Como posso fazer backup da minha recomendação de NÃO desativar o serviço Firewall do Windows?

14

Sei por experiência pessoal direta que desabilitar o serviço Firewall do Windows em sistemas pós-XP pode levar a todos os tipos de problemas de rede, e que a maneira correta de desabilitá-lo é configurando-o para não bloquear nenhum tráfego, deixando o serviço real em execução . Isso ocorre porque, a partir do Vista, o serviço do Firewall do Windows é um componente crítico da pilha de rede do Windows e a interrupção causará estragos de maneiras completamente aleatórias.

No entanto, continuo encontrando pessoas que acham que parar e desabilitar o serviço é uma boa solução, e que dedicar um tempo para desabilitá-lo adequadamente é simplesmente um trabalho desnecessário demais. Então, quando todos os tipos de problemas de rede acontecem, eles simplesmente não reconhecem o motivo real e tentam qualquer outra coisa antes de aceitar de má vontade que, sim, talvez esse serviço deva realmente ficar em execução.

Além de atingir as pessoas com objetos pesados ​​(e / ou afiados), a solução real aqui seria um documento oficial afirmando "não desative este serviço ou você está apenas pedindo problemas". E, no entanto, a única postagem sobre esse tópico que pude encontrar diz simplesmente que "a interrupção do serviço associado ao Firewall do Windows com Segurança Avançada não é suportada pela Microsoft", o que não parece ameaçador o suficiente para impedi-los de fazer coisas idiotas. .

Existe algo melhor que eu possa me referir para fazer backup da minha alegação de que o serviço Firewall do Windows NÃO deve realmente ser interrompido?


Um pouco de esclarecimento: na verdade, eu não estava me referindo a usuários, mas a administradores com muita atitude e muito pouco conhecimento real, que pensam que a configuração descrita acima é Just Right, a implementou por meio de GPOs em toda a rede e simplesmente não é ouvindo quando digo a eles que esses problemas aleatórios de rede que estão enfrentando têm uma chance muito alta de serem causados ​​por ele.

Atualmente, estou encarregado de corrigir esses problemas (e implementar alguns novos serviços que não estão funcionando conforme o esperado por causa desse problema), e preciso de uma maneira de convencê-los a deixar esse serviço de merda em paz; infelizmente, a experiência pessoal parece não ser oficial o suficiente.

Massimo
fonte

Respostas:

12

Você já sabe qual é a melhor prática; a coisa suportada pela MS a fazer. Você já viu como desabilitar o serviço pode levar a um comportamento imprevisível e que quebra outras funcionalidades vinculadas tangencialmente ao serviço. Se você, como administrador, não tem o poder de impedir que os idiotas façam coisas idiotas, encaminhe-o para o administrador que o faz e para que ele seja colocado em um GPO. Faça com que os formuladores de políticas da sua empresa estabeleçam a política de que esse serviço não deve ser desativado. Então eles não estão apenas sendo idiotas, estão violando a política da empresa.

/superuser/137930/when-the-windows-firewall-service-is-disabled-i-cannot-remote-desktop-rdp-to-t

http://weestro.blogspot.com/2009/06/server-2008-and-windows-firewall.html

Ryan Ries
fonte
1
Desativar o firewall interrompe o IPSec, por um lado.
M113
Expandido para maior clareza. Estou tendo problemas para convencer outros administradores disso, não os usuários.
Massimo
2
Você escreve "a solução real aqui seria um documento oficial afirmando" não desabilite este serviço ou você está apenas solicitando problemas "; em seguida, na próxima frase, você vinculará a um documento oficial da MS dizendo" não desabilite isto serviço ou você está apenas pedindo problemas! "Além disso, incluí dois links como exemplos de pessoas que violaram o RDP porque desativaram o serviço. Além disso, eu lhe disse que se seus administradores fizerem escolhas erradas, isso é um problema de RH e devem ser abordadas através de políticas da empresa Não tenho certeza o que mais a dar-lhe..
Ryan Ries
4
"A interrupção do serviço associado ao Firewall do Windows com Segurança Avançada não é suportada pela Microsoft." Essa é uma declaração do fornecedor.
Ryan Ries
2
@ Massimo Esse artigo da Technet é bastante claro. Se seus colegas de trabalho não entenderem, talvez eles não sejam competentes para manter suas posições atuais.
Michael Hampton