Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Брандмауэр в режиме повышенной безопасности

Что нового в брандмауэре Windows в режиме повышенной безопасности Windows Server 2008 R2 и Windows 7

Брандмауэр Windows прошел долгий путь с момента его первого появления в Windows XP и Windows Server 2003 SP2. На самом деле, при наличии брандмауэра Windows в режиме повышенной безопасности даже нет причины использовать межсетевой экран сторонних производителей, хотя некоторые администраторы, возможно, предпочтут делать это из-за каких-то конкретных функций или целей. Брандмауэр Windows в режиме повышенной безопасности (WFAS) имеет все, что вам нужно для создания безопасной настройки сети. К тому же, новый брандмауэр WFAS был дополнен компонентами межсетевого экрана и включает правила безопасности подключений (Connection Security Rules), которые представляют собой IPsec правила, упрощающие создание IPsec подключений между клиентами и серверами, а также между серверами в вашей сети.

В этой статье мы рассмотрим некоторые новые и удивительные функции WFAS, включенные в Windows Server 2008 R2 и Windows 7.

Назначение различных профилей брандмауэра каждой сетевой карте

В брандмауэрах Windows прошлого можно было использовать только один активный профиль брандмауэра. Если ваш компьютер был подключен к нескольким сетям, то профиль с самыми жесткими правилами применялся ко всем сетевым картам. Публичный профиль был самым строгим, затем шел частный профиль, и наконец, профиль домена. Это могло вызывать проблемы ненужного ограничения доступа к домену или частным сетям.

Теперь все работает как должно: каждой сетевой карте назначается собственный профиль. Трафик, посылаемый на каждую сетевую карту или отправляемый с нее, обрабатывается в соответствие с правилами, подходящими для сетевой карты, подключенной к каждой сети.

Соперник для десятков разных межсетевых экранов

WFAS представляет собой не просто брандмауэр на базе узла. Помимо функциональности брандмауэра он включает:

  • Правила безопасности IPsec подключений
  • Усиление защиты сетевой службы
  • Фильтры времени загрузки
  • Фильтры брандмауэра
  • Фильтры скрытности (Stealth filters)

В прошлом выключение брандмауэра также означало отключение всех других сервисов, предоставляемых брандмауэром Windows. Это означало, что если вы установили другой брандмауэр, который не предоставлял всех служб, предоставляемых брандмауэром Windows, вы теряли все эти службы брандмауэра Windows (и вероятно повергали систему угрозам). Теперь, если установлен другой брандмауэр на базе узла, установщик брандмауэра может отключить компоненты брандмауэра Windows, которые создают конфликты. Остальные службы брандмауэра Windows остаются включенными.

Есть промежуточный ЦС? Нет проблем!

Раньше правила безопасности подключений использовали только те сертификаты, которые выдавались корневым центром сертификации. Теперь вы можете использовать сертификаты, выдаваемые промежуточными ЦС для правил безопасности подключений на базе IPsec.

Не все должны показывать документы

Теперь можно создавать правила брандмауэра, которые указывают исключения в списке авторизации. Это позволяет создавать правила брандмауэра, с помощью которых, скажем, все кроме «а, б и в», могут получать доступ к узлу. Трафик с компьютеров или от пользователей, указанных в списке исключений, будет блокироваться, даже если трафик от всех остальных участников списка авторизации разрешен. Вы также можете создавать правила для исходящего трафика, указывая авторизированные компьютеры и исключения списка авторизации.

Используйте графический интерфейс для настройки портов и протоколов для правил безопасности подключений

Теперь можно использовать консоль MMC для создания правил безопасности подключений, которые указывают номера портов или протоколы. Только трафик с этих портов или на эти порты, либо трафик для указанных протоколов будет подлежать требованиям IPsec правила безопасности подключений. В прошлом нужно было переходить в ‘темный лес’ и использовать команду netsh для использования этих правил. Зачем жить в мире командной строки 1960-ых годов, когда есть отличный и полезный графический интерфейс? Сейчас такой необходимости нет!

Настройка правил брандмауэра, поддерживающих полный диапазон TCP или UDP портов

Теперь можно настраивать правила, которые включают диапазоны портов. Например, вы можете применить правило, которое использует порты в диапазоне от 5000 до 5010. Вы также можете использовать диапазоны портов в правилах безопасности подключений, указывающих исключения для прохождения проверки подлинности.

Брандмауэр Windows теперь поддерживает пакет ‘B’ Suite!

Правила безопасности подключений теперь поддерживают ‘Suite B’ набор алгоритмов, определенных в стандарте RFC 4869. В прошлом нужно было доводить себя до исступления в попытках создания Suite B правил, используя инструмент netsh. Это отличная новость для всех тех админов, которые боялись, что «душа Windows» преобразовывалась в подобный командной строке Linux кошмар (также известный как PowerHell). Не поймите меня неправильно; командная строка является отличным инструментом для определённых задач, и некоторые предпочитают выполнять большую часть своей работы через нее. Но другие любят Windows именно за ее графический интерфейс, а я люблю располагать обеими опциями.

Использование проверки подлинности без трудностей для сетевых «парней»

Теперь можно создавать правила безопасности подключений, которые позволяют использовать проверку подлинности IPsec без использования Encapsulating Security Payload (ESP) или Authenticated Header (AH) защиты на пакетах данных. Именно так! Вы получаете проверку подлинности без шифрования. Это делает возможным процесс проверки подлинности, когда сетевые сотрудники говорят вам, что вы не можете использовать ESP или AH, поскольку они заложили компанию, заплатив превышенную цену за сетевое IDS устройство, на которое никто даже и не смотрит. Эта новая функция позволяет вам выполнять проверку подлинности при попытке подключения, но при этом не используется IPsec шифрование, поэтому IDS видит все, что проходит по каналу.

Получите IPsec защиту для мобильных устройств

Теперь можно использовать IPsec защиту, даже когда не можешь сказать, какой IP адрес будет с обеих сторон подключения. Ранее нельзя было создавать IPsec правила для ситуаций, когда одному из узлов назначался динамический IP адрес.

Режим IPsec туннеля получил ускорение

Теперь можно настраивать туннельный режим IPsec, чтобы позволять прошедшим проверку подлинности и авторизацию компьютерам и пользователям создавать туннели к шлюзу IPsec. Это используется компонентом DirectAccess для обеспечения проверки подлинности и компьютера и пользователя для туннелей инфраструктуры и интрасети.

Можно создавать правила туннельного режима, определяющие проверку подлинности, которая может выполняться для пользователя или компьютера. Затем учетная запись компьютера или пользователя сравнивается со списком авторизации, после чего создается туннель, и данные могут передаваться, если пользователь или компьютер авторизирован. Если учетная запись не авторизирована, подключение не будет создано. Можно также указывать исключения, которые позволяют вам создавать правило ‘все, кроме пользователя UserA’ в консоли. Единственным ограничением является то, что авторизация туннельного режима работает только для входящих туннелей.

Что там с AuthIP?

Authenticated IP (AuthIP) используется вместо IKE, когда создается правило с параметрами, не поддерживаемыми IKEv1. AuthIP использует секрет, генерируемый требуемым способом проверки подлинности. Например, если вы используете проверку подлинности Kerberos V5, то используется секрет Kerberos вместо секрета, генерируемого обменом Diffie-Hellman. Однако, вам может потребоваться использование Diffie-Hellman. Если так, вы теперь можете требовать, чтобы использовался Diffie-Hellman во всех взаимодействиях основного режима IPsec, даже если AuthIP используется для проверки подлинности.

Использование различных Diffie-Hellman алгоритмов в предложениях основного режима

В Windows Vista и Windows Server 2008 можно указывать только один Diffie-Hellman алгоритм, который используется во всех предложениях IPsec. Для этого нужно было обеспечить, чтобы все компьютеры в организации использовали единый Diffie-Hellman алгоритм для взаимодействий IPsec. Начиная с Windows 7 и Windows Server 2008 R2, можно указывать разные Diffie-Hellman алгоритмы для каждого предложения основного режима, которое вы создаете.

Любовь к туннельным протоколам IPv6

Конечно, есть Teredo и 6to4, но это вчерашний день. Как на счет чего-то нового, улучшенного и созданного компанией Microsoft? Именно это вы и получаете с IPv6 через HTTPS, также известного как IP-HTTPS. IP-HTTPS – это новая технология IPv6 туннелирования, которая включает IPv6 пакеты в HTTPS заголовок. IP-HTTPS позволяет IPv6 трафику перемещаться через IPv4 интернет и выполняет функцию, подобную Teredo и 6to4. Однако, в отличие от Teredo, не нужно открывать специальные порты на брандмауэре, чтобы разрешить доступ к IP-HTTPS, поскольку все знают, что TCP порт 443 является универсальным портом обхода брандмауэра.

Однако вы все же можете использовать Teredo. Как и IP-HTTPS, Teredo тоже является протоколом туннелирования, прикрепляющим IPv4 заголовок к IPv6 пакетам. Для входящего правила брандмауэра Windows можно устанавливать UDP порт на Edge Traversal, вместо указания определенного номера порта, чтобы брандмауэр Windows автоматически распознавал его и соответствующим образом обрабатывал подключение.

Читать еще:  Проблема с безопасным подключением

Не используйте инкапсуляцию, если в этом нет необходимости

Раньше, когда сетевой трафик, защищенный с помощью IPsec, отправлялся по IPsec туннелю, он включался в IPsec и IP заголовок. Это большое количество заголовков! Теперь при настройке правила туннельного режима сетевой трафик, который уже защищен IPsec, будет исключен из туннеля, и будет перемещаться в конечную точку туннеля без дополнительной инкапсуляции.

Получите четкий вид всех событий брандмауэра в программе просмотра событий

Раньше все события брандмауэра считались событиями аудита и генерировались только в том случае, если соответствующая категория аудита была включена. Теперь некоторые из этих событий считаются необязательными и отображаются в программе просмотра событий без необходимости предварительного включения. Они отображаются в журналах Applications and Service Logs Microsoft Windows Windows Firewall with Advanced Security. Это значительно упрощает диагностику во многих случаях.

Брандмауэр Windows становится все лучше и лучше! В этой статье мы рассмотрели ряд новых и улучшенных компонентов и функций, включенных в брандмауэр Windows 7 и Windows Server 2008 R2. Если вы уже знакомы с брандмауэром WFAS, вы знаете о тех мощных возможностях, которые получаете с этим интегрированным компонентом. Если вы еще не знакомы с ним, то у вас должно возникнуть впечатление того, что встроенный брандмауэр Windows – это все, что вам нужно, и зачастую просто нет причин для установки брандмауэров сторонних производителей (которая часто приводит к нестабильности работы системы). Также следует помнить, что брандмауэр Windows с режимом повышенной безопасности представляет собой нечто большее, чем просто межсетевой экран. Его основной обязанностью помимо межсетевого экрана на базе узла является ответственность за IPsec подключения, полагающиеся на правила безопасности подключений.

Наладка брандмауэра Windows в режиме повышенной безопасности

Архив номеров / 2017 / Выпуск №10 (179) / Наладка брандмауэра Windows в режиме повышенной безопасности

ИГОРЬ ОРЕЩЕНКОВ, инженер-программист, iharsw@tut.by

Наладка брандмауэра Windows
в режиме повышенной безопасности

Во многих источниках описывается настройка брандмауэра Windows для работы в различных конфигурациях. В этой статье приводятся сведения о том, как осуществлять наладку брандмауэра в случаях, если что-то работает не так, какзапланировано

Компания Microsoft впервые интегрировала систему сетевой безопасности в свою операционную систему Windows 2000. Тогда это был простой пакетный фильтр, позволяющий ограничить подключения перечнем разрешенных протоколов, UDP- и TCP-портов.

Вместе с операционной системой Windows XP начал поставляться продукт «Брандмауэр подключения к интернету» (Internet Connection Firewall, ICF). Он приобрел черты системы защиты для конечного узла: правила безопасности можно было ассоциировать с выполняющимися на компьютере приложениями.

Несмотря на то что он позволял регулировать только входящий трафик, его автоматическое включение при установке пакета обновлений SP2 вызвало заметный переполох в ИТ-сообществе. Решение любых сетевых проблем тогда начинали с отключения брандмауэра.

Понимая важность сетевой безопасности в современном мире, разработчики Windows не остановились на достигнутом и представили в Windows Vista новый «Брандмауэр Windows в режиме повышенной безопасности» (Windows firewall with advanced security), который можно увидеть и в современных версиях (с незначительными, но принципиальными изменениями, некоторые из них будут упомянуты позже). Это приложение получило много новых полезных качеств, которые, с одной стороны, существенно улучшили защиту от вторжений, а с другой – усложнили его настройку.

В статье для сокращения «Брандмауэр Windows в режиме повышенной безопасности» будет называться просто брандмауэром.

Профили брандмауэра и классификация сетевых подключений

Брандмауэр функционирует в контексте сетевых подключений. Для его настройки важно чётко разделять понятия сетевого интерфейса и сетевого подключения.

Например, через интерфейс Wi-Fi на работе можно быть подключенным к корпоративной доменной сети, на вокзале – к общественной сети, а дома – к сети своего интернет-провайдера. Windows различает сетевые подключения с помощью службы сетевого расположения NLA (Network Location Awareness), которая использует DNS-суффикс сети, признак прохождения проверки в домене, IP-адреса компьютера и шлюза по умолчанию, маску подсети и другие параметры [1].

С точки зрения настройки брандмауэра интерфейс, через который выполнено сетевое подключение, не играет никакой роли и не фигурирует в настройках. Напротив, в зависимости от работающего подключения активируется соответствующая группа правил брандмауэра. Эти группы называются профилями брандмауэра (firewall profiles).

Каждое сетевое подключение может быть отнесено к одной из трех категорий:

  • доменная (domain);
  • частная (private);
  • общедоступная (public).

Последняя категория часто называется «общая» и «публичная».

В доменную категорию попадают сетевые подключения, которые успешно прошли проверку на контроллере домена. Все происходит автоматически, другим способом отнести интерфейс к этой категории нельзя.

Относительно других двух категорий у операционной системы нет априорных предположений, поэтому классификация подключений по ним производится пользователем (администратором).

К частной категории следует относить подключения к сетям, которые защищены от «большого мира» пограничными устройствами безопасности – маршрутизаторами или аппаратными брандмауэрами.

Если при подключении к новой сети Windows задает вопрос о ее классификации, нужно иметь в виду, что «Домашняя сеть» и «Рабочая сеть» будут отнесены к категории «частная», а все остальные виды сетей – к категории «общедоступная».

В отличие от брандмауэра Windows Vista, где активным мог быть только один сетевой профиль, который выбирался по принципу наибольшего ограничения для набора установленных в данный момент подключений, начиная с Windows 7правила брандмауэра распространяются всегда строго на те группы подключений, для которых они были назначены [2].

Часто вызывает затруднение ситуация, когда операционная система не может идентифицировать сетевое подключение. Например, VMware создает на хост-компьютере сетевой интерфейс для обмена данными между виртуальными машинами и хостом, который позволяет имитировать сетевое соединение через Ethernet-коммутатор.

У подключений через этот интерфейс не назначается шлюз по умолчанию, поэтому Windows помечает их как «Неопознанная сеть» (Unidentified network), а брандмауэр, как в случае с доменными подключениями, автоматически относит их ккатегории «общедоступная» (см. рис. 1).

Рисунок 1. «Неопознанная сеть» Ethernet 2, созданная VMware для взаимодействия виртуальных машин с хостом, будет автоматически отнесена к категории «общедоступная», а переклассификация, выполненная администратором, будет действовать только до перезапуска сетевого подключения

Статью целиком читайте в журнале «Системный администратор», №10 за 2017 г. на страницах 50-54.

PDF-версию данного номера можно приобрести в нашем магазине.

Брандмауэр «Windows Firewall». Настройка и отключение.

Правильная настройка встроенных средств защиты Windows 10 позволяет комфортно и безопасно использовать компьютер. Ниже будут приведены основные способы настройки и варианты с полным отключением защиты.

Содержание:

Windows Firewall – важный компонент комплекса встроенной защиты операционной системы предназначенный для блокировки и ограничения входящего и исходящего трафика. С его помощью можно выборочно заблокировать подключение к сети для определенных приложений, что значительно повышает безопасность и защиту от вредоносного ПО, которое может отправлять данные и личную информацию сторонним лицам.

Такая информация может быть использована в корыстных целях, например, для воровства аккаунтов социальных сетей и различных сервисов, электронных почтовых ящиков или взлома электронных кошельков пользователя. После установки чистой операционной системы Windows, брандмауэр будет активирован по умолчанию. Сообщения о блокировке доступа в сеть приложениям демонстрируются при запуске неизвестного ПО. На экране оповещения системы безопасности можно выбрать режим предоставления доступа приложения к сети: доступ только к частным сетям или полный доступ ко всем сетям.

При выборе первого варианта запущенное приложение будет иметь доступ только к частным сетям пользователя без выхода в интернет. Второй вариант дает программе полный доступ в открытую сеть.

Зачем отключать Windows Firewall?

Окно «Оповещение системы безопасности» является единственным, что может помешать пользователю при включенном защитнике, поэтому брандмауэр Windows работает очень ненавязчиво и многие предпочитают оставлять его включенным. Такой подход – наиболее оптимален, поскольку даже встроенной системы защиты – вполне достаточно для обычных пользователей.

Читать еще:  Яндекс почта угроза безопасности

Стоит добавить, многие разработчики вирусного ПО утверждают, что стандартная система безопасности Windows 10 имеет незначительное количество уязвимостей, которые заполняются при постоянных обновлениях ОС. Конечно это не гарантирует стопроцентную защиту от узкоспециализированного хакерского ПО, но обеспечивает высокую степень безопасности при попадании рядовых вирусов.

В некоторых случаях пользователь предпочитает устанавливать защиту своей системы от сторонних производителей. В таких случаях брандмауэр Windows можно отключить при установке нового антивирусного комплекса. Это поможет избежать конфликта между различными системами безопасности.

Настройки Windows Firewall

Для настройки параметров защитника Windows следует перейти в расширенные настройки брандмауэра. Для этого:

Шаг 1. Нажимаем по иконке поиска возле по «Пуск» и вводим фразу «Панель управления».

Шаг 2. В открывшемся окне, выбираем режим отображения «Мелкие значки» и переходим в «Брандмауэр защитника Windows».

Шаг 3. Чтобы перейти в окно расширенных настроек защиты, выбираем пункт «Дополнительные параметры».

Находясь в меню «Дополнительные параметры» можно посмотреть текущее состояние защитника и его основные настройки. Данная информация находится в первом пункте «Монитор брандмауэра».

Для создания собственных блокировок определенных приложений, следует воспользоваться графой «Правила для исходящих подключений», где следует выбрать пункт «Создать правило».

В открывшемся окне присутствует несколько вариантов блокировок сети. К примеру, можно заблокировать целый порт или конкретную программу. В нашем случае будет заблокирована конкретная программа, поэтому выбираем первый пункт и нажимаем далее.

Для блокировки конкретной программы, следует выбрать пункт «Путь программы» и выбрать необходимое приложение. Для примера, блокировка будет произведена на браузере Google Chrome. Исполняемый файл браузера находится по пути «C:Program Files (x86)GoogleChromeApplication». Его можно выбрать в пункте обзор, или самостоятельно ввести, скопировав путь из проводника.

Выбрав необходимую программу, следует выбрать действие, которое будет применено. Для блокировки, выбираем пункт «Блокировать подключение» и далее.

В следующем окне следует выбрать те профили, к каким будет применено созданное правило блокировки.

В последнем окне необходимо задать имя правилу. Для удобства поиска данной настройки называем её «Блокировка подключения Google Chrome» и подтверждаем действие кнопкой «Готово».

После выполнения вышеуказанных действий браузер Google Chrome перестанет подключаться к сети Интернет. Перезагрузка компьютера не потребуется.

Чтобы вернуть работоспособность браузера необходимо найти созданное правило в списке, нажать по нему ПКМ и выбрать пункт «Отключить». Если в настройке более нет необходимости, её можно удалить.

Стоит понимать, что не все исполнительные файлы относятся к подключению, поэтому в некоторых случаях блокировка может оказаться неэффективной. Чтобы устранить это, следует узнать через что происходит подключение к интернету и уже блокировать данный элемент. К примеру, многие онлайн игры, работающие на Jawa, подключаются к сети через исполнительный файл Jawa, а не собственный. Таким образом для блокировки игры необходимо заблокировать доступ исполнительного файла Jawa.

Как полностью отключить брандмауэр Windows?

Существует несколько быстрых способов полного отключения Windows Firewall, которые следует применять перед установкой новой защитной системы от сторонних производителей. Отключение защитника делает систему уязвимой для вредоносного ПО, поэтому отключать брандмауэр без нужды – строго не рекомендуется.

Отключение брандмауэра в панели управления

Одним из самых легких способов отключения защиты, является отключение через панель управления. Чтобы сделать это, необходимо:

Находясь в панели управления в пункте «Брандмауэр защитника Windows» следует перейти в пункт «Включение и выключение защитника».

В открывшемся окне достаточно перевести все пункты в отключенный режим и подтвердить действие кнопкой «Ок».

Отключение защитника при помощи командной строки

Другим способом отключения защитника Windows является командная строка. Чтобы выполнить отключение, необходимо:

Нажать ПКМ по кнопке пуск и выбрать «Командная строка(администратор)», «Windows PowerShell (администратор)».

В открывшемся окне командной строки вводим «netsh advfirewall set allprofiles state off» и подтверждаем Enter.

Данная команда отключит все профили сети и Windows Firewall станет неактивным.

Для включения защитника следует воспользоваться командой «netsh advfirewall set allprofiles state on».

Диалоговое окно: Настроить параметры безопасности «Разрешить, если»

Когда в правиле брандмауэра выбирается Разрешить только безопасное подключение, это означает, что сетевые пакеты должны быть защищены протоколом IPsec, иначе пакет не будет отвечать данному правилу. Нажав рядом с этим параметром кнопку Настроить, можно установить параметры, позволяющие задать требуемый тип защиты IPsec.

В этом диалоговом окне необходимо выбрать один из трех параметров, описанных ниже. Последний параметр, Переопределить правила блокировки, можно выбрать независимо от других параметров.

При создании правила брандмауэра с помощью мастера создания нового правила на странице Действие щелкните Разрешить только безопасное подключение и нажмите кнопку Настроить.

При изменении существующего правила брандмауэра на вкладке Общие выберите Разрешить только безопасное подключение и нажмите кнопку Настроить.

Разрешить подключение, если оно прошло проверку подлинности и целостности

Это значение используется по умолчанию. Данный параметр требует, чтобы разрешаемые сетевые пакеты использовали проверку подлинности и алгоритмы проверки целостности IPsec, как это определено в отдельном правиле безопасности подключения. Если сетевой пакет, отвечающий всем другим условиям, либо не проходит проверку подлинности, либо не защищен алгоритмом проверки целостности, следовательно, он не отвечает данному правилу и блокируется.

Этот параметр поддерживается только на компьютерах, работающих под управлением Windows Vista или более поздних версий Windows.

Требовать шифрования подключения

Этот параметр требует, чтобы разрешаемые сетевые пакеты использовали шифрование данных, как это определено в отдельном правиле безопасности подключения. Если сетевой пакет, отвечающий всем другим условиям, не зашифрован, следовательно, он не отвечает данному правилу и блокируется. Когда этот параметр включен, Брандмауэр Windows в режиме повышенной безопасности использует настройки диалогового окна Настройка параметров защиты данных.

Разрешить компьютерам динамически согласовывать шифрование

Этот параметр доступен только правилам для входящих подключений. Используйте его, чтобы разрешить сетевое подключения после успешной проверки подлинности для отправки и приема незашифрованного сетевого трафика во время согласования алгоритмов шифрования.

Пока выполняется согласование шифрования, сетевой трафик передается в виде открытого текста. Не используйте этот параметр, если сетевой трафик, пересылаемый по соединению в течение этого периода, достаточно конфиденциален, чтобы не передаваться открытым текстом.

Разрешить подключению использовать инкапсуляцию нуля

Этот параметр требует, чтобы разрешаемые сетевые пакеты использовали проверку подлинности IPsec, но не требует защиту целостности или шифрование данных. Рекомендуется использовать этот параметр, если имеется сетевое оборудование или программное обеспечение, которое несовместимо с протоколами обеспечения целостности ESP или AH.

Этот параметр поддерживается только на компьютерах, работающих под управлением Windows 7 или Windows Server 2008 R2. Он не применим к компьютерам, работающим под управлением более ранних версий Windows.

Заменять правила блокирования

Этот параметр позволяет удовлетворяющим этому правилу сетевым пакетам игнорировать любые блокирующие правила брандмауэра. Этот параметр также называется обходом проверки подлинности. Обычно правила, явно блокирующие подключения, имеют преимущество перед правилами, разрешающими подключения. При использовании этого параметра подключение будет разрешено, даже если другое правило должно было бы его заблокировать. Фактически заявляется, что сетевой трафик, соответствующий этому правилу, разрешается, поскольку он прошел проверку подлинности как поступающий от авторизованного или доверенного пользователя или компьютера.

Это правило обычно используется для того, чтобы разрешить доверенным программам, например сетевым сканерам уязвимостей и другим сетевым средствам, работать без ограничений. Хотя типичная конфигурация брандмауэра не блокирует сетевой трафик от таких устройств, можно создать правило, которое будет идентифицировать авторизованные компьютеры. Параметр Переопределить правила блокировки разрешает трафик только от этих авторизованных компьютеров. Если этот параметр отключен, любое блокирующее правило брандмауэра с аналогичными условиями будет иметь приоритет, и все подключения будут блокированы.

При выборе этого параметра необходимо указать для авторизации по крайней мере один компьютер или группу компьютеров на странице Компьютеры мастера создания нового правила брандмауэра или на вкладке Компьютеры диалогового окна Свойства правила брандмауэра.

Если в диалоговом окне Свойства брандмауэра Windows в режиме повышенной безопасности установлен рабочий режим брандмауэра Блокировать все подключения, то блокируется весь сетевой трафик, даже если этот параметр установлен.

Брандмауэр Windows — запуск в режиме повышенной безопасности и настройки

Брандмауэр, который также можно назвать межсетевым экраном (Windows firewall), используется для контроля доступа в сеть. Если речь идет о локальной сети, то он может разграничивать доступ или фильтровать пакеты, переправляемые в сеть из интернета. В случае, когда речь идет об отдельном компьютере, он занимается фильтрацией запросов программ в сеть. При этом должны блокироваться нежелательные и опасные соединения, однако здесь все зависит от введенных правил. В windows есть такая встроенная утилита, которая действует согласно заданным правилам, однако, также она позволяет пользователям добавлять свои для лучшей защиты личной информации. При этом, у него есть режим повышенной безопасности, про который и будет рассказано здесь.

Читать еще:  Самый безопасный торрент клиент

Как запустить брандмауэр в режиме повышенной безопасности

Для начала пользователю потребуется попасть в панель управления, после чего нужно найти раздел Брандмауэр windows. В этом разделе можно посмотреть включен ли он вообще и какие параметры у него стоят. В случае, если он отключен, то его стоит перевести в активный режим. После этого, в левом меню следует выбрать раздел дополнительных параметров.

Это позволит перейти к более подробным настройкам приложения.

Основные возможности и настройки

Здесь сразу же можно увидеть три сетевых профиля. Каждый из них отвечает за взаимодействие внутри своего типа сети.

  • Профиль домена, отвечает за взаимодействие устройства с доменом. Пользователю внутри своей домашней сети это вряд ли понадобится.
  • Частный профиль. Отвечает за взаимодействие с небольшой частной или домашней сетью.
  • Общий. Он применяется для взаимодействия с открытыми сетями, которые используются множеством известных и неизвестных пользователей.

Тип сети, как правило, определяется самим пользователем. При первом подключении к новой сети, система спрашивает его о том, к какому типу она относится. Для настройки профилей следует нажать на Свойства брандмауэра, что позволит перейти к настройкам для каждого конкретного профиля.

Создание правил для программ

Большая часть современных утилит работает через интернет или, как минимум, получает через него информацию и обновления. Однако это могут быть не только полезные программы, но также и нежелательные. Или пользователь не хочет, чтобы его ПО обновлялось, потому что текущая версия ему нравится больше или работает лучше. Правила для взаимодействия программ и интернета можно создавать через брандмауэр, о том, как это делается будет написано в данном разделе. Для вызова меню, в котором нужно создавать правило, проще всего будет нажать win+r и ввести wf.msc.

Для начала пользователю стоит кликнуть по правилам для входящих подключений правой клавишей мышки и выбрать «Создать правило». Дальше откроется раздел, где следует открыть раздел «Для программ».

В следующем окне придется указать ту программу, на которую пользователь хочет наложить ограничения. Также здесь можно выбрать Все программы, если такое правило должно распространяться на все установленное ПО.

Следующее окно предполагает выбор действия, которое будет применено к утилите:

  • Разрешить подключение. При этом будут разрешены все подключения для данной программы, которые соответствуют общим настройкам брандмауэра.
  • Разрешить безопасное подключение. Характерно для этого режима безопасности, открывает подключения, если они противоречат введенным ранее правилам, а также для защищенных по протоколу IPSec.
  • Блокировать подключение. При выборе этого варианта, программе подключится не удастся. Брандмауэр будет блокировать все попытки.

В следующем окне пользователю придется выбрать профиль, на который будет распространяться данное правило, на последней же странице нужно ввести его имя. Лучше вводить информативные имена, чтобы потом не пришлось искать нужное правило среди сотен имен, состоящих из случайного набора букв.

Правила для портов

В самом начале, в разделе Типа можно выбрать пункт для портов, в этом случае настройка пойдет по немного другому пути. В протоколе придется выбрать tcp (большая часть информации в глобальной сети передается по нему, гарантирует доставку) или udp. Здесь же потребуется указать либо конкретный номер порта, либо выбрать все локальные порты. За что какой порт отвечает можно посмотреть в интернете, чтобы не заблокировать в качестве эксперимента что-то важное.

В окне действий все точно также, нужно выбрать то, которое необходимо пользователю. В профиле и имени тоже нет отличий от предыдущего раздела.

Встроенные правила

На этапе выбора правила можно кликнуть по отметке Предопределенных. В этом разделе собраны те правила, которые внесены в систему разработчиками. Естественно, они ежедневно получают множество отчетов, также работает обратная связь с пользователями, поэтому они знают о том, что может потребоваться в той или иной ситуации. Именно поэтому стоит сначала поискать нужное правило здесь, прежде чем создавать его самому.

В выпадающем меню пользователю потребуется выбрать действие, которое он хочет совершить. При этом, после нажатия кнопки далее, он попадет на страницу с правилами, которые система предлагает использовать для решения возникшей проблемы. Здесь стоит выбрать нужные и отказаться от ненужных.

В следующем окне потребуется выбрать действие, которое нужно совершить для каждого из выбранных пунктов – блокировать или разрешить.

Как создать правило для системной службы

Для начала потребуется создать новое настраиваемое правило. Окно выбора программы будет немного отличаться от стандартного, за то здесь можно выбрать раздел, который отвечает за системные службы. После того, как пользователь на него нажмет, следует выбрать ту службу, для которой будет создавать правило.

Дальше на разделе протоколов и портов можно настроить необходимые действия или оставить все без изменений. В области также все остается по стандарту. В разделе действия опять же потребуется разрешить или блокировать подключение. Профиль и имя остаются на усмотрение пользователя.

Создание правила для стороннего протокола

В случае, если пользователю потребуется создать ограничение для другого протокола, это также можно сделать здесь. Начала такое же, остается только выбрать Настраиваемый тип. Дальше, если ограничение устанавливается для всех утилит, остается выбрать все программы, если нет, то только какую-то конкретную. В разделе же выбора портов потребуется выбрать требуемый протокол.

В списке представлены только самые распространенные протоколы. В случае, когда пользователь не нашел своего, то нужно выбрать «Настроить», после чего откроется полный список, в котором представлено около 140 позиций.

Область можно оставить без изменений, а в разделе действий нужно указать требуемое действие для данного протокола. Профиль и имя выбираются на усмотрение пользователя. Остается нажать готово и на этом закончить.

Настройки только для избранных IP

В случае, когда пользователю требуется заблокировать определенные адреса, необходимо создать правило для исходящих подключений. В качестве типа следует выбрать настраиваемый. Для блокировки удаленного подключения к рабочему столу стоит указать в качестве программы C:WindowsSystem32mstsc.exe. В качестве протока лучше выбрать самый распространенный tcp, большая часть обмена информацией осуществляется через него. Во вкладке портов лучше всего оставить все. Дальше откроется раздел Область, именно в нем и настраивается диапазон адресов. Если оставить галочку на всех адресах, то весь исходящий трафик будет фильтроваться. Остается выбрать Указанные IP-адреса, здесь можно ввести один адрес, указать целую подсеть или задать диапазон. Пользователю требуется выбрать необходимый вариант и указать адреса.

Остальные блоки заполняются аналогично предыдущим разделам.

Почему брандмауэр блокирует интернет

Если у пользователя пропал интернет или прекратился обмен по сети, то причина может быть в некорректной настройке встроенного брандмауэра или установленного вместе с антивирусом. Для проверки следует отключить и то и другое, и проверить, появилась ли сеть. Если да, то возможно причина в том, что пользователь настраивал брандмауэр и запретил устройству обмен данными. То же самое могло произойти и с антивирусом. Следует проверить обе утилиты, особое внимание уделяя самостоятельно созданным правилам. Также не стоит обходить вниманием и недавно появившиеся ограничения. Стоит удалить или отключить их и снова проверить сеть.

На этом настройку можно считать оконченной, если же пользователь не нашел ответов на то, как заблокировать определенную программу или процесс, то стоит поискать информацию о том, какой конкретно протокол или служба за них отвечает, после чего настроить ограничения для них.

Ссылка на основную публикацию
Adblock
detector