Главная > Computers and Internet, Information security, Microsoft Windows > Настраиваем Брандмауэр в Windows

Настраиваем Брандмауэр в Windows


Icono-FirewallЗдравствуйте, уважаемые читатели. Я думаю ни для кого не секрет, что начиная с версии Windows Vista, компания Майкрософт интегрировала в свои ОС надежный и гибко настраиваемый брандмауэр. Однако, как и у большинства брандмауэров сторонних производителей, настройки по-умолчанию не обеспечивают максимально возможный уровень защиты. Сегодня мы с вами поговорим о том, как повысить эффективность защиты брандмауэра Windows 7  правильно настроив его.

Примечание: все действия описанные в этом блоге актуальны и для 2008 R2, а также для Windows Vista/Server 2008

Для ясности, определим некоторые элементарные понятия, чтобы по ходу изложения не возникало путаницы. Что такое IP-адрес, порт, протокол, я надеюсь, все знают. Поэтому на этом останавливаться не будем.

Примечание: Несмотря на то, что в статье демонстрируется управление брандмауэром Windows 7, это руководство и рекомендации актуальны также и для версий Windows  Vista и Windows 8.x.

Направление соединения, бывает входящее и исходящее. Исходящим называется соединение, инициируемое локальным компьютером, входящим — инициируемое удаленным компьютером. Обратите внимание, что, если ваш браузер обращается к некоторому ресурсу в сети, и тот отвечает ему какими-либо данными, то этот ответ по-прежнему считается отправленным в рамках исходящего подключения.

Суть работы брандмауэра заключается в разрешении одних соединений (подключений) и блокировании других. В связи с этим, следуя правилам фильтрации появились понятия:

  • Черный список: разрешить все, кроме запрещенного.
  • Белый список: запретить все кроме разрешенного.

Я думаю всем понятно, что белый список намного эффективнее черного. Более того, во многих случаях фильтрация по черному списку может быть совершенно бесполезной, с точки зрения защиты. По-умолчанию, входящие подключения фильтруются согласно белому списку, а исходящие – черному. Причем изначально в черном списке исходящих подключений нет ни одного правила, т.е. файрволл исходящие подключения не блокирует.

Что такое сетевое расположение в Windows Vista/7 все знают? Если нет, то

  • Публичная сеть. По умолчанию любая сеть при первом подключении попадает в категорию публичных. Для такой сети подразумевается, что она открыта для прочих компьютеров и никак не защищает локальный компьютер от других.
  • Частная сеть. Подключение к сети, недоступной для окружающих, может быть отмечено администратором как частное. Это, например, может быть подключение к домашней или офисной сети, изолированной от общедоступных сетей с помощью аппаратного брандмауэра или устройства, осуществляющего преобразование сетевых адресов (NAT). Беспроводные сети следует защитить протоколом шифрования, таким как WPA или WPAv2. Сеть никогда не попадает в категорию частных автоматически. Такая настройка выполняется только администратором. ОС Windows запоминает такую сеть, и при следующем подключении та останется в категории частных.
  • Домен. Этот тип сетевого расположения определяется, когда локальный компьютер входит в домен службы Active Directory и может пройти проверку подлинности его доменного контроллера с использованием одного из сетевых подключений. Если указанные условия выполняются, доменный тип сетевого расположения назначается автоматически. Администраторы не могут назначить его вручную.

Блокирование исходящих подключений

Итак, как мы будем настраивать наш файерволл? Я предлагаю перевести работу фильтра исходящих подключений в режим белой фильтрации, и настроить список разрешений. Для этого откроем оснастку Windows Firewall with Advanced Security.

Теперь запретим исходящие подключения для Публичных и Частных сетей. Доменный профиль мы не затрагиваем в случае, если компьютер не в домене (я думаю мало кто из пользователей поднимает у себя дома доменную структуру). Для этого откроем окно свойств брандмауэра и на вкладках Частного и Публичного профиля поставим опцию Исходящие подключения в состояние Блокировать.

image

Теперь осталось прописать правила для всех приложений и служб, которым необходимо получать доступ в интернет. Я расскажу и покажу на примере  как создавать правила приложений, служб Windows, гаджетов рабочего стола, а также как активировать стандартные зарезервированные правила.

Создание правил для приложений

Как создавать правила для приложений, я вам расскажу на примере. Допустим, необходимо разрешить браузеру выполнять исходящие подключения. Для этого перейдем в группу правил Исходящих подключений, и выполним действие Новое правило. Откроется мастер создания правила для исходящего подключения.

imageНа данном шаге мастера мы указываем тип создаваемого правила. В данном случае выбираем Для программы и жмем далее.

На следующем шаге прописываем путь к приложению, в данном случае прописываем путь к ИЕ и жмем далее

image

На данном шаге мы можем разрешить или запретить подключение. Поскольку нам надо разрешить его, то выбираем разрешить.

image

Выбираем Сетевые расположения, для этого правила:

image Вводим имя правила и его описание

imageИ нажимаем Готово. После создания правила мы можем, при необходимости, уточнить дополнительные параметры, такие как протоколы, локальный/удаленный порты, ip-адреса, подсети и многое другое.

image

Создание правил для служб Windows

Теперь покажем как дать доступ в сеть службе Windows Update. Для этого при создании правила на первом шаге выберем пункт Настраиваемое и нажимаем далее. Как мы знаем, службы, загружаемых из динамических библиотек, хостятся в процессе svchost.exe. Поэтому дадим разрешение этому процессу для службы Windows Update.

imageimage

Жмем далее и выполняем стандартные процедуры.

Создание правил для гаджетов рабочего стола

Для того, чтобы разрешить гаджетам выходить в Интернет, необходимо создать разрешающее исходящее правило для %ProgramFiles%Windows Sidebarsidebar.exe. Правило создается аналогично, описывалось ранее.

Как активировать стандартные зарезервированное правило

Допустим, нам нужно разрешить утилите ping отправлять ICMP пакеты. Для этого, мы активируем зарезервированное правило. На 1-м шаге мастера выбираем Предопределенные – Общий доступ к файлам и папкам и далее следуем скриншотам.

image image

image Как разрешить VPN-подключение через брандмауэр

Допустим, необходимо создать правило для VPN подключения через туннель PPTP. Для этого создаем, как описано ранее, 2 правила:

  1. Разрешить 47 протокол (GRE) для удаленного хоста
  2. Разрешить передачу TCP пакетов на 1723 порт удаленного хоста.

Заключение

В данном обзоре я подробно рассказал Вам, как настроить Брандмауэр Windows для обеспечения более высокого уровня безопасности. Однако, всегда следует помнить, что теперь Вам придется все время за ним следить. При установке нового приложения (а иногда и после обновления старого) вам придется каждый раз создавать/изменять правила. Поэтому вам надо выбирать: либо повышенная безопасность, либо удобство работы.

Понравилась статья? Поделитесь ею с друзьями в социальных сетях!

Также по теме:
Немного о надежности антивирусной защиты
Что нужно знать пользователям Microsoft Security Essentials. FAQ
Защита домашних ПК от компьютерных угроз. Часть 1 – актуальность
Защита домашнего ПК от компьютерных угроз. Часть 2 – основные виды угроз
Защита домашнего ПК от компьютерных угроз. Часть 3 – основные методы защиты
Вебкаст: сравнение эффективности работы защитных механизмов в различных интернет-браузерах
Вебкаст: использование Secunia PSI для контроля актуальности версий установленного ПО
Раздаем интернет по WiFi встроенными средствами Windows
Как вручную контролировать отображаемые изображения на плитке современного приложения Фотографии в Windows 8.1
Выбор редакции Windows 8/8.1 для домашних пользователей

Реклама
  1. Татьяна
    21.11.2013 в 11:44

    Как разрешить выход программы в интернет, изменяя записи в реестре, при установке этой программы. Программа — ftp-клиент.

  2. Иван
    23.01.2014 в 21:22

    Брандмауэр Windows в режиме повышенной безопасности настроен так: все входящие и исходящие подключения, не соответствующие ни одному правилу запрещены. Все предустановленные правила для Домашней группы включены и разрешены, но Домашняя группа на других компьютерах не видна при включенном брандмауэре.
    Какие дополнительные правила нужно создать в брандмауэре, чтобы можно было подключиться с других компьютеров к Домашней группе?

    • Иван
      26.04.2014 в 09:48

      Отвечу сам на свой вопрос:
      создал три разрешающих правила для исходящих подключений:
      1) файл %SystemRoot%\System32\svchost.exe — служба HomeGroupProvider Поставщик домашней группы;
      2) файл %SystemRoot%\System32\svchost.exe — служба FDResPub Публикация ресурсов обнаружения функции;
      3) файл %SystemRoot%\System32\svchost.exe — служба fdPHost Хост поставщика функции обнаружения.

  3. Евгений
    24.05.2014 в 17:13

    Помогите,пожалуйста.Бландмауэр блокирует все браузеры и Google Chrome,и Explorer.Что делать?В заранее спасибо.

    • 15.07.2014 в 10:32

      Евгений, читайте внимательно статью, в ней подробно расписано как конфигурировать Брандмауэр. К слову, а вы уверены, что именно он блокирует работу браузеров?

  4. Lvbnhbq
    05.09.2014 в 17:49

    Здравствуйте, Вадим. Не подскажите, какое-нибудь приложение под win7 (может есть стандартный тул), для просмотра того, на какой IP/порт/протокол конкретное приложение пытается стучаться? В моем случае IP даже важнее.

    • GolAnt
      30.10.2014 в 20:47

      в журнале встроенного брандмауэра windows (дефолтно: %systemroot%\system32\LogFiles\Firewall\pfirewall.log)
      //необходимо включить ведение журнала для нужного профиля (там же, где устанавливаются правила блокировки см. статью/Блокирование исходящих подключений)

  5. Anonym
    21.11.2014 в 13:12

    Добрый день, в 8.1 хочу запретить все исходящие, кроме разрешенных. Создал правило в исходящих блокировать «для всех программ». Как теперь сделать исключение, например, для Лисы? Если создаю конкретно для нее разрешающее правило в исходящих — не работает.

    • GolAnt
      23.11.2014 в 19:56

      Создайте два правила для IE: 1) для %ProgramFiles% (x86)\Internet Explorer\iexplore.exe ; 2) для %ProgramFiles%\Internet Explorer\iexplore.exe
      Не благодарите )

  6. Happy
    03.01.2015 в 23:16

    Помогите не могу настроить Firefox выйти в инет

  7. Алексей
    15.05.2015 в 18:19

    Внимательно прочитал статью и комментарии.
    В брандмауэре блокировал исходящие подключения.
    Добавил три правила для исходящих подключений:

    http://c2n.me/3hKBPke

    %ProgramFiles% (x86)\Skype\Phone\Skype.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

    Исключение сработало только для Skype.
    chrome и iexplore не могут достучаться до интернета.

    Куда смотреть?

  8. Дуб
    25.08.2015 в 12:10

    При настройках указанных в статье, не работает получение обновления windows. открывал все порты в данном правиле, результат тот же.
    собственно брандмауер так и предупреждает перед применением правила, что правило блокировки главнее, и могут возникнуть проблемы с работой svchost.
    Как у автора получилось заставить работать службу обновления при данных настройках?

  9. Татьяна
    07.02.2016 в 14:24

    Добрый вечер! Я правильно поняла- если пользоватся брандмауером виндоус- его нужно в ручную настраивать?(Если правильно поняла, то понимаю почему купить легче комплексный антивирусник, который сам все настроит)… А если я это делать не умею? Вопрос- брнадмауер виндоус- вполне надежен?

  10. Юрий
    17.08.2016 в 11:02

    В Брандмауэре появились два элемента с китайскими значками. Что это и не опасно ли для компа? Как проследить путь, где оно находится? Может, это нечто типа trotux, которое изменяет старт. стр? В \справка?\ выдаёт адрес //ieframe.dll/dnserrordiagoff.htm# . При переходе по этому адресу появляется \Не удается найти DNS-адрес сервера ieframe.dll. \ Спасибо.

  11. Николай
    14.12.2016 в 11:54

    Вадим, не подскажете, столкнулся с проблемой установки Windows Live 2011, жалуется на интернет, но создал два правила для входящих и исходящих подключений, не помогло. В администрировании остановил службу брандмауэра, антивирусов нет, проблема сохраняется. Что делать?

  12. Gennady
    06.01.2017 в 19:02

    КАК ЗАПРЕТИТЬ ВНОСИТЬ ИЗМЕНЕНИЯ В ПРАВИЛА ВХД/ИСХ СОЕДИНЕНИЙ ? иначе в чем смысл.

  13. 30.08.2017 в 18:40

    Hello I want you let’s have passionate sex my nickname (Margarita16)

    I want to fuck you
    Copy the link and go to me… https://vk-cc.com/newnew

    Kopieer en plak de link naar een korte registratie te maken en contact met mij op mijn profiel. dank u wel
    Kopieren und fugen Sie den Link, um eine kurze Anmeldung zu machen und kontaktieren Sie mich auf meinem Profil. Vielen Dank

    https://vk-cc.com/newnew

  14. Александр
    20.09.2017 в 21:17

    Вадим, подскажите пожалуйста, как защитить брандмауэр Windows 7 (10) от изменений сторонними программами/иными факторами. Огромное спасибо.

Comment pages
  1. 12.06.2016 в 01:45

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: