Windows 7: Как включить брандмауэр, отключенный глобальной политикой на компьютере, подключенном к домену?

Question

На 64-разрядном ноутбуке Windows 7 Enterprise, подключенном к корпоративному домену, брандмауэр Windows отключен глобальной политикой.

Есть ли способ включить брандмауэр Windows в этом сценарии?

Параметр gpedit.msc Windows Firewall: Protect all network connections недоступна.

РЕДАКТИРОВАТЬ: Похоже, что изменение HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\gpsvc\Start value на 4 отключит объект групповой политики и позволит вам запустить брандмауэр и не дать ботам нажимать cr * p на ваш компьютер ... произойдет проверка в понедельник и если это сработает, я укажу здесь, если кто-то еще в моей ситуации задается вопросом на этот вопрос ...

РЕДАКТИРОВАТЬ: Вероятно, будет лучше, если я напишу службу фиктивного окна, ничего не делая, и назову ее в соответствии с тем, что должно быть на моем ящике, а затем создаю фиктивный исполняемый файл McCrappy и высмеиваю структуру папок McCrappy и удаляю весь фактический материал ... Это заняло бы немного времени, но наверняка сделало бы мою коробку совершенно незаметной ...

Answer 1

Ключ реестра, на который вы хотите настроить таргетинг,

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\

Сделайте DWord = 0.

Забавно, что у вас есть доступ к этому ключу реестра. Это просто означает, что любые обновления групповой политики, которые были отложены, неэффективны, поскольку вы можете просто перезаписать их. Хотя я сочувствую другим ИТ-работникам, это не совсем простительно. , ,

Это означает, что у вас есть все виды хаков, в том числе отключение обновлений групповой политики с контроллера домена. Но это вызовет подозрения. Но если вы хотите, Microsoft Technet на самом деле говорит вам, как отключить обновления.

Я бы пошел с изменением интервала обновления. Это более тонко.

Я чувствую вашу боль, хотя.

Разработчики программного обеспечения не получают любви. IT-люди тоже не получают никакой любви. Мне трудно объяснить людям, что я не делаю правила. Мы должны принимать болезненные решения из-за законов, правил и неэффективности затрат. Это отстой. Как и разработчики, нас просят сделать все быстро, безупречно и дешево.

В то же время, у ИТ есть работа, и вы только усложняете работу с другими, что, в свою очередь, повышает контроль над вашими компьютерами, что заставляет вас быть более умным. , , Вы достаточно умны, чтобы увидеть, куда это идет.

Действительно, это всего лишь краткосрочное решение долгосрочной проблемы. Вы не получите никакого доверия, хвастаясь количеством процессов или вызывая людей ботов.

Кстати, вы должны знать как разработчик, что процесс!= производительность.

редактировать

Я не сочувствую ИТ-отделам, которые делают пользователей администраторами, просто потому, что это проще. Это действительно не так сложно создать группу опытных пользователей с правами на установку и т.д.

Answer 2

Извините, вы не можете в долгосрочной перспективе. Если вы являетесь локальным администратором, вы, вероятно, могли бы изменить его в реестре, но интервал обновления по умолчанию для групповой политики составляет 90 минут, а это означает, что он будет менять его тогда каждые 90 минут ... это настоящая боль в заднице.

Если вы действительно хотите, чтобы он был включен, и вы находитесь в сети, где вы можете поговорить с вашим администратором, попросите их сделать это:

Создайте новое подразделение и перенесите на него свой компьютер. Затем они могут сделать копию текущего GP, переименованного, а затем сделать запрошенное вами изменение. Затем они свяжут измененный GP с новым OU.

Трудно сказать, сделают они это или нет. Для меня это в основном будет зависеть от того, оставите ли вы открытые порты, которые мне нужны для управления вашим компьютером (хотя это может свести на нет вашу причину сделать это), в противном случае у меня нет проблем с пользователем, желающим быть немного более защищенным.