Оснастка консоли управления (MMC) ОС Windows Vista™ – это брандмауэр, регистрирующий состояние сети, для рабочих станций, фильтрующий входящие и исходящие соединения в соответствии с заданными настройками. Теперь можно настраивать параметры брандмауэра и протокола IPsec с помощью одной оснастки. В этой статье описывается работа брандмауэра Windows в режиме повышенной безопасности, типичные проблемы и средства их решения.
Брандмауэр Windows в режиме повышенной безопасности – это брандмауэр, регистрирующий состояние сети, для рабочих станций. В отличие от брандмауэров для маршрутизаторов, которые развертывают на шлюзе между локальной сетью и Интернетом, брандмауэр Windows создан для работы на отдельных компьютерах. Он отслеживает только трафик рабочей станции: трафик, приходящий на IP-адрес данного компьютера, и исходящий трафик самого компьютера. Брандмауэр Windows в режиме повышенной безопасности выполняет следующие основные операции:
Список разрешенного трафика формируется двумя путями:
Первым шагом по решению проблем, связанных с Брандмауэром Windows, является проверка того, какой профиль является активным. Брандмауэр Windows в режиме повышенной безопасности является приложением, отслеживающим сетевое окружение. Профиль брандмауэра Windows меняется при изменении сетевого окружения. Профиль представляет собой набор настроек и правил, который применяется в зависимости от сетевого окружения и действующих сетевых подключений.
Брандмауэр различает три типа сетевого окружения: домен, публичная и частная сети. Доменом является сетевое окружение, в котором подключения проходят аутентификацию на контроллере домена. По умолчанию все другие типы сетевых подключений рассматриваются как публичные сети. При обнаружении нового подключения Windows Vista предлагает пользователю указать, является ли данная сеть частной или публичной. Общий профиль предназначен для использования в общественных местах, например, в аэропортах или кафе. Частный профиль предназначен для использования дома или в офисе, а также в защищенной сети. Чтобы определить сеть как частную, пользователь должен обладать соответствующими административными полномочиями.
Хотя компьютер может быть подключен одновременно к сетям разного типа, активным может быть только один профиль. Выбор активного профиля зависит от следующих причин:
Для определения активного профиля нажмите узел Наблюдение в оснастке Брандмауэр Windows в режиме повышенной безопасности . Над текстом Состояние брандмауэра будет указано, какой профиль активен. Например, если активен профиль домена, наверху будет отображена надпись Профиль домена активен .
При помощи профилей брандмауэр Windows может автоматически разрешать входящий трафик для специальных средств управления компьютером, когда компьютер находится в домене, и блокировать тот же трафик, когда компьютер подключен к публичной или частной сети. Таким образом, определение типа сетевого окружения обеспечивает защиту вашей локальной сети без ущерба безопасности мобильных пользователей.
Ниже перечислены основные проблемы, возникающие при работе брандмауэра Windows в режиме повышенной безопасности:
В том случае, если трафик блокируется, сначала следует проверить, включен ли брандмауэр, и какой профиль является активным. Если какое-либо из приложений блокируется, убедитесь в том, что в оснастке Брандмауэр Windows в режиме повышенной безопасности существует активное разрешающее правило для текущего профиля. Чтобы убедится в наличии разрешающего правила, дважды щелкните узел Наблюдение , а затем выберите раздел Брандмауэр . Если для данной программы нет активных разрешающих правил, перейдите к узлу и создайте новое правило для данной программы. Создайте правило для программы или службы, либо укажите группу правил, которая применяется к данной функции, и убедитесь в том, что все правила данной группы включены.
Для проверки того, что разрешающее правило не перекрывается блокирующим правилом, выполните следующие действия:
Групповая политика препятствует применению локальных правил
Если брандмауэр Windows в режиме повышенной безопасности настраивается при помощи групповой политики, администратор может указать, будут ли использоваться правила брандмауэра или правила безопасности подключения, созданные локальными администраторами. Это имеет смысл в том случае, если существуют настроенные локальные правила брандмауэра или правила безопасности подключения, отсутствующие в соответствующем разделе настроек.
Для выяснения причин, по которым локальные правила брандмауэра или правила безопасности подключения отсутствуют в разделе «Наблюдение», выполните следующие действия:
При создании правила брандмауэра для входящего или исходящего трафика, одним из параметров является . Если выбрана данная функция, необходимо наличие соответствующего правила безопасности подключения или отдельной политики IPSec, которая определяет, какой трафик является защищенным. В противном случае данный трафик блокируется.
Для проверки того, что одно или несколько правил для программы требуют безопасных подключений, выполните следующие действия:
Предупреждение:
При наличии активной политики IPSec убедитесь в том, что эта политика защищает необходимый трафик. Не создавайте правил безопасности подключений, чтобы избежать конфликта политики IPSec и правил безопасности подключений.
Невозможно разрешить исходящие подключения
Смешанные политики могут привести к блокировке трафика
Вы можете настраивать брандмауэр и параметры IPSec при помощи различных интерфейсов ОС Windows.
Создание политик в нескольких местах может привести к конфликтам и блокировке трафика. Доступны следующие точки настройки:
Для просмотра всех этих параметров в соответствующих оснастках создайте собственную оснастку консоли управления и добавьте в нее оснастки Брандмауэр Windows в режиме повышенной безопасности , и Безопасность IP .
Для создания собственной оснастки консоли управления выполните следующие действия:
Для проверки того, какие политики активны в активном профиле, используйте следующую процедуру:
Для проверки того, какие политики применяются, выполните следующие действия:
Также могут возникать конфликты между политиками, определенными в локальных объектах групповой политики и сценариями, настроенными ИТ-отделом. Проверьте все политики IP безопасности при помощи программы «Монитор IP безопасности» или введя следующую команду в командной строке:
netsh IPsec dynamic show all
Для просмотра административных шаблонов откройте оснастку Групповая политика и в разделе Результаты групповой политики просмотрите, присутствуют ли параметры, наследуемые от групповой политики, которые могут привести к отклонению трафика.
Для просмотра политик IP безопасности откройте оснастку монитора IP безопасности. Выберите в дереве локальный компьютер. В области действия консоли выберите ссылку Активная политика , Основной режим или Быстрый режим . Проверьте наличие конкурирующих политик, которые могут привести в блокировке трафика.
В разделе Наблюдение оснастки Брандмауэр Windows в режиме повышенной безопасности Вы можете просматривать существующие правила как локальной, так и групповой политики. Для получения дополнительной информации обратитесь к разделу «Использование функции наблюдения в оснастке Брандмауэр Windows в режиме повышенной безопасности » данного документа.
Для остановки агента политики IPSec выполните следующие действия:
Политика одноранговой сети может привести к отклонению трафика
Для подключений, использующих IPSec, оба компьютера должны иметь совместимые политики IP безопасности. Эти политики могут определяться при помощи правил безопасности подключений брандмауэра Windows, оснастки IP безопасность или другого поставщика IP безопасности.
Для проверки параметров политики IP безопасности в одноранговой сети выполните следующие действия:
Настройки брандмауэра Windows в режиме повышенной безопасности недоступны (затенены), в следующих случаях:
Для изменения параметров брандмауэра Windows в режиме повышенной безопасности при помощи локальной групповой политики используйте оснастку Политика локального компьютера . Чтобы открыть эту оснастку, в
Назначение: Windows 7, Windows Server 2008 R2
Данное диалоговое окно позволяет настроить основные свойства брандмауэра для каждого сетевого профиля. Также на вкладке Параметры IPsec можно настроить значения по умолчанию для нескольких конфигурационных параметров IPsec.
Чтобы открыть это диалоговое окноВ оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» выполните одно из следующих действий:
Можно настраивать любой профиль, даже не применяемый в данный момент. Если параметры профиля не изменены, в случае использования брандмауэром Windows этого профиля применяются значения по умолчанию. Рекомендуется включить Брандмауэр Windows в режиме повышенной безопасности во всех трех профилях.
На каждой из вкладок профилей можно настроить следующие параметры:
Выбор состояний определяет, будет ли Брандмауэр Windows в режиме повышенной безопасности использовать параметры профиля и как профиль обрабатывает входящие и исходящие сетевые сообщения.
Чтобы брандмауэр Windows использовал параметры этого профиля для фильтрации сетевого трафика, выберите Включить (рекомендуется) . Если выбрать Выкл , брандмауэр Windows не будет использовать ни одно из правил брандмауэра или правил безопасности подключения для данного профиля.
Важно! |
---|
Если групповая политика отключает брандмауэр Windows или брандмауэр конфигурируется с использованием правила, которое разрешает весь входящий сетевой трафик, то центр обеспечения безопасности Windows предупредит пользователя о том, что имеются проблемы безопасности, которые необходимо решить. Если пользователь попытается устранить проблему, щелкнув Включить в центре обеспечения безопасности Windows, то будет выдано сообщение об ошибке, поскольку центр обеспечения безопасности Windows не может включить брандмауэр Windows. Вследствие этого в вашу службу поддержки могут поступать нежелательные обращения. Если вы отвечаете за безопасность компьютеров в организации и не хотите, чтобы пользователи получали предупреждения центра обеспечения безопасности Windows пользователя о проблемах в системе безопасности, то можете отключить центр обеспечения безопасности Windows с помощью параметра групповой политики Включить "Центр обеспечения безопасности" (только для компьютеров в домене) , перейдя в Политика локального компьютера\Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обеспечения безопасности . |
Данный параметр определяет поведение для входящих подключений, не удовлетворяющих правилу входящих подключений брандмауэра. По умолчанию блокируются все подключения, если не определены правила брандмауэра, разрешающие эти подключения. Можно выбрать следующие варианты действий по умолчанию для входящих подключений:
Данный параметр определяет действия для исходящих подключений, не удовлетворяющих исходящему правилу брандмауэра. По умолчанию разрешаются все подключения, если не определены правила брандмауэра, блокирующие эти подключения. Можно выбрать следующие варианты действий по умолчанию для исходящих подключений.
Внимание! |
---|
Если установить значение параметра Исходящие подключения в Блокировка , а затем внедрить политику брандмауэра с помощью объекта групповой политики, то компьютеры, для которых действует эта политика, не смогут получать последующие обновления групповой политики, пока не будет создано и применено правило исходящих подключений, разрешающее работу групповой политики. Предопределенные правила для базовых сетевых процедур включают правила исходящих подключений, разрешающие работу групповой политики. Убедитесь, что данные правила активны, и тщательно проверьте профили брандмауэра перед использованием политики. |
Эти параметры позволяют указать, какие сетевые адаптеры соответствуют конфигурации данного профиля. Нажмите кнопку Настроить
Эти параметры позволяют настроить установки уведомлений, одноадресных ответов на многоадресные или широковещательные запросы и объединения правил групповой политики. Нажмите кнопку Настроить - откроется диалоговое окно .
Используйте эти параметры для настройки способа ведения брандмауэром Windows в режиме повышенной безопасности журнала событий, размера и размещения файла журнала. Нажмите кнопку Настроить - откроется диалоговое окно .
Эта вкладка позволяет настроить параметры IPsec по умолчанию и параметры на уровне системы.
Эти параметры предназначены для защиты сетевого трафика и позволяют настроить обмен ключами, защиту данных и методы проверки подлинности, используемые протоколом IPsec. Нажмите кнопку Настроить - откроется диалоговое окно .
Этот параметр позволяет установить, будет ли протокол IPsec защищать сетевой трафик, содержащий пакеты ICMP.
Протокол ICMP широко используется инструментами и процедурами сетевой диагностики. Многие сетевые администраторы исключают пакеты ICMP из-под защиты протокола IPsec, вследствие чего эти сообщения не блокируются.
Используйте этот параметр, если имеется правило подключения безопасности, создающее подключение туннельного режима IPSec от удаленного компьютера к локальному, и требуется указать пользователей и компьютеры, которым запрещается или разрешается доступ к локальному компьютеру через этот туннель. Выберите переключатель Дополнительно и нажмите кнопку Настроить - откроется диалоговое окно .
В последние годы все больше компьютеров подключены к корпоративным сетям и Интернету. В компаниях компьютеры могут быть как членами рабочих групп, так и являться частью доменов, сайтов и лесов. Домашние пользователи могут быть подключены к Интернету средствами беспроводного доступа и мобильной связи, что позволяет им подключаться не только из своего дома, но и на улице, в аэропортах и т.п. Они даже могут иметь доступ к своим корпоративным ресурсам при помощи подключений VPN и DirectAccess. Но, несмотря на все это, ваши домашние и рабочие компьютеры могут быть подвержены заражению потенциально опасным программным обеспечением, а также взломам недоброжелателями.
Для защиты, как рабочих, так и домашних компьютеров от несанкционированного доступа в Интернете и локальной сети, операционной системе Windows помогает встроенный брандмауэр Windows. Брандмауэр Windows в режиме повышенной безопасности позволяет создать гибкую модель безопасности ваших компьютеров. Принцип работы брандмауэра Windows в режиме повышенной безопасности основан на методе двусторонней фильтрации сетевого трафика, отсеивая несанкционированный трафик. Также, в том случае, если на вашем компьютере несколько сетевых адаптеров и подключений, брандмауэр Windows применяет определенные параметры безопасности для тех типов сетей, к которым в данный момент подключен пользователь. В операционной системе Windows 7 брандмауэр Windows вместе с настройками Internet Protocol Security (IPSec) расположены в оснастке консоли управления Microsoft (MMC), которая называется «Брандмауэр Windows в режиме повышенной безопасности» . Протокол IPSec представляет собой систему открытых стандартов, предназначенных для обеспечения защищенных конфиденциальных подключений через IP-сети с использованием криптографических служб безопасности. Протокол IPsec поддерживает одноранговую проверку подлинности на уровне сети, проверку подлинности источника данных, целостность данных, их конфиденциальность (шифрование) и защиту повторения. Управлять брандмауэром можно как при помощи этой оснастки, так и средствами программы сетевой оболочки командной строки, которая позволяет настраивать и отображать состояние различных компонентов для сетевых подключений, установленных на компьютере с операционной системой Windows. Команды netsh выполняют все те же функции, что и оснастка консоли управления (MMC) для любого компонента.
В этом руководстве я расскажу о способах настройки брандмауэра Windows в режиме повышенной безопасности средствами командной строки.
В брандмауэре Windows в режиме повышенной безопасности появился ряд новых функций, некоторые из них:
Команды утилиты Netsh для брандмауэра Windows в режиме повышенной безопасности предоставляют командной строке альтернативные возможности управления брандмауэром. При помощи команд Netsh можно настраивать и просматривать правила, исключения и конфигурацию брандмауэра.
Контекст Netsh firewall служит только для обратной совместимости с предыдущими версиями операционной системы Windows. Команда firewall работает на компьютерах под управлением Windows 7, Windows Server 2008 R2, Windows Vista, и Windows Server 2008, но не позволяет использовать новый функционал брандмауэра Windows, который появился в этих операционных системах. Также при помощи этой команды нельзя управлять и настраивать брандмауэр на удаленных компьютерах.
Во всех операционных системах, начиная с Windows Vista использовать контекст firewall не рекомендуется, в связи с тем, что при помощи этой команды можно создавать и изменять правила брандмауэра Windows только для домена и стандартного профиля. Правилами для общественных профилей при помощи контекста firewall можно управлять только в том случае, если они выполняются под текущим профилем
В операционных системах Windows 7 и Windows Server 2008 R2 можно использовать контекст netsh firewall , но при выводе команды вам будет показано следующее предупреждение, которое также показано на скриншоте:
«ВНИМАНИЕ! Команда успешно выполнена. Тем не менее, команда «netsh firewall» устарела, вместо нее следует использовать «netsh advfirewall firewall». Дополнительные сведения об использовании команд «netsh advfirewall firewall» вместо «netsh firewall» см. в статье базы знаний 947709 на веб-сайте http://go.microsoft.com/fwlink/?linkid=121488 ».
Для управления правилами входящих и исходящих подключений брандмауэра Windows в режиме повышенной безопасности, рекомендуется использовать контекст netsh advfirewall , которая предназначена для создания и управления этих правил, а также ведением мониторинга брандмауэра Windows. Команду netsh advfirewall можно использовать только на компьютерах с операционной системой Windows Vista и более поздними версиями. Политики брандмауэра и IPSec, созданные средствами этого контекста не могут применяться для настройки компьютеров, оснащённых системой Windows Server 2003 или более ранними версиями. Для использования этого контекста в устаревших операционных системах нужно использовать утилиту Ipseccmd.exe, которая находится в папке SupportTools инсталляционного диска операционной системы. Этот контекст может оказаться полезным в следующих случаях:
Для выполнения команд netsh вам нужно состоять в группе «Администраторы» или «Операторы настройки сети» . В противном случае вы сможете только просматривать настройки и правила брандмауэра Windows, но у вас не будет разрешений для создания и изменения конфигурации. Также, если на вашем компьютере включен контроль учетными записями пользователей, для использования функционала конфигурирования брандмауэра Windows в режиме повышенной безопасности вам потребуется выполнять команды из командной строки с повышенными правами. Для открытия командной строки с повышенными правами, нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Командная , в найденных результатах нажмите правой кнопкой мыши на командной строке и из контекстного меню выберите команду «Запуск от имени администратора» . При появлении запроса контроля учетных записей пользователей предоставьте подтверждение.
Брандмауэр Windows в режиме повышенной безопасности является полноценным брандмауэром. Существует два типа брандмауэров – межсетевые экраны и индивидуальные брандмауэры . Межсетевые экраны – это сетевые брандмауэры, которые обычно расположены на границе между внутренней сетью и внешними сетями, такими как Интернет. Такие продукты бывают аппаратными, программными и комбинированными. Некоторые также обеспечивают функции прокси для приложений. Неплохими примерами межсетевых экранов являются ISA-Server и ForeFront Thread Management Getaway. К основным преимуществам межсетевых экранов можно отнести исследование пакетов, управление сетевым трафиком, исследование состояния всех соединений между узлами, а также обеспечения проверки подлинности и шифрования IPsec. Индивидуальные брандмауэры , примером которых является Брандмауэр Windows в режиме повышенной безопасности, защищают узел от несанкционированного доступа и атак. Также можно настроить Брандмауэр Windows в режиме повышенной безопасности на блокирование определенных типов исходящего трафика. Индивидуальные брандмауэры обеспечивают дополнительный уровень защиты в сети и выступают в качестве неотъемлемого компонента стратегии полной защиты. Этот тип брандмауэров проверяет и фильтрует все пакеты протокола IP версий 4 (IPv4) и 6 (IPv6). В отличие от межсетевых экранов, которые обычно разворачиваются между внутренней сетью и Интернетом, в брандмауэре Windows в режиме повышенной безопасности входящие пакеты проверяются и сравниваются со списком разрешенного трафика. Если этот пакет соответствует записи в списке, брандмауэр Windows передает пакет протоколу TCP/IP на дальнейшую обработку. В том случае, если он не соответствует записи в списке, то брандмауэр Windows удаляет пакет и создает запись в файле журнала брандмауэра Windows, если функция журналирования активна. Список разрешенного трафика может пополняться следующими способами:
Профиль брандмауэра — это способ объединения настроек, применяемых к компьютеру в зависимости от места подключения. Каждому сетевому адаптеру назначается профиль брандмауэра, соответствующий обнаруженному типу сети. В отличие от Windows Vista и Windows Server 2008, Windows 7 и Windows Server 2008 R2 поддерживают несколько активных профилей сетевых адаптеров. Существует три типа профилей: домен, общий и частный. В том случае, если соединение проходит проверку подлинности на контроллере домена, то сеть классифицируется как тип доменного размещения сети. Все остальные сети, которые не являются доменными, сначала попадают в категорию общедоступных профилей. Сети, через которые выполняется прямое подключение к Интернету или которые находятся в таких местах общего пользования, как аэропорты и кафе, следует указывать общедоступными. Операционная система Windows позволяет пользователю определить сеть. Домашняя сеть предназначена для использования компьютера дома или в офисе. Сеть предприятия предназначена для использования компьютера внутри организации. Для изменения классификации сети, пользователь должен иметь права администратора. Общий профиль считается наиболее строгим, далее следует частный профиль, а профиль домена считается наименее строгим.
При использовании профилей, брандмауэр Windows в режиме повышенной безопасности может автоматически разрешать входящий трафик, например, когда компьютер находится в домене, но полностью блокировать аналогичные действия, когда компьютер подключен к частным и общественным сетям. Таким образом, можно обеспечить гибкую и безопасную настройку внутренней сети.
Поскольку Брандмауэр Windows в режиме повышенной безопасности по умолчанию блокирует весь входящий незапрошенный сетевой трафик, может потребоваться настройка правил программ, портов или системных служб для программ или служб, выступающих в роли серверов, прослушивателей или узлов одноранговой сети. Для управления брандмауэром Windows в режиме повышенной безопасностью при помощи командной строки существуют следующие контексты:
В следующих частях статьи по брандмауэру Windows в режиме повышенной безопасности будет подробно рассказано о контекстах Netsh advfirewall, а также о настройках брандмауэра при помощи групповых политик, изоляции доменов и серверов, и о настройке IPSec средствами контекста Netsh Ipsecdosprotection.
Брандмауэр Windows 7 в режиме повышенной безопасности: Часть 1. Введение
Введение
В последние годы все больше компьютеров подключены к корпоративным сетям и Интернету. В компаниях компьютеры могут быть как членами рабочих групп, так и являться частью доменов, сайтов и лесов. Домашние пользователи могут быть подключены к Интернету средствами беспроводного доступа и мобильной связи, что позволяет им подключаться не только из своего дома, но и на улице, в аэропортах и т.п. Они даже могут иметь доступ к своим корпоративным ресурсам при помощи подключений VPN и DirectAccess. Но, несмотря на все это, ваши домашние и рабочие компьютеры могут быть подвержены заражению потенциально опасным программным обеспечением, а также взломам недоброжелателями.
Для защиты, как рабочих, так и домашних компьютеров от несанкционированного доступа в Интернете и локальной сети, операционной системе Windows помогает встроенный брандмауэр Windows. Брандмауэр Windows в режиме повышенной безопасности позволяет создать гибкую модель безопасности ваших компьютеров. Принцип работы брандмауэра Windows в режиме повышенной безопасности основан на методе двусторонней фильтрации сетевого трафика, отсеивая несанкционированный трафик. Также, в том случае, если на вашем компьютере несколько сетевых адаптеров и подключений, брандмауэр Windows применяет определенные параметры безопасности для тех типов сетей, к которым в данный момент подключен пользователь. В операционной системе Windows 7 брандмауэр Windows вместе с настройками Internet Protocol Security (IPSec) расположены в оснастке консоли управления Microsoft (MMC), которая называется «Брандмауэр Windows в режиме повышенной безопасности». Протокол IPSec представляет собой систему открытых стандартов, предназначенных для обеспечения защищенных конфиденциальных подключений через IP-сети с использованием криптографических служб безопасности. Протокол IPsec поддерживает одноранговую проверку подлинности на уровне сети, проверку подлинности источника данных, целостность данных, их конфиденциальность (шифрование) и защиту повторения. Управлять брандмауэром можно как при помощи этой оснастки, так и средствами программы сетевой оболочки командной строки, которая позволяет настраивать и отображать состояние различных компонентов для сетевых подключений, установленных на компьютере с операционной системой Windows. Команды netsh выполняют все те же функции, что и оснастка консоли управления (MMC) для любого компонента.
В этом руководстве я расскажу о способах настройки брандмауэра Windows в режиме повышенной безопасности средствами командной строки.
Нововведения в брандмауэре Windows в режиме повышенной безопасности
В брандмауэре Windows в режиме повышенной безопасности появился ряд новых функций, некоторые из них:
В операционных системах Windows Vista и Windows Server 2008 одновременно может быть активен только один профиль. В том случае, если компьютер одновременно подключен более чем к одной сети, то применяются для всех сетей самые строгие правила. В Windows 7 и Windows Server 2008 R2, каждому сетевому адаптеру назначается свой профиль, независимо от любых других сетевых адаптеров компьютера;
При создании входящего правила брандмауэра, определяющего компьютер или пользователя, которому разрешен доступ к локальному компьютеру по сети, Windows 7 и Windows Server 2008 R2 поддерживает возможность указать исключения из утвержденного правила. Можно добавить группу в список уполномоченных, при этом ввести пользователя или компьютер в список исключений, которые являются членами уполномоченных групп.
Правила брандмауэра операционных систем Windows 7 и Windows Server 2008 R2 поддерживают динамическое шифрование, упрощая создание правил безопасности подключений IPsec, которые требуются для настроек шифрования каждого порта. Вы можете создать одно правило безопасности, как на клиенте, так и на сервере, которое обеспечивает защиту IPsec между сервером и всеми клиентами.
Вы можете создавать правила безопасности подключения с указанием аутентификации, кроме защиты от пакетов данных Encapsulating Security Payload (ESP) или Authenticated Header (AH). Эта функция позволяет создать защиту аутентификации в средах с сетевым оборудованием, которое несовместимо с ESP и AH.
В правилах брандмауэра можно указать, что только компьютеры и пользователи, прошедшие проверку подлинности могут устанавливать входящий туннель на сервер шлюза IPSec. В Windows 7 и Windows Server 2008 R2, вы можете определить группы пользователей или компьютеров, которым разрешено установить туннель на локальном компьютере.
В системах Windows 7 и Windows Server 2008 R2 появился новый контекст Netsh «MainMode», который включает команды, предназначенные для создания предложения основного режима для конкретного назначения IP-адреса или профиля. Каждая конфигурация основного режима может включать в себя обмен ключами шифрования, целостности и параметры подлинности алгоритма.
В системах Windows Vista и Windows Server 2008 все события брандмауэра записывались в журнал «Аудит», и записывались только в том случае, если была включена соответствующая категория аудита. В Windows 7 и Windows Server 2008 R2 все события брандмауэра записываются в журнал «Журналы приложений и службMicrosoftWindowsWindows Firewall with Advanced Security».
Использование команд Netsh для управления брандмауэром Windows
Команды утилиты Netsh для брандмауэра Windows в режиме повышенной безопасности предоставляют командной строке альтернативные возможности управления брандмауэром. При помощи команд Netsh можно настраивать и просматривать правила, исключения и конфигурацию брандмауэра.
Контекст Netsh firewall служит только для обратной совместимости с предыдущими версиями операционной системы Windows. Команда firewall работает на компьютерах под управлением Windows 7, Windows Server 2008 R2, Windows Vista, и Windows Server 2008, но не позволяет использовать новый функционал брандмауэра Windows, который появился в этих операционных системах. Также при помощи этой команды нельзя управлять и настраивать брандмауэр на удаленных компьютерах.
Во всех операционных системах, начиная с Windows Vista использовать контекст firewall не рекомендуется, в связи с тем, что при помощи этой команды можно создавать и изменять правила брандмауэра Windows только для домена и стандартного профиля. Правилами для общественных профилей при помощи контекста firewall можно управлять только в том случае, если они выполняются под текущим профилем
В операционных системах Windows 7 и Windows Server 2008 R2 можно использовать контекст netsh firewall, но при выводе команды вам будет показано следующее предупреждение, которое также показано на скриншоте:
«ВНИМАНИЕ!
Команда успешно выполнена. Тем не менее, команда "netsh firewall" устарела, вместо нее следует использовать "netsh advfirewall firewall". Дополнительные сведения об использовании команд "netsh advfirewall firewall" вместо "netsh firewall" см. в статье базы знаний 947709 на веб-сайте http://go.microsoft.com/fwlink/?linkid=121488 ».
Для управления правилами входящих и исходящих подключений брандмауэра Windows в режиме повышенной безопасности, рекомендуется использовать контекст netsh advfirewall, которая предназначена для создания и управления этих правил, а также ведением мониторинга брандмауэра Windows. Команду netsh advfirewall можно использовать только на компьютерах с операционной системой Windows Vista и более поздними версиями. Политики брандмауэра и IPSec, созданные средствами этого контекста не могут применяться для настройки компьютеров, оснащённых системой Windows Server 2003 или более ранними версиями. Для использования этого контекста в устаревших операционных системах нужно использовать утилиту Ipseccmd.exe, которая находится в папке SupportTools инсталляционного диска операционной системы. Этот контекст может оказаться полезным в следующих случаях:
Для выполнения команд netsh вам нужно состоять в группе «Администраторы» или «Операторы настройки сети». В противном случае вы сможете только просматривать настройки и правила брандмауэра Windows, но у вас не будет разрешений для создания и изменения конфигурации. Также, если на вашем компьютере включен контроль учетными записями пользователей, для использования функционала конфигурирования брандмауэра Windows в режиме повышенной безопасности вам потребуется выполнять команды из командной строки с повышенными правами. Для открытия командной строки с повышенными правами, нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Командная, в найденных результатах нажмите правой кнопкой мыши на командной строке и из контекстного меню выберите команду «Запуск от имени администратора». При появлении запроса контроля учетных записей пользователей предоставьте подтверждение.
Брандмауэр Windows в режиме повышенной безопасности является полноценным брандмауэром. Существует два типа брандмауэров - межсетевые экраны и индивидуальные брандмауэры. Межсетевые экраны - это сетевые брандмауэры, которые обычно расположены на границе между внутренней сетью и внешними сетями, такими как Интернет. Такие продукты бывают аппаратными, программными и комбинированными. Некоторые также обеспечивают функции прокси для приложений. Неплохими примерами межсетевых экранов являются ISA-Server и ForeFront Thread Management Getaway. К основным преимуществам межсетевых экранов можно отнести исследование пакетов, управление сетевым трафиком, исследование состояния всех соединений между узлами, а также обеспечения проверки подлинности и шифрования IPsec. Индивидуальные брандмауэры, примером которых является Брандмауэр Windows в режиме повышенной безопасности, защищают узел от несанкционированного доступа и атак. Также можно настроить Брандмауэр Windows в режиме повышенной безопасности на блокирование определенных типов исходящего трафика. Индивидуальные брандмауэры обеспечивают дополнительный уровень защиты в сети и выступают в качестве неотъемлемого компонента стратегии полной защиты. Этот тип брандмауэров проверяет и фильтрует все пакеты протокола IP версий 4 (IPv4) и 6 (IPv6). В отличие от межсетевых экранов, которые обычно разворачиваются между внутренней сетью и Интернетом, в брандмауэре Windows в режиме повышенной безопасности входящие пакеты проверяются и сравниваются со списком разрешенного трафика. Если этот пакет соответствует записи в списке, брандмауэр Windows передает пакет протоколу TCP/IP на дальнейшую обработку. В том случае, если он не соответствует записи в списке, то брандмауэр Windows удаляет пакет и создает запись в файле журнала брандмауэра Windows, если функция журналирования активна. Список разрешенного трафика может пополняться следующими способами:
Профиль брандмауэра - это способ объединения настроек, применяемых к компьютеру в зависимости от места подключения. Каждому сетевому адаптеру назначается профиль брандмауэра, соответствующий обнаруженному типу сети. В отличие от Windows Vista и Windows Server 2008, Windows 7 и Windows Server 2008 R2 поддерживают несколько активных профилей сетевых адаптеров. Существует три типа профилей: домен, общий и частный. В том случае, если соединение проходит проверку подлинности на контроллере домена, то сеть классифицируется как тип доменного размещения сети. Все остальные сети, которые не являются доменными, сначала попадают в категорию общедоступных профилей. Сети, через которые выполняется прямое подключение к Интернету или которые находятся в таких местах общего пользования, как аэропорты и кафе, следует указывать общедоступными. Операционная система Windows позволяет пользователю определить сеть. Домашняя сеть предназначена для использования компьютера дома или в офисе. Сеть предприятия предназначена для использования компьютера внутри организации. Для изменения классификации сети, пользователь должен иметь права администратора. Общий профиль считается наиболее строгим, далее следует частный профиль, а профиль домена считается наименее строгим.
При использовании профилей, брандмауэр Windows в режиме повышенной безопасности может автоматически разрешать входящий трафик, например, когда компьютер находится в домене, но полностью блокировать аналогичные действия, когда компьютер подключен к частным и общественным сетям. Таким образом, можно обеспечить гибкую и безопасную настройку внутренней сети.
Поскольку Брандмауэр Windows в режиме повышенной безопасности по умолчанию блокирует весь входящий незапрошенный сетевой трафик, может потребоваться настройка правил программ, портов или системных служб для программ или служб, выступающих в роли серверов, прослушивателей или узлов одноранговой сети. Для управления брандмауэром Windows в режиме повышенной безопасностью при помощи командной строки существуют следующие контексты:
В следующих частях статьи по брандмауэру Windows в режиме повышенной безопасности будет подробно рассказано о контекстах Netsh advfirewall, а также о настройках брандмауэра при помощи групповых политик, изоляции доменов и серверов, и о настройке IPSec средствами контекста Netsh Ipsecdosprotection.
Брандмауэр Windows в режиме повышенной безопасности в Windows Vista™ — это узловой брандмауэр с отслеживанием состояния подключений, фильтрующий входящие и исходящие соединения в соответствии с заданными настройками. Обычная пользовательская конфигурация брандмауэра Windows по-прежнему доступна в панели управления, а расширенная конфигурация выведена в оснастку MMC, называющуюся «Брандмауэр Windows в режиме повышенной безопасности». Эта оснастка предоставляет интерфейс для настройки брандмауэра Windows не только на локальном, но и на удаленных компьютерах, а также при помощи групповой политики. Настройки брандмауэра теперь объединены с настройками протокола IPsec, что обеспечивает их более тесную взаимосвязь: брандмауэр Windows может фильтровать трафик, основываясь на результатах согласований IPsec. Брандмауэр Windows в режиме повышенной безопасности позволяет использовать различные профили для ситуаций, когда компьютер находится в домене, подключен к частной или публичной сети. Возможно также создание правил для применения политик изоляции сервера и домена. Брандмауэр Windows в режиме повышенной безопасности позволяет создавать более подробные правила, чем предыдущие версии брандмауэра Windows. В качестве параметров в правилах могут быть указаны: пользователи и группы службы каталогов Active Directory, IP-адреса источника и получателя, номера портов, параметры ICMP, IPsec, типы интерфейсов, служб и т. д.
Глубинная защита – это реализация политики безопасности, задействующей различные методы защиты компьютеров и всех компонентов сети. Под защитой оказываются как периметр сети, так и внутренние сети, компьютеры во внутренних сетях, приложения, работающие на серверах и клиентах, а также данные, хранящиеся на серверах и клиентах сети.
Существует два основных типа брандмауэров – брандмауэры, располагающиеся на периметре сети, и узловые брандмауэры, работающие на отдельных рабочих станциях внутри сети.
Сетевые брандмауэры, располагающиеся на периметре сети, выполняют различные функции. Такие брандмауэры могут быть аппаратными, программными или комбинированными. Некоторые из них могут работать как программные прокси-серверы — например, Microsoft® Internet Security and Acceleration (ISA) Server. Большинство внешних брандмауэров выполняют некоторые или все из следующих функций:
Брандмауэры периметра сети не обеспечивают защиту от трафика, сгенерированного внутри доверенной сети, поэтому необходимы узловые брандмауэры, работающие на каждом компьютере. Узловые брандмауэры, одним из которых является брандмауэр Windows в режиме повышенной безопасности, защищают узлы сети от атак и неавторизованного доступа. Брандмауэр Windows в режиме повышенной безопасности может быть также настроен на блокирование определенных типов исходящего трафика. Узловые брандмауэры обеспечивают дополнительный уровень защиты в сети и являются важным компонентом в общей системе безопасности. air jordan en soldes В брандмауэре Windows в режиме повышенной безопасности фильтрация пакетов объединена с IPsec. Благодаря этому значительно снижается вероятность конфликтов между правилами брандмауэра и настройками безопасности соединений IPsec.
Брандмауэр Windows в режиме повышенной безопасности может быть использован в следующих основных конфигурациях:
Многие приложения подключаются к Интернету для проверки обновлений, получения актуальной информации и в целях улучшения взаимодействия пользователей. Однако создание приложений, автоматически адаптирующихся к изменяющимся условиям работы в сети, представляет собой определенную трудность для разработчиков. Интерфейс программирования приложений службы сетевого расположения (Network Awareness API) позволяет приложениям реагировать на изменения условий работы сети, к которой подключен компьютер. Например, при переводе портативного компьютера в ждущий режим в момент нахождения в корпоративной сети и возобновлении работы в зоне действия беспроводной точки доступа. С помощью API сетевого расположения ОС Windows Vista передает приложениям информацию об изменении типа сети, в которой находится компьютер, позволяя программам менять свое поведение и обеспечивая пользователям спокойную работу. Windows Vista определяет параметры и сохраняет данные о каждой сети, к которой подключается компьютер. Затем с помощью API сетевого расположения приложения запрашивают характеристики каждой из этих сетей, в том числе:
Брандмауэр Windows в режиме повышенной безопасности работает по-разному в зависимости от типа сетевого расположения, которых насчитывается три:
Когда пользователь подключается к сети, не являющейся частью домена, Windows Vista запрашивает, каким образом нужно ее определить – как публичную или как частную. Пользователь должен обладать правами администратора, чтобы отнести сеть к категории частной. После определения типа сети, к которой подключен компьютер, Windows Vista может оптимизировать параметры конфигурации, в том числе настройки брандмауэра, для работы в сети этого типа. Брандмауэр Windows в режиме повышенной безопасности – пример приложения, регистрирующего сетевое расположение. Администратор может создавать профили для каждого типа сетей, содержащие различные правила для брандмауэра. Например, брандмауэр Windows может автоматически разрешать входящий трафик для определенной программы управления компьютером, когда компьютер находится в домене, и блокировать этот же трафик в условиях публичной или частной сети. Таким образом, осведомленность программ о конфигурации сетей обеспечивает гибкость работы во внутренней сети предприятия без ущерба для безопасности пользователей при путешествии. Профиль для публичных сетей должен иметь более жесткие правила брандмауэра, препятствующие неавторизованному доступу к системе. С другой стороны, профиль для частных сетей может содержать менее строгие правила брандмауэра, разрешающие доступ к общим файлам и принтерам, обнаружение одноранговых узлов в сети и подключение устройств, поддерживающих технологию немедленного подключения Windows (Windows Connect Now). В каждый момент может быть задействован только один профиль. Профили применяются в следующем порядке: сначала для публичных сетей, затем для частных, потом для домена. Условия применения профилей следующие:
По умолчанию блокируется весь входящий трафик (или его бо
льшая часть), за исключением основного сетевого трафика. В профиле для частных сетей разрешается трафик сетевого обнаружения и удаленного помощника. Для прохождения через брандмауэр других видов трафика необходимо создавать соответствующие правила. По умолчанию разрешен весь исходящий трафик. Блокировка определенных программ или типов исходящего трафика осуществляется путем создания правил.
В сети на основе Microsoft Windows серверы и ресурсы домена могут быть логически изолированы, с тем чтобы предоставить к ним доступ только для аутентифицированных и авторизованных компьютеров. Например, внутри существующей физической сети можно создать логическую сеть, объединяющую компьютеры общими требованиями безопасного взаимодействия. Для обеспечения возможности подключения каждый компьютер в такой логически изолированной сети должен предоставить учетные данные для аутентификации другим компьютерам этой же логической сети. Такая изоляция позволяет избежать предоставления неавторизованным компьютерам и программам нежелательного доступа к ресурсам. Запросы от компьютеров, не входящих в изолированную сеть, игнорируются. Изоляция сервера и домена позволяет защитить важные серверы и данные, а также управляемые компьютеры от посторонних либо злонамеренных пользователей и компьютеров. Для защиты сети могут использоваться два типа изоляции:
Для получения дополнительной информации об изоляции сервера и домена обратитесь к статье Изоляция сервера и домена
Server and Domain Isolation (EN).
Брандмауэр Windows в режиме повышенной безопасности можно настроить различными способами как на локальном, так и на удаленных компьютерах. Такими способами являются:
Брандмауэр Windows в режиме повышенной безопасности применяет правила в порядке, указанном ниже.
Порядок применения | Тип правила | Описание |
1 | Усиление служб Windows | Правила этого типа ограничивают службы в установлении соединений. С момента установки системы действуют ограничения служб, согласно которым службы могут использовать соединения лишь строго определенным способом (то есть обмениваться разрешенным трафиком только через указанный порт). Однако разрешение на обмен трафиком начинает действовать только после создания правил для брандмауэра. Независимые разработчики могут использовать API ограничения служб Windows для работы с собственными службами. |
2 | Правила безопасности подключений | В соответствии с правилами этого типа определяется, каким образом и в каких условиях выполняется аутентификация IPsec. adidas nmd Правила безопасности подключения используются при организации изоляции сервера или домена, а также при реализации политики защиты сетевого доступа (Network Access Protection, NAP). |
3 | Обход правил для аутентифицированных подключений | В случае, если трафик защищен IPsec, правила этого типа разрешают соединения от определенных компьютеров независимо от действия других правил для входящих соединений. Примерами процессов, которым может быть разрешено устанавливать входящие соединения в обход правил блокирования входящего трафика, являются программы обнаружения уязвимостей в других программах, компьютерах и сетях. |
4 | Правила блокирования | Правила этого типа пре
дписывают блокирование определенного вида входящего или исходящего трафика. |
5 | Разрешающие правила | Правила этого типа указывают вид разрешенного входящего или исходящего трафика. |
6 | Правила по умолчанию | Эти правила определяют действия для трафика, не подходящего ни под одно из действующих правил более высокого приоритета. Сразу после установки системы правилом по умолчанию для входящих соединений является блокирование, для исходящих – разрешение. |
Оснастку «Брандмауэр Windows в режиме повышенной безопасности» можно открыть одним из следующих способов.
Добавление оснастки “Брандмауэр Windows в режиме повышенной безопасности” в консоль управления (MMC) | |
|
Для настройки свойств брандмауэра, в панели Обзор
откройте ссылку Свойства брандмауэра Windows
. В окне Брандмауэр Windows в режиме повышенной безопаности на Локальный компьютер
имеются вкладки для каждого из трех доступных профилей (Профиль домена
, Частный профиль
и Общий профиль
), а также вкладка Параметры IPsec
.
Опции на вкладках для всех профилей одинаковы. С их помощью можно определить, каким образом брандмауэр Windows в режиме повышенной безопасности будет реагировать на события при подключении к данному типу сети. Для настройки доступны следующие параметры:
Примечание
. При настройке брандмауэра при помощи групповой политики необходимо предоставить службе брандмауэра Windows разрешение на запись (отраженное в идентификаторе безопасности службы, SID) в файл по указанному пути.
Чтобы открыть диалоговое окно Выбор параметров IPsec , перейдите на вкладку Параметры IPsec окна Брандмауэр Windows в режиме повышенной безопасности на Локальный компьютер и нажмите кнопку Настроить . Здесь можно изменить следующие параметры, влияющие на безопасность соединений:
Для брандмауэра Windows в режиме повышенной безопасности можно создать правила следующих типов:
Правило безопасности подключений определяет, каким образом два узла сети проверяют подлинность друг друга перед установкой соединения и как обеспечивается безопасность передаваемой информации. Для применения этих правил брандмауэр Windows использует протокол IPsec. Можно создать правила безопасности подключений следующих типов:
Для получения дополнительной информации о настройке профилей и параметров IP-безопасности, просмотре и создании правил, а также о создании правил безопасности соединений обратитесь к разделу Введение
(EN) в статье Брандмауэр Windows
Windows Firewall (EN).
Для централизации управления большим количеством компьютеров в корпоративной сети на основе Active Directory, настройки брандмауэра Windows в режиме повышенной безопасности могут быть распространены через групповую политику. С помощью групповой политики можно указать любые параметры брандмауэра Windows, в том числе настройки профилей, правила фильтрации и правила безопасности подключений. Изменения настроек брандмауэра Windows через групповую политику происходят путем открытия в редакторе объектов групповых политик той же оснастки, что используется при настройке бандмауэра на локальном компьютере. Компьютеры, входящие в домен, запрашивают обновления групповой политики, являющиеся запрашиваемым трафиком, который по умолчанию разрешается брандмауэром Windows (если не создано правило блокирования исходящих подключений).
Предупреждение | |
Если после развертывания настроек брандмауэра Windows в режиме повышенной безопасности через групповую политику вы заблокируете исходящие подключения, необходимо будет с помощью групповой политики активировать правила для исходящих соединений и протестировать работоспособность сети перед применением настроек. В противном случае компьютеры, ожидающие обновлений групповой политики, не смогут их получать, пока настройки не будут исправлены вручную. |
В предыдущих версиях Windows обработка групповой политики происходит в следующих случаях:
В Windows Vista групповые политики обрабатываются также в следующих случаях:
Эти дополнительные условия позволяют компьютерам чаще получать обновления групповой политики, в том числе при каждом изменении состояния подключений.
Netsh
– это утилита командной строки, используемая для настройки сетевых компонентов. В Windows Vista брандмауэр Windows в режиме повышенной безопасности можно настроить с помощью набора команд контекста Netsh advfirewall
. Команда Netsh
позволяет создавать сценарии для автоматической настройки параметров брандмауэра Windows, правила брандмауэра, следить за состоянием подключений и просматривать конфигурацию и состояние брандмауэра Windows. Перед использованием команд Netsh
необходимо запустить сеанс командной строки с повышенными привилегиями.
Чтобы войти в контекст Netsh advfirewall, наберите в командной строке netsh Командная строка теперь отображает контекст netsh. Наберите advfirewall В контексте netsh advfirewall доступны следующие команды:
Кроме собственных команд, контекст advfirewall поддерживает четыре субконтекста. Чтобы войти в субконтекст, наберите его название в контексте netsh advfirewall. Доступны следующие субконтексты:
Брандмауэр Windows в режиме повышенной безопасности содержит встроенные инструменты для просмотра правил брандмауэра, правил безопасности подключений и сопоставлений безопасности.
В этом разделе отображается подробная информация обо всех действующих правилах для входящего и исходящего трафика.
В этом разделе отображаются следующие сведения:
Брандмауэр Windows в режиме повышенной безопасности – узловой брандмауэр с отслеживанием состояния подключений, блокирующий входящие и исходящие подключения в зависимости от указанных настроек. В то время как обычная пользовательская конфигурация брандмауэра по-прежнему доступна в разделе «Брандмауэр Windows» панели управления, расширенная конфигурация выделена в оснастку консоли управления «Брандмауэр Windows в режиме повышенной безопасности». Функции брандмауэра теперь объединены с настройками IP-безопасности, что снижает возможность конфликта между двумя механизмами защиты. Брандмауэр Windows в режиме повышенной безопасности работает совместно со службой сетевого расположения (Network Location Awareness, NLA), благодаря чему настройки безопасности применяются в зависимости от типа сети, в которой находится компьютер. Брандмауэр Windows в режиме повышенной безопасности поддерживает различные профили для ситуаций, когда компьютер находится в составе домена, подключен к частной или публичной сети.