Управление Windows XP и 7 брандмауэрами через GPO
можно нажать CTRL+ALT+F1 и войти в режим оболочки, отсюда можно проверить файл журнала на представление, что является причиной проблемы, и можно также уничтожить процесс как хромолитография с:
killall Google Chrome
затем можно возвратиться на сессии X-сервера с CTRL + ALT + F6 или F7.
Кроме того, можно нажать комбинацию SYSRQ (при включении SYSRQ на ядре) с:
- ALT + SYSRQ/PrintScr + b: для перезагрузки
- ALT + SYSRQ/PrintScr + o: для завершения работы
- ALT + SYSRQ/PrintScr + k: поскольку для X-сервера уничтожения
В зависимости от того, как вы настроили Active Directory, вы можете применить его к временному подразделению для рабочих столов, применить к нему объект групповой политики и перемещать их в него по одному, пока все они не будут выполнены. . Затем, когда вы будете довольны, переместите его выше в AD, чтобы он применялся даже к новым машинам.
Мы тоже сделали это, и жизнь станет лучше, когда они все включены. Хорошая часть состоит в том, что центральный GP для этого упрощает внесение массовых изменений, но потратите некоторое время и выясните, какие приложения должны иметь открытое. Большинству пользователей не нужны открытые. Но некоторые службы работают (наш антивирус, RDP и порты, необходимые для некоторых, у которых включен общий доступ к принтеру).
Недавно я реализовал сегментацию сети с помощью брандмауэра Windows в XP и 7 для целей PCI-DSS. Совершенно очевидно, что это возможно (и рекомендуется).
Если вы не ограничиваете исходящий трафик со своих рабочих станций, это обычно не проблема.
Единственные исключения, которые я обнаружил, как правило, являются единичными - принтеры, совместно используемые через рабочую станцию, являются ярким примером. Большинство других вещей - удаленный доступ по RDP, входящий WMI или антивирус и т. Д. - можно обнаружить постфактум, поскольку это влияет только на IS.
Раньше я создавал группу в AD и добавлял в нее определенные тестовые компьютеры. Эта группа будет применять политику брандмауэра на основе параметров делегирования политики. Это позволит вам протестировать, не запутывая существующую структуру AD. Он также позволяет вам легко обновлять политики для всех систем - psexec \\ testsystem gpupdate / target: Computer отлично подходит для этого.
Действуйте медленно и убедитесь, что вы не причините ненужных неудобств. Я также настоятельно рекомендую по возможности использовать IPSec. Аутентификация для входящих правил чрезвычайно полезна, особенно на 7, а не на XP.