¿Cómo puedo hacer una copia de seguridad de mi recomendación para NO deshabilitar el servicio Firewall de Windows?

14

Sé por experiencia personal directa que deshabilitar el servicio de Firewall de Windows en los sistemas posteriores a XP puede conducir a todo tipo de problemas de red, y que la forma correcta de deshabilitarlo es configurándolo para que no bloquee el tráfico y dejar el servicio real en funcionamiento. . Esto se debe a que a partir de Vista en adelante, el servicio Firewall de Windows es un componente crítico de la pila de redes de Windows, y detenerlo causará estragos de manera completamente aleatoria.

Sin embargo, sigo tropezando con personas que piensan que simplemente detener e inhabilitar el servicio es una buena solución, y que tomarse su tiempo para deshabilitarlo correctamente es simplemente demasiado trabajo innecesario. Luego, cuando surgen todo tipo de dolores de red, simplemente no reconocerán la verdadera razón, e intentarán cualquier otra cosa antes de aceptar a regañadientes que sí, tal vez ese servicio realmente debería dejarse en funcionamiento.

Además de golpear a esas personas con objetos pesados ​​(y / o afilados), la solución real aquí sería un documento oficial que diga "no deshabilite este servicio o simplemente está pidiendo problemas". Y, sin embargo, la única publicación sobre este tema que pude encontrar simplemente dice que "detener el servicio asociado con Firewall de Windows con seguridad avanzada no es compatible con Microsoft", que no parece lo suficientemente amenazante como para evitar que hagan cosas idiotas .

¿Hay algo mejor a lo que me pueda referir para respaldar mi afirmación de que el servicio de Firewall de Windows NO debería detenerse?


Un poco de aclaración: en realidad no me refería a los usuarios, sino a los administradores con demasiada actitud y muy poco conocimiento real, que piensan que la configuración descrita anteriormente es la correcta, la implementaron a través de GPO en toda su red y simplemente no escucho cuando les digo que esos problemas de red aleatorios que están experimentando tienen una probabilidad muy alta de ser causados ​​por él.

Actualmente tengo la tarea de solucionar esos problemas (e implementar algunos servicios nuevos que no funcionan como se esperaba debido a este problema), y necesito una forma de persuadirlos para que dejen solo ese maldito servicio; Lamentablemente, la experiencia personal parece no ser lo suficientemente oficial.

Massimo
fuente

Respuestas:

12

Ya sabes cuál es la mejor práctica; lo que es compatible con MS para hacer. Ya ha visto cómo deshabilitar el servicio puede conducir a un comportamiento impredecible y que rompe otras funcionalidades que están vinculadas tangencialmente al servicio. Si usted, como administrador, no tiene el poder de evitar que los idiotas hagan cosas idiotas, entonces escale esto al administrador que lo hace y que lo coloque en un GPO. Haga que los responsables políticos de su empresa establezcan que este servicio no debe desactivarse. Entonces no solo están siendo idiotas, están violando la política de la compañía.

/superuser/137930/when-the-windows-firewall-service-is-disabled-i-cannot-remote-desktop-rdp-to-t

http://weestro.blogspot.com/2009/06/server-2008-and-windows-firewall.html

Ryan Ries
fuente
1
Deshabilitar el firewall rompe IPSec, por un lado.
mfinni
Ampliado para mayor claridad. Tengo problemas para convencer a otros administradores de esto, no a los usuarios.
Massimo
2
Escribe "la solución real aquí sería un documento oficial que diga" no deshabilite este servicio o simplemente está pidiendo problemas ", luego, en la siguiente oración, se vincula a un documento oficial de MS que dice" no deshabilite esto servicio o simplemente estás pidiendo problemas! "Además de eso, incluí dos enlaces como ejemplos de personas que rompieron RDP porque deshabilitaron el servicio. Además de eso, te dije que si tus administradores toman malas decisiones, eso es un problema de recursos humanos y debe abordarse a través de las políticas de la empresa. No estoy seguro de qué más darle.
Ryan Ries
44
"Microsoft no admite la detención del servicio asociado con Firewall de Windows con seguridad avanzada". Esa es una declaración del vendedor.
Ryan Ries
2
@ Massimo Ese artículo de Technet es muy claro. Si sus compañeros de trabajo no lo entienden, entonces tal vez no sean competentes para mantener sus puestos actuales.
Michael Hampton