Приступая к работе с брандмауэром Windows в режиме повышенной безопасности

Club logo

Брандмауэр Windows в режиме повышенной безопасности в Windows Vista™ - это узловой брандмауэр с отслеживанием состояния подключений, фильтрующий входящие и исходящие соединения в соответствии с заданными настройками. Обычная пользовательская конфигурация брандмауэра Windows по-прежнему доступна в панели управления, а расширенная конфигурация выведена в оснастку MMC, называющуюся «Брандмауэр Windows в режиме повышенной безопасности». Эта оснастка предоставляет интерфейс для настройки брандмауэра Windows не только на локальном, но и на удаленных компьютерах, а также при помощи групповой политики. Настройки брандмауэра теперь объединены с настройками протокола IPsec, что обеспечивает их более тесную взаимосвязь: брандмауэр Windows может фильтровать трафик, основываясь на результатах согласований IPsec.

Брандмауэр Windows в режиме повышенной безопасности позволяет использовать различные профили для ситуаций, когда компьютер находится в домене, подключен к частной или публичной сети. Возможно также создание правил для применения политик изоляции сервера и домена. Брандмауэр Windows в режиме повышенной безопасности позволяет создавать более подробные правила, чем предыдущие версии брандмауэра Windows. В качестве параметров в правилах могут быть указаны: пользователи и группы службы каталогов Active Directory, IP-адреса источника и получателя, номера портов, параметры ICMP, IPsec, типы интерфейсов, служб и т. д.

В этом документе

Брандмауэр Windows в режиме повышенной безопасности и стратегия глубинной защиты

Типы брандмауэров

Основные варианты развертывания

Новые и улучшенные функции брандмауэра Windows в режиме повышенной безопасности

Управление брандмауэром Windows в режиме повышенной безопасности

Использование утилиты командной строки Netsh advfirewall

Наблюдение

Заключение

Дополнительные ресурсы

Брандмауэр Windows в режиме повышенной безопасности и стратегия глубинной защиты

Глубинная защита – это реализация политики безопасности, задействующей различные методы защиты компьютеров и всех компонентов сети. Под защитой оказываются как периметр сети, так и внутренние сети, компьютеры во внутренних сетях, приложения, работающие на серверах и клиентах, а также данные, хранящиеся на серверах и клиентах сети.

Наверх страницы

Типы брандмауэров

Существует два основных типа брандмауэров – брандмауэры, располагающиеся на периметре сети, и узловые брандмауэры, работающие на отдельных рабочих станциях внутри сети.

Брандмауэры периметра сети

Сетевые брандмауэры, располагающиеся на периметре сети, выполняют различные функции. Такие брандмауэры могут быть аппаратными, программными или комбинированными. Некоторые из них могут работать как программные прокси-серверы - например, Microsoft® Internet Security and Acceleration (ISA) Server.

Большинство внешних брандмауэров выполняют некоторые или все из следующих функций:

  • Управление и контроль за сетевым трафиком с помощью фильтрации на основании регистрации состояния связи, отслеживание соединений и фильтрация пакетов на уровне приложений.

  • Анализ состояния соединений путем отслеживания всех сообщений между узлами и сохранения данных о соединениях в таблицах состояния.

  • Шлюз виртуальной частной сети (VPN). Аутентификация и шифрование IPsec с прохождением преобразователя сетевых адресов (NAT-T), позволяющие разрешенному трафику IPsec проходить через брандмауэр с трансляцией IPv4 адресов из публичных в частные.

 *Примечание
 

В Windows Vista также используется новый метод преобразования сетевых адресов для пакетов IPv6, известный под названием Teredo.

Узловые брандмауэры

Брандмауэры периметра сети не обеспечивают защиту от трафика, сгенерированного внутри доверенной сети, поэтому необходимы узловые брандмауэры, работающие на каждом компьютере. Узловые брандмауэры, одним из которых является брандмауэр Windows в режиме повышенной безопасности, защищают узлы сети от атак и неавторизованного доступа.

Брандмауэр Windows в режиме повышенной безопасности может быть также настроен на блокирование определенных типов исходящего трафика. Узловые брандмауэры обеспечивают дополнительный уровень защиты в сети и являются важным компонентом в общей системе безопасности.

В брандмауэре Windows в режиме повышенной безопасности фильтрация пакетов объединена с IPsec. Благодаря этому значительно снижается вероятность конфликтов между правилами брандмауэра и настройками безопасности соединений IPsec.

 *Примечание
 

IPsec предоставляет защитную структуру для уровня 3 (сетевого уровня) стека протоколов TCP/IP. IPsec является набором протоколов, обеспечивающих конфиденциальность, целостность и аутентификацию данных при их передаче между узлами сети.

Наверх страницы

Основные варианты развертывания

Брандмауэр Windows в режиме повышенной безопасности может быть использован в следующих основных конфигурациях:

  • В качестве узлового брандмауэра, определяющего тип сети

  • Для изоляция сервера и домена

Узловой брандмауэр, определяющий тип сети

Многие приложения подключаются к Интернету для проверки обновлений, получения актуальной информации и в целях улучшения взаимодействия пользователей. Однако создание приложений, автоматически адаптирующихся к изменяющимся условиям работы в сети, представляет собой определенную трудность для разработчиков. Интерфейс программирования приложений службы сетевого расположения (Network Awareness API) позволяет приложениям реагировать на изменения условий работы сети, к которой подключен компьютер. Например, при переводе портативного компьютера в ждущий режим в момент нахождения в корпоративной сети и возобновлении работы в зоне действия беспроводной точки доступа. С помощью API сетевого расположения ОС Windows Vista передает приложениям информацию об изменении типа сети, в которой находится компьютер, позволяя программам менять свое поведение и обеспечивая пользователям спокойную работу.

Windows Vista определяет параметры и сохраняет данные о каждой сети, к которой подключается компьютер. Затем с помощью API сетевого расположения приложения запрашивают характеристики каждой из этих сетей, в том числе:

  • Возможность соединения. Сеть может быть отключена, может предоставлять доступ только к локальным ресурсам либо к локальным ресурсам и Интернету.

  • Соединения. Windows Vista может иметь несколько подключений к сети. API сетевого расположения позволяет приложениям определять, какие соединения используются в данный момент для подключения к определенной сети.

  • Категория. Каждой сети в Windows Vista присваивается категория, соответствующая типу данной сети. Некоторые параметры Windows Vista изменяются в зависимости от категории сетей, к которым подключен компьютер. Например, брандмауэр Windows в режиме повышенной безопасности применяет разные политики в зависимости от типов сетей, в состав которых в данный момент входит компьютер под управлением Windows Vista.

Брандмауэр Windows в режиме повышенной безопасности работает по-разному в зависимости от типа сетевого расположения, которых насчитывается три:

  • Домен. Windows Vista автоматически определяет сети, в которых ОС может аутентифицировать доступ к контроллеру домена, в состав которого входит компьютер. К этой категории не могут относиться другие сети.

  • Публичная сеть. Сеть, не являющаяся частью домена, считается публичной. Сети, имеющие прямые подключения к Интернету, а также располагающиеся в общественных местах (таких как аэропорты или кафе), необходимо относить к категории публичных.

  • Частная сеть. Сеть будет считаться частной только в том случае, если приложение или пользователь определит ее как таковую. К частным следует относить только сети, располагающиеся за устройством NAT, желательно аппаратным брандмауэром. Обычно в качестве частных обозначаются домашние или малые офисные сети.

Когда пользователь подключается к сети, не являющейся частью домена, Windows Vista запрашивает, каким образом нужно ее определить – как публичную или как частную. Пользователь должен обладать правами администратора, чтобы отнести сеть к категории частной. После определения типа сети, к которой подключен компьютер, Windows Vista может оптимизировать параметры конфигурации, в том числе настройки брандмауэра, для работы в сети этого типа.

Брандмауэр Windows в режиме повышенной безопасности – пример приложения, регистрирующего сетевое расположение. Администратор может создавать профили для каждого типа сетей, содержащие различные правила для брандмауэра. Например, брандмауэр Windows может автоматически разрешать входящий трафик для определенной программы управления компьютером, когда компьютер находится в домене, и блокировать этот же трафик в условиях публичной или частной сети. Таким образом, осведомленность программ о конфигурации сетей обеспечивает гибкость работы во внутренней сети предприятия без ущерба для безопасности пользователей при путешествии. Профиль для публичных сетей должен иметь более жесткие правила брандмауэра, препятствующие неавторизованному доступу к системе. С другой стороны, профиль для частных сетей может содержать менее строгие правила брандмауэра, разрешающие доступ к общим файлам и принтерам, обнаружение одноранговых узлов в сети и подключение устройств, поддерживающих технологию немедленного подключения Windows (Windows Connect Now). В каждый момент может быть задействован только один профиль. Профили применяются в следующем порядке: сначала для публичных сетей, затем для частных, потом для домена.

Условия применения профилей следующие:

  1. Если все сетевые интерфейсы аутентифицированы на контроллере домена, в который входит компьютер, применяется профиль домена.

  2. Если все сетевые интерфейсы аутентифицированы на контроллере домена либо подключены к частным сетям, применяется профиль для частных сетей.

  3. В остальных случаях применяется профиль для публичных сетей.

По умолчанию блокируется весь входящий трафик (или его большая часть), за исключением основного сетевого трафика. В профиле для частных сетей разрешается трафик сетевого обнаружения и удаленного помощника. Для прохождения через брандмауэр других видов трафика необходимо создавать соответствующие правила. По умолчанию разрешен весь исходящий трафик. Блокировка определенных программ или типов исходящего трафика осуществляется путем создания правил.

Изоляция сервера и домена

В сети на основе Microsoft Windows серверы и ресурсы домена могут быть логически изолированы, с тем чтобы предоставить к ним доступ только для аутентифицированных и авторизованных компьютеров. Например, внутри существующей физической сети можно создать логическую сеть, объединяющую компьютеры общими требованиями безопасного взаимодействия. Для обеспечения возможности подключения каждый компьютер в такой логически изолированной сети должен предоставить учетные данные для аутентификации другим компьютерам этой же логической сети.

Такая изоляция позволяет избежать предоставления неавторизованным компьютерам и программам нежелательного доступа к ресурсам. Запросы от компьютеров, не входящих в изолированную сеть, игнорируются. Изоляция сервера и домена позволяет защитить важные серверы и данные, а также управляемые компьютеры от посторонних либо злонамеренных пользователей и компьютеров.

Для защиты сети могут использоваться два типа изоляции:

  • Изоляция сервера. При использовании этого типа изоляции определенные серверы настраиваются таким образом, что для соединения с сервером другие подключаемые компьютеры должны удовлетворять требованиям политики IPsec. Например, можно настроить сервер базы данных на прием соединений только от сервера веб-приложений.

  • Изоляция домена. Изоляция домена осуществляется с помощью службы каталогов Active Directory. Компьютеры, входящие в Active Directory, настраиваются на прием только аутентифицированных и защищенных соединений от других членов домена. Изолированная сеть состоит только из компьютеров, входящих в домен. При изоляции домена используется политика IPsec, обеспечивающая защиту трафика между всеми компьютерами в домене - как клиентами, так и серверами.

Для получения дополнительной информации об изоляции сервера и домена обратитесь к статье Изоляция сервера и домена Server and Domain Isolation (EN).

Наверх страницы

Новые и улучшенные функции брандмауэра Windows в режиме повышенной безопасности

  • Интеграция с IPsec

    В оснастке Брандмауэр Windows в режиме повышенной безопасности настройки фильтрации брандмауэра и правил IPsec объединены. На компьютерах, работающих под управлением прежних версий ОС Windows, для настройки IPsec необходимо обращаться к отдельной оснастке Управление политиками IPsec.

  • Расширенные возможности обхода правил для аутентифицированных подключений

    С помощью аутентификации IPsec можно создать правила для определенных компьютеров, в соответствии с которыми соединения с этих компьютеров будут пропускаться через брандмауэр Windows в режиме повышенной безопасности в обход других правил. Благодаря этому можно будет блокировать некоторый тип трафика, но при этом позволять аутентифицированным компьютерам обходить этот запрет. Особенно ценной эта возможность будет при использовании сканеров уязвимостей – программ, сканирующих приложения, компьютеры и сети на предмет наличия возможных уязвимостей (например, сканеров портов). До выхода Windows Vista с помощью IPsec можно было настроить полный доступ с одного компьютера к другому, однако нельзя было при этом указать порты, протоколы и т. д. - обеспечивался либо полный доступ, либо никакого. В Windows Vista брандмауэр Windows позволяет аутентифицированным подключениям обходить правила блокирования трафика. Администраторы могут предоставлять доступ по номерам портов, названиям программ, а также именам компьютеров или групп компьютеров.

  • Ограничение сетевого доступа для служб Windows

    Усиление служб Windows (Windows Service Hardening) позволяет предотвратить возможное использование важных служб Windows для осуществления злонамеренного воздействия на файловую систему, реестр или сеть. В случае обнаружения ненормальной активности, предусмотренной правилами усиления служб Windows, брандмауэр заблокирует ее. Если служба в результате действия эксплойта начнет выполнять вредоносный код, усиление служб Windows не позволит ей установить входящее или исходящее соединение через неавторизованные порты. Таким образом, воздействие вредоносного кода на систему будет снижено. Такому ограничению можно подвергнуть не только службы Windows, но и службы, используемые в программном обеспечении сторонних производителей.

  • Подробные правила

    Изначально брандмауэр Windows фильтрует как входящие, так и исходящие соединения. В соответствии с политикой по умолчанию блокируется большинство входящих соединений и разрешаются все исходящие. С помощью интерфейса брандмауэра Windows в режиме повышенной безопасности можно создавать правила для входящих и исходящих соединений. Брандмауэр Windows в режиме повышенной безопасности также поддерживает фильтрацию любых номеров протоколов управления присвоенными номерами Интернета (Internet Assigned Numbers Authority, IANA), в то время как предыдущие версии брандмауэра Windows позволяли фильтровать только пакеты протоколов UDP, TCP и ICMP. В брандмауэре Windows в режиме повышенной безопасности в качестве условий фильтрации могут быть указаны учетные записи и группы служб домена Active Directory®, названия приложений, параметры TCP, UDP, ICMPv4, ICMPv6, локальные и удаленные IP-адреса, типы и протоколы интерфейсов, а также типы трафика ICMP.

  • Фильтрация исходящих соединений

    Наряду с входящими соединениями, брандмауэр Windows фильтрует и исходящие. Благодаря этому администраторы могут в соответствии с корпоративными политиками безопасности ограничивать круг приложений, открывающих исходящие соединения.

  • Профили, зависимые от расположения

    Брандмауэр может быть настроен на использование различных параметров и правил для следующих профилей:

    • Домен. Используется, когда компьютер аутентифицирован в домене Active Directory. Этот профиль применяется, если для всех интерфейсов применяется аутентификация на контроллере домена.

    • Частный. Используется, когда компьютер находится в частной сети за шлюзом или маршрутизатором. Только пользователь с правами администратора может определить сеть в качестве частной.

    • Публичный. Используется, когда компьютер находится в неизвестной сети в общественном месте. Этот профиль применяется, если по крайней мере один сетевой интерфейс подключен к публичной или неизвестной сети.

  • Правила на основе имен пользователей, компьютеров и групп в Active Directory

    Правила фильтрации соединений могут создаваться на основе имен пользователей, компьютеров и групп в Active Directory. Для применения этих правил соединения должны быть защищены по протоколу IPsec с помощью учетных данных, содержащих информацию об учетных записях в Active Directory, - например, как это реализовано в протоколе аутентификации Kerberos V5.

  • Поддержка протокола IPv6

    Брандмауэр Windows в режиме повышенной безопасности полностью поддерживает протоколы IPv6, преобразование сетевых адресов IPv6 в IPv4 (6to4), а также новый метод трансляции сетевых адресов (NAT) для IPv6, известный под названием Teredo.

Наверх страницы

Управление брандмауэром Windows в режиме повышенной безопасности

Брандмауэр Windows в режиме повышенной безопасности можно настроить различными способами как на локальном, так и на удаленных компьютерах. Такими способами являются:

  • Настройка брандмауэра на локальном или удаленном компьютере с помощью оснастки “Брандмауэр Windows в режиме повышенной безопасности” либо команды Netsh advfirewall.

  • Настройка брандмауэра Windows в режиме повышенной безопасности с помощью редактора объектов групповой политики или команды Netsh advfirewall.

Брандмауэр Windows в режиме повышенной безопасности применяет правила в порядке, указанном ниже.

 *Примечание
 

Правила разрешения и блокирования применяются в зависимости от степени их подробности. Например, если в правиле 1 указаны параметры А и Б, а в правиле 2 – параметры А, Б и В, правило 2 будет иметь более высокий приоритет.



Порядок применения

Тип правила

Описание

1

Усиление служб Windows

Правила этого типа ограничивают службы в установлении соединений. С момента установки системы действуют ограничения служб, согласно которым службы могут использовать соединения лишь строго определенным способом (то есть обмениваться разрешенным трафиком только через указанный порт). Однако разрешение на обмен трафиком начинает действовать только после создания правил для брандмауэра.

Независимые разработчики могут использовать API ограничения служб Windows для работы с собственными службами.

2

Правила безопасности подключений

В соответствии с правилами этого типа определяется, каким образом и в каких условиях выполняется аутентификация IPsec. Правила безопасности подключения используются при организации изоляции сервера или домена, а также при реализации политики защиты сетевого доступа (Network Access Protection, NAP).

3

Обход правил для аутентифицированных подключений

В случае, если трафик защищен IPsec, правила этого типа разрешают соединения от определенных компьютеров независимо от действия других правил для входящих соединений. Примерами процессов, которым может быть разрешено устанавливать входящие соединения в обход правил блокирования входящего трафика, являются программы обнаружения уязвимостей в других программах, компьютерах и сетях.

4

Правила блокирования

Правила этого типа предписывают блокирование определенного вида входящего или исходящего трафика.

5

Разрешающие правила

Правила этого типа указывают вид разрешенного входящего или исходящего трафика.

6

Правила по умолчанию

Эти правила определяют действия для трафика, не подходящего ни под одно из действующих правил более высокого приоритета. Сразу после установки системы правилом по умолчанию для входящих соединений является блокирование, для исходящих – разрешение.

 *Примечание
 

Данный порядок выполнения правил действует всегда, даже для правил, указанных посредством групповой политики. Правила (в том числе применяемые в соответствии с групповыми политиками) сначала сортируются по приоритету, а затем применяются. Администраторы домена могут разрешать либо запрещать локальным администраторам создание правил.

Настройка параметров в оснастке «Брандмауэр Windows в режиме повышенной безопасности» на отдельном компьютере

Оснастку «Брандмауэр Windows в режиме повышенной безопасности» можно открыть одним из следующих способов.

 

Открытие оснастки «Брандмауэр Windows в режиме повышенной безопасности» через панель управления

  
 

  1. В меню Пуск выберите раздел Панель управления.

  2. В панели управления перейдите в раздел Система и ее обслуживание.

  3. Внизу экрана выберите пункт Администрирование.

  4. Дважды щелкните по значку Брандмауэр Windows в режиме повышенной безопасности.

 

Добавление оснастки “Брандмауэр Windows в режиме повышенной безопасности” в консоль управления (MMC)

 

  1. Нажмите кнопку Пуск, перейдите в меню Все программы, затем в меню Стандартные и выберите пункт Выполнить.

  2. В поле Открыть наберите команду mmc и нажмите клавишу Enter.

  3. Если появится окно Контроль учетных записей пользователей, проверьте представленную информацию и подтвердите выполнение действия.

  4. В меню Консоль выберите пункт Добавить или удалить оснастку.

  5. В списке Доступные оснастки выберите пункт Брандмауэр Windows в режиме повышенной безопасности и нажмите кнопку Добавить.

  6. Нажмите кнопку ОК.

  7. Повторите шаги 1-6, чтобы добавить Редактор объектов групповой политики, Монитор IP-безопасности, Управление политикой IP-безопасности и другие оснастки, с помощью которых можно настроить IPsec и групповые политики. Для просмотра файлов аудита можно также добавить оснастку Просмотр событий.

  8. Перед закрытием оснастки сохраните консоль под каким-либо именем для будущего использования.

Настройка брандмауэра

Для настройки свойств брандмауэра, в панели Обзор откройте ссылку Свойства брандмауэра Windows. В окне Брандмауэр Windows в режиме повышенной безопаности на Локальный компьютер имеются вкладки для каждого из трех доступных профилей (Профиль домена, Частный профиль и Общий профиль), а также вкладка Параметры IPsec.

Настройка профиля

Опции на вкладках для всех профилей одинаковы. С их помощью можно определить, каким образом брандмауэр Windows в режиме повышенной безопасности будет реагировать на события при подключении к данному типу сети. Для настройки доступны следующие параметры:

  • Состояние брандмауэра. Брандмауэр Windows в режиме повышенной безопасности может быть включен или выключен в разных профилях независимо друг от друга.

  • Входящие подключения. Для входящих подключений может быть задано одно из следующих правил:

    • Блокировать (по умолчанию). Брандмауэр Windows в режиме повышенной безопасности блокирует соединения, не соответствующие ни одному из действующих правил.

    • Блокировать все подключения. Брандмауэр Windows в режиме повышенной безопасности блокирует все входящие подключения независимо от действующих правил.

    • Разрешить. Брандмауэр Windows в режиме повышенной безопасности разрешает соединения, не соответствующие действующим правилам.

  • Исходящие подключения. Для исходящих подключений может быть задано одно из следующих правил:

    • Разрешить (по умолчанию). Брандмауэр Windows в режиме повышенной безопасности разрешает подключения, не соответствующие ни одному из действующих правил.

    • Блокировать. Брандмауэр Windows в режиме повышенной безопасности блокирует подключения, не соответствующие действующим правилам.

  • Параметры. Нажав кнопку Настроить, можно изменить следующие параметры:

    • Отображать уведомления для пользователя, когда программе запрещено принимать входящие подключения. Этот параметр определяет, будет ли пользователь получать уведомление при блокировании брандмауэром входящего подключения. Если разрешены локальные действия вместо определенных через групповую политику, будет отображен запрос о том, разрешить программе входящие подключение или нет.

    • Разрешить одноадресный ответ на многоадресный или сетевой трафик. Значение Да этого параметра позволяет компьютеру получать одноадресные ответы на исходящие многоадресные или широковещательные запросы.

    • Объединение правилПравила локального брандмауэра. Значение Да этого параметра разрешает локальным администраторам создавать правила брандмауэра, действующие на локальном компьютере вместе с правилами, определенными через групповую политику. При значении Нет локальный администратор сможет создавать правила, но они не будут применяться. Изменение этого параметра возможно только через групповую политику.

    • Объединение правил - Правила безопасности локальных подключений. Значение Да этого параметра разрешает локальным администраторам создавать правила безопасности подключений, действующие на локальном компьютере вместе с правилами, определенными через групповую политику. При значении Нет администратор сможет создавать правила, но они не будут применяться.

  • Ведение журнала. Нажав кнопку Настроить, можно изменить следующие параметры:

    • Имя. По умолчанию файл журнала сохраняется в папке %systemroot%\system32\LogFiles\WindowsFirewall\pfirewall.log.

    • Предельный размер. По умолчанию предельный размер файла составляет 4096 КБ.

    • Записывать пропущенные пакеты. По умолчанию пропущенные пакеты не регистрируются.

    • Записывать успешные подключения. По умолчанию успешные подключения не регистрируются.

 *Примечание
 

При настройке брандмауэра при помощи групповой политики необходимо предоставить службе брандмауэра Windows разрешение на запись (отраженное в идентификаторе безопасности службы, SID) в файл по указанному пути.

Изменение настроек IPsec

Чтобы открыть диалоговое окно Выбор параметров IPsec, перейдите на вкладку Параметры IPsec окна Брандмауэр Windows в режиме повышенной безопасности на Локальный компьютер и нажмите кнопку Настроить. Здесь можно изменить следующие параметры, влияющие на безопасность соединений:

  • Обмен ключами. Для обеспечения безопасности соединения два компьютера должны иметь доступ к одному и тому же общему ключу без передачи его по сети. Нажав кнопку Настроить, можно изменить методы обеспечения безопасности, алгоритмы обмена ключами и время жизни ключей.

  • Защита данных. Здесь определяются алгоритмы обеспечения целостности и шифрования данных. Целостность данных выражается в том, что данные не изменяются во время пересылки. Брандмауэр Windows в режиме повышенной безопасности для защиты данных использует протоколы Authentication Header (AH) или Encapsulating Security Payload (ESP). С помощью шифрования данных достигается скрытие информации при передаче. Для шифрования данных брандмауэр Windows в режиме повышенной безопасности использует протокол ESP.

  • Метод проверки подлинности. С помощью изменения этого параметра можно выбрать метод проверки подлинности для соединений IPsec на локальном компьютере. По умолчанию применяется протокол Kerberos V5. Среди возможных опций – проверка подлинности компьютеров и пользователей в домене, а также проверка сертификатов, выданных определенным центром сертификации (CA).

Создание правил

Для брандмауэра Windows в режиме повышенной безопасности можно создать правила следующих типов:

  • Для программы. В правиле этого типа трафик разрешается для определенной программы. Программа указывается по пути к исполняемому файлу и его названию.

  • Для порта. Правило этого типа разрешает трафик через определенный TCP или UDP порт либо диапазон портов.

  • Предопределенное. Это правило для встроенных функций Windows, таких как общий доступ к файлам и принтерам, удаленный помощник, конференц-зал Windows. Активация предустановленного правила для одной из таких функций на самом деле создает набор правил, которые позволяют выбранной функции Windows получать доступ к сети.

  • Настраиваемое. Предоставляет возможность создать правило, параметры которого не предусмотрены в правилах других типов.

Создание правил безопасности подключений

Правило безопасности подключений определяет, каким образом два узла сети проверяют подлинность друг друга перед установкой соединения и как обеспечивается безопасность передаваемой информации. Для применения этих правил брандмауэр Windows использует протокол IPsec. Можно создать правила безопасности подключений следующих типов:

  • Изоляция. Правила этого типа используются для изолирования компьютеров путем ограничения подключений на основании проверки учетных данных, например, на основании членства в домене, или данных о состоянии работоспособности. Правила изоляции позволяют выполнить изоляцию сервера или домена.

  • Исключение из проверки подлинности. Эти правила применяются для указания соединений с компьютерами, для которых не требуется аутентификация. В качестве параметров могут использоваться IP-адреса или их диапазон, подсеть или определенный тип компьютера, например, шлюз.

  • Сервер-сервер. С помощью правил этого типа обеспечивается безопасность соединений между определенными компьютерами, обычно между серверами. При создании правила указываются две точки сети, между которыми устанавливается безопасное соединение. Затем определяются параметры расположения и требуемый тип проверки подлинности.

  • Туннельный. Правила этого типа позволяют защитить соединения между шлюзами туннеля. Обычно они используются для соединений через Интернет между двумя шлюзами безопасности. Для этого правила необходимо указать IP-адреса конечных точек туннеля и метод проверки подлинности.

  • Настраиваемый. Используется для настройки проверки подлинности подключений с особыми параметрами, недоступными в правилах других типов.

Для получения дополнительной информации о настройке профилей и параметров IP-безопасности, просмотре и создании правил, а также о создании правил безопасности соединений обратитесь к разделу Введение Introduction to Windows Firewall with Advanced Security (EN) в статье Брандмауэр Windows Windows Firewall (EN).

Настройка брандмауэра Windows в режиме повышенной безопасности при помощи групповой политики.

Для централизации управления большим количеством компьютеров в корпоративной сети на основе Active Directory, настройки брандмауэра Windows в режиме повышенной безопасности могут быть распространены через групповую политику. С помощью групповой политики можно указать любые параметры брандмауэра Windows, в том числе настройки профилей, правила фильтрации и правила безопасности подключений. Изменения настроек брандмауэра Windows через групповую политику происходят путем открытия в редакторе объектов групповых политик той же оснастки, что используется при настройке бандмауэра на локальном компьютере. Компьютеры, входящие в домен, запрашивают обновления групповой политики, являющиеся запрашиваемым трафиком, который по умолчанию разрешается брандмауэром Windows (если не создано правило блокирования исходящих подключений).

 *Предупреждение
 

Если после развертывания настроек брандмауэра Windows в режиме повышенной безопасности через групповую политику вы заблокируете исходящие подключения, необходимо будет с помощью групповой политики активировать правила для исходящих соединений и протестировать работоспособность сети перед применением настроек. В противном случае компьютеры, ожидающие обновлений групповой политики, не смогут их получать, пока настройки не будут исправлены вручную.


 *Примечание
 

Локальные администраторы не могут изменять настройки брандмауэра Windows, указанные через групповую политику.

В предыдущих версиях Windows обработка групповой политики происходит в следующих случаях:

  • Политики компьютера применяются при загрузке Windows.

  • Политики пользователя применяются при входе пользователя в систему.

  • Политики как компьютера, так и пользователей периодически обновляются.

В Windows Vista групповые политики обрабатываются также в следующих случаях:

  • При установлении подключения через виртуальную частную сеть (VPN).

  • При выходе компьютера из спящего или ждущего режима.

Эти дополнительные условия позволяют компьютерам чаще получать обновления групповой политики, в том числе при каждом изменении состояния подключений.

Наверх страницы

Использование утилиты командной строки Netsh advfirewall

Netsh – это утилита командной строки, используемая для настройки сетевых компонентов. В Windows Vista брандмауэр Windows в режиме повышенной безопасности можно настроить с помощью набора команд контекста Netsh advfirewall. Команда Netsh позволяет создавать сценарии для автоматической настройки параметров брандмауэра Windows, правила брандмауэра, следить за состоянием подключений и просматривать конфигурацию и состояние брандмауэра Windows.

Перед использованием команд Netsh необходимо запустить сеанс командной строки с повышенными привилегиями.

 

Для запуска сеанса командной строки с повышенными привилегиями выполните следующие действия:

 

  1. В меню Пуск и выберите пункт Все программы.

  2. Выберите пункт Стандартные.

  3. Щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.

  4. При появлении окна Контроль за учетными запиясми пользователей нажмите кнопку Продолжить.

Чтобы войти в контекст Netsh advfirewall, наберите в командной строке

netsh

Командная строка теперь отображает контекст netsh. Наберите

advfirewall

В контексте netsh advfirewall доступны следующие команды:

  • export. Экспортирует текущую политику брандмауэра в файл.

  • help. Отображает список доступных команд.

  • import. Импортирует политику из указанного файла.

  • reset. Восстанавливает начальные настройки брандмауэра Windows.

  • show. Отображает свойства указанного профиля. Например:

    • show allprofiles
      Свойства всех профилей

    • show domainprofile
      Свойства профиля домена

    • show privateprofile
      Свойства частного профиля

    • show publicprofile
      Свойства публичного профиля

Кроме собственных команд, контекст advfirewall поддерживает четыре субконтекста. Чтобы войти в субконтекст, наберите его название в контексте netsh advfirewall. Доступны следующие субконтексты:

  • consec. Позволяет просматривать и изменять правила безопасности подключений.

  • firewall. Позволяет просматривать и изменять правила брандмауэра.

  • monitor. Позволяет просматривать конфигурацию мониторинга.

 *Примечание
 

В любом субконтексте Netsh можно увидеть полный список команд, выполнив команду help. Информацию о синтаксисе и использовании отдельных команд можно получить, выполнив команду <имя_команды> /?.

Наверх страницы

Наблюдение

Брандмауэр Windows в режиме повышенной безопасности содержит встроенные инструменты для просмотра правил брандмауэра, правил безопасности подключений и сопоставлений безопасности.

Брандмауэр

В этом разделе отображается подробная информация обо всех действующих правилах для входящего и исходящего трафика.

Правила безопасности подключения

В этом разделе отображаются следующие сведения:

  • Правила безопасности подключения. Все действующие правила безопасности подключения с подробной информацией об их параметрах. В правилах безопасности подключения для защиты соединений между компьютерами используется IP-безопасность. В этих правилах определяется, какие методы проверки подлинности, обмена ключами, обеспечения целостности данных и шифрования используются для создания сопоставлений безопасности (SA). Сопоставление безопасности определяет метод обеспечения безопасности взаимодействия между отправителем и получателем.

  • Сопоставления безопасности. Все сопоставления безопасности основного и быстрого режимов с подробной информацией об их параметрах и конечных точках.

    • Основной режим. Все сопоставления безопасности основного режима с подробной информацией об их параметрах и конечных точках. Этот раздел можно использовать для просмотра IP- адресов конечных точек.

    • Быстрый режим. Все сопоставления безопасности быстрого режима с подробной информацией об их параметрах и конечных точках. Этот раздел можно использовать для просмотра IP-адресов конечных точек.

Наверх страницы

Заключение

Брандмауэр Windows в режиме повышенной безопасности – узловой брандмауэр с отслеживанием состояния подключений, блокирующий входящие и исходящие подключения в зависимости от указанных настроек. В то время как обычная пользовательская конфигурация брандмауэра по-прежнему доступна в разделе «Брандмауэр Windows» панели управления, расширенная конфигурация выделена в оснастку консоли управления «Брандмауэр Windows в режиме повышенной безопасности». Функции брандмауэра теперь объединены с настройками IP-безопасности, что снижает возможность конфликта между двумя механизмами защиты. Брандмауэр Windows в режиме повышенной безопасности работает совместно со службой сетевого расположения (Network Location Awareness, NLA), благодаря чему настройки безопасности применяются в зависимости от типа сети, в которой находится компьютер. Брандмауэр Windows в режиме повышенной безопасности поддерживает различные профили для ситуаций, когда компьютер находится в составе домена, подключен к частной или публичной сети.

Наверх страницы


Дополнительные ресурсы

Наверх страницы




Обсуждение статьи на форуме

Автор: Всеволод Митителло aka bourger
Иcточник: (переведено с англ.) Microsoft Technet
Опубликована - 05.07.2007

 

Материалы взяты с сайта OSzone.net. Дальнейшее использование материалов в других электронных и печатных изданиях должно сопровождаться указанием названия сайта OSzone.net и имени автора, если имя присутствует.
С предложениями и пожеланиями Вы можете обратиться к администрации клуба по электронной почте

© OSzone.net все права защищены