我从个人经验中得知,在 XP 之后的系统上禁用 Windows 防火墙服务会导致各种网络问题,而禁用它的正确方法是将其配置为不阻止任何流量,但让实际服务保持运行。这是因为从 Vista 开始,Windows 防火墙服务是 Windows 网络堆栈的关键组件,而停止它会以完全随机的方式造成严重破坏。
然而,我经常碰到一些人,他们认为停止并禁用服务就是一个很好的解决方案,而花时间正确地禁用它只是不必要的工作。然后,当各种网络问题接踵而至时,他们只是不承认真正的原因,并会尝试还要别的吗然后才勉强接受这一点,是的,也许这项服务确实应该继续运行。
除了用重物(和/或尖锐物体)击打这些人之外,真正的解决方案是一份官方文件,声明“不要禁用此服务,否则您就是在自找麻烦”。然而,我能找到的关于这个主题的唯一帖子只是说“微软不支持停止与高级安全 Windows 防火墙相关的服务”,这看起来并不足以阻止他们做愚蠢的事情。
有什么更好的资料可以供我参考,以支持我的观点,即 Windows 防火墙服务确实不应该停止?
需要澄清的是:我实际上不是指用户,而是指那些态度太过强硬、实际知识太少的管理员,他们认为上述配置是正确的,通过 GPO 在整个网络上实施当我告诉他们所遇到的那些随机网络问题很有可能是由它引起时,他们根本不听。
我目前的任务是修复这些问题(并实施一些由于这个问题而无法按预期运行的新服务),我需要一种方法来说服他们不要管那个该死的服务;遗憾的是,个人经验似乎不够官方。
答案1
您已经知道最佳实践是什么;即 MS 支持的做法。您已经看到禁用服务会导致不可预测的行为,并且会破坏与服务间接相关的其他功能。如果您作为管理员没有权力阻止这些白痴做蠢事,那么请将此事上报给有权力的管理员,并让他或她放入 GPO。让贵公司的政策制定者制定政策,规定不得禁用此服务。那么他们就不仅仅是白痴了,他们还违反了公司政策。
http://weestro.blogspot.com/2009/06/server-2008-and-windows-firewall.html