|
|
Управление брандмауэром Windows в режиме повышенной безопасности
Брандмауэр Windows в режиме повышенной безопасности можно настроить различными способами как на локальном, так и на удаленных компьютерах. Такими способами являются:
Настройка брандмауэра на локальном или удаленном компьютере с помощью оснастки “Брандмауэр Windows в режиме повышенной безопасности” либо команды Netsh advfirewall. Настройка брандмауэра Windows в режиме повышенной безопасности с помощью редактора объектов групповой политики или команды Netsh advfirewall.
Брандмауэр Windows в режиме повышенной безопасности применяет правила в порядке, указанном ниже.
| |
 Примечание |
| |
Правила разрешения и блокирования применяются в зависимости от степени их подробности. Например, если в правиле 1 указаны параметры А и Б, а в правиле 2 – параметры А, Б и В, правило 2 будет иметь более высокий приоритет. |
|
Порядок применения |
Тип правила |
Описание |
|
1 |
Усиление служб Windows |
Правила этого типа ограничивают службы в установлении соединений. С момента установки системы действуют ограничения служб, согласно которым службы могут использовать соединения лишь строго определенным способом (то есть обмениваться разрешенным трафиком только через указанный порт). Однако разрешение на обмен трафиком начинает действовать только после создания правил для брандмауэра.
Независимые разработчики могут использовать API ограничения служб Windows для работы с собственными службами. |
|
2 |
Правила безопасности подключений |
В соответствии с правилами этого типа определяется, каким образом и в каких условиях выполняется аутентификация IPsec. Правила безопасности подключения используются при организации изоляции сервера или домена, а также при реализации политики защиты сетевого доступа (Network Access Protection, NAP).
|
|
3 |
Обход правил для аутентифицированных подключений |
В случае, если трафик защищен IPsec, правила этого типа разрешают соединения от определенных компьютеров независимо от действия других правил для входящих соединений. Примерами процессов, которым может быть разрешено устанавливать входящие соединения в обход правил блокирования входящего трафика, являются программы обнаружения уязвимостей в других программах, компьютерах и сетях. |
|
4 |
Правила блокирования |
Правила этого типа предписывают блокирование определенного вида входящего или исходящего трафика. |
|
5 |
Разрешающие правила |
Правила этого типа указывают вид разрешенного входящего или исходящего трафика. |
|
6 |
Правила по умолчанию |
Эти правила определяют действия для трафика, не подходящего ни под одно из действующих правил более высокого приоритета. Сразу после установки системы правилом по умолчанию для входящих соединений является блокирование, для исходящих – разрешение. |
| |
Примечание |
| |
Данный порядок выполнения правил действует всегда, даже для правил, указанных посредством групповой политики. Правила (в том числе применяемые в соответствии с групповыми политиками) сначала сортируются по приоритету, а затем применяются. Администраторы домена могут разрешать либо запрещать локальным администраторам создание правил. |
Настройка параметров в оснастке «Брандмауэр Windows в режиме повышенной безопасности» на отдельном компьютере
Оснастку «Брандмауэр Windows в режиме повышенной безопасности» можно открыть одним из следующих способов.
| |
Открытие оснастки «Брандмауэр Windows в режиме повышенной безопасности» через панель управления |
| |
|
| |
В меню Пуск выберите раздел Панель управления. В панели управления перейдите в раздел Система и ее обслуживание. Внизу экрана выберите пункт Администрирование. Дважды щелкните по значку Брандмауэр Windows в режиме повышенной безопасности. |
| |
Добавление оснастки “Брандмауэр Windows в режиме повышенной безопасности” в консоль управления (MMC) |
| |
Нажмите кнопку Пуск, перейдите в меню Все программы, затем в меню Стандартные и выберите пункт Выполнить. В поле Открыть наберите команду mmc и нажмите клавишу Enter. Если появится окно Контроль учетных записей пользователей, проверьте представленную информацию и подтвердите выполнение действия. В меню Консоль выберите пункт Добавить или удалить оснастку. В списке Доступные оснастки выберите пункт Брандмауэр Windows в режиме повышенной безопасности и нажмите кнопку Добавить. Нажмите кнопку ОК. Повторите шаги 1-6, чтобы добавить Редактор объектов групповой политики, Монитор IP-безопасности, Управление политикой IP-безопасности и другие оснастки, с помощью которых можно настроить IPsec и групповые политики. Для просмотра файлов аудита можно также добавить оснастку Просмотр событий. Перед закрытием оснастки сохраните консоль под каким-либо именем для будущего использования. |
Настройка брандмауэра
Для настройки свойств брандмауэра, в панели Обзор откройте ссылку Свойства брандмауэра Windows. В окне Брандмауэр Windows в режиме повышенной безопаности на Локальный компьютер имеются вкладки для каждого из трех доступных профилей (Профиль домена, Частный профиль и Общий профиль), а также вкладка Параметры IPsec.
Настройка профиля
Опции на вкладках для всех профилей одинаковы. С их помощью можно определить, каким образом брандмауэр Windows в режиме повышенной безопасности будет реагировать на события при подключении к данному типу сети. Для настройки доступны следующие параметры:
Состояние брандмауэра. Брандмауэр Windows в режиме повышенной безопасности может быть включен или выключен в разных профилях независимо друг от друга. Входящие подключения. Для входящих подключений может быть задано одно из следующих правил:
Блокировать (по умолчанию). Брандмауэр Windows в режиме повышенной безопасности блокирует соединения, не соответствующие ни одному из действующих правил. Блокировать все подключения. Брандмауэр Windows в режиме повышенной безопасности блокирует все входящие подключения независимо от действующих правил. Разрешить. Брандмауэр Windows в режиме повышенной безопасности разрешает соединения, не соответствующие действующим правилам. Исходящие подключения. Для исходящих подключений может быть задано одно из следующих правил:
Разрешить (по умолчанию). Брандмауэр Windows в режиме повышенной безопасности разрешает подключения, не соответствующие ни одному из действующих правил. Блокировать. Брандмауэр Windows в режиме повышенной безопасности блокирует подключения, не соответствующие действующим правилам. Параметры. Нажав кнопку Настроить, можно изменить следующие параметры:
Отображать уведомления для пользователя, когда программе запрещено принимать входящие подключения. Этот параметр определяет, будет ли пользователь получать уведомление при блокировании брандмауэром входящего подключения. Если разрешены локальные действия вместо определенных через групповую политику, будет отображен запрос о том, разрешить программе входящие подключение или нет. Разрешить одноадресный ответ на многоадресный или сетевой трафик. Значение Да этого параметра позволяет компьютеру получать одноадресные ответы на исходящие многоадресные или широковещательные запросы. Объединение правил – Правила локального брандмауэра. Значение Да этого параметра разрешает локальным администраторам создавать правила брандмауэра, действующие на локальном компьютере вместе с правилами, определенными через групповую политику. При значении Нет локальный администратор сможет создавать правила, но они не будут применяться. Изменение этого параметра возможно только через групповую политику. Объединение правил - Правила безопасности локальных подключений. Значение Да этого параметра разрешает локальным администраторам создавать правила безопасности подключений, действующие на локальном компьютере вместе с правилами, определенными через групповую политику. При значении Нет администратор сможет создавать правила, но они не будут применяться. Ведение журнала. Нажав кнопку Настроить, можно изменить следующие параметры:
Имя. По умолчанию файл журнала сохраняется в папке %systemroot%\system32\LogFiles\WindowsFirewall\pfirewall.log. Предельный размер. По умолчанию предельный размер файла составляет 4096 КБ. Записывать пропущенные пакеты. По умолчанию пропущенные пакеты не регистрируются. Записывать успешные подключения. По умолчанию успешные подключения не регистрируются.
Примечание. При настройке брандмауэра при помощи групповой политики необходимо предоставить службе брандмауэра Windows разрешение на запись (отраженное в идентификаторе безопасности службы, SID) в файл по указанному пути.
Изменение настроек IPsec
Чтобы открыть диалоговое окно Выбор параметров IPsec, перейдите на вкладку Параметры IPsec окна Брандмауэр Windows в режиме повышенной безопасности на Локальный компьютер и нажмите кнопку Настроить. Здесь можно изменить следующие параметры, влияющие на безопасность соединений:
Обмен ключами. Для обеспечения безопасности соединения два компьютера должны иметь доступ к одному и тому же общему ключу без передачи его по сети. Нажав кнопку Настроить, можно изменить методы обеспечения безопасности, алгоритмы обмена ключами и время жизни ключей. Защита данных. Здесь определяются алгоритмы обеспечения целостности и шифрования данных. Целостность данных выражается в том, что данные не изменяются во время пересылки. Брандмауэр Windows в режиме повышенной безопасности для защиты данных использует протоколы Authentication Header (AH) или Encapsulating Security Payload (ESP). С помощью шифрования данных достигается скрытие информации при передаче. Для шифрования данных брандмауэр Windows в режиме повышенной безопасности использует протокол ESP. Метод проверки подлинности. С помощью изменения этого параметра можно выбрать метод проверки подлинности для соединений IPsec на локальном компьютере. По умолчанию применяется протокол Kerberos V5. Среди возможных опций – проверка подлинности компьютеров и пользователей в домене, а также проверка сертификатов, выданных определенным центром сертификации (CA).
Создание правил
Для брандмауэра Windows в режиме повышенной безопасности можно создать правила следующих типов:
Для программы. В правиле этого типа трафик разрешается для определенной программы. Программа указывается по пути к исполняемому файлу и его названию. Для порта. Правило этого типа разрешает трафик через определенный TCP или UDP порт либо диапазон портов. Предопределенное. Это правило для встроенных функций Windows, таких как общий доступ к файлам и принтерам, удаленный помощник, конференц-зал Windows. Активация предустановленного правила для одной из таких функций на самом деле создает набор правил, которые позволяют выбранной функции Windows получать доступ к сети. Настраиваемое. Предоставляет возможность создать правило, параметры которого не предусмотрены в правилах других типов.
Создание правил безопасности подключений
Правило безопасности подключений определяет, каким образом два узла сети проверяют подлинность друг друга перед установкой соединения и как обеспечивается безопасность передаваемой информации. Для применения этих правил брандмауэр Windows использует протокол IPsec. Можно создать правила безопасности подключений следующих типов:
Изоляция. Правила этого типа используются для изолирования компьютеров путем ограничения подключений на основании проверки учетных данных, например, на основании членства в домене, или данных о состоянии работоспособности. Правила изоляции позволяют выполнить изоляцию сервера или домена. Исключение из проверки подлинности. Эти правила применяются для указания соединений с компьютерами, для которых не требуется аутентификация. В качестве параметров могут использоваться IP-адреса или их диапазон, подсеть или определенный тип компьютера, например, шлюз. Сервер-сервер. С помощью правил этого типа обеспечивается безопасность соединений между определенными компьютерами, обычно между серверами. При создании правила указываются две точки сети, между которыми устанавливается безопасное соединение. Затем определяются параметры расположения и требуемый тип проверки подлинности. Туннельный. Правила этого типа позволяют защитить соединения между шлюзами туннеля. Обычно они используются для соединений через Интернет между двумя шлюзами безопасности. Для этого правила необходимо указать IP-адреса конечных точек туннеля и метод проверки подлинности. Настраиваемый. Используется для настройки проверки подлинности подключений с особыми параметрами, недоступными в правилах других типов.
Для получения дополнительной информации о настройке профилей и параметров IP-безопасности, просмотре и создании правил, а также о создании правил безопасности соединений обратитесь к разделу Введение Introduction to Windows Firewall with Advanced Security (EN) в статье Брандмауэр Windows Windows Firewall (EN).
Настройка брандмауэра Windows в режиме повышенной безопасности при помощи групповой политики.
Для централизации управления большим количеством компьютеров в корпоративной сети на основе Active Directory, настройки брандмауэра Windows в режиме повышенной безопасности могут быть распространены через групповую политику. С помощью групповой политики можно указать любые параметры брандмауэра Windows, в том числе настройки профилей, правила фильтрации и правила безопасности подключений. Изменения настроек брандмауэра Windows через групповую политику происходят путем открытия в редакторе объектов групповых политик той же оснастки, что используется при настройке бандмауэра на локальном компьютере. Компьютеры, входящие в домен, запрашивают обновления групповой политики, являющиеся запрашиваемым трафиком, который по умолчанию разрешается брандмауэром Windows (если не создано правило блокирования исходящих подключений).
| |
 Предупреждение |
| |
Если после развертывания настроек брандмауэра Windows в режиме повышенной безопасности через групповую политику вы заблокируете исходящие подключения, необходимо будет с помощью групповой политики активировать правила для исходящих соединений и протестировать работоспособность сети перед применением настроек. В противном случае компьютеры, ожидающие обновлений групповой политики, не смогут их получать, пока настройки не будут исправлены вручную. |
| |
Примечание |
| |
Локальные администраторы не могут изменять настройки брандмауэра Windows, указанные через групповую политику. |
В предыдущих версиях Windows обработка групповой политики происходит в следующих случаях:
Политики компьютера применяются при загрузке Windows. Политики пользователя применяются при входе пользователя в систему. Политики как компьютера, так и пользователей периодически обновляются.
В Windows Vista групповые политики обрабатываются также в следующих случаях:
Эти дополнительные условия позволяют компьютерам чаще получать обновления групповой политики, в том числе при каждом изменении состояния подключений.
Наверх страницы
Использование утилиты командной строки Netsh advfirewall
Netsh – это утилита командной строки, используемая для настройки сетевых компонентов. В Windows Vista брандмауэр Windows в режиме повышенной безопасности можно настроить с помощью набора команд контекста Netsh advfirewall. Команда Netsh позволяет создавать сценарии для автоматической настройки параметров брандмауэра Windows, правила брандмауэра, следить за состоянием подключений и просматривать конфигурацию и состояние брандмауэра Windows.
Перед использованием команд Netsh необходимо запустить сеанс командной строки с повышенными привилегиями.
| |
Для запуска сеанса командной строки с повышенными привилегиями выполните следующие действия: |
| |
В меню Пуск и выберите пункт Все программы. Выберите пункт Стандартные. Щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора. При появлении окна Контроль за учетными запиясми пользователей нажмите кнопку Продолжить. |
Чтобы войти в контекст Netsh advfirewall, наберите в командной строке
netsh
Командная строка теперь отображает контекст netsh. Наберите
advfirewall
В контексте netsh advfirewall доступны следующие команды:
export. Экспортирует текущую политику брандмауэра в файл. help. Отображает список доступных команд. import. Импортирует политику из указанного файла. reset. Восстанавливает начальные настройки брандмауэра Windows. show. Отображает свойства указанного профиля. Например:
show allprofiles
Свойства всех профилей show domainprofile
Свойства профиля домена show privateprofile
Свойства частного профиля show publicprofile
Свойства публичного профиля
Кроме собственных команд, контекст advfirewall поддерживает четыре субконтекста. Чтобы войти в субконтекст, наберите его название в контексте netsh advfirewall. Доступны следующие субконтексты:
consec. Позволяет просматривать и изменять правила безопасности подключений. firewall. Позволяет просматривать и изменять правила брандмауэра. monitor. Позволяет просматривать конфигурацию мониторинга.
| |
Примечание |
| |
В любом субконтексте Netsh можно увидеть полный список команд, выполнив команду help. Информацию о синтаксисе и использовании отдельных команд можно получить, выполнив команду <имя_команды> /?. |
Наверх страницы
Наблюдение
Брандмауэр Windows в режиме повышенной безопасности содержит встроенные инструменты для просмотра правил брандмауэра, правил безопасности подключений и сопоставлений безопасности.
Брандмауэр
В этом разделе отображается подробная информация обо всех действующих правилах для входящего и исходящего трафика.
Правила безопасности подключения
В этом разделе отображаются следующие сведения:
Правила безопасности подключения. Все действующие правила безопасности подключения с подробной информацией об их параметрах. В правилах безопасности подключения для защиты соединений между компьютерами используется IP-безопасность. В этих правилах определяется, какие методы проверки подлинности, обмена ключами, обеспечения целостности данных и шифрования используются для создания сопоставлений безопасности (SA). Сопоставление безопасности определяет метод обеспечения безопасности взаимодействия между отправителем и получателем. Сопоставления безопасности. Все сопоставления безопасности основного и быстрого режимов с подробной информацией об их параметрах и конечных точках.
Основной режим. Все сопоставления безопасности основного режима с подробной информацией об их параметрах и конечных точках. Этот раздел можно использовать для просмотра IP- адресов конечных точек. Быстрый режим. Все сопоставления безопасности быстрого режима с подробной информацией об их параметрах и конечных точках. Этот раздел можно использовать для просмотра IP-адресов конечных точек.
Наверх страницы
Заключение
Брандмауэр Windows в режиме повышенной безопасности – узловой брандмауэр с отслеживанием состояния подключений, блокирующий входящие и исходящие подключения в зависимости от указанных настроек. В то время как обычная пользовательская конфигурация брандмауэра по-прежнему доступна в разделе «Брандмауэр Windows» панели управления, расширенная конфигурация выделена в оснастку консоли управления «Брандмауэр Windows в режиме повышенной безопасности». Функции брандмауэра теперь объединены с настройками IP-безопасности, что снижает возможность конфликта между двумя механизмами защиты. Брандмауэр Windows в режиме повышенной безопасности работает совместно со службой сетевого расположения (Network Location Awareness, NLA), благодаря чему настройки безопасности применяются в зависимости от типа сети, в которой находится компьютер. Брандмауэр Windows в режиме повышенной безопасности поддерживает различные профили для ситуаций, когда компьютер находится в составе домена, подключен к частной или публичной сети.
Наверх страницы
Дополнительные ресурсы
Наверх страницы
|
|
Фильмы |
Парней 1265 
Девушек 408 
