在加入公司域的Windows 7 Enterprise 64位笔记本电脑上,全局策略禁用Windows防火墙。
有没有办法在这种情况下启用Windows防火墙?
gpedit.msc设置Windows Firewall: Protect all network connections无法访问。
编辑:似乎将HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ gpsvc \ Start值更改为4将禁用GPO并允许您启动防火墙并阻止机器人将cr * p推送到您的计算机...将在星期一检查如果它有效,我会在这里确认以防万一我的情况中的其他人想知道这个问题......
编辑:如果我写一个没有做任何事情的模拟Windows服务,并根据我的盒子上的预期命名它,并且克里特模拟McCrappy可执行文件和模拟McCrappy文件夹结构并删除所有实际的东西...这将是更好的花一点时间,但肯定会让我的盒子完全隐身......
Answers:
要定位的注册表项是
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
使DWord = 0。
你有权访问该注册表项,这很有趣。这只是意味着任何被推下的组策略更新都是无效的,因为您可以覆盖它。虽然我同情其他IT工作者,但这并不是真的可以原谅。。。
这意味着您可以使用各种黑客,包括从域控制器禁用组策略更新。但这会引起怀疑。但如果你愿意,微软的Technet实际上会告诉你如何禁用更新。
我会改变更新间隔。那更加微妙。
我感觉到你的痛苦。
软件开发人员没有爱。那些人也没有得到任何爱。我很难向人们解释我没有制定规则。由于法律,法规和成本效率低下,我们必须做出痛苦的决定。太糟糕了。就像开发人员一样,我们被要求快速,完美且廉价地完成所有工作。
与此同时,IT有一项工作要做,而你只会在其他人身上做得更难,这反过来会增加对计算机的控制,这会迫使你变得更加聪明。。。你很聪明,可以看到它的发展方向。
实际上,这只是解决长期问题的短期解决方案。你不会通过braggin获得任何关于进程数量或调用人机器人的信任。
顺便说一下,作为开发人员,您应该知道#of!process!= performance。
编辑
我不同情那些让用户管理员的IT部门,只是因为它更容易。使用安装权限等创建超级用户组并不困难。
对不起,从长远来看,你不能。如果您是本地管理员,您可能会在注册表中更改它,但组策略的默认更新间隔是90分钟,这意味着它会在每90个munites之后更改它...真正的痛苦。
如果您确实希望它已启用,并且您所在的网络中可以与管理员通信,请让他们执行此操作:
创建一个新OU并将计算机移动到它。然后,他们可以制作当前GP重命名的副本,然后进行所请求的更改。然后,他们会将更改的GP链接到新的OU。
无论他们是否会这样做,都很难说。对我来说,它主要取决于你离开我需要管理你的计算机的端口(这可能会否定你这样做的理由),否则我对没有问题的用户想要更安全一点。