Comment puis-je sauvegarder ma recommandation de ne PAS désactiver le service Pare-feu Windows?

14

Je sais par expérience personnelle directe que la désactivation du service Pare-feu Windows sur les systèmes post-XP peut entraîner toutes sortes de problèmes de réseau, et que la bonne façon de le désactiver est de le configurer pour ne pas bloquer le trafic, tout en laissant le service réel en cours d'exécution . En effet, à partir de Vista, le service Pare-feu Windows est un composant essentiel de la pile de mise en réseau Windows, et son arrêt entraînera des ravages de manière complètement aléatoire.

Cependant, je continue de tomber sur des gens qui pensent que simplement arrêter et désactiver le service est une bonne solution, et que prendre votre temps pour le désactiver correctement est tout simplement trop de travail inutile. Ensuite, lorsque toutes sortes de problèmes de réseau s'ensuivent, ils ne reconnaissent tout simplement pas la vraie raison et essaient autre chose avant d'accepter à contrecœur que, oui, peut-être que ce service devrait vraiment être laissé en marche.

En plus de frapper ces personnes avec des objets lourds (et / ou tranchants), la vraie solution ici serait un document officiel indiquant "ne désactivez pas ce service ou vous demandez simplement des ennuis". Et pourtant, le seul post sur ce sujet que j'ai pu trouver dit simplement que "l'arrêt du service associé au pare-feu Windows avec sécurité avancée n'est pas pris en charge par Microsoft", ce qui ne semble pas suffisamment menaçant pour les empêcher de faire des choses idiotes .

Y a-t-il quelque chose de mieux que je puisse me référer pour sauvegarder ma réclamation selon laquelle le service Pare-feu Windows ne devrait en effet PAS être arrêté?


Un petit éclaircissement: en fait, je ne faisais pas référence aux utilisateurs, mais aux administrateurs avec trop d'attitude et trop peu de connaissances réelles, qui pensent que la configuration décrite ci-dessus est juste, l'ont mise en œuvre via des objets de stratégie de groupe sur l'ensemble de leur réseau et ne le sont tout simplement pas. écouter quand je leur dis que ces problèmes de réseau aléatoires qu'ils rencontrent ont une très grande chance d'être causés par cela.

Je suis actuellement chargé de résoudre ces problèmes (et de mettre en œuvre de nouveaux services qui ne fonctionnent pas comme prévu à cause de ce problème), et j'ai besoin d'un moyen de les persuader de laisser ce service de merde seul; malheureusement, l'expérience personnelle ne semble pas assez officielle.

Massimo
la source

Réponses:

12

Vous savez déjà quelle est la meilleure pratique; la chose prise en charge par MS. Vous avez déjà vu comment la désactivation du service peut conduire à un comportement imprévisible et qu'elle rompt d'autres fonctionnalités liées tangentiellement au service. Si vous, en tant qu'administrateur, n'avez pas le pouvoir d'empêcher les idiots de faire des choses idiotes, faites-le parvenir à l'administrateur qui le fait et demandez-lui de mettre un objet de stratégie de groupe. Demandez aux décideurs de votre entreprise de faire en sorte que ce service ne soit pas désactivé. Alors ils ne sont pas seulement des idiots, ils violent la politique de l'entreprise.

/superuser/137930/when-the-windows-firewall-service-is-disabled-i-cannot-remote-desktop-rdp-to-t

http://weestro.blogspot.com/2009/06/server-2008-and-windows-firewall.html

Ryan Ries
la source
1
La désactivation du pare-feu rompt IPSec, pour une chose.
mfinni
Développé pour plus de clarté. J'ai du mal à convaincre d' autres administrateurs de cela, pas les utilisateurs.
Massimo
2
Vous écrivez "la vraie solution ici serait un document officiel indiquant" ne désactivez pas ce service ou vous demandez simplement des problèmes ", puis dans la toute prochaine phrase, vous liez à un document officiel MS disant" ne désactivez pas cela service ou vous demandez simplement des problèmes! "En plus de cela, j'ai inclus deux liens comme exemples de gars qui ont cassé RDP parce qu'ils ont désactivé le service. En plus de cela, je vous ai dit que si vos administrateurs font de mauvais choix, c'est un problème de ressources humaines et devrait être traité dans les politiques de l'entreprise. Je ne sais pas quoi d'autre vous donner.
Ryan Ries
4
"L'arrêt du service associé au Pare-feu Windows avec fonctions avancées de sécurité n'est pas pris en charge par Microsoft." C'est une déclaration du vendeur.
Ryan Ries
2
@Massimo Cet article Technet est très clair. Si vos collègues ne le comprennent pas, ils ne sont peut-être pas compétents pour occuper leur poste actuel.
Michael Hampton