Bagaimana saya bisa mencadangkan rekomendasi saya untuk TIDAK menonaktifkan layanan Windows Firewall?

14

Saya tahu dari pengalaman pribadi langsung bahwa menonaktifkan layanan Windows Firewall pada sistem pasca-XP dapat menyebabkan semua jenis masalah jaringan, dan bahwa cara yang tepat untuk menonaktifkannya adalah dengan mengonfigurasinya untuk tidak memblokir lalu lintas apa pun, namun membiarkan layanan yang sebenarnya tetap berjalan . Ini karena sejak Vista dan seterusnya, layanan Windows Firewall adalah komponen penting dari tumpukan jaringan Windows, dan menghentikannya akan mendatangkan malapetaka dengan cara yang sepenuhnya acak.

Namun, saya terus menemukan orang-orang yang berpikir bahwa hanya menghentikan dan menonaktifkan layanan adalah solusi yang baik, dan mengambil waktu Anda untuk menonaktifkannya dengan benar adalah pekerjaan yang tidak terlalu dibutuhkan. Kemudian, ketika semua jenis rasa sakit jaringan terjadi, mereka tidak akan mengakui alasan sebenarnya, dan akan mencoba yang lain sebelum dengan enggan menerima itu, ya, mungkin layanan itu harus benar-benar dibiarkan berjalan.

Selain memukul orang-orang dengan benda berat (dan / atau tajam), solusi sebenarnya di sini adalah dokumen resmi yang menyatakan "jangan menonaktifkan layanan ini atau Anda hanya meminta masalah". Namun, satu-satunya posting tentang topik ini yang dapat saya temukan hanyalah mengatakan bahwa "menghentikan layanan yang terkait dengan Windows Firewall dengan Advanced Security tidak didukung oleh Microsoft", yang tidak terlihat cukup mengancam untuk menghentikan mereka melakukan hal-hal bodoh .

Apakah ada sesuatu yang lebih baik yang bisa saya rujuk untuk mendukung klaim saya bahwa layanan Windows Firewall memang TIDAK boleh dihentikan?


Sedikit klarifikasi: Saya sebenarnya tidak merujuk ke pengguna, tetapi ke admin dengan terlalu banyak sikap dan terlalu sedikit pengetahuan nyata, yang berpikir konfigurasi yang dijelaskan di atas adalah Tepat, menerapkannya melalui GPO di seluruh jaringan mereka , dan sama sekali tidak mendengarkan ketika saya memberi tahu mereka bahwa masalah-masalah jaringan acak yang mereka alami memiliki peluang yang sangat tinggi untuk disebabkan olehnya.

Saat ini saya bertugas memperbaiki masalah-masalah itu (dan mengimplementasikan beberapa layanan baru yang tidak berfungsi seperti yang diharapkan karena masalah ini), dan saya perlu cara untuk membujuk mereka untuk meninggalkan layanan itu saja; Sayangnya, pengalaman pribadi tampaknya tidak cukup resmi.

Massimo
sumber

Jawaban:

12

Anda sudah tahu apa praktik terbaiknya; hal yang didukung MS untuk dilakukan. Anda telah melihat bagaimana menonaktifkan layanan dapat menyebabkan perilaku yang tidak terduga dan merusak fungsionalitas lain yang terkait dengan layanan. Jika Anda, sebagai administrator, tidak memiliki kekuatan untuk menghentikan para idiot dari melakukan hal-hal bodoh, maka sampaikan ini ke administrator yang melakukannya dan minta dia untuk memasukkan GPO. Mintalah pembuat kebijakan di perusahaan Anda membuat kebijakan bahwa layanan ini tidak akan dinonaktifkan. Maka mereka tidak hanya menjadi idiot, mereka melanggar kebijakan perusahaan.

/superuser/137930/when-the-windows-firewall-service-is-disabled-i-cannot-remote-desktop-rdp-to-t

http://weestro.blogspot.com/2009/06/server-2008-and-windows-firewall.html

Ryan Ries
sumber
1
Menonaktifkan firewall merusak IPSec, untuk satu hal.
mfinni
Diperluas untuk kejelasan. Saya mengalami masalah untuk membujuk admin lain ini, bukan pengguna.
Massimo
2
Anda menulis "solusi nyata di sini akan menjadi dokumen resmi yang menyatakan" jangan menonaktifkan layanan ini atau Anda hanya meminta masalah ", maka dalam kalimat berikutnya, Anda menautkan ke dokumen MS resmi yang mengatakan" jangan nonaktifkan ini layanan atau Anda hanya meminta masalah! "Selain itu, saya menyertakan dua tautan sebagai contoh orang-orang yang melanggar RDP karena mereka menonaktifkan layanan. Di atas itu, saya katakan bahwa jika admin Anda membuat pilihan yang buruk, itu adalah masalah SDM dan harus ditangani melalui kebijakan perusahaan. Tidak yakin apa lagi yang harus Anda berikan.
Ryan Ries
4
"Menghentikan layanan yang terkait dengan Windows Firewall dengan Advanced Security tidak didukung oleh Microsoft." Itu adalah pernyataan dari vendor.
Ryan Ries
2
@ Massimo Artikel Technet itu sangat jelas. Jika rekan kerja Anda tidak memahaminya, maka mungkin mereka tidak kompeten untuk memegang posisi mereka saat ini.
Michael Hampton