Главная сайта | Форум | Фотоальбом | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender 675: новый шутер от Valve, Stellar Blade на ПК и ускоренный ИИ на GeForce RTX

Gamesblender № 674: новые боссы PlayStation, опасная стратегия Microsoft и ассасины в Японии

Gamesblender № 673: внезапная Hades II, закрытие студий Bethesda и контроль видеоигр в России

Gamesblender № 661: будущее Xbox, новая игра авторов Ori, «неправильная» Subnautica 2 и прощание с Dead Cells

Gamesblender № 660: «портативки» от Sony и Microsoft, эксклюзивы Xbox на PlayStation, сделка Epic и Disney и показ Final Fantasy VII Rebirth

Tekken 8: 10 аниме из 10

Gamesblender № 659: Death Stranding 2 и другие показы State of Play, новый президент Blizzard, отмена Deus Ex и перенос «Смуты»

Gamesblender № 657: дата выхода S.T.A.L.K.E.R. 2, «Индиана Джонс» от авторов Wolfenstein, закрытие Piranha Bytes, Larian против подписок

Gamesblender № 656: ремастер Half-Life 2, сиквел Cyberpunk 2077 и новый конкурент Steam Deck

Gamesblender № 654: главные события 2023 года в игровой индустрии

Во что поиграть на этой неделе — 22 декабря (PUBG, Bridge Constructor Portal, Tiny Metal)

Эпичные баги: Watch Dogs / Epic Bugs!

Во что поиграть на этой неделе — 19 октября + Лучшие скидки на игры

Игромания! ИГРОВЫЕ НОВОСТИ, 19 февраля (Spyro, Gears Of War 5, THQ Nordic, Rainbow Six Siege)

Во что поиграть на этой неделе — 27 октября (Assassin's Creed Истоки, Wolfenstein 2 New Colossus)

Во что поиграть на этой неделе — 28 июля (Solstice Chronicles: MIA, Sundered, Theseus)

Игромания! Игровые новости, 3 октября (Игромир 2016, This is Хорошо, Wasteland 3, Destiny 2)

3DNews Daily 659: слухи о новом «гуглофоне», Microsoft и точные жесты, мгновенный принтер Fujifilm
СТАТИСТИКА
Всего материалов:
Фильмомания: 1513
Видео: 220
Каталог файлов: 96
Каталог статей: 6797
Фотоальбом: 1236
Форум: 1151/8396
Каталог сайтов: 386

Всего зарегистрировано:
Зарегистрировано: 1718
Сегодня: 0
Вчера: 0
За неделю: 0
За месяц: 5

Из них:
Пользователи: 1643
Проверенные: 23
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 33
Модераторы: 1
Администраторы: 3

Из них:
Парней 1292
Девушек 424


ON-Line всего: 31
Гостей: 31
Пользователей: 0

Сейчас на сайте:


День Рождения у: artstil-poligrafia(38), XRund(43)
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Windows Vista

Безопасность: Приступая к работе с брандмауэром Windows в режиме повышенной безопасности (стр. 1)

Брандмауэр Windows в режиме повышенной безопасности в Windows Vista™ - это узловой брандмауэр с отслеживанием состояния подключений, фильтрующий входящие и исходящие соединения в соответствии с заданными настройками. Обычная пользовательская конфигурация брандмауэра Windows по-прежнему доступна в панели управления, а расширенная конфигурация выведена в оснастку MMC, называющуюся «Брандмауэр Windows в режиме повышенной безопасности». Эта оснастка предоставляет интерфейс для настройки брандмауэра Windows не только на локальном, но и на удаленных компьютерах, а также при помощи групповой политики. Настройки брандмауэра теперь объединены с настройками протокола IPsec, что обеспечивает их более тесную взаимосвязь: брандмауэр Windows может фильтровать трафик, основываясь на результатах согласований IPsec.

Брандмауэр Windows в режиме повышенной безопасности позволяет использовать различные профили для ситуаций, когда компьютер находится в домене, подключен к частной или публичной сети. Возможно также создание правил для применения политик изоляции сервера и домена. Брандмауэр Windows в режиме повышенной безопасности позволяет создавать более подробные правила, чем предыдущие версии брандмауэра Windows. В качестве параметров в правилах могут быть указаны: пользователи и группы службы каталогов Active Directory, IP-адреса источника и получателя, номера портов, параметры ICMP, IPsec, типы интерфейсов, служб и т. д.

В этом документе

Брандмауэр Windows в режиме повышенной безопасности и стратегия глубинной защиты

Типы брандмауэров

Основные варианты развертывания

Новые и улучшенные функции брандмауэра Windows в режиме повышенной безопасности

Управление брандмауэром Windows в режиме повышенной безопасности

Использование утилиты командной строки Netsh advfirewall

Наблюдение

Заключение

Дополнительные ресурсы

Брандмауэр Windows в режиме повышенной безопасности и стратегия глубинной защиты

Глубинная защита – это реализация политики безопасности, задействующей различные методы защиты компьютеров и всех компонентов сети. Под защитой оказываются как периметр сети, так и внутренние сети, компьютеры во внутренних сетях, приложения, работающие на серверах и клиентах, а также данные, хранящиеся на серверах и клиентах сети.

Наверх страницы

Типы брандмауэров

Существует два основных типа брандмауэров – брандмауэры, располагающиеся на периметре сети, и узловые брандмауэры, работающие на отдельных рабочих станциях внутри сети.

Брандмауэры периметра сети

Сетевые брандмауэры, располагающиеся на периметре сети, выполняют различные функции. Такие брандмауэры могут быть аппаратными, программными или комбинированными. Некоторые из них могут работать как программные прокси-серверы - например, Microsoft® Internet Security and Acceleration (ISA) Server.

Большинство внешних брандмауэров выполняют некоторые или все из следующих функций:

  • Управление и контроль за сетевым трафиком с помощью фильтрации на основании регистрации состояния связи, отслеживание соединений и фильтрация пакетов на уровне приложений.

  • Анализ состояния соединений путем отслеживания всех сообщений между узлами и сохранения данных о соединениях в таблицах состояния.

  • Шлюз виртуальной частной сети (VPN). Аутентификация и шифрование IPsec с прохождением преобразователя сетевых адресов (NAT-T), позволяющие разрешенному трафику IPsec проходить через брандмауэр с трансляцией IPv4 адресов из публичных в частные.

  *Примечание
 

В Windows Vista также используется новый метод преобразования сетевых адресов для пакетов IPv6, известный под названием Teredo.

Узловые брандмауэры

Брандмауэры периметра сети не обеспечивают защиту от трафика, сгенерированного внутри доверенной сети, поэтому необходимы узловые брандмауэры, работающие на каждом компьютере. Узловые брандмауэры, одним из которых является брандмауэр Windows в режиме повышенной безопасности, защищают узлы сети от атак и неавторизованного доступа.

Брандмауэр Windows в режиме повышенной безопасности может быть также настроен на блокирование определенных типов исходящего трафика. Узловые брандмауэры обеспечивают дополнительный уровень защиты в сети и являются важным компонентом в общей системе безопасности.

В брандмауэре Windows в режиме повышенной безопасности фильтрация пакетов объединена с IPsec. Благодаря этому значительно снижается вероятность конфликтов между правилами брандмауэра и настройками безопасности соединений IPsec.

  *Примечание
 

IPsec предоставляет защитную структуру для уровня 3 (сетевого уровня) стека протоколов TCP/IP. IPsec является набором протоколов, обеспечивающих конфиденциальность, целостность и аутентификацию данных при их передаче между узлами сети.

Наверх страницы

Основные варианты развертывания

Брандмауэр Windows в режиме повышенной безопасности может быть использован в следующих основных конфигурациях:

  • В качестве узлового брандмауэра, определяющего тип сети

  • Для изоляция сервера и домена

Узловой брандмауэр, определяющий тип сети

Многие приложения подключаются к Интернету для проверки обновлений, получения актуальной информации и в целях улучшения взаимодействия пользователей. Однако создание приложений, автоматически адаптирующихся к изменяющимся условиям работы в сети, представляет собой определенную трудность для разработчиков. Интерфейс программирования приложений службы сетевого расположения (Network Awareness API) позволяет приложениям реагировать на изменения условий работы сети, к которой подключен компьютер. Например, при переводе портативного компьютера в ждущий режим в момент нахождения в корпоративной сети и возобновлении работы в зоне действия беспроводной точки доступа. С помощью API сетевого расположения ОС Windows Vista передает приложениям информацию об изменении типа сети, в которой находится компьютер, позволяя программам менять свое поведение и обеспечивая пользователям спокойную работу.

Windows Vista определяет параметры и сохраняет данные о каждой сети, к которой подключается компьютер. Затем с помощью API сетевого расположения приложения запрашивают характеристики каждой из этих сетей, в том числе:

  • Возможность соединения. Сеть может быть отключена, может предоставлять доступ только к локальным ресурсам либо к локальным ресурсам и Интернету.

  • Соединения. Windows Vista может иметь несколько подключений к сети. API сетевого расположения позволяет приложениям определять, какие соединения используются в данный момент для подключения к определенной сети.

  • Категория. Каждой сети в Windows Vista присваивается категория, соответствующая типу данной сети. Некоторые параметры Windows Vista изменяются в зависимости от категории сетей, к которым подключен компьютер. Например, брандмауэр Windows в режиме повышенной безопасности применяет разные политики в зависимости от типов сетей, в состав которых в данный момент входит компьютер под управлением Windows Vista.

Брандмауэр Windows в режиме повышенной безопасности работает по-разному в зависимости от типа сетевого расположения, которых насчитывается три:

  • Домен. Windows Vista автоматически определяет сети, в которых ОС может аутентифицировать доступ к контроллеру домена, в состав которого входит компьютер. К этой категории не могут относиться другие сети.

  • Публичная сеть. Сеть, не являющаяся частью домена, считается публичной. Сети, имеющие прямые подключения к Интернету, а также располагающиеся в общественных местах (таких как аэропорты или кафе), необходимо относить к категории публичных.

  • Частная сеть. Сеть будет считаться частной только в том случае, если приложение или пользователь определит ее как таковую. К частным следует относить только сети, располагающиеся за устройством NAT, желательно аппаратным брандмауэром. Обычно в качестве частных обозначаются домашние или малые офисные сети.

Когда пользователь подключается к сети, не являющейся частью домена, Windows Vista запрашивает, каким образом нужно ее определить – как публичную или как частную. Пользователь должен обладать правами администратора, чтобы отнести сеть к категории частной. После определения типа сети, к которой подключен компьютер, Windows Vista может оптимизировать параметры конфигурации, в том числе настройки брандмауэра, для работы в сети этого типа.

Брандмауэр Windows в режиме повышенной безопасности – пример приложения, регистрирующего сетевое расположение. Администратор может создавать профили для каждого типа сетей, содержащие различные правила для брандмауэра. Например, брандмауэр Windows может автоматически разрешать входящий трафик для определенной программы управления компьютером, когда компьютер находится в домене, и блокировать этот же трафик в условиях публичной или частной сети. Таким образом, осведомленность программ о конфигурации сетей обеспечивает гибкость работы во внутренней сети предприятия без ущерба для безопасности пользователей при путешествии. Профиль для публичных сетей должен иметь более жесткие правила брандмауэра, препятствующие неавторизованному доступу к системе. С другой стороны, профиль для частных сетей может содержать менее строгие правила брандмауэра, разрешающие доступ к общим файлам и принтерам, обнаружение одноранговых узлов в сети и подключение устройств, поддерживающих технологию немедленного подключения Windows (Windows Connect Now). В каждый момент может быть задействован только один профиль. Профили применяются в следующем порядке: сначала для публичных сетей, затем для частных, потом для домена.

Условия применения профилей следующие:

  1. Если все сетевые интерфейсы аутентифицированы на контроллере домена, в который входит компьютер, применяется профиль домена.

  2. Если все сетевые интерфейсы аутентифицированы на контроллере домена либо подключены к частным сетям, применяется профиль для частных сетей.

  3. В остальных случаях применяется профиль для публичных сетей.

По умолчанию блокируется весь входящий трафик (или его большая часть), за исключением основного сетевого трафика. В профиле для частных сетей разрешается трафик сетевого обнаружения и удаленного помощника. Для прохождения через брандмауэр других видов трафика необходимо создавать соответствующие правила. По умолчанию разрешен весь исходящий трафик. Блокировка определенных программ или типов исходящего трафика осуществляется путем создания правил.

Изоляция сервера и домена

В сети на основе Microsoft Windows серверы и ресурсы домена могут быть логически изолированы, с тем чтобы предоставить к ним доступ только для аутентифицированных и авторизованных компьютеров. Например, внутри существующей физической сети можно создать логическую сеть, объединяющую компьютеры общими требованиями безопасного взаимодействия. Для обеспечения возможности подключения каждый компьютер в такой логически изолированной сети должен предоставить учетные данные для аутентификации другим компьютерам этой же логической сети.

Такая изоляция позволяет избежать предоставления неавторизованным компьютерам и программам нежелательного доступа к ресурсам. Запросы от компьютеров, не входящих в изолированную сеть, игнорируются. Изоляция сервера и домена позволяет защитить важные серверы и данные, а также управляемые компьютеры от посторонних либо злонамеренных пользователей и компьютеров.

Для защиты сети могут использоваться два типа изоляции:

  • Изоляция сервера. При использовании этого типа изоляции определенные серверы настраиваются таким образом, что для соединения с сервером другие подключаемые компьютеры должны удовлетворять требованиям политики IPsec. Например, можно настроить сервер базы данных на прием соединений только от сервера веб-приложений.

  • Изоляция домена. Изоляция домена осуществляется с помощью службы каталогов Active Directory. Компьютеры, входящие в Active Directory, настраиваются на прием только аутентифицированных и защищенных соединений от других членов домена. Изолированная сеть состоит только из компьютеров, входящих в домен. При изоляции домена используется политика IPsec, обеспечивающая защиту трафика между всеми компьютерами в домене - как клиентами, так и серверами.

Для получения дополнительной информации об изоляции сервера и домена обратитесь к статье Изоляция сервера и домена Server and Domain Isolation (EN).

Наверх страницы

Новые и улучшенные функции брандмауэра Windows в режиме повышенной безопасности

  • Интеграция с IPsec

    В оснастке Брандмауэр Windows в режиме повышенной безопасности настройки фильтрации брандмауэра и правил IPsec объединены. На компьютерах, работающих под управлением прежних версий ОС Windows, для настройки IPsec необходимо обращаться к отдельной оснастке Управление политиками IPsec.

  • Расширенные возможности обхода правил для аутентифицированных подключений

    С помощью аутентификации IPsec можно создать правила для определенных компьютеров, в соответствии с которыми соединения с этих компьютеров будут пропускаться через брандмауэр Windows в режиме повышенной безопасности в обход других правил. Благодаря этому можно будет блокировать некоторый тип трафика, но при этом позволять аутентифицированным компьютерам обходить этот запрет. Особенно ценной эта возможность будет при использовании сканеров уязвимостей – программ, сканирующих приложения, компьютеры и сети на предмет наличия возможных уязвимостей (например, сканеров портов). До выхода Windows Vista с помощью IPsec можно было настроить полный доступ с одного компьютера к другому, однако нельзя было при этом указать порты, протоколы и т. д. - обеспечивался либо полный доступ, либо никакого. В Windows Vista брандмауэр Windows позволяет аутентифицированным подключениям обходить правила блокирования трафика. Администраторы могут предоставлять доступ по номерам портов, названиям программ, а также именам компьютеров или групп компьютеров.

  • Ограничение сетевого доступа для служб Windows

    Усиление служб Windows (Windows Service Hardening) позволяет предотвратить возможное использование важных служб Windows для осуществления злонамеренного воздействия на файловую систему, реестр или сеть. В случае обнаружения ненормальной активности, предусмотренной правилами усиления служб Windows, брандмауэр заблокирует ее. Если служба в результате действия эксплойта начнет выполнять вредоносный код, усиление служб Windows не позволит ей установить входящее или исходящее соединение через неавторизованные порты. Таким образом, воздействие вредоносного кода на систему будет снижено. Такому ограничению можно подвергнуть не только службы Windows, но и службы, используемые в программном обеспечении сторонних производителей.

  • Подробные правила

    Изначально брандмауэр Windows фильтрует как входящие, так и исходящие соединения. В соответствии с политикой по умолчанию блокируется большинство входящих соединений и разрешаются все исходящие. С помощью интерфейса брандмауэра Windows в режиме повышенной безопасности можно создавать правила для входящих и исходящих соединений. Брандмауэр Windows в режиме повышенной безопасности также поддерживает фильтрацию любых номеров протоколов управления присвоенными номерами Интернета (Internet Assigned Numbers Authority, IANA), в то время как предыдущие версии брандмауэра Windows позволяли фильтровать только пакеты протоколов UDP, TCP и ICMP. В брандмауэре Windows в режиме повышенной безопасности в качестве условий фильтрации могут быть указаны учетные записи и группы служб домена Active Directory®, названия приложений, параметры TCP, UDP, ICMPv4, ICMPv6, локальные и удаленные IP-адреса, типы и протоколы интерфейсов, а также типы трафика ICMP.

  • Фильтрация исходящих соединений

    Наряду с входящими соединениями, брандмауэр Windows фильтрует и исходящие. Благодаря этому администраторы могут в соответствии с корпоративными политиками безопасности ограничивать круг приложений, открывающих исходящие соединения.

  • Профили, зависимые от расположения

    Брандмауэр может быть настроен на использование различных параметров и правил для следующих профилей:

    • Домен. Используется, когда компьютер аутентифицирован в домене Active Directory. Этот профиль применяется, если для всех интерфейсов применяется аутентификация на контроллере домена.

    • Частный. Используется, когда компьютер находится в частной сети за шлюзом или маршрутизатором. Только пользователь с правами администратора может определить сеть в качестве частной.

    • Публичный. Используется, когда компьютер находится в неизвестной сети в общественном месте. Этот профиль применяется, если по крайней мере один сетевой интерфейс подключен к публичной или неизвестной сети.

  • Правила на основе имен пользователей, компьютеров и групп в Active Directory

    Правила фильтрации соединений могут создаваться на основе имен пользователей, компьютеров и групп в Active Directory. Для применения этих правил соединения должны быть защищены по протоколу IPsec с помощью учетных данных, содержащих информацию об учетных записях в Active Directory, - например, как это реализовано в протоколе аутентификации Kerberos V5.

  • Поддержка протокола IPv6

    Брандмауэр Windows в режиме повышенной безопасности полностью поддерживает протоколы IPv6, преобразование сетевых адресов IPv6 в IPv4 (6to4), а также новый метод трансляции сетевых адресов (NAT) для IPv6, известный под названием Teredo.

Наверх страницы

 

Продолжение статьи >>>


Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " Безопасность: Приступая к работе с брандмауэром Windows в режиме повышенной безопасности (стр. 1) ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
Sony отзывает 440 тысяч ноутбуков VAIO
Яндекс обновил базу изображений поискового сервиса
Как лучше заказывать фирму для раскрутки сайта под поисковики: нюансы и советы
Патентное разбирательство угрожает Microsoft и Apple
Новые иллюстрации Gothic 4
Новый DDoS-фильтр защитит от хакерских атак
Новость дня: Westmere, Sandy Bridge, Ive Bridge и Haswell - процессоры будущего компании Intel
Скриншоты и намёки на системные требования StarCraft 2
Объявлена дата выхода Forza Motorsport 3
Хроника необъявленной войны
«Акелла» выкупает Disciples
Microsoft готовит убийство Google в онлайне
RapidShare грозит закрытие
Свежие скришоты Borderlands
Супружеская неверность
США готовятся к кибервойне?
IDF SF 2008: мобильная платформа Intel Calpella придет на смену Centrino 2
Intel будет адаптировать свои продукты под особенности русской души
Секс комплексы
Google начнёт продавать электронные книги

Если вам понравился материал "Безопасность: Приступая к работе с брандмауэром Windows в режиме повышенной безопасности (стр. 1)", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Windows Vista | Добавил: Фокусник (29.09.2009)
Просмотров: 2170

Ниже вы можете добавить комментарии к материалу " Безопасность: Приступая к работе с брандмауэром Windows в режиме повышенной безопасности (стр. 1) "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ

WMZ: Z143317192317
WMB: X706980753649

Boosty - Donate

Payeer: P48650932
На кофе / ko-fi
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.


Получи 10 ГБ места бесплатно, на всю жизнь.


Boosty – сервис по сбору донатов.
Gamesblender № 356: Spider-Man как ответ «рельсовым» блокбастерам и тихий провал Steam Machines
Gamesblender № 356: Spider-Man как ответ «рельсовым» блокбастерам и тихий провал Steam Machines
Игрозор №197
Игрозор №197
Gamesblender № 187
Gamesblender № 187
Gamesblender №309: неожиданное появление Darksiders III и ужесточение контроля над подарками в Steam
Gamesblender №309: неожиданное появление Darksiders III и ужесточение контроля над подарками в Steam
Семён Слепаков- Залепи свое дуло
Семён Слепаков- Залепи свое дуло
Новый загон и подготовка к т-рексам! - Jurassic World Evolution #10
Новый загон и подготовка к т-рексам! - Jurassic World Evolution #10
Видеообзор игры Risen 3: Titan Lords
Видеообзор игры Risen 3: Titan Lords
По ту сторону океана — Русский трейлер (2018)
По ту сторону океана — Русский трейлер (2018)
Вымирание / Закат цивилизации — Русский трейлер (Субтитры, 2018)
Вымирание / Закат цивилизации — Русский трейлер (Субтитры, 2018)
Одно дело послушать, другое - увидеть
Одно дело послушать, другое - увидеть

Люди с силой воли, которые решили похудеть и сделали это (22 фото)
Люди с силой воли, которые решили похудеть и сделали это (22 фото)
Нарисованные от руки портреты этого художника можно запросто перепутать с фотографиями (6 фото)
Нарисованные от руки портреты этого художника можно запросто перепутать с фотографиями (6 фото)
СМС-переписка, которая вас развеселит (22 фото)
СМС-переписка, которая вас развеселит (22 фото)
Что здесь происходит?! (26 фото)
Что здесь происходит?! (26 фото)
Пятничный сборник демотиваторов (19 фото)
Пятничный сборник демотиваторов (19 фото)
Свежие приколы в картинках и фото (37 шт)
Свежие приколы в картинках и фото (37 шт)
Потрясающие виды из номеров отелей (19 фото)
Потрясающие виды из номеров отелей (19 фото)
Котики-антидепрессанты
Котики-антидепрессанты
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2024, Alex LTD and System PervertedХостинг от uCoz