwierdzę tutaj, na wypadek, gdyby ktoś w mojej sytuacji zastanawiał się nad tym pytaniem ...

EDYCJA: Prawdopodobnie lepiej, jeśli napiszę fałszywą usługę systemu Windows i nic nie robię, i nadam jej nazwę zgodnie z oczekiwaniami, które będą na moim pudełku, a następnie utworzę makietę pliku wykonywalnego McCrappy i poznaj strukturę folderów McCrappy i usuń wszystkie rzeczy ... zajmie trochę czasu, ale z pewnością sprawi, że moje pudełko będzie całkowicie niewidzialne ...

Klucz rejestru, na który chcesz kierować, to

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\

Ustaw DWord = 0.

To zabawne, że masz dostęp do tego klucza rejestru. Oznacza to po prostu, że wszelkie aktualizacje zasad grupy, które zostaną wypchnięte, są nieskuteczne, ponieważ można je po prostu zastąpić. Chociaż sympatyzuję z innymi pracownikami IT, nie jest to tak naprawdę usprawiedliwione. . .

Oznacza to, że masz do dyspozycji wszelkiego rodzaju ataki hakerskie, w tym wyłączenie aktualizacji zasad grupy z kontrolera domeny. Ale to wzbudziłoby podejrzenia. Ale jeśli chcesz, Technet firmy Microsoft mówi ci, jak wyłączyć aktualizacje.

Chciałbym zmienić interwał aktualizacji. To jest bardziej subtelne.

Ale czuję twój ból.

Twórcy oprogramowania nie mają miłości. Ludzie IT też nie mają miłości. Trudno mi wytłumaczyć ludziom, że nie ustanawiam zasad. Musimy podejmować bolesne decyzje z powodu przepisów ustawowych, wykonawczych i nieefektywności kosztowych. To jest do bani. Podobnie jak programiści, jesteśmy proszeni o robienie wszystkiego szybko, perfekcyjnie i tanio.

Jednocześnie dział IT ma do wykonania zadanie, które utrudnia innym, co z kolei zwiększa kontrolę na komputerach, co zmusza cię do większej inteligencji. . . Jesteś wystarczająco inteligentny, aby zobaczyć, dokąd to zmierza.

Naprawdę jest to tylko krótkoterminowe rozwiązanie problemu długoterminowego. Nie zdobędziesz żadnego zaufania, chwaląc się liczbą procesów lub nazywając ludzi botami.

BTW, powinieneś wiedzieć jako programista, że ​​# procesu! = Wydajność.

Edytować

Nie sympatyzuję z działami IT, które sprawiają, że użytkownicy stają się administratorami, po prostu dlatego, że jest to łatwiejsze. Naprawdę nie jest tak trudno stworzyć grupę użytkowników zaawansowanych z uprawnieniami instalacji itp.

Niestety nie możesz na dłuższą metę. Jeśli jesteś lokalnym administratorem, prawdopodobnie mógłbyś to zmienić w rejestrze, ale domyślny interwał aktualizacji zasad grupy wynosi 90 minut, co oznacza, że ​​zmieniałby to wtedy co 90 ludzi ... prawdziwy ból w tyłek.

Jeśli naprawdę chcesz, aby była włączona, a jesteś w sieci, w której możesz porozmawiać z administratorem, poproś go o zrobienie tego:

Utwórz nową jednostkę organizacyjną i przenieś do niej swój komputer. Następnie mogą utworzyć kopię aktualnego lekarza ogólnego o zmienionej nazwie, a następnie wprowadzić żądaną zmianę. Następnie połączą zmienionego lekarza ogólnego z nową jednostką organizacyjną.

Trudno powiedzieć, czy to zrobią, czy nie. Dla mnie będzie to głównie zależało od tego, że pozostawiłeś otwarte porty, których potrzebowałem do zarządzania komputerem (może to jednak negować powód, dla którego to zrobiłeś), w przeciwnym razie nie mam problemu z użytkownikiem, który chce być nieco bardziej bezpieczny.