Настраиваем Брандмауэр в Windows
Здравствуйте, уважаемые читатели. Я думаю ни для кого не секрет, что начиная с версии Windows Vista, компания Майкрософт интегрировала в свои ОС надежный и гибко настраиваемый брандмауэр. Однако, как и у большинства брандмауэров сторонних производителей, настройки по-умолчанию не обеспечивают максимально возможный уровень защиты. Сегодня мы с вами поговорим о том, как повысить эффективность защиты брандмауэра Windows 7 правильно настроив его.
Примечание: все действия описанные в этом блоге актуальны и для 2008 R2, а также для Windows Vista/Server 2008
Для ясности, определим некоторые элементарные понятия, чтобы по ходу изложения не возникало путаницы. Что такое IP-адрес, порт, протокол, я надеюсь, все знают. Поэтому на этом останавливаться не будем.
Примечание: Несмотря на то, что в статье демонстрируется управление брандмауэром Windows 7, это руководство и рекомендации актуальны также и для версий Windows Vista и Windows 8.x.
Направление соединения, бывает входящее и исходящее. Исходящим называется соединение, инициируемое локальным компьютером, входящим — инициируемое удаленным компьютером. Обратите внимание, что, если ваш браузер обращается к некоторому ресурсу в сети, и тот отвечает ему какими-либо данными, то этот ответ по-прежнему считается отправленным в рамках исходящего подключения.
Суть работы брандмауэра заключается в разрешении одних соединений (подключений) и блокировании других. В связи с этим, следуя правилам фильтрации появились понятия:
- Черный список: разрешить все, кроме запрещенного.
- Белый список: запретить все кроме разрешенного.
Я думаю всем понятно, что белый список намного эффективнее черного. Более того, во многих случаях фильтрация по черному списку может быть совершенно бесполезной, с точки зрения защиты. По-умолчанию, входящие подключения фильтруются согласно белому списку, а исходящие – черному. Причем изначально в черном списке исходящих подключений нет ни одного правила, т.е. файрволл исходящие подключения не блокирует.
Что такое сетевое расположение в Windows Vista/7 все знают? Если нет, то
- Публичная сеть. По умолчанию любая сеть при первом подключении попадает в категорию публичных. Для такой сети подразумевается, что она открыта для прочих компьютеров и никак не защищает локальный компьютер от других.
- Частная сеть. Подключение к сети, недоступной для окружающих, может быть отмечено администратором как частное. Это, например, может быть подключение к домашней или офисной сети, изолированной от общедоступных сетей с помощью аппаратного брандмауэра или устройства, осуществляющего преобразование сетевых адресов (NAT). Беспроводные сети следует защитить протоколом шифрования, таким как WPA или WPAv2. Сеть никогда не попадает в категорию частных автоматически. Такая настройка выполняется только администратором. ОС Windows запоминает такую сеть, и при следующем подключении та останется в категории частных.
- Домен. Этот тип сетевого расположения определяется, когда локальный компьютер входит в домен службы Active Directory и может пройти проверку подлинности его доменного контроллера с использованием одного из сетевых подключений. Если указанные условия выполняются, доменный тип сетевого расположения назначается автоматически. Администраторы не могут назначить его вручную.
Блокирование исходящих подключений
Итак, как мы будем настраивать наш файерволл? Я предлагаю перевести работу фильтра исходящих подключений в режим белой фильтрации, и настроить список разрешений. Для этого откроем оснастку Windows Firewall with Advanced Security.
Теперь запретим исходящие подключения для Публичных и Частных сетей. Доменный профиль мы не затрагиваем в случае, если компьютер не в домене (я думаю мало кто из пользователей поднимает у себя дома доменную структуру). Для этого откроем окно свойств брандмауэра и на вкладках Частного и Публичного профиля поставим опцию Исходящие подключения в состояние Блокировать.
Теперь осталось прописать правила для всех приложений и служб, которым необходимо получать доступ в интернет. Я расскажу и покажу на примере как создавать правила приложений, служб Windows, гаджетов рабочего стола, а также как активировать стандартные зарезервированные правила.
Создание правил для приложений
Как создавать правила для приложений, я вам расскажу на примере. Допустим, необходимо разрешить браузеру выполнять исходящие подключения. Для этого перейдем в группу правил Исходящих подключений, и выполним действие Новое правило. Откроется мастер создания правила для исходящего подключения.
На данном шаге мастера мы указываем тип создаваемого правила. В данном случае выбираем Для программы и жмем далее.
На следующем шаге прописываем путь к приложению, в данном случае прописываем путь к ИЕ и жмем далее
На данном шаге мы можем разрешить или запретить подключение. Поскольку нам надо разрешить его, то выбираем разрешить.
Выбираем Сетевые расположения, для этого правила:
Вводим имя правила и его описание
И нажимаем Готово. После создания правила мы можем, при необходимости, уточнить дополнительные параметры, такие как протоколы, локальный/удаленный порты, ip-адреса, подсети и многое другое.
Создание правил для служб Windows
Теперь покажем как дать доступ в сеть службе Windows Update. Для этого при создании правила на первом шаге выберем пункт Настраиваемое и нажимаем далее. Как мы знаем, службы, загружаемых из динамических библиотек, хостятся в процессе svchost.exe. Поэтому дадим разрешение этому процессу для службы Windows Update.
Жмем далее и выполняем стандартные процедуры.
Создание правил для гаджетов рабочего стола
Для того, чтобы разрешить гаджетам выходить в Интернет, необходимо создать разрешающее исходящее правило для %ProgramFiles%Windows Sidebarsidebar.exe. Правило создается аналогично, описывалось ранее.
Как активировать стандартные зарезервированное правило
Допустим, нам нужно разрешить утилите ping отправлять ICMP пакеты. Для этого, мы активируем зарезервированное правило. На 1-м шаге мастера выбираем Предопределенные – Общий доступ к файлам и папкам и далее следуем скриншотам.
Как разрешить VPN-подключение через брандмауэр
Допустим, необходимо создать правило для VPN подключения через туннель PPTP. Для этого создаем, как описано ранее, 2 правила:
- Разрешить 47 протокол (GRE) для удаленного хоста
- Разрешить передачу TCP пакетов на 1723 порт удаленного хоста.
Заключение
В данном обзоре я подробно рассказал Вам, как настроить Брандмауэр Windows для обеспечения более высокого уровня безопасности. Однако, всегда следует помнить, что теперь Вам придется все время за ним следить. При установке нового приложения (а иногда и после обновления старого) вам придется каждый раз создавать/изменять правила. Поэтому вам надо выбирать: либо повышенная безопасность, либо удобство работы.
Понравилась статья? Поделитесь ею с друзьями в социальных сетях!
Также по теме:
Немного о надежности антивирусной защиты
Что нужно знать пользователям Microsoft Security Essentials. FAQ
Защита домашних ПК от компьютерных угроз. Часть 1 – актуальность
Защита домашнего ПК от компьютерных угроз. Часть 2 – основные виды угроз
Защита домашнего ПК от компьютерных угроз. Часть 3 – основные методы защиты
Вебкаст: сравнение эффективности работы защитных механизмов в различных интернет-браузерах
Вебкаст: использование Secunia PSI для контроля актуальности версий установленного ПО
Раздаем интернет по WiFi встроенными средствами Windows
Как вручную контролировать отображаемые изображения на плитке современного приложения Фотографии в Windows 8.1
Выбор редакции Windows 8/8.1 для домашних пользователей
Как разрешить выход программы в интернет, изменяя записи в реестре, при установке этой программы. Программа — ftp-клиент.
Зачем вам лезть в реестр? Не надо усложнять себе жизнь 🙂
мне нужен исталятор который устанавливает программу и настраивает систему. через реестр проще всего.
Если вам нужно управлять файрволом из своей программы, посмотрите эту статью:
http://support.microsoft.com/kb/947709/ru
Брандмауэр Windows в режиме повышенной безопасности настроен так: все входящие и исходящие подключения, не соответствующие ни одному правилу запрещены. Все предустановленные правила для Домашней группы включены и разрешены, но Домашняя группа на других компьютерах не видна при включенном брандмауэре.
Какие дополнительные правила нужно создать в брандмауэре, чтобы можно было подключиться с других компьютеров к Домашней группе?
Отвечу сам на свой вопрос:
создал три разрешающих правила для исходящих подключений:
1) файл %SystemRoot%\System32\svchost.exe — служба HomeGroupProvider Поставщик домашней группы;
2) файл %SystemRoot%\System32\svchost.exe — служба FDResPub Публикация ресурсов обнаружения функции;
3) файл %SystemRoot%\System32\svchost.exe — служба fdPHost Хост поставщика функции обнаружения.
Помогите,пожалуйста.Бландмауэр блокирует все браузеры и Google Chrome,и Explorer.Что делать?В заранее спасибо.
Евгений, читайте внимательно статью, в ней подробно расписано как конфигурировать Брандмауэр. К слову, а вы уверены, что именно он блокирует работу браузеров?
Здравствуйте, Вадим. Не подскажите, какое-нибудь приложение под win7 (может есть стандартный тул), для просмотра того, на какой IP/порт/протокол конкретное приложение пытается стучаться? В моем случае IP даже важнее.
в журнале встроенного брандмауэра windows (дефолтно: %systemroot%\system32\LogFiles\Firewall\pfirewall.log)
//необходимо включить ведение журнала для нужного профиля (там же, где устанавливаются правила блокировки см. статью/Блокирование исходящих подключений)
Добрый день, в 8.1 хочу запретить все исходящие, кроме разрешенных. Создал правило в исходящих блокировать «для всех программ». Как теперь сделать исключение, например, для Лисы? Если создаю конкретно для нее разрешающее правило в исходящих — не работает.
Создайте два правила для IE: 1) для %ProgramFiles% (x86)\Internet Explorer\iexplore.exe ; 2) для %ProgramFiles%\Internet Explorer\iexplore.exe
Не благодарите )
Помогите не могу настроить Firefox выйти в инет
Внимательно прочитал статью и комментарии.
В брандмауэре блокировал исходящие подключения.
Добавил три правила для исходящих подключений:
http://c2n.me/3hKBPke
%ProgramFiles% (x86)\Skype\Phone\Skype.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Исключение сработало только для Skype.
chrome и iexplore не могут достучаться до интернета.
Куда смотреть?
При настройках указанных в статье, не работает получение обновления windows. открывал все порты в данном правиле, результат тот же.
собственно брандмауер так и предупреждает перед применением правила, что правило блокировки главнее, и могут возникнуть проблемы с работой svchost.
Как у автора получилось заставить работать службу обновления при данных настройках?
Добрый вечер! Я правильно поняла- если пользоватся брандмауером виндоус- его нужно в ручную настраивать?(Если правильно поняла, то понимаю почему купить легче комплексный антивирусник, который сам все настроит)… А если я это делать не умею? Вопрос- брнадмауер виндоус- вполне надежен?
В Брандмауэре появились два элемента с китайскими значками. Что это и не опасно ли для компа? Как проследить путь, где оно находится? Может, это нечто типа trotux, которое изменяет старт. стр? В \справка?\ выдаёт адрес //ieframe.dll/dnserrordiagoff.htm# . При переходе по этому адресу появляется \Не удается найти DNS-адрес сервера ieframe.dll. \ Спасибо.
Вадим, не подскажете, столкнулся с проблемой установки Windows Live 2011, жалуется на интернет, но создал два правила для входящих и исходящих подключений, не помогло. В администрировании остановил службу брандмауэра, антивирусов нет, проблема сохраняется. Что делать?
КАК ЗАПРЕТИТЬ ВНОСИТЬ ИЗМЕНЕНИЯ В ПРАВИЛА ВХД/ИСХ СОЕДИНЕНИЙ ? иначе в чем смысл.
Hello I want you let’s have passionate sex my nickname (Margarita16)
I want to fuck you
Copy the link and go to me… https://vk-cc.com/newnew
Kopieer en plak de link naar een korte registratie te maken en contact met mij op mijn profiel. dank u wel
Kopieren und fugen Sie den Link, um eine kurze Anmeldung zu machen und kontaktieren Sie mich auf meinem Profil. Vielen Dank
https://vk-cc.com/newnew
Вадим, подскажите пожалуйста, как защитить брандмауэр Windows 7 (10) от изменений сторонними программами/иными факторами. Огромное спасибо.
oghQ9fPc4
B4q6KOflEiD
wRjsv3N5sV
BNXuZIc7KO
1yyfCbmh
Статья интересная. А кто-нибудь слышал о 4000 руб за подписку? Пишите, дам инфу ivash2ka@yandex.ru
правильно я понимаю если удалить все правила исх и вход доступ в сеть всем будет закрыт (это типа наподобие отключения сетевого адаптера)? или все же есть программы которые работают в обход брандмауэра? затем нужно создать разрешающее правило (для хрома например) в итоге доступ к сети будет только у хрома?а если какая либо программа хочет получить доступ то брандмауэр выдает запрос для доступа?