Wie kann ich fremde Änderungen an meinen Windows 10-Gruppenrichtlinien durch Firewall-Regeln verhindern?

453
Hugh Buntu

Insbesondere möchte ich die Windows 10-Firewall verwenden, um Änderungen an Gruppenrichtlinien von anderen Quellen als mir zu blockieren.

Mein Computer ist nicht für Unternehmenszwecke und nicht für Unternehmensnetzwerke geeignet. Ich möchte kein anderes Popup von ActiveSync Policy Broker sehen.

Wenn ich Änderungen an den Sicherheits- und zugehörigen Richtlinien meines Computers vornehmen möchte, mache ich das selbst. Ich möchte nicht, dass andere an der Verwaltung meines Computers teilnehmen.

Ich möchte weiterhin (persönliches) Office365 verwenden können.

  • Der Group Policy Client-Dienst kann, soweit ich sehen kann, nicht deaktiviert werden.
  • Ich habe C: \ Windows \ System32 \ gpupdate umbenannt, wie einige vorgeschlagen haben, und die Popups wurden nicht angehalten.

Ich habe viele Diskussionen zu diesem Thema gesehen, aber keine konkreten Fakten darüber, wie man es entfernen oder deaktivieren kann. Zeitraum.

1
"Der Systemdienst für die Aktualisierung von Gruppenrichtlinien kann, soweit ich sehen kann, nicht deaktiviert werden." Ich kann nicht für das Leben von mir herausfinden, über welche Politik / Funktion Sie sprechen. Ihre Frage scheint sich auf ActiveSync zu beziehen, aber diese Aussage scheint über Windows Update zu sprechen. Ramhound vor 7 Jahren 0
@ Ramhound - Ich habe die Frage bearbeitet, um den Namen des Dienstes richtig anzugeben: "Gruppenrichtlinienclient". Vielen Dank, dass Sie mir geholfen haben, diese Frage zu verbessern. Hugh Buntu vor 7 Jahren 0
Wenn Sie eine Professional- oder Enterprise-Version von Windows ausführen, können Sie diesen Dienst nicht entfernen. Sie können ActiveSync verhindern, indem Sie einfach keinen Client verwenden, der die Verbindung zu Exchange-Servern unterstützt. Ramhound vor 7 Jahren 0
@Ramhound, ich habe mehrere Maschinen mit "Windows 10 Home". Aber als Programmierer und Systemadministrator kann ich die Antwort "Sie werden diesen Dienst nicht loswerden" nicht akzeptieren, selbst wenn es sich um eine Pro- oder Enterprise-Version handelt. Ich habe angegeben, dass das "Blockieren" des Dienstes eine akzeptable Lösung ist. Wenn Sie jedoch "nicht entfernen" können, akzeptiere ich das auch nicht. Wenn Sie meinen, dass es keine Prozedur gibt, die "von Microsoft gesegnet ist", dann liegt das außerhalb meiner Absicht mit dieser Frage. Bei einer recht umfangreichen Suche wurden in diesem Zusammenhang von Microsoft empfohlene Verfahren nicht angezeigt. Hugh Buntu vor 7 Jahren 0
In Windows 10 werden immer Richtlinien angewendet. Der einzige Unterschied zwischen einem vom Unternehmen verwalteten Computer und einem Personal Computer ist die Quelle der Richtlinien. Sie können die Gruppenrichtlinien auch auf einem PC nicht deaktivieren, da wesentliche Teile der Funktionsweise Ihres Computers davon bestimmt werden. Active Sync hingegen ist nur eine Methode, mit der MS-Produkte miteinander kommunizieren, und hat wenig mit den Fingern von Microsoft zu tun. Wenn Sie wissen möchten, wie das AS Policy Broker-Popup blockiert werden soll, beschränken Sie Ihre Frage beim Schreiben. music2myear vor 7 Jahren 0
Sehr nützlicher Kommentar (für mich). Was sind also die nicht-Unternehmensquellen für Richtlinien? Wie können sie kontrolliert und / oder gesperrt werden? Als Außenseiter scheint es, als würden Windows 10-Administratoren diese Funktionalität geheim halten, was mir als unsicher erscheint (für mich als Besitzer / Benutzer meines PCs). Mein Fazit hier ist, ich möchte meinen Windows 10 Home PC sichern. In Abwesenheit einer Antwort werde ich weiter verfeinern und nach Antworten suchen. Vielen Dank. Hugh Buntu vor 7 Jahren 0
@HughBuntu - Die Quelle ist der Standard für eine bestimmte Richtlinie. Während Windows 10 Home weder einer Domäne beitreten noch die lokale Gruppenrichtlinie bearbeiten kann, werden diese Standardeinstellungen verwendet. Dies liegt daran, dass Sie den Editor manuell hinzufügen können und die von Ihnen konfigurierten Berechtigungen verwenden. Ramhound vor 7 Jahren 0
@ music2myear "... blockieren Sie das AS Policy Broker-Popup-Fenster" scheint mehrdeutig zu sein, da die meisten Antworten entweder (1) davon ausgehen, dass es sich um einen Firmen-PC handelt, oder (2) davon ausgehen, dass Sie mit der Fernsteuerung Ihres PCs zufrieden sind. Anders ausgedrückt, ich möchte das Popup-Fenster automatisch und immer mit "Nein" beantworten - als ob es ein Kontrollkästchen im Dialogfeld geben würde. Haben Sie einen Vorschlag, wie Sie dies in Microsoft-ese richtig formulieren können? Vielen Dank! Hugh Buntu vor 7 Jahren 0
@ramhound danke, aber das hilft mir nicht, die Frage zu klären oder eine Antwort zu finden. Wo werden die von Ihnen erwähnten "Standardwerte" gespeichert und wie können sie geändert werden? Vielen Dank! Hugh Buntu vor 7 Jahren 0
@HughBuntu - Wenn Sie nicht die Standardeinstellung "nicht konfiguriert" wünschen, müssen Sie angeben, ob die bestimmte Gruppenrichtlinie aktiviert oder deaktiviert werden soll. Sie können das Verhalten von "nicht konfiguriert" nicht ändern. Ramhound vor 7 Jahren 0
Das ist ein fairer Punkt, @HughBuntu, aber ich denke, Sie haben immer noch einige starke Annahmen über die Funktionsweise von Windows 10-Einstellungen, die nicht unbedingt auf der Realität basieren. Daher sind die Antworten, die in der Realität basieren, für Sie möglicherweise nicht interessant. Wir mögen es vorziehen, dass sich etwas auf eine bestimmte Weise verhält, aber da wir das Programm nicht erstellt haben, haben wir in der Sache nur sehr wenig zu sagen. music2myear vor 7 Jahren 0
Es genügt zu sagen: Wenn Sie eine persönliche Windows-Version verwenden, bei der Sie keine Verbindung zu einer externen Richtlinienquelle wie einer Domäne hergestellt haben, werden NUR die Änderungen, die Sie an diesem System vornehmen, Programme sein, die Sie installiert haben oder die in den Betrieb eingebettet wurden System. Sicherheitssoftware, Patches und Updates, Anwendungsinstallationen - all diese Funktionen können Änderungen an Ihrer Firewall und anderen Systemeinstellungen vornehmen. Wenn die Benutzerkontensteuerung zur Bestätigung auffordert, liegt dies daran, dass ein Programm etwas an einem Teil des Systems ändern oder etwas schreiben möchte, das möglicherweise einen solchen Einfluss hat. music2myear vor 7 Jahren 0

1 Antwort auf die Frage

0
Hugh Buntu

Ich habe eine teilweise Antwort auf (1) Teil gibt es eine Firewall-Formel ...?

UNGETESTET

Ich habe im Internet mehrere Dokumente gefunden, die Angaben zur Portnutzung für ActiveSync enthalten sollen. Ich kann nicht für deren Richtigkeit oder Vollständigkeit zu diesem Zeitpunkt bürgen.

Ich ging auch aus und kaufte einen verwalteten Switch für IGMP-Snooping, sodass ich den Datenverkehr überwachen kann, um die Effektivität von Filtern basierend auf diesen Informationen zu ermitteln.

Hier ist ein Auszug aus dem, was ich gefunden habe:

Microsoft ActiveSync verwendet die folgenden Anwendungen für die Kommunikation:
* Wcesmgr.exe
* Wcescomm.exe
* Rapimgr.exe

Microsoft ActiveSync verwendet die folgenden Ports für die Kommunikation: 

1. Inbound TCP:  * 990  * 999  * 5678  * 5721  * 26675  2. Inbound UDP: * 2883  3. Outbound UDP:  * 5679

Verwandte Probleme