Используем брандмауэр Windows в режиме повышенной безопасности

Назначение брандмауэра Windows и его настройка

Так необходимая нам Всемирная глобальная сеть далеко не безопасное место. Через интернет мошенники активно распространяют откровенно вредоносные либо зараженные, с виду безобидные программы. Каждый из нас может нарваться на такой неприятный сюрприз, следствием которого является утечка личной информации и снятие средств с банковских счетов, злоумышленное шифрование данных, повреждение системных файлов и нарушение работы компьютера. Барьером для всех вышеперечисленных угроз выступает брандмауэр Windows, о котором мы подробно расскажем в нашей статье.

Функции брандмауэра Windows

В отличие от обычных браузерных или самостоятельных фаерволов, препятствующих проникновению вирусов извне в систему, брандмауэр работает в обе стороны. Он запрещает установленным на ПК программам обращаться к Сети без полученного на то разрешения от администратора или при отсутствии сертификатов безопасности. Проще говоря, если программа подозрительна и требует неоправданно больших полномочий ‒ она будет блокирована.

Данный защитный инструмент включен во все современные версии Windows, начиная с XP Service Pack 2. Помимо программ, брандмауэр проверяет запущенные службы и останавливает их при обнаружении опасной активности. Отдельным плюсом является то, что опытный пользователь может самостоятельно устанавливать правила проверки для определенного перечня IP-адресов, портов, сетевых профилей.

Несмотря на все преимущества, брандмауэр не заменяет антивирусное ПО, а лишь «купирует» деятельность вредоносного софта, поэтому не стоит целиком полагаться на него.

Включаем брандмауэр в Windows 7, 8, 10

После установки или восстановления Виндоус ее брандмауэр запущен по умолчанию. Поводом для его ручного отключения должна быть веская причина, например, выскакивающая ошибка 0х80070422, сообщающая о сбое защиты и конфликте служб.

Самостоятельно отключить (или запустить) брандмауэр в Windows 7, 8 и 10 можно двумя способами: через командную строку или панель управления.

Сначала рассмотрим первый вариант, как наиболее простой.

  1. Открываем меню «Пуск» и пишем в поисковой строке «cmd». Кликаем по нему правой кнопкой мыши и запускаем от имени администратора.

Владельцы десятки для открытия консоли могут сразу кликнуть ПКМ по значку «Пуска».

  1. Для выключения брандмауэра Windows в консоли вводим следующую команду: «netsh advfirewall set allprofiles state off» (без кавычек).

После нескольких секунд система уведомит об успешном отключении: «ОК».

  1. Включить его обратно можно той же командой, но с приставкой on: «netsh advfirewall set allprofiles state o.

Теперь разберем вариант №2.

  1. Переходим по адресу «Пуск/Панель управления/Система и безопасность/БрандмауэрWindows». В появившемся окне мы видим текущее состояние сетевого экрана. Для изменения его статуса кликаем по «Изменение параметров уведомлений».
  2. Для отключения защиты брандмауэра отмечаем соответствующие пункты и жмем по «ОК».

Включение производится в обратном порядке. После всех действий желательно перезагрузить компьютер.

Разрешаем запуск программ через брандмауэр

Работа межсетевого экрана не всегда корректна, и он может заблокировать вполне безобидную программу, требующую доступ к Сети. Такое часто случается при установке и первом запуске клиента онлайн-игры или загрузчика. В настройках можно самостоятельно добавить программу в исключения брандмауэра, но только если вы уверены в ее источнике.

Делается это следующим образом:

  1. Переходим в меню исключения брандмауэра по пути, описанному выше, и кликаем по отмеченной ссылке.

  1. В открывшемся окне разрешаем (или запрещаем) программе работать в той или иной сети, отмечая галочками нужный пункт. Подтверждаем свои действия кнопкой «ОК».
  2. Если вы не нашли нужный продукт в этом списке, то кликайте по кнопке внизу «Разрешить другую программу». Для добавления в исключения вам будут доступны все установленные программы и утилиты.

Но если и тут не оказалось искомого exe-файла ‒ укажите путь к нему через «Обзор».

  1. Используя меню «Типы сетевых размещений», вы сразу можете указать, для какой сети применяется исключение.

После подтверждения этих изменений перезагружать компьютер необязательно.

Настройка брандмауэра в режиме повышенной безопасности

Теперь стоит упомянуть альтернативный способ настройки брандмауэра, позволяющий, кроме всего прочего, открывать порты и устанавливать политику безопасности. В нем есть инструмент для создания новых правил ‒ алгоритмов действия межсетевого экрана при работе с некоторыми приложениями.

Чтобы попасть в расширенные настройки:

  1. Нажимаем левой кнопкой мыши по «Дополнительные параметры» в меню брандмауэра.
  2. Здесь вы можете увидеть статус каждого профиля подключения и ознакомиться с принципами их подробной настройки.
  3. Больше всего нас интересуют пункты правил для входящих и исходящих подключений.
  4. В меню «Свойства» каждый параметр настраивается до мелочей, но новичку обычно достаточно вкладки «Общие».
  5. Мастер создания правила для новых подключений вызывается пунктом «Создать правило» в правом верхнем углу окна режима повышенной безопасности.

Решаем проблемы с брандмауэром

Как описывалось выше, эта защита неидеальна тем, что может приводить к сбоям и конфликтам служб Windows. Также ее работа потребляет ресурсы компьютера, ощутимо «просаживая» производительность слабых машин. Из-за этого многие пользователи полностью отключают брандмауэр, оставаясь при этом уязвимыми. В результате люди, отключившие сетевой экран на своем ПК, могут увидеть сообщение такого рода: «ошибка 0х80070422 не удалось изменить некоторые параметры».

Проблема устраняется путем включения брандмауэра стандартным способом или через службы центра обновления и брандмауэра Windows.

  1. Заходим в «Пуск/Панель управления/Система и безопасность/Администрирование» и в списке консолей выбираем «Службы».
  2. Среди служб ищем «Центр обновленияWindows», кликаем по нему ПКМ и выбираем «Свойства».
  3. Устанавливаем тип запуска ‒ «Автоматически», выбираем состояние «Запустить» и жмем «ОК».
  4. Не выходя из консоли, сразу ищем службу «БрандмауэрWindows» и устанавливаем ей такой же тип запуска.

После всех манипуляций перезагружаем компьютер и анализируем результат.

Если брандмауэр не запускается ни обычным способом, ни через консоль служб, то проблема может крыться в заражении компьютера вирусами. Воспользуйтесь антивирусной программой (например, Dr.Web CureIt!) и сделайте полную проверку компьютера. Также мы рекомендуем воспользоваться службой поддержки Microsoft по ссылке, где эта проблема уже описывалась.

Вдобавок к вышесказанному

Из нашей статьи вы узнали, что такое брандмауэр Виндоус, почему он так важен для безопасности системы, где он находится и как настраивается. По традиции мы дадим вам полезный совет: не отключайте сетевой экран Windows без острой необходимости, так как он является первой и последней «линией обороны» на пути червей, троянов и прочей шпионской заразы, попадающей к нам из интернета. Даже при заражении компьютера вредоносная программа в большинстве случаев будет блокирована и не сможет осуществлять передачу данных.

Наладка брандмауэра Windows в режиме повышенной безопасности

Архив номеров / 2017 / Выпуск №10 (179) / Наладка брандмауэра Windows в режиме повышенной безопасности

ИГОРЬ ОРЕЩЕНКОВ, инженер-программист, iharsw@tut.by

Наладка брандмауэра Windows
в режиме повышенной безопасности

Во многих источниках описывается настройка брандмауэра Windows для работы в различных конфигурациях. В этой статье приводятся сведения о том, как осуществлять наладку брандмауэра в случаях, если что-то работает не так, какзапланировано

Компания Microsoft впервые интегрировала систему сетевой безопасности в свою операционную систему Windows 2000. Тогда это был простой пакетный фильтр, позволяющий ограничить подключения перечнем разрешенных протоколов, UDP- и TCP-портов.

Вместе с операционной системой Windows XP начал поставляться продукт «Брандмауэр подключения к интернету» (Internet Connection Firewall, ICF). Он приобрел черты системы защиты для конечного узла: правила безопасности можно было ассоциировать с выполняющимися на компьютере приложениями.

Несмотря на то что он позволял регулировать только входящий трафик, его автоматическое включение при установке пакета обновлений SP2 вызвало заметный переполох в ИТ-сообществе. Решение любых сетевых проблем тогда начинали с отключения брандмауэра.

Понимая важность сетевой безопасности в современном мире, разработчики Windows не остановились на достигнутом и представили в Windows Vista новый «Брандмауэр Windows в режиме повышенной безопасности» (Windows firewall with advanced security), который можно увидеть и в современных версиях (с незначительными, но принципиальными изменениями, некоторые из них будут упомянуты позже). Это приложение получило много новых полезных качеств, которые, с одной стороны, существенно улучшили защиту от вторжений, а с другой – усложнили его настройку.

В статье для сокращения «Брандмауэр Windows в режиме повышенной безопасности» будет называться просто брандмауэром.

Профили брандмауэра и классификация сетевых подключений

Брандмауэр функционирует в контексте сетевых подключений. Для его настройки важно чётко разделять понятия сетевого интерфейса и сетевого подключения.

Например, через интерфейс Wi-Fi на работе можно быть подключенным к корпоративной доменной сети, на вокзале – к общественной сети, а дома – к сети своего интернет-провайдера. Windows различает сетевые подключения с помощью службы сетевого расположения NLA (Network Location Awareness), которая использует DNS-суффикс сети, признак прохождения проверки в домене, IP-адреса компьютера и шлюза по умолчанию, маску подсети и другие параметры [1].

С точки зрения настройки брандмауэра интерфейс, через который выполнено сетевое подключение, не играет никакой роли и не фигурирует в настройках. Напротив, в зависимости от работающего подключения активируется соответствующая группа правил брандмауэра. Эти группы называются профилями брандмауэра (firewall profiles).

Каждое сетевое подключение может быть отнесено к одной из трех категорий:

  • доменная (domain);
  • частная (private);
  • общедоступная (public).

Последняя категория часто называется «общая» и «публичная».

В доменную категорию попадают сетевые подключения, которые успешно прошли проверку на контроллере домена. Все происходит автоматически, другим способом отнести интерфейс к этой категории нельзя.

Относительно других двух категорий у операционной системы нет априорных предположений, поэтому классификация подключений по ним производится пользователем (администратором).

Рубрика: Безопасность / Механизмы защиты
Для уверенного управления брандмауэром нужно хорошо представлять контексты, которые он использует для применения правил

К частной категории следует относить подключения к сетям, которые защищены от «большого мира» пограничными устройствами безопасности – маршрутизаторами или аппаратными брандмауэрами.

Если при подключении к новой сети Windows задает вопрос о ее классификации, нужно иметь в виду, что «Домашняя сеть» и «Рабочая сеть» будут отнесены к категории «частная», а все остальные виды сетей – к категории «общедоступная».

В отличие от брандмауэра Windows Vista, где активным мог быть только один сетевой профиль, который выбирался по принципу наибольшего ограничения для набора установленных в данный момент подключений, начиная с Windows 7правила брандмауэра распространяются всегда строго на те группы подключений, для которых они были назначены [2].

Часто вызывает затруднение ситуация, когда операционная система не может идентифицировать сетевое подключение. Например, VMware создает на хост-компьютере сетевой интерфейс для обмена данными между виртуальными машинами и хостом, который позволяет имитировать сетевое соединение через Ethernet-коммутатор.

У подключений через этот интерфейс не назначается шлюз по умолчанию, поэтому Windows помечает их как «Неопознанная сеть» (Unidentified network), а брандмауэр, как в случае с доменными подключениями, автоматически относит их ккатегории «общедоступная» (см. рис. 1).

Рисунок 1. «Неопознанная сеть» Ethernet 2, созданная VMware для взаимодействия виртуальных машин с хостом, будет автоматически отнесена к категории «общедоступная», а переклассификация, выполненная администратором, будет действовать только до перезапуска сетевого подключения

Статью целиком читайте в журнале «Системный администратор», №10 за 2017 г. на страницах 50-54.

PDF-версию данного номера можно приобрести в нашем магазине.

Использование брандмауэра Windows 10 в режиме повышенной безопасности

В предыдущем руководстве вы узнали принципы работы брандмауэра Windows 10 и способы его использования. На этот раз мы погрузимся в настройки режима повышенной безопасности.

В данной статье вы узнаете о режиме повышенной безопасности в брандмауэре Windows 10, что такое специальная оснастка управления, и как вы можете использовать ее для лучшего контроля сетевого доступа.

Что такое режим повышенной безопасности?

Это оснастка управления для брандмауэра, из которой вы можете управлять всеми его настройкам, правилами и исключениями.

Для получения доступа к расширенным настройкам вам нужно открыть брандмауэр, как показано в ранее опубликованной статье, а затем нажать на ссылку «Дополнительные параметры» в левом столбце.

Брандмауэр Windows теперь открыт в режиме повышенной безопасности. Эта оснастка выглядит сначала непонятной, и не без оснований. Здесь сохраняются и редактируются все правила на продвинутом уровне. То, что мы видели в предыдущей статье, это был лишь ограниченный, но удобный вид для пользователя.

Общие сведения о профилях и типах трафика

Профили

Microsoft рекомендует активировать все профили и позволить API-интерфейсу установленному в системе, выбрать, какой из них использовать.

Профиль домена: используются для компьютеров, подключенных к сети, содержащей доменные контроллеры, к которым принадлежат сетевые компьютеры. Этот профиль не используется для домашних ПК. Когда компьютер успешно зарегистрирован в домене, он автоматически использует данный профиль.

Частный профиль: предназначен для домашних или офисных сетей, которые не подключены напрямую к Интернету, но находится за каким-то устройством безопасности, таким как маршрутизатор или другой аппаратный брандмауэр.

Общий профиль: обычно используется, когда компьютер подключен к публичной сети (Интернет или публичная точка доступа Wi-Fi), например в кафе, гостинице или по кабельному соединению дома. По умолчанию будут заблокированы все входящие подключения, которые не входят в список разрешенных.

Типы трафика

Входящий – это трафик поступающий из сети или Интернета на компьютер или другое устройство. Например, если вы загружаете файл через uTorrent, скачивание этого файла фильтруется входящим правилом.

Исходящий – трафик, который исходит от вашего компьютера в сеть или Интернет. Например, ваш запрос на загрузку веб-сайта в браузере – это исходящий трафик, и он фильтруется через исходящее правило.

Правила безопасности подключений – общие правила, которые используются для защиты трафика между двумя конкретными компьютерами и используется в очень контролируемых средах с особыми требованиями безопасности. В отличие от входящих и исходящих, применяющихся только к вашему компьютеру или устройству, правила безопасности подключения требуют, чтобы оба компьютера, участвующие в соединении и применяли одни и те же правила.

Все они могут быть настроены специфическим образом для определенных компьютеров, учетных записей пользователей, программ, приложений, служб, портов, протоколов или сетевых адаптеров.

Вы можете просматривать правила определенного типа, выбрав соответствующую категорию в столбце слева.

Здесь увидите множество правил входящего и исходящего трафика. Некоторые из них будут иметь зеленую галочку рядом с их именем, в то время как другие будут показаны серым цветом. Зеленая галочка означает что они используются. Те, у которых установлен серый флажок, отключены, и не используются.

Правила брандмауэра Windows имеют следующие параметры, которые можно редактировать:

  • Имя – имя просматриваемого правила.
  • Группа – описывает приложение или функцию Windows, к которой принадлежит это правило. Например, правила, относящиеся к определенному приложению или программе, будут иметь имя приложения / программы в качестве группы. Правила, относящиеся к одной и той же сетевой функции, например «Общий доступ к файлам и принтерам», будут иметь название группы, к которой они относятся.
  • Профиль – сетевое местоположение / профиль, к которому применяется правило: домен частный или публичный (для сетей компании с сетевыми доменами).
  • Включено – сообщает вам, включено ли правило и применяется ли брандмауэром.
  • Действие – действие может «Разрешить» или «Блокировать» в зависимости от того, что должно делать правило.
  • Частота – указывает, переопределяет ли это правило существующее правило блока. По умолчанию все правила должны иметь значение «Нет» для этого параметра.
  • Программа – настольная программа, к которой применяется правило.
  • Локальный адрес – указывает, применяется ли правило только тогда, когда ваш компьютер имеет определенный IP-адрес или нет.
  • Удаленный адрес – указывает, применяется ли правило только при подключении устройств с определенными IP-адресами.
  • Протокол – разделяет сетевые протоколы, для которых применяется правило.
  • Локальный порт – указывает, применяется ли правило для соединений, сделанных на определенных локальных портах, или нет.
  • Удаленный порт – указывает, применяется ли правило для соединений, сделанных на определенных удаленных портах, или нет.
  • Авторизованные пользователи – учетные записи пользователей, для которых применяется правило (только для входящих правил).
  • Разрешенные компьютеры – компьютеры, для которых применяется правило.
  • Авторизованные локальные субъекты – учетные записи пользователей, для которых применяется правило (только для исходящих правил).
  • Локальный пользователь-владелец – учетная запись пользователя, установленная как владелец / создатель правила.
  • Пакет приложения – относится только к приложениям из Microsoft Store, и отображает имя пакета приложения, к которому применяется правило.

Что можно отслеживать в брандмауэре Windows в режиме повышенной безопасности

Под тремя типами правил, вы найдете раздел с названием «Наблюдение» и если развернуть его, то можно просмотреть активные правила брандмауэра, правила безопасности активных соединений и сопоставления безопасности.

Сопоставления безопасности – это информация о безопасном зашифрованном канале на локальном компьютере или устройстве, информация может использоваться для будущего сетевого трафика на конкретном удаленном компьютере или устройстве. Здесь вы можете посмотреть, какие одноранговые узлы подключены к вашему компьютеру и какой пакет защиты использовался Windows для формирования сопоставлений безопасности.

Как управлять существующими правилами

Помните, лучше отключить правило, чем его удалить. Тогда будет очень легко все восстановить, просто повторно включив отключенные правила.

Для отключения правила, нужно отметить его и нажать соответствующую кнопку в правом меню.

Кроме того, можно просто щелкнуть правой кнопкой мыши по правилу и «Отключить».

Если необходимо отредактировать правило, сделайте это в столбце справа зайдя в «Свойства» или через контекстное меню вызванное правым щелчком мыши.

Все параметры, упомянутые ранее в нашей инструкции, могут быть изменены в окне «Свойства» для конкретного правила.

Когда изменения внесены, не забудьте нажать «ОК», для их применения.

Как создать исходящее правило

Создание правил в режим повышенной безопасности гораздо проще, чем вы думаете. Чтобы продемонстрировать это, давайте создадим исходящее правило, которое блокирует доступ к сети и Интернет для приложения Skype, только когда вы подключены к ненадежным общедоступным сетям.

Для этого перейдите в «Правила для исходящего подключения» и нажмите «Создать правило» в столбце справа.

Откроется «Мастер создания правила для нового исходящего подключения», где вы создадите новое правило всего за пару шагов. Во-первых, вас попросят выбрать тип правила, которое вы хотите создать.

Ваш выбор:

  • Для программ – правило управляющее конкретной программой
  • Для порта – правило управляющее подключениями для порта TCP или UDP.
  • Предопределенные – правило, контролирующее подключения, выполняемые определенной службой или функцией Windows.
  • Настраиваемые – настраиваемое правило, которое может блокировать все программы и порты или определенную комбинацию.

В нашем случае выбираем «Для программ» и нажимаем «Далее».

Вам предлагается выбрать все программы или определенную программу.

Выбираем исполняемый файл программы, которую хотим заблокировать – Skype.exe и переходим «Далее».

Затем указываем действие, которое необходимо предпринять:

  • Разрешить подключение – включает как защищенные IPSec, так и соединения без защиты.
  • Разрешить безопасное подключение – включает только подключения с проверкой подлинности с помощью IPSec. Вы можете указать тип аутентификации и шифрования, которые вы хотите применить, нажав «Настроить».
  • Блокировать подключение – блокирует соединение, независимо от того, является ли оно безопасным или нет.

Выбираем «Блокировать подключение» и нажимаем «Далее».

Теперь вас попросят выбрать, для каких профилей применяется правило:

  • Доменный – применяется при подключении компьютера к домену своей организации.
  • Частный – применяется, когда компьютер подключен к частной сети, например домашней или рабочей.
  • Публичный – применяется если компьютер подключен к ненадежной общественной сети.

В нашем руководстве мы выбрали «Публичный», потому что хотели заблокировать доступ только тогда, когда компьютер подключен к общественной сети.

Когда выбор сделан, нажмите «Далее».

Введите имя, и описание для вновь созданного правила. Напишите подробно, чтобы потом было легче понять.

Как создать входящее правило

Перейдите к «Правилам для входящих подключений» и нажмите «Создать правило» в столбце справа.

Запустится «Мастер создания правила для нового входящего подключения».

Создадим правило, которое блокирует весь входящий трафик, созданный с использованием протокола TCP на порте 30770. На первом этапе мы выбрали «Для порта».

Выбрали протокол и порт, для которого применяется правило. Выбор протоколов идет между – TCP и UDP. Если вам нужно правило, применяемое к обоим протоколам, придется создать два правила: по одному для каждого.

У нас есть выбор, заблокировать все порты или только выбранные. Мы выбрали «Определенные локальные порты» и ввели «30770»

Отметим «Блокировать подключение» и проследуем «Далее».

Теперь необходимо сделать выбор профилей, для которых применяется правило. Поскольку мы блокируем весь TCP-трафик на порте 30770, выбираем все три профиля и продолжаем.

Вводим имя и описание для вновь созданного правила, нажимаем « Готово ».

Правило создано и теперь используется.

Как восстановить параметры по умолчанию

Если вы намудрили с правилами и все стало работать неправильно, можно легко отменить все настройки и восстановить брандмауэр Windows по умолчанию. Не забывайте, это можно сделать только из под учетной записи администратора.

Для этого, откройте брандмауэр Windows и в левом столбце, нажмите по ссылке «Восстановить значения по умолчанию».

Нажмите на кнопку «Восстановить значения по умолчанию».

Подтвердите, восстановление нажав на «Да».

Параметры будут сброшены до значений по умолчанию. Теперь вы можете заняться настройкой с нуля и решить возникшие проблемы.

Что нового в брандмауэре Windows в режиме повышенной безопасности Windows Server 2008 R2 и Windows 7

Брандмауэр Windows прошел долгий путь с момента его первого появления в Windows XP и Windows Server 2003 SP2. На самом деле, при наличии брандмауэра Windows в режиме повышенной безопасности даже нет причины использовать межсетевой экран сторонних производителей, хотя некоторые администраторы, возможно, предпочтут делать это из-за каких-то конкретных функций или целей. Брандмауэр Windows в режиме повышенной безопасности (WFAS) имеет все, что вам нужно для создания безопасной настройки сети. К тому же, новый брандмауэр WFAS был дополнен компонентами межсетевого экрана и включает правила безопасности подключений (Connection Security Rules), которые представляют собой IPsec правила, упрощающие создание IPsec подключений между клиентами и серверами, а также между серверами в вашей сети.

В этой статье мы рассмотрим некоторые новые и удивительные функции WFAS, включенные в Windows Server 2008 R2 и Windows 7.

Назначение различных профилей брандмауэра каждой сетевой карте

В брандмауэрах Windows прошлого можно было использовать только один активный профиль брандмауэра. Если ваш компьютер был подключен к нескольким сетям, то профиль с самыми жесткими правилами применялся ко всем сетевым картам. Публичный профиль был самым строгим, затем шел частный профиль, и наконец, профиль домена. Это могло вызывать проблемы ненужного ограничения доступа к домену или частным сетям.

Теперь все работает как должно: каждой сетевой карте назначается собственный профиль. Трафик, посылаемый на каждую сетевую карту или отправляемый с нее, обрабатывается в соответствие с правилами, подходящими для сетевой карты, подключенной к каждой сети.

Соперник для десятков разных межсетевых экранов

WFAS представляет собой не просто брандмауэр на базе узла. Помимо функциональности брандмауэра он включает:

  • Правила безопасности IPsec подключений
  • Усиление защиты сетевой службы
  • Фильтры времени загрузки
  • Фильтры брандмауэра
  • Фильтры скрытности (Stealth filters)

В прошлом выключение брандмауэра также означало отключение всех других сервисов, предоставляемых брандмауэром Windows. Это означало, что если вы установили другой брандмауэр, который не предоставлял всех служб, предоставляемых брандмауэром Windows, вы теряли все эти службы брандмауэра Windows (и вероятно повергали систему угрозам). Теперь, если установлен другой брандмауэр на базе узла, установщик брандмауэра может отключить компоненты брандмауэра Windows, которые создают конфликты. Остальные службы брандмауэра Windows остаются включенными.

Есть промежуточный ЦС? Нет проблем!

Раньше правила безопасности подключений использовали только те сертификаты, которые выдавались корневым центром сертификации. Теперь вы можете использовать сертификаты, выдаваемые промежуточными ЦС для правил безопасности подключений на базе IPsec.

Не все должны показывать документы

Теперь можно создавать правила брандмауэра, которые указывают исключения в списке авторизации. Это позволяет создавать правила брандмауэра, с помощью которых, скажем, все кроме «а, б и в», могут получать доступ к узлу. Трафик с компьютеров или от пользователей, указанных в списке исключений, будет блокироваться, даже если трафик от всех остальных участников списка авторизации разрешен. Вы также можете создавать правила для исходящего трафика, указывая авторизированные компьютеры и исключения списка авторизации.

Используйте графический интерфейс для настройки портов и протоколов для правил безопасности подключений

Теперь можно использовать консоль MMC для создания правил безопасности подключений, которые указывают номера портов или протоколы. Только трафик с этих портов или на эти порты, либо трафик для указанных протоколов будет подлежать требованиям IPsec правила безопасности подключений. В прошлом нужно было переходить в ‘темный лес’ и использовать команду netsh для использования этих правил. Зачем жить в мире командной строки 1960-ых годов, когда есть отличный и полезный графический интерфейс? Сейчас такой необходимости нет!

Настройка правил брандмауэра, поддерживающих полный диапазон TCP или UDP портов

Теперь можно настраивать правила, которые включают диапазоны портов. Например, вы можете применить правило, которое использует порты в диапазоне от 5000 до 5010. Вы также можете использовать диапазоны портов в правилах безопасности подключений, указывающих исключения для прохождения проверки подлинности.

Брандмауэр Windows теперь поддерживает пакет ‘B’ Suite!

Правила безопасности подключений теперь поддерживают ‘Suite B’ набор алгоритмов, определенных в стандарте RFC 4869. В прошлом нужно было доводить себя до исступления в попытках создания Suite B правил, используя инструмент netsh. Это отличная новость для всех тех админов, которые боялись, что «душа Windows» преобразовывалась в подобный командной строке Linux кошмар (также известный как PowerHell). Не поймите меня неправильно; командная строка является отличным инструментом для определённых задач, и некоторые предпочитают выполнять большую часть своей работы через нее. Но другие любят Windows именно за ее графический интерфейс, а я люблю располагать обеими опциями.

Использование проверки подлинности без трудностей для сетевых «парней»

Теперь можно создавать правила безопасности подключений, которые позволяют использовать проверку подлинности IPsec без использования Encapsulating Security Payload (ESP) или Authenticated Header (AH) защиты на пакетах данных. Именно так! Вы получаете проверку подлинности без шифрования. Это делает возможным процесс проверки подлинности, когда сетевые сотрудники говорят вам, что вы не можете использовать ESP или AH, поскольку они заложили компанию, заплатив превышенную цену за сетевое IDS устройство, на которое никто даже и не смотрит. Эта новая функция позволяет вам выполнять проверку подлинности при попытке подключения, но при этом не используется IPsec шифрование, поэтому IDS видит все, что проходит по каналу.

Получите IPsec защиту для мобильных устройств

Теперь можно использовать IPsec защиту, даже когда не можешь сказать, какой IP адрес будет с обеих сторон подключения. Ранее нельзя было создавать IPsec правила для ситуаций, когда одному из узлов назначался динамический IP адрес.

Режим IPsec туннеля получил ускорение

Теперь можно настраивать туннельный режим IPsec, чтобы позволять прошедшим проверку подлинности и авторизацию компьютерам и пользователям создавать туннели к шлюзу IPsec. Это используется компонентом DirectAccess для обеспечения проверки подлинности и компьютера и пользователя для туннелей инфраструктуры и интрасети.

Можно создавать правила туннельного режима, определяющие проверку подлинности, которая может выполняться для пользователя или компьютера. Затем учетная запись компьютера или пользователя сравнивается со списком авторизации, после чего создается туннель, и данные могут передаваться, если пользователь или компьютер авторизирован. Если учетная запись не авторизирована, подключение не будет создано. Можно также указывать исключения, которые позволяют вам создавать правило ‘все, кроме пользователя UserA’ в консоли. Единственным ограничением является то, что авторизация туннельного режима работает только для входящих туннелей.

Что там с AuthIP?

Authenticated IP (AuthIP) используется вместо IKE, когда создается правило с параметрами, не поддерживаемыми IKEv1. AuthIP использует секрет, генерируемый требуемым способом проверки подлинности. Например, если вы используете проверку подлинности Kerberos V5, то используется секрет Kerberos вместо секрета, генерируемого обменом Diffie-Hellman. Однако, вам может потребоваться использование Diffie-Hellman. Если так, вы теперь можете требовать, чтобы использовался Diffie-Hellman во всех взаимодействиях основного режима IPsec, даже если AuthIP используется для проверки подлинности.

Использование различных Diffie-Hellman алгоритмов в предложениях основного режима

В Windows Vista и Windows Server 2008 можно указывать только один Diffie-Hellman алгоритм, который используется во всех предложениях IPsec. Для этого нужно было обеспечить, чтобы все компьютеры в организации использовали единый Diffie-Hellman алгоритм для взаимодействий IPsec. Начиная с Windows 7 и Windows Server 2008 R2, можно указывать разные Diffie-Hellman алгоритмы для каждого предложения основного режима, которое вы создаете.

Любовь к туннельным протоколам IPv6

Конечно, есть Teredo и 6to4, но это вчерашний день. Как на счет чего-то нового, улучшенного и созданного компанией Microsoft? Именно это вы и получаете с IPv6 через HTTPS, также известного как IP-HTTPS. IP-HTTPS – это новая технология IPv6 туннелирования, которая включает IPv6 пакеты в HTTPS заголовок. IP-HTTPS позволяет IPv6 трафику перемещаться через IPv4 интернет и выполняет функцию, подобную Teredo и 6to4. Однако, в отличие от Teredo, не нужно открывать специальные порты на брандмауэре, чтобы разрешить доступ к IP-HTTPS, поскольку все знают, что TCP порт 443 является универсальным портом обхода брандмауэра.

Однако вы все же можете использовать Teredo. Как и IP-HTTPS, Teredo тоже является протоколом туннелирования, прикрепляющим IPv4 заголовок к IPv6 пакетам. Для входящего правила брандмауэра Windows можно устанавливать UDP порт на Edge Traversal, вместо указания определенного номера порта, чтобы брандмауэр Windows автоматически распознавал его и соответствующим образом обрабатывал подключение.

Не используйте инкапсуляцию, если в этом нет необходимости

Раньше, когда сетевой трафик, защищенный с помощью IPsec, отправлялся по IPsec туннелю, он включался в IPsec и IP заголовок. Это большое количество заголовков! Теперь при настройке правила туннельного режима сетевой трафик, который уже защищен IPsec, будет исключен из туннеля, и будет перемещаться в конечную точку туннеля без дополнительной инкапсуляции.

Получите четкий вид всех событий брандмауэра в программе просмотра событий

Раньше все события брандмауэра считались событиями аудита и генерировались только в том случае, если соответствующая категория аудита была включена. Теперь некоторые из этих событий считаются необязательными и отображаются в программе просмотра событий без необходимости предварительного включения. Они отображаются в журналах Applications and Service Logs Microsoft Windows Windows Firewall with Advanced Security. Это значительно упрощает диагностику во многих случаях.

Брандмауэр Windows становится все лучше и лучше! В этой статье мы рассмотрели ряд новых и улучшенных компонентов и функций, включенных в брандмауэр Windows 7 и Windows Server 2008 R2. Если вы уже знакомы с брандмауэром WFAS, вы знаете о тех мощных возможностях, которые получаете с этим интегрированным компонентом. Если вы еще не знакомы с ним, то у вас должно возникнуть впечатление того, что встроенный брандмауэр Windows – это все, что вам нужно, и зачастую просто нет причин для установки брандмауэров сторонних производителей (которая часто приводит к нестабильности работы системы). Также следует помнить, что брандмауэр Windows с режимом повышенной безопасности представляет собой нечто большее, чем просто межсетевой экран. Его основной обязанностью помимо межсетевого экрана на базе узла является ответственность за IPsec подключения, полагающиеся на правила безопасности подключений.

Брандмауэр Windows заблокировал некоторые функции этого приложения

Иногда вы могли заметить, что при запуске программы брандмауэр Windows внезапно выдает сообщение о том, что Брандмауэр Windows заблокировал некоторые функции этого приложения , и предоставляет вам два варианта — Разрешить доступ или Отмена . Что ж, если вы доверяете программе, вы можете нажать Разрешить доступ и продолжить. В случае сомнений лучше всего выбрать «Отмена». Теперь давайте посмотрим, почему это происходит и что мы можем с этим сделать.

С выпуском Windows 10 Microsoft, похоже, очень усердно трудится над повышением безопасности своей операционной системы, как за счет добавления новых средств защиты от хакеров, так и новых функций, которые делают его удобным и намного более безопасным в использовании.

Брандмауэр Windows в режиме повышенной безопасности является важной частью многоуровневой модели безопасности. Предлагая двустороннюю систему фильтрации сетевого трафика для ваших устройств, брандмауэр Windows в режиме повышенной безопасности блокирует любой несанкционированный сетевой трафик, исходящий из локальных устройств или в них.

Более старые версии брандмауэра Windows позволяли устанавливать только правила для входящего соединения, в то время как более новые версии, такие как в Windows 10, также позволяют контролировать исходящие соединения. Это означает, что если пользователи хотят, система позволяет им запретить определенному программному обеспечению или приложениям подключаться к Интернету или ограничить их использованием только безопасных соединений. Брандмауэр Windows делает это, работая с системой Network Awareness, которая позволяет ему применять параметры безопасности, соответствующие формам сетей, к которым подключено устройство.

Брандмауэр Windows заблокировал некоторые функции этого приложения

Все эти строгие меры безопасности являются отличным вариантом для тех, кто обеспокоен утечкой личной информации через незащищенные соединения и блокирует вредоносные входящие и исходящие соединения. Однако брандмауэр Windows иногда становится довольно раздражающим из-за повторяющихся уведомлений о том, что брандмауэр Windows заблокировал некоторые функции этого приложения ‘. Вы увидите это сообщение в Windows 10, Windows 8.1, Windows 7, а также в более ранних версиях.

Согласно официальному форуму поддержки Microsoft, обычно в этом уведомлении пользователю предлагается разрешить доступ к процессу или программе, однако, как только начинается соответствующее действие, уведомления начинают появляться повторно. В основном это видно при использовании веб-браузера. Наиболее распространенным виновником этого уведомления в веб-браузерах является вредоносный плагин или плагин, который пытается подключиться к Интернету без разрешения пользователя. Другие причины могут включать в себя программное обеспечение или приложения, которые пытаются обновить себя в фоновом режиме без вашего разрешения, а также вирусы и вредоносные программы на вашем компьютере.

Если вы часто получаете это сообщение, вот несколько вещей, которые вы можете попробовать.

1] Антивирусная проверка

Приоритет должен состоять в том, чтобы проверить компьютер на наличие вирусов с помощью антивирусного программного обеспечения и выяснить, не является ли это вредоносным ПО, вызывающим это всплывающее окно.

2] Отключить сетевой адаптер VPN

Такие сообщения также могут запускаться VPN-клиентом, работающим в вашей системе. Если вы используете VPN, в меню WinX откройте Диспетчер устройств и раскройте категорию Сетевые адаптеры. Попробуйте найти запись, относящуюся к вашему программному обеспечению VPN, щелкните по ней правой кнопкой мыши, выберите Отключить устройство и посмотрите, поможет ли это. Вам может потребоваться перезагрузить компьютер. Если это не поможет, вы можете включить его снова.

Если это не помогает, вы можете отключить каждый из сетевых адаптеров один за другим и посмотреть, не является ли какой-либо из них причиной этой проблемы.

3] Белый список процессов в брандмауэре Windows

Если процесс, который вы знаете, безопасен, вы можете пропустить определенную программу через брандмауэр, занеся его в белый список следующим образом:

  1. Нажмите «Пуск» и введите «Брандмауэр» в поле поиска, а затем нажмите « Разрешить приложение или функцию через брандмауэр Windows » из результатов поиска.
  2. На следующем экране нажмите Изменить настройки
  3. В появившемся списке программ отметьте/установите флажки «Приватный» и «Публичный» для программы или приложения, для которых вы получаете повторные уведомления.

Если программы, которую вы хотите разблокировать, нет в списке, нажмите кнопку «Разрешить другую программу», чтобы добавить ее. Добавьте программное обеспечение или приложение в список и выберите «Добавить». Если программа, которую вы хотите разблокировать, отсутствует в этом списке, используйте функцию «Обзор» для поиска программы вручную. Вы также можете настроить Тип сети .

Как только необходимая программа получила разрешение, нажмите «ОК» и выйдите.

Если это слишком утомительно, вы можете использовать такое приложение, как OneClick Firewall или Windows Firewall Notifier, чтобы разрешить или заблокировать доступ одним нажатием.

4] Восстановление настроек брандмауэра Windows

Если вы считаете, что могли нарушить настройки брандмауэра Windows по умолчанию, вы можете сбросить настройки брандмауэра Windows до значений по умолчанию. Этот пост покажет вам, как импортировать, экспортировать, восстанавливать, восстанавливать политику брандмауэра по умолчанию.

Надеюсь, что-нибудь поможет!

Просмотрите этот пост, если возникли следующие проблемы:

  • Windows не может запустить брандмауэр Windows на локальном компьютере
  • Служба брандмауэра Windows не запускается
  • Ошибка 1079. Не удается запустить службы Windows Time, Windows Event Log, Windows Firewall.

Особенности использования брандмауэра Windows 8.1 для сетевой защиты

Брандмауэр – это программное обеспечение или оборудование, не позволяющее хакерам и некоторым типам вредоносных программ получать удаленный доступ к компьютеру через сеть или интернет. Его действие заключается в проверке сведений, полученных из интернета или локальной сети, и их блокировании или разрешении на доступ к компьютеру.

Брандмауэр не является тем же, что антивирусная программа или программа для защиты от вредоносного кода. Брандмауэр обеспечивает защиту от интернет-червей и атак хакеров, антивирусные программы обеспечивают защиту от вирусов, а приложения для защиты от вредоносного кода обеспечивают защиту от вредоносных программ.

Все эти типы приложений необходимы на компьютере. Вы можете использовать программное обеспечение антивирусной защиты и защиты от вредоносного кода Windows Defender, которое входит в комплект поставки системы Windows 8 или другой антивирус, защищающий от вредоносного кода.

Достаточно установить одно приложение брандмауэра на компьютере (кроме встроенного брандмауэра сетевого маршрутизатора). Использование нескольких приложений брандмауэра на компьютере может вызвать конфликты и проблемы.

Брандмауэр Windows включен в состав системы по умолчанию.

На этом изображении показан принцип действия брандмауэра:

Мы рекомендуем использование следующих настроек брандмауэра:

  • Брандмауэр включен для всех сетевых подключений.
  • Брандмауэр блокирует все входящие подключения, кроме тех, которых нельзя запретить.
  • Брандмауэр включен для всех типов сетей (частных, публичных или с доменом).

Примечание: компьютеры с операционной системой Windows RT или Windows 8 не могут быть присоединены к домену. Присоединение к домену поддерживается только для компьютеров с операционной системой Windows 8 Pro или Windows 8 Enterprise.

Включение и отключение Брандмауэра Windows

Не следует выключать Брандмауэр Windows, если ни один другой брандмауэр не включен. Отключение Брандмауэра Windows может привести к тому, что компьютер (и сеть, если она имеется) будут более уязвимы для атак хакеров или червей.

  1. Откройте Брандмауэр Windows, быстро двигаясь к центру от правого края экрана, затем нажав на панель Поиск (если вы используете мышь, наведите указатель в правый верхний угол экрана, переместите вниз и нажмите на панель Поиск), введя строку брандмауэр в поле поиска, а затем нажмите кнопку Брандмауэр Windows .
  2. Нажмите Включите или отключите Брандмауэр Windows . Для подтверждения выбора может потребоваться ввести пароль администратора.

  • Выполните одно из следующих действий:
    • Нажмите Включить Брандмауэр Windows в разделе каждого типа сети, которую Вы хотите защитить, а затем нажмите кнопку ОК.
    • Нажмите Отключить Брандмауэр Windows (не рекомендуется) в разделе каждого типа сети, с которой Вы хотите снять защиту, а затем нажмите кнопку ОК .
  • Примечание: если компьютер подключен к сети, то параметры сетевой политики могут запретить выполнение этих действий. Чтобы получить более подробную информацию, обратитесь к администратору.

    Параметры Брандмауэра Windows

    Для каждого типа сети (общедоступной, частной или в домене) можно настроить четыре параметра. Чтобы найти эти параметры, выполните следующие действия:

    1. Откройте Брандмауэр Windows.
    2. Нажмите Включение и отключение Брандмауэра Windows .

    Ниже описано, для чего нужны эти параметры, и когда следует их использовать:

    • Включите Брандмауэр Windows. Этот параметр выбран по умолчанию. Если Брандмауэр Windows включен, получение информации через большинство приложений блокируется. Чтобы брандмауэр разрешил прием информации, приложение надо добавить в список разрешенных, выполнив действия, описанные в следующем разделе. Например, прием фотографий в мгновенном сообщении может быть невозможен до того момента, когда соответствующее приложение не добавить в список разрешенных приложений.
    • Блокировать все входящие подключения, в том числе приложения в списке разрешенных программ. Использование этого параметра приводит к блокировке всех несанкционированных попыток подключения к компьютеру. Это обеспечивает максимальную защиту компьютера, например, в случае подключения к публичной сети (в отеле или в аэропорту). В случае блокировки всех входящих вызовов по-прежнему можно просматривать большинство Веб-страниц, отправлять и получать сообщения электронной почты, а также обмениваться мгновенными сообщениями.
    • Уведомлять, когда Брандмауэр Windows блокирует новую программу. Когда установлен этот флажок, Брандмауэр Windows проинформирует Вас о блокировке приложения и предоставит возможность его разблокировки.
    • Отключить Брандмауэр Windows (не рекомендуется). Не используйте этот параметр, если другой брандмауэр не запущен на компьютере.

    Примечание: если некоторые параметры брандмауэра недоступны, а компьютер подключен к домену, возможно, что администратор контролирует эти параметры с помощью групповой политики.

    Разрешение на получение информации через приложения

    По умолчанию большинство приложений блокируется Брандмауэром Windows, чтобы повысить уровень безопасности компьютера. Однако, некоторым приложениям для правильной работы может потребоваться возможность получения информации через брандмауэр.

    Перед тем, как дать приложению разрешение на прием информации через брандмауэр, необходимо учитывать связанные с этим риски.

    1. Откройте Брандмауэр Windows.
    2. Нажмите Разрешение обмена данными приложения или компонента через Брандмауэр Windows .
    3. Нажмите Изменить настройки .

  • Установите флажок рядом с названием программы, которую вы хотите разрешить, выберите тип сети, в которой вы хотите разрешить обмен, а затем нажмите кнопку ОК .
  • Открытие порта в Брандмауэре Windows

    Если Брандмауэр Windows блокирует программу, которой Вы хотите разрешить получение информации через интернет, то обычно это делается добавлением программы в список разрешенных, как описано в предыдущем разделе.

    Однако, если программы нет в списке, возможно, потребуется открыть порт, через который программа получает данные через брандмауэр. Например, если вы собираетесь использовать приложение для игры в мультиплеере в режиме онлайн вместе с друзьями, возможно, потребуется открыть порт для этой программы, чтобы брандмауэр разрешил ввод в компьютер информации об игре.

    Порты остается открытым постоянно, поэтому закрывайте те, которые не нужны.

    1. Откройте Брандмауэр Windows.
    2. Нажмите Дополнительные параметры .
    3. В диалоговом окне Брандмауэр Windows в режиме повышенной безопасности, в левой области нажмите Правила для входящих подключений , а затем в правой панели нажмите Новое правило.

  • Следуйте инструкциям, появляющимся на экране.
  • Читайте также:  Как создать резервную копию реестра Windows 10, 8 и Windows 7
    Ссылка на основную публикацию