|
|
Средства устранения неполадок в работе брандмауэра Windows
В этом разделе описаны средства и методы, использующиеся при решении типичных проблем. Этот раздел состоит из следующих подразделов:
Наверх страницы
Использование функций наблюдения в оснастке «Брандмауэр Windows в режиме повышенной безопасности»
Первым шагом по решению проблем связанных с брандмауэром Windows является просмотр текущих правил. Функция Наблюдение позволяет просматривать правила использующиеся на основе локальной и групповой политик. Для просмотра текущих правил входящего и исходящего трафика в дереве оснастки Брандмауэр Windows в режиме повышенной безопасности выберите раздел Наблюдение, и затем выберите раздел Брандмауэр. В этом разделе Вы также можете просмотреть текущие правила безопасности подключения и сопоставления безопасности (Основной и Быстрый режимы).
Наверх страницы
Включение и использование аудита безопасности при помощи средства командной строки auditpol
По умолчанию параметры аудита неактивны. Для их настройки используйте средство командной строки auditpol.exe, изменяющее настройки политики аудита на локальном компьютере. Аuditpol можно использовать для включения или отключения отображения разных категорий событий и их дальнейшего просмотра в оснастке Просмотр событий.
Для просмотра списка категорий, поддерживаемых программой auditpol, введите в командной строке: auditpol.exe /list /category Для просмотра списка подкатегорий, входящих в данную категорию (например, в категорию Изменение политики), введите в командной строке: auditpol.exe /list /category:"Изменение политики" Для включения отображения категории или подкатегории введите в командной строке: /SubCategory:"ИмяКатегории"
Например, для того чтобы задать политики аудита для категории и ее подкатегории, необходимо ввести следующую команду: auditpol.exe /set /category:"Изменение политики" /subcategory:"Изменение политики на уровне правил MPSSVC" /success:enable /failure:enable
Ниже перечислены категории и подкатегории событий, связанных с решением проблем при работе брандмауэра Windows.
Изменение политики
Изменение политики на уровне правил MPSSVC
Изменение политики платформы фильтрации
Вход/выход
Основной режим IPsec
Быстрый режим IPsec
Расширенный режим IPsec
Система
Драйвер IPSEC
Другие системные события
Доступ к объектам
Отбрасывание пакета платформой фильтрации
Подключение платформы фильтрации
Чтобы изменения политики аудита безопасности вступили в силу, необходимо перезагрузить локальный компьютер или принудительно обновить политику вручную. Для принудительного обновления политики введите в командной строке: secedit /refreshpolicy <название_политики>
После завершения диагностики, Вы можете отключить аудит событий, заменив в вышеприведенных командах параметр enable на disable и запустив команды повторно.
Наверх страницы
Просмотр событий, связанных с аудитом безопасности, в журнале событий
После включения аудита, используйте оснастку Просмотр событий для просмотра событий аудита в журнале событий безопасности.
Для открытия оснастки «Просмотр событий» в папке «Администрирование» выполните следующие действия:
Нажмите кнопку Пуск. Выберите раздел Панель управления. Щелкните значок Система и ее обслуживание и выберите раздел Администрирование. Дважды щелкните значок Просмотр событий.
Для добавления оснастки «Просмотр событий» в консоль MMC выполните следующие действия:
Нажмите кнопку Пуск, перейдите в меню Все программы, затем в меню Стандартные и выберите пункт Выполнить. В текстовом поле Открыть введите mmc и нажмите клавишу ENTER. Если появится диалоговое окно контроля учетных записей пользователей, подтвердите выполнение запрашиваемого действия и нажмите кнопку Продолжить. В меню Консоль выберите пункт Добавить или удалить оснастку. В списке Доступные оснастки выберите оснастку Просмотр событий и нажмите кнопку Добавить. Нажмите кнопку ОК. Перед тем как закрыть оснастку, сохраните консоль для дальнейшего использования.
В оснастке Просмотр событий раскройте раздел Журналы Windows и выберите узел Безопасность. В рабочей области консоли Вы можете просматривать события аудита безопасности. Все события отображаются в верхней части рабочей области консоли. Щелкните на событии в верхней части рабочей области консоли для отображения подробной информации внизу панели. На вкладке Общие размещено описание событий в виде понятного текста. На вкладке Подробности доступны следующие параметры отображения события: Понятное представление и Режим XML.
Наверх страницы
Настройка журнала брандмауэра для профиля
До того как Вы сможете просматривать журналы брандмауэра, необходимо настроить брандмауэр Windows в режиме повышенной безопасности для создания файлов журнала.
Чтобы настроить ведение журнала для профиля брандмауэра Windows в режиме повышенной безопасности, выполните следующие действия:
В дереве оснастки Брандмауэр Windows в режиме повышенной безопасности выберите раздел Брандмауэр Windows в режиме повышенной безопасности и нажмите кнопку Свойства в области действия консоли. Выберите вкладку профиля, для которого необходимо настроить ведение журнала (профиль домена, частный или общий профиль), и затем нажмите кнопку Настроить в разделе Ведение журнала. Укажите имя и размещение файла журнала. Укажите максимальный размер файла журнала (от 1 до 32767 килобайт) В раскрывающемся списке Записывать пропущенные пакеты укажите значение Да. В раскрывающемся списке Записывать успешные подключения укажите значение Да и затем нажмите кнопку ОК.
Просмотр файлов журнала брандмауэра
Откройте файл, указанным Вами во время предыдущей процедуры «Настройка журнала брандмауэра для профиля». Для доступа к журналу брандмауэра Вы должны обладать правами локального администратора.
Вы можете просматривать файл журнала при помощи программы «Блокнот» или любого текстового редактора.
Анализ файлов журнала брандмауэра
Информация, регистрируемая в журнале, приведена в следующей таблице. Некоторые данные указываются только для определенных протоколов (флаги TCP, тип и код ICMP и т. д.), а некоторые данные указываются только для отброшенных пакетов (размер).
|
Поле |
Описание |
Пример |
|
Дата |
Отображает год, месяц и день, в который была сделана запись события. Дата записывается в формате ГГГГ-ММ-ДД, где ГГГГ – год, MM – месяц, а ДД – день. |
2006-3-27 |
|
Время |
Отображает час, минуту и секунду, в которую была сделана запись события. Время записывается в формате ЧЧ:ММ:СС, где ЧЧ – час в 24-часовом формате, ММ – минута, а СС – секунда. |
21:36:59 |
|
Действие |
Обозначает действие, выполненное брандмауэром. Существуют следующие действия: OPEN, CLOSE, DROP и INFO-EVENTS-LOST. Действие INFO-EVENTS-LOST обозначает, что произошло несколько событий, но они не были записаны в журнал. |
OPEN |
|
Протокол |
Отображает протокол, использовавшийся для подключения. Данная запись также может представлять собой число пакетов, не использующих протоколы TCP, UDP или ICMP. |
TCP |
|
src-ip |
Отображает IP-адрес компьютера-отправителя. |
XXX.XXX.X.XX |
|
dst-ip |
Отображает IP-адрес компьютера-получателя. |
XXX.XXX.X.XX |
|
src-port |
Отображает номер порта источника компьютера-отправителя. Значение порта источника записывается в форме целого числа от 1 до 65535. Корректное значение порта источника отображается только для протоколов TCP и UDP. Для других протоколов в качестве порта источника записывается «-». |
4039 |
|
dst-port |
Отображает номер порта компьютера-получателя. Значение порта назначения записывается в форме целого числа от 1 до 65535. Корректное значение порта назначения отображается только для протоколов TCP и UDP. Для других протоколов в качестве порта назначения записывается «-». |
53 |
|
размер |
Отображает размер пакета в байтах. |
- |
|
tcpflags |
Отображает контрольные флаги протокола TCP, обнаруженные в TCP-заголовке IP-пакета.
Ack. Acknowledgment field significant
(поле подтверждения) Fin. No more data from sender
(нет больше данных для передачи) Psh. Push function
(функция проталкивания) Rst. Reset the connection
(перезагрузка данного соединения) Syn. Synchronize sequence numbers
(синхронизация номеров очереди) Urg. Urgent Pointer field significant
(поле срочного указателя задействовано)
Флаг обозначается первой заглавной буквой своего названия. Например, флаг Fin обозначается как F. |
AFP |
|
tcpsyn |
Отображает номер очереди TCP в пакете. |
1315819770 |
|
tcpack |
Отображает номер подтверждения TCP в пакете. |
0 |
|
tcpwin |
Отображает размер окна TCP пакета в байтах. |
64240 |
|
icmptype |
Отображает число, обозначающее поле Тип в сообщении ICMP. |
8 |
|
icmpcode |
Отображает число, обозначающее поле Код в сообщении ICMP. |
0 |
|
info |
Отображает информацию в зависимости от выполненного действия. Например, для действия INFO-EVENTS-LOST значение данного поля обозначает число событий, произошедших, но не записанных в журнал за время, прошедшее с момента предыдущего появления события данного типа. |
23 |
 Примечание
Дефис (-) используется в полях текущей записи, не содержащих никакой информации.
Наверх страницы
Создание текстовых файлов netstat и tasklist
Вы можете создать два настраиваемых файла журнала, один – для просмотра сетевой статистики (список всех прослушиваемых портов) и другой – для просмотра списков задач служб и приложений. Список задач содержит Код процесса (process identifier, PID) для событий, содержащихся в файле сетевой статистики. Ниже описана процедура создания этих двух файлов.
Для создания текстовых файлов сетевой статистики и списка задач выполните следующие действия:
В командной строке введите netstat -ano > netstat.txt и нажмите клавишу ENTER. В командной строке введите tasklist > tasklist.txt и нажмите клавишу ENTER. Если необходимо создать текстовый файл со списком служб, введите tasklist /svc > tasklist.txt. Откройте файлы tasklist.txt и netstat.txt. Найдите в файле tasklist.txt код процесса, который Вы диагностируете и сравните его со значением, содержащимся в файле netstat.txt. Запишите использующиеся протоколы.
Пример выдачи файлов Tasklist.txt и Netstat.txt Netstat.txt
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:XXX 0.0.0.0:0 LISTENING 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 LISTENING 322
Tasklist.txt
Image Name PID Session Name Session# Mem Usage
==================== ======== ================ =========== ============
svchost.exe 122 Services 0 7,172 K
XzzRpc.exe 322 Services 0 5,104 K
Примечание
Реальные IP-адреса изменены на «X», а служба RPC – на «z».
Наверх страницы
Убедитесь в том, что запущены основные службы
Должны быть запущены следующие службы:
Служба базовой фильтрации Клиент групповой политики Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности Вспомогательная служба IP Служба агента политики IPSec Служба сетевого расположения Служба списка сетей Брандмауэр Windows
Для открытия оснастки «Службы» и проверки того, что необходимые службы запущены, выполните следующие действия:
Нажмите кнопку Пуск и выберите раздел Панель управления. Щелкните значок Система и ее обслуживание и выберите раздел Администрирование. Дважды щелкните значок Службы. Если появится диалоговое окно контроля учетных записей пользователей, введите необходимые данные пользователя с соответствующими полномочиями и нажмите кнопку Продолжить. Убедитесь в том, что службы, перечисленные выше, запущены. Если одна или несколько служб не запущены, щелкните правой кнопкой по названию службы в списке и выберите команду Запустить.
Дополнительный способ решения проблем
В качестве последнего средства Вы можете восстановить настройки брандмауэра Windows по умолчанию. После восстановления настроек по умолчанию будут утеряны все настройки, сделанные после установки ОС Windows Vista. Это может привести к тому, что некоторые программы перестанут работать. Также, если Вы управляете компьютером удаленно, подключение к нему будет разорвано.
Перед восстановлением настроек по умолчанию убедитесь в том, что Вы сохранили текущую конфигурацию брандмауэра. Это позволит восстановить Ваши настройки в случае необходимости.
Ниже описаны действия по сохранению конфигурации брандмауэра и восстановлению настроек по умолчанию.
Для сохранения текущей конфигурации брандмауэра выполните следующие действия:
В оснастке Брандмауэр Windows в режиме повышенной безопасности щелкните ссылку Политика экспорта в области действия консоли. В диалоговом окне Сохранить как укажите имя и расположение экспортируемого файла. Нажмите кнопку Сохранить.
Для восстановления настроек брандмауэра по умолчанию выполните следующие действия:
В оснастке Брандмауэр Windows в режиме повышенной безопасности щелкните ссылку Восстановить значения по умолчанию в области действия консоли. При получении запроса брандмауэра Windows в режиме повышенной безопасности нажмите кнопку Да для восстановления значений по умолчанию.
Заключение
Существует множество способов диагностики и решения проблем, связанных с брандмауэром Windows в режиме повышенной безопасности. В их числе:
Использование функции Наблюдение для просмотра действий брандмауэра, правил безопасности подключений и сопоставлений безопасности. Анализ событий аудита безопасности, связанных с брандмауэром Windows. Создание текстовых файлов tasklist и netstat для сравнительного анализа.
Наверх страницы
|
|
Фильмы |
Парней 1292 
Девушек 424 
