Здравствуйте. Помогите пожалуйста.
https://i.ibb.co/RDPxR7N/wf.png (https://ibb.co/MCpYF9f)

В настройках брэндмауэра виндоус есть две галочки (удаленное управление, удаленное завершение работы).
Если они стоят, то с контроллера домена можно выполнить shutdown удаленно.

Скажите пожалуйста, как эти галочки проставить через GPO в какую ветку зайти, какой параметр выбрать,

Административные шаблоны--> Сеть--> Сетевые подключения--> Брандмауэр Windows--> Профиль домена --> Брандмауэр Windows: Разрешить исключение для входящих сообщений удаленного администрирования

Позволяет удаленное администрирование данного компьютера при помощи инструментов администрирования, таких как консоль управления (Microsoft) и инструментарий управления Windows (WMI). Для этого брандмауэр Windows открывает порты 135 и 445 протокола TCP. Службы обычно применяют эти порты для взаимодействия с использованием вызовов удаленных процедур (RPC) и объектной модели распределенных компонентов (DCOM). Кроме того, в Windows XP Professional с пакетом обновления не ниже SP2 и в Windows Server 2003 с пакетом обновления не ниже SP1 этот параметр политики также разрешает программам SVCHOST.EXE и LSASS.EXE принимать незапрошенные входящие сообщения и разрешает местным службам открывать дополнительные динамически назначаемые порты, обычно в диапазоне от 1024 до 1034. В Windows Vista данный параметр не контролирует подключения к SVCHOST.EXE и LSASS.EXE.

Если параметр политики включен, брандмауэр Windows позволит компьютеру принимать незапрошенные входящие сообщения, связанные с удаленным администрированием. Необходимо задать IP-адреса или подсети, из которых допускается принятие этих входящих сообщений.

Если параметр политики выключен или не задан, брандмауэр Windows не открывает порты 135 или 445 протокола TCP. Кроме того, в Windows XP Professional с пакетом обновления не ниже SP2 и в Windows Server 2003 с пакетом обновления не ниже SP1 брандмауэр Windows не позволяет программам SVCHOST.EXE и LSASS.EXE получать незапрошенные входящие сообщения и запрещает локальным службам компьютера открывать дополнительные динамически назначаемые порты. Так как отключение данного параметра политики не блокирует порт 445 протокола TCP, то не возникает конфликта с параметром политики "Брандмауэр Windows: разрешить исключение для общего доступа к файлам и принтерам".

Примечание: Злоумышленники часто пытаются атаковать сети и компьютеры, используя RPC и DCOM. Рекомендуется обратиться к производителям важнейших используемых программ, чтобы определить связь этих программ с программами SVCHOST.exe или LSASS.exe и необходимость в использовании RPC и DCOM. Если вышеперечисленное не требуется, не следует включать данный параметр политики.

Примечание. Если какой-нибудь параметр политики открывает порт 445 протокола TCP, брандмауэр Windows разрешает входящие эхо-запросы по протоколу ICMP (такое сообщение посылается программой Ping), даже если параметр политики "Брандмауэр Windows: разрешить исключения ICMP» будет блокировать их. Параметры политики, которые могут открывать порт 445 протокола TCP: "Брандмауэр Windows: разрешить исключение для входящего общего доступа к файлам и принтерам", "Брандмауэр Windows: разрешить исключение для входящих сообщений удаленного администрирования" и "Брандмауэр Windows: определение входящих исключений портов".