在加入公司域的 Windows 7 Enterprise 64 位笔记本电脑上,Windows 防火墙已被全局策略禁用。
在这种情况下,有没有办法启用 Windows 防火墙?
gpedit.msc 设置Windows Firewall: Protect all network connections无法访问。
编辑:看来将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\gpsvc\Start 值更改为 4 将禁用 GPO 并允许您启动防火墙并阻止机器人将垃圾推送到您的计算机...将在周一进行检查,如果有效,我会在这里确认,以防其他人处于我的情况对这个问题感到疑惑...
编辑:如果我编写一个模拟 Windows 服务而不执行任何操作,并根据我的盒子上的预期内容对其进行命名,然后创建模拟 McCrappy 可执行文件和模拟 McCrappy 文件夹结构并删除所有实际内容,那么可能会更好...这会花费一点时间,但肯定会使我的盒子完全隐秘...
答案1
您要定位的注册表项是
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
使 DWord = 0。
有趣的是,您有权访问该注册表项。这只意味着任何被推送的组策略更新都是无效的,因为您可以覆盖它。虽然我同情其他 IT 工作者,但这并不是真正可以原谅的。。。
这意味着您可以使用各种黑客手段,包括从域控制器禁用组策略更新。但这会引起怀疑。但如果您愿意,Microsoft 的 Technet 实际上会告诉您如何禁用更新。
我会选择改变更新间隔。这更微妙。
但我感受到你的痛苦。
软件开发人员得不到任何关爱。IT 人员也得不到任何关爱。我很难向人们解释我不是规则制定者。我们不得不因为法律、法规和成本效率低下而做出痛苦的决定。这很糟糕。就像开发人员一样,我们被要求快速、完美地完成所有事情,而且要便宜。
与此同时,IT 部门有自己的工作要做,而你只是给其他人增加了工作难度,而他们反过来又增加了对你的计算机的控制,这迫使你变得更加聪明……你足够聪明,知道会发生什么。
真的,这只是一个长期问题的短期解决方案。你不会通过吹嘘流程数量或称人们为机器人来赢得任何信任。
顺便说一句,作为开发人员,您应该知道流程数!=性能。
编辑
我不赞同 IT 部门让用户成为管理员的做法,只是因为这样比较简单。创建具有安装权限的高级用户组等其实并不难。
答案2
抱歉,从长远来看您不能这样做。如果您是本地管理员,您可能可以在注册表中更改它,但组策略的默认更新间隔是 90 分钟,这意味着它会每 90 分钟将其更改一次...真是麻烦。
如果您确实希望启用它,并且您在一个可以与管理员交谈的网络上,请他们执行以下操作:
创建新的 OU 并将您的计算机移至该 OU。然后,他们可以复制重命名的当前 GP,然后进行您请求的更改。然后,他们会将更改后的 GP 链接到新的 OU。
他们是否会这样做很难说。对我来说,这主要取决于你是否打开了我管理你的计算机所需的端口(尽管这可能会否定你这样做的理由),否则我不会介意用户想要更安全一点。