Как я могу предотвратить внешние изменения в моих Windows 10 «Групповые политики» по правилам брандмауэра?

313
Hugh Buntu

В частности, я хотел бы использовать брандмауэр Windows 10 для блокировки изменений в групповой политике из других источников, кроме меня.

Мой компьютер не для корпоративного использования, не для использования в корпоративных сетях. Я не хочу видеть другое всплывающее окно ActiveSync Policy Broker.

Если я захочу внести изменения в политику безопасности моего компьютера и соответствующие политики, я сделаю это сам. Я не хочу, чтобы другие участвовали в управлении моей машиной.

Я хочу иметь возможность продолжать использовать (личный) Office365.

  • Насколько я вижу, службу клиента групповой политики нельзя отключить.
  • Я переименовал C: \ Windows \ System32 \ gpupdate, как предлагали некоторые, и это не остановило всплывающие окна.

Я видел много дискуссий на эту тему, но нет конкретных фактов о том, как удалить или отключить эту тему. Период.

1
«Насколько я вижу, системная служба обновления групповой политики не может быть отключена». Я не могу понять, о какой политике вы говорите. Похоже, ваш вопрос касается ActiveSync, но в этом утверждении говорится о Центре обновления Windows. Ramhound 7 лет назад 0
@Ramhound - я отредактировал вопрос, чтобы правильно указать название службы: «Клиент групповой политики». Спасибо, что помогли мне сделать этот вопрос лучше. Hugh Buntu 7 лет назад 0
Если вы используете профессиональную или корпоративную версию Windows, вы не сможете избавиться от этой службы. Вы можете предотвратить ActiveSync, просто не используя клиент, который поддерживает подключение к серверам Exchange. Ramhound 7 лет назад 0
@ Ramhound, у меня есть несколько машин с "Windows 10 Home". Но, как программист и системный администратор, я не могу принять ответ «вы не сможете избавиться от этой службы», даже если она для версии Pro или Enterprise. Я указал, что «блокирование» сервиса является приемлемым решением, однако, если вы имеете в виду, что он «не может быть удален», я также не принимаю это. Если вы имеете в виду, что нет процедуры, «благословленной Microsoft», то это выходит за рамки моего намерения с этим вопросом. Кроме того, довольно обширный поиск не выявил процедур, рекомендованных Microsoft в этом контексте. Hugh Buntu 7 лет назад 0
В Windows 10 всегда применяются политики. Единственная разница между корпоративным компьютером и персональным компьютером - это источник политик. Вы не можете отключить групповую политику даже на персональном компьютере, потому что он определяет значительную часть функций вашего компьютера. Active Sync, с другой стороны, - это всего лишь один из методов, с помощью которых продукты MS взаимодействуют друг с другом, и имеет мало общего с пальцами Microsoft в вашем пироге. Если ваша проблема заключается в том, что вы хотите выяснить, как заблокировать всплывающее окно AS Policy Broker, пожалуйста, дополнительно сузьте свой вопрос в том виде, как он написан. music2myear 7 лет назад 0
Очень полезный комментарий (для меня). Так что же является не корпоративными источниками политики? Как их можно контролировать и / или блокировать? Как сторонний наблюдатель, похоже, что администраторы Windows 10 скрывают / скрывают эту функциональность, что кажется мне небезопасным (для меня как владельца / пользователя моего ПК). Здесь я хочу защитить мой Windows 10 Home PC. В отсутствие ответа я буду продолжать уточнять и искать ответы. Благодарю. Hugh Buntu 7 лет назад 0
@HughBuntu - источником будет то, что по умолчанию для конкретной политики. Хотя Windows 10 Home не может присоединиться к домену или изменить локальную групповую политику, она по-прежнему использует эти значения по умолчанию, о чем свидетельствует тот факт, что вы можете вручную добавить редактор, и он будет использовать те политики, которые вы настраиваете. Ramhound 7 лет назад 0
@ music2myear "... заблокировать всплывающее окно AS Policy Broker" кажется неоднозначным, поскольку большинство ответов либо (1) предполагают, что это корпоративный ПК, либо (2) предполагают, что у вас все в порядке с удаленным управлением ПК. Другими словами, я бы хотел автоматически и всегда отвечать «Нет» на всплывающее окно - как если бы в диалоговом окне был флажок для этого. У вас есть предложение, как правильно это произнести в Microsoft-ese? Спасибо! Hugh Buntu 7 лет назад 0
Спасибо @rahound, но это не поможет мне прояснить вопрос или найти ответ. Где хранятся упомянутые вами «значения по умолчанию» и как их можно изменить? Спасибо! Hugh Buntu 7 лет назад 0
@HughBuntu - Если вы не хотите, чтобы по умолчанию был настроен «не настроен», вам нужно будет указать, хотите ли вы, чтобы конкретная групповая политика была включена или отключена. Вы не сможете изменить поведение «не настроен» Ramhound 7 лет назад 0
Это справедливо @HughBuntu, но я думаю, что у вас все еще есть некоторые сильные предположения о том, как работают настройки Windows 10, которые не обязательно основаны на реальности, и поэтому ответы, основанные на реальности, могут вам не понравиться. Мы можем предпочесть, чтобы что-то велось определенным образом, но, поскольку мы не писали программу, у нас на самом деле очень мало информации по этому вопросу. music2myear 7 лет назад 0
Достаточно сказать: если вы используете персональную версию Windows, которую вы не подключили к какому-либо внешнему источнику политики, например домену, ЕДИНСТВЕННЫМИ изменениями в этой системе будут программы, которые вы установили, или вещи, встроенные в операционную систему. система. Программное обеспечение безопасности, исправления и обновления, установки приложений - все это позволяет вносить изменения в брандмауэр и другие параметры системы. Когда UAC запрашивает подтверждение, это происходит потому, что программа просит что-то изменить или записать что-то в часть системы, которая МОЖЕТ иметь такой эффект. music2myear 7 лет назад 0

1 ответ на вопрос

0
Hugh Buntu

У меня есть частичный ответ на (1) часть есть ли формула брандмауэра ...?

UNTESTED

Я нашел несколько документов в Интернете, которые предназначены для предоставления информации об использовании порта для ActiveSync. Я не могу ручаться за их точность или полноту в настоящее время.

Я также вышел и купил управляемый коммутатор для отслеживания IGMP, чтобы я мог отслеживать трафик, чтобы определить эффективность фильтров на основе этой информации.

Вот дайджест того, что я нашел:

Microsoft ActiveSync использует следующие приложения для связи:
* Wcesmgr.exe
* Wcescomm.exe
* Rapimgr.exe

Microsoft ActiveSync использует следующие порты для связи:

1. Inbound TCP:  * 990  * 999  * 5678  * 5721  * 26675  2. Inbound UDP: * 2883  3. Outbound UDP:  * 5679