Из личного опыта я знаю, что отключение службы брандмауэра Windows в системах после XP может привести к разного рода сетевым проблемам, и что правильный способ отключения - это настроить его так, чтобы он не блокировал трафик, но оставил фактическую службу работающей. . Это связано с тем, что, начиная с Vista, служба брандмауэра Windows является критически важным компонентом сетевого стека Windows, и его остановка может нанести ущерб совершенно случайным образом.
Тем не менее, я продолжаю натыкаться на людей, которые думают, что просто остановка и отключение службы - прекрасное решение, а время, необходимое для ее правильного отключения, - это просто слишком много ненужной работы. Затем, когда начнутся всевозможные сетевые проблемы, они просто не признают истинную причину и попытаются что-нибудь еще прежде чем неохотно согласиться с этим, да, возможно, эту службу действительно стоит оставить работающей.
Помимо ударов по этим людям тяжелыми (и / или острыми) предметами, реальным решением здесь будет официальный документ, в котором говорится: «Не отключайте эту службу, иначе вы просто просите о проблемах». И все еще, единственный пост по этой теме, который мне удалось найти просто говорит, что «остановка службы, связанной с брандмауэром Windows в режиме повышенной безопасности, не поддерживается Microsoft», что просто не выглядит достаточно опасным, чтобы помешать им делать идиотские поступки.
Есть ли что-нибудь лучшее, на что я могу сослаться, чтобы подтвердить свое заявление о том, что службу брандмауэра Windows действительно НЕ следует останавливать?
Небольшое уточнение: на самом деле я имел в виду не пользователей, а администраторов со слишком большим отношением и слишком мало реальных знаний, которые думают, что описанная выше конфигурация является правильной, реализовали это через GPO во всей своей сети, и просто не слушают, когда я говорю им, что те случайные сетевые проблемы, с которыми они сталкиваются, с очень высокой вероятностью могут быть вызваны этим.
В настоящее время мне поручено исправить эти проблемы (и реализовать некоторые новые службы, которые не работают должным образом из-за этой проблемы), и мне нужен способ убедить их просто оставить эту чертову службу в покое; к сожалению, личный опыт кажется недостаточно официальным.
Вы уже знаете, что такое лучшая практика; то, что поддерживается MS. Вы уже видели, как отключение службы может привести к непредсказуемому поведению и нарушить другие функции, косвенно связанные со службой. Если вы, как администратор, не можете помешать идиотам делать идиотские поступки, передайте это администратору, который это делает, и попросите его или ее добавить объект групповой политики. Попросите руководителей вашей компании сделать так, чтобы эту услугу нельзя было отключать. Тогда они не просто идиоты, они нарушают политику компании.
http://weestro.blogspot.com/2009/06/server-2008-and-windows-firewall.html