Windows 7: Jak włączyć zaporę wyłączoną przez globalne zasady na komputerze przyłączonym do domeny?

0

Na 64-bitowym laptopie z systemem Windows 7 Enterprise dołączonym do domeny korporacyjnej Zapora systemu Windows jest wyłączona na podstawie zasad globalnych.

Czy istnieje sposób na włączenie Zapory systemu Windows w tym scenariuszu?

Ustawienie gpedit.msc Windows Firewall: Protect all network connectionsjest niedostępne.

EDYCJA: Wygląda na to, że zmiana HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ gpsvc \ Start wartość na 4 spowoduje wyłączenie GPO i pozwoli na uruchomienie zapory ogniowej i powstrzymanie botów przed wypychaniem cr * p na komputer ... sprawdzi w poniedziałek a jeśli to zadziała, potwierdzę tutaj, na wypadek, gdyby ktoś w mojej sytuacji zastanawiał się nad tym pytaniem ...

EDYCJA: Prawdopodobnie lepiej, jeśli napiszę fałszywą usługę systemu Windows i nic nie robię, i nadam jej nazwę zgodnie z oczekiwaniami, które będą na moim pudełku, a następnie utworzę makietę pliku wykonywalnego McCrappy i poznaj strukturę folderów McCrappy i usuń wszystkie rzeczy ... zajmie trochę czasu, ale z pewnością sprawi, że moje pudełko będzie całkowicie niewidzialne ...

windows-7  firewall 
Dean Kuga
źródło

Odpowiedzi:

2

Klucz rejestru, na który chcesz kierować, to 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\

Ustaw DWord = 0.

To zabawne, że masz dostęp do tego klucza rejestru. Oznacza to po prostu, że wszelkie aktualizacje zasad grupy, które zostaną wypchnięte, są nieskuteczne, ponieważ można je po prostu zastąpić. Chociaż sympatyzuję z innymi pracownikami IT, nie jest to tak naprawdę usprawiedliwione. . .

Oznacza to, że masz do dyspozycji wszelkiego rodzaju ataki hakerskie, w tym wyłączenie aktualizacji zasad grupy z kontrolera domeny. Ale to wzbudziłoby podejrzenia. Ale jeśli chcesz, Technet firmy Microsoft mówi ci, jak wyłączyć aktualizacje.

Chciałbym zmienić interwał aktualizacji. To jest bardziej subtelne.

Ale czuję twój ból.

Twórcy oprogramowania nie mają miłości. Ludzie IT też nie mają miłości. Trudno mi wytłumaczyć ludziom, że nie ustanawiam zasad. Musimy podejmować bolesne decyzje z powodu przepisów ustawowych, wykonawczych i nieefektywności kosztowych. To jest do bani. Podobnie jak programiści, jesteśmy proszeni o robienie wszystkiego szybko, perfekcyjnie i tanio.

Jednocześnie dział IT ma do wykonania zadanie, które utrudnia innym, co z kolei zwiększa kontrolę na komputerach, co zmusza cię do większej inteligencji. . . Jesteś wystarczająco inteligentny, aby zobaczyć, dokąd to zmierza.

Naprawdę jest to tylko krótkoterminowe rozwiązanie problemu długoterminowego. Nie zdobędziesz żadnego zaufania, chwaląc się liczbą procesów lub nazywając ludzi botami.

BTW, powinieneś wiedzieć jako programista, że ​​# procesu! = Wydajność.

Edytować

Nie sympatyzuję z działami IT, które sprawiają, że użytkownicy stają się administratorami, po prostu dlatego, że jest to łatwiejsze. Naprawdę nie jest tak trudno stworzyć grupę użytkowników zaawansowanych z uprawnieniami instalacji itp.

surfasb
źródło
Dzięki za ten klucz rejestru, rozumiem twój punkt widzenia, ale tak jak nie rozumiem specyfiki twojej sytuacji, nikt nie rozumie specyfiki mojej. Więc kiedy dostaję dziwne komentarze na temat tego, że nie wiem, co działa na moim komputerze i liczby ikon obok mojego zegara, zakładając, że jestem noobem lub po prostu nie jestem w szkole, czy coś, co mnie denerwuje i odpalam. Sam byłem administratorem zanim zostałem programistą i musiałem radzić sobie z hackami, które starały się oderwać od pracy i nienawidziły tej pracy bardziej niż zajmowanie się ppl, który ślepo przestrzega zasad i po prostu popycha McCrappy'ego do pudeł deweloperskich.
Dean Kuga
Jednak moim problemem nie są administratorzy IT, w końcu po prostu wdrażają zasady „dobrze przemyślane” przez innych, ale z warstwami administracyjnymi zbudowanymi na IT, które tak naprawdę nie robią nic użytecznego, ale ciągle próbują „wymyślać”, nakładać i wymuszać nowe śmieci dla programistów ORAZ innych informatyków, aby usprawiedliwić ich istnienie i dni wypełnione produktywnymi spotkaniami.
Dean Kuga
Kiedy dochodzimy do tego, że przejście przez kolejne warstwy biurokracji zajmuje więcej czasu, wymyślili oni, aby uzasadnić swoje istnienie, aby coś zrobić, niż napisać kod i stworzyć coś użytecznego, a mimo to uświadamiam im, że muszą robić coś złego, wkraczamy w rejon, w którym, moim zdaniem, wszystko może uchronić się przed tymi aparatchikami ...
Dean Kuga,
Nie rozumiem początku rantu, możesz edytować ten klucz rejestru tylko wtedy, gdy jesteś administratorem. Jeśli jesteś administratorem, wszystkie zakłady są wyłączone.
ta.speot.is
@todda Pisanie dobrego oprogramowania jest wystarczająco trudne bez konieczności radzenia sobie z ludźmi, którzy nieustannie utrudniają ci życie zamiast pomagać, co powinno być ich pracą, więc kiedy poczujesz, że możesz nazwać moją wentylację rantem ... i tak, jestem admin na pudełku ...
Dean Kuga
1

Niestety nie możesz na dłuższą metę. Jeśli jesteś lokalnym administratorem, prawdopodobnie mógłbyś to zmienić w rejestrze, ale domyślny interwał aktualizacji zasad grupy wynosi 90 minut, co oznacza, że ​​zmieniałby to wtedy co 90 ludzi ... prawdziwy ból w tyłek.

Jeśli naprawdę chcesz, aby była włączona, a jesteś w sieci, w której możesz porozmawiać z administratorem, poproś go o zrobienie tego:

Utwórz nową jednostkę organizacyjną i przenieś do niej swój komputer. Następnie mogą utworzyć kopię aktualnego lekarza ogólnego o zmienionej nazwie, a następnie wprowadzić żądaną zmianę. Następnie połączą zmienionego lekarza ogólnego z nową jednostką organizacyjną.

Trudno powiedzieć, czy to zrobią, czy nie. Dla mnie będzie to głównie zależało od tego, że pozostawiłeś otwarte porty, których potrzebowałem do zarządzania komputerem (może to jednak negować powód, dla którego to zrobiłeś), w przeciwnym razie nie mam problemu z użytkownikiem, który chce być nieco bardziej bezpieczny.

KCotreau
źródło
3
PS Jest to rodzaj nieformalnej polityki, aby pomóc każdemu obejść ustawienia wymuszone przez administratorów.
KCotreau
Nawet jeśli administratorzy to boty korporacyjne, którym kazano wypchnąć wirusa o nazwie McAfee, który czyni komputer prawie bezużytecznym, na każdą stację roboczą w domenie, nawet jeśli mają już zainstalowane oprogramowanie Essentials Security? Rozumowanie przy użyciu botów korporacyjnych jest bezużyteczne, więc kiedy zaczynasz pisać w Visual Studio i nic nie pojawia się na ekranie przez 10 sekund, obejścia są wszystkim, co niestety pozostało ...
Dean Kuga
W każdym razie, czy wiesz, jaki klucz należy zmienić w rejestrze? Mogę zaplanować zadanie, które zmieni rejestr co 90 minut, jeśli to zrobisz ... moim celem jest powstrzymanie botów przed wypychaniem wirusa McAfee na moją stację roboczą ...
Dean Kuga
1
@kzen - „boty” prawdopodobnie odpowiadają za bezpieczeństwo w całej sieci, a MS Security Essentials nie zapewnia scentralizowanego zarządzania, które oferuje McAfee. Pamiętaj tylko, że nie korzystasz z komputera. PS: używanie MS Security Essentials w firmie z więcej niż 10 użytkownikami jest sprzeczne z licencją. Jeśli go zainstalowałeś, możesz ryzykować problemy z instalacją nielegalnych aplikacji w systemie firmy.
Ƭᴇcʜιᴇ007
Jeśli tak długo czekasz na pojawienie się tekstu, masz inne problemy niż McCrappee. Powinieneś zacząć narzekać na powolność systemu i pokazywać, jak powolny jest Twój komputer dla każdego, kto będzie słuchał, czy to IT, czy nie. Może być tak, że masz mnóstwo oprogramowania, którego nie potrzebujesz (ile ikon znajduje się obok zegara, że ​​nie masz pojęcia, co to jest?), Lub może po prostu potrzebujesz trochę więcej pamięci komputera (jest to dość tanie i najprawdopodobniej IT ma zapasowe układy leżące wokół, których możesz użyć).
music2myear
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.