ОС Snap-in Management Console (MMC). Windows Vista™ е защитна стена за мрежово регистриране за работни станции, която филтрира входящите и изходящите връзки според настройките, които сте конфигурирали. Сега можете да конфигурирате настройките на защитната стена и IPsec протоколс един инструмент. Тази статия описва защитната стена на Windows с разширена защита, често срещани проблеми и решения.
Как работи защитната стена на Windows с разширена защита
Защитна стена на Windowsв режим на подобрена защита, това е защитна стена за регистриране на състоянието на мрежата за работни станции. За разлика от защитните стени за рутери, които се разполагат на шлюза между вашата локална мрежа и интернет, защитната стена на Windows е проектирана да работи на отделни компютри. Следи само трафика работна станция: Трафик, идващ към IP адреса на този компютър и изходящ трафик към самия компютър. Защитната стена на Windows с разширена защита изпълнява следните основни операции:
Входящият пакет се проверява и сравнява със списъка с разрешен трафик. Ако пакетът съвпада с една от стойностите в списъка, защитната стена на Windows предава пакета на TCP/IP за по-нататъшна обработка. Ако пакетът не съответства на нито една от стойностите в списъка, защитната стена на Windows блокира пакета и, ако регистрирането е разрешено, създава запис в регистрационния файл.
Списъкът с разрешен трафик се формира по два начина:
Когато връзка, контролирана от защитната стена на Windows с разширена защита, изпрати пакет, защитната стена създава стойност в списъка, за да позволи обратен трафик. Подходящият входящ трафик ще изисква допълнително разрешение.
Когато създадете правило за разрешаване на защитна стена на Windows с разширена защита, трафикът, за който е създадено правилото, ще бъде разрешен на компютър, работещ със защитна стена на Windows. Този компютър ще приеме изрично разрешен входящ трафик, когато работи като сървър, клиентски компютър или peer-to-peer мрежов възел.
Първата стъпка при разрешаването на проблеми със защитната стена на Windows е да проверите кой профил е активен. Защитната стена на Windows с разширена защита е приложение, което наблюдава вашата мрежова среда. Профилът на защитната стена на Windows се променя при промяна на мрежовата среда. Профилът е набор от настройки и правила, които се прилагат в зависимост от мрежовата среда и работата интернет връзка.
Защитната стена прави разлика между три типа мрежови среди: домейн, обществени и частни мрежи. Домейнът е мрежова среда, в която връзките се удостоверяват от домейн контролер. По подразбиране всички други типове мрежови връзки се третират като обществени мрежи. При откриване на нов Windows връзки Vista подканва потребителя да посочи дали тази мрежачастни или обществени. Общият профил е предназначен за използване на обществени места като летища или кафенета. Частният профил е предназначен за използване у дома или в офиса и в защитена мрежа. За да определи мрежата като частна, потребителят трябва да има съответните административни привилегии.
Въпреки че компютърът може да бъде свързан към мрежи едновременно различен тип, само един профил може да бъде активен. Изборът на активен профил зависи от следните причини:
Ако всички интерфейси използват удостоверяване на домейн контролера, се използва домейн профилът.
Ако поне един от интерфейсите е свързан към частна мрежа и всички останали са свързани към домейн или частни мрежи, се използва частният профил.
Във всички останали случаи се използва общият профил.
За да определите активния профил, щракнете върху възела Наблюдениеза миг Защитна стена на Windows с разширена защита. Над текста Състояние на защитната стенаще покаже кой профил е активен. Например, ако профил на домейн е активен, надписът ще се покаже в горната част Активен профил на домейн.
Използвайки профили, защитната стена на Windows може автоматично да разреши входящ трафик за специални инструменти за управление на компютъра, когато компютърът е в домейн, и да блокира същия трафик, когато компютърът е свързан към публична или частна мрежа. По този начин определянето на типа мрежова среда гарантира защитата на вашата локална мрежабез да компрометира сигурността на мобилните потребители.
Често срещани проблеми при стартиране на защитна стена на Windows с разширена защита
По-долу са основните проблеми, които възникват при стартиране на защитната стена на Windows с разширена защита:
В случай, че трафикът е блокиран, първо трябва да проверите дали защитната стена е активирана и кой профил е активен. Ако някое от приложенията е блокирано, уверете се, че в snap Защитна стена на Windows с разширена защитаима активно разрешително правило за текущия профил. За да проверите дали съществува правило за разрешаване, щракнете двукратно върху възела Наблюдениеи след това изберете раздел Защитна стена. Ако няма активни разрешаващи правила за тази програма, отидете до възела и създайте ново правило за тази програма. Създайте правило за програма или услуга или посочете група правила, която се прилага за тази функция, и се уверете, че всички правила в тази група са активирани.
За да проверите дали правило за разрешаване не е заменено от правило за блокиране, изпълнете следните стъпки:
В дървото на инструментите Защитна стена на Windows с разширена защитащракнете възел Наблюдениеи след това изберете раздел Защитна стена.
Вижте списък на всички активни местни и групова политика. Правилата за отказ заменят правилата за разрешаване, дори ако последните са по-точно дефинирани.
Груповите правила предотвратяват прилагането на местни правила
Ако защитната стена на Windows с разширена защита е конфигурирана чрез групови правила, администраторът може да посочи дали да се използват правила за защитна стена или правила за защита на връзката, създадени от локални администратори. Това има смисъл, ако има конфигурирани правила за локална защитна стена или правила за сигурност на връзката, които не са в съответния раздел с настройки.
За да разберете защо правилата за локална защитна стена или правилата за сигурност на връзката липсват в секцията за наблюдение, направете следното:
В един миг Защитна стена на Windows с разширена защита, щракнете върху връзката Свойства на защитната стена на Windows.
Изберете раздела активен профил.
В глава Настроики, Натисни бутона Настройте.
Ако се прилагат местните правила, раздел Правила за комбиниранеще бъде активен.
Правилата, изискващи сигурни връзки, може да блокират трафика
Когато създавате правило за защитна стена за входящ или изходящ трафик, една от опциите е . Ако е избрано дадена функция, трябва да имате подходящо правило за сигурност на връзката или отделна IPSec политика, която определя какъв трафик е защитен. В противен случай този трафик е блокиран.
За да проверите дали едно или повече правила на приложението изискват защитени връзки, изпълнете следните стъпки:
В дървото на инструментите Защитна стена на Windows с разширена защитакликване раздел Правила за входящи връзки. Изберете правилото, което искате да проверите, и щракнете върху връзката Имотив обхвата на конзолата.
Изберете раздел са често срещании проверете дали стойността на радио бутона е избрана Разрешаване само на сигурни връзки.
Ако параметърът е указан за правилото Разрешаване само на сигурни връзки, разширете секцията Наблюдениев дървото на модула и изберете секцията. Уверете се, че трафикът, дефиниран в правилото на защитната стена, има подходящите правила за сигурност на връзката.
Внимание:
Ако имате активна IPSec политика, уверете се, че политиката защитава необходимия трафик. Не създавайте правила за сигурност на връзката, за да избегнете конфликт между правилата за IPSec и правилата за сигурност на връзката.
Не могат да се разрешат изходящи връзки
В дървото на инструментите Защитна стена на Windows с разширена защитаИзберете раздел Наблюдение. Изберете раздела активен профил и под Състояние на защитната стенапроверете дали изходящите връзки, които не отговарят на правилото за разрешаване, са разрешени.
В глава НаблюдениеИзберете раздел Защитна стеназа да се гарантира, че необходимите изходящи връзки не са изброени в правилата за отказ.
Смесените политики могат да блокират трафика
Можете да конфигурирате настройките на защитната стена и IPSec, като използвате различни интерфейси Windows OS.
Създаването на правила на множество места може да доведе до конфликти и блокиране на трафика. Налични са следните точки за настройка:
Защитна стена на Windows с разширена защита. Тази политика се конфигурира с помощта на подходящия модул локално или като част от групова политика. Тази политика контролира настройките на защитната стена и IPSec на компютри, работещи под Windows Vista.
Административен шаблон на защитната стена на Windows. Това правило се конфигурира с помощта на редактора на обекти на групови правила в раздела. Този интерфейс съдържа настройките на защитната стена на Windows, които са били налични преди Windows Vista и е предназначен за конфигуриране на GPO, който управлява предишни версии Windows. Въпреки че тези настройки могат да се използват за работещи компютри Windows контрол Vista, препоръчително е да използвате политиката вместо това Защитна стена на Windows с разширена защитазащото осигурява повече гъвкавост и сигурност. Имайте предвид, че някои от настройките на профила на домейна се споделят между административния шаблон на защитната стена на Windows и правилата на защитната стена на Windows. Защитна стена на Windows с разширена защита, така че можете да видите тук настройките, конфигурирани в профила на домейна с помощта на конзолната добавка Защитна стена на Windows с разширена защита.
IPSec политики. Тази политика се конфигурира с помощта на локалната добавка Управление на IPSec политикаили редактора на обекти на групови правила в Конфигурация на компютъра\Настройки на Windows\Настройки за защита\Правила за защита на IP на локален компютър. Това правило дефинира IPSec настройки, които могат да се използват от предишни версии на Windows и Windows Vista. Не прилагайте тази политика и правилата за сигурност на връзката, дефинирани в политиката, на един и същ компютър едновременно. Защитна стена на Windows с разширена защита.
За да видите всички тези опции в съответните конзолни модули, създайте свой собствен конзолен модул за конзола за управление и добавете конзолните модули към него Защитна стена на Windows с разширена защита, И IP сигурност.
За да създадете свой собствен модул за конзола за управление, изпълнете следните стъпки:
Щракнете върху бутона Започнете, отидете в менюто Всички програми, след това в менюто Стандартени изберете елемента Бягай.
В текстово поле Отворете ENTER.
продължи.
В менюто Конзолаизберете .
В списъка Налични добавкиизберете снимка Защитна стена на Windows с разширена защитаи натиснете бутона Добавете.
Щракнете върху бутона Добре.
Повторете стъпки от 1 до 6, за да добавите снимки контрол групова политика И Монитор за IP сигурност.
За да проверите кои правила са активни в активния профил, използвайте следната процедура:
За да проверите кои правила се прилагат, изпълнете следните стъпки:
IN командна линиявъведете mmc и натиснете клавиша ENTER.
Ако се появи диалогов прозорец за контрол на потребителските акаунти, потвърдете исканото действие и щракнете продължи.
В менюто КонзолаИзбери предмет Добавете или премахнете щракване.
В списъка Налични добавкиизберете снимка Управление на групови правилаи натиснете бутона Добавете.
Щракнете върху бутона Добре.
Разширете възела в дървото (обикновено дървото на гората, където този компютър) и щракнете двукратно върху секцията в панела с подробности на конзолата.
Изберете стойност на превключване Показване на настройките на правилата заот ценностите текущия потребител или друг потребител. Ако не искате да показвате настройките на правилата за потребителите, а само настройките на правилата за компютъра, изберете стойността на бутона за избор Не показвай потребителска политика (виж само компютърна политика)и щракнете два пъти върху бутона По-нататък.
Щракнете върху бутона Готов. Съветникът за резултати от групови правила генерира отчет в панела с подробности на конзолата. Докладът съдържа раздели Резюме, НастроикиИ Политически събития.
За да проверите дали няма конфликт с политиките за защита на IP, след генериране на отчета изберете Настроикии отворете Computer Configuration\Windows Settings\Security Settings\Security IP Settings в услугата директория на Active Directory. Ако последният раздел липсва, тогава не е зададена политика за защита на IP. В противен случай ще се покажат името и описанието на политиката, както и GPO, към която принадлежи. Ако използвате политика за защита на IP и политика за защитна стена на Windows с разширена защита едновременно с правила за сигурност на връзката, тези политики може да са в конфликт. Препоръчително е да използвате само една от тези политики. Оптималното решениеще използва политики за защита на IP заедно със защитна стена на Windows с правила за разширена защита за входящ или изходящ трафик. Ако настройките са конфигурирани на различни места и не са съгласувани една с друга, могат да възникнат конфликти на политики, които са трудни за разрешаване.
Възможно е също така да има конфликти между политики, дефинирани в локални GPO, и скриптове, конфигурирани от ИТ отдела. Проверете всички правила за защита на IP с помощта на програмата IP Security Monitor или като въведете следната команда в командния ред:
За да видите настройките, дефинирани в административния шаблон на защитната стена на Windows, разгънете секцията Компютърна конфигурация\Административни шаблони\Мрежа\Мрежови връзки\Защитна стена на Windows.
За да видите последните събития, свързани с текущата политика, можете да отидете в раздела политически събитияв същата конзола.
За да видите политиката, използвана от защитната стена на Windows с разширена защита, отворете конзолната добавка на компютъра, който се диагностицира, и прегледайте настройките под Наблюдение.
За да видите административни шаблони, отворете конзолната добавка Групова политикаи в секцията Резултати от груповата политикаВижте дали има настройки, наследени от групови правила, които могат да причинят отхвърляне на трафик.
За да видите правилата за IP защита, отворете конзолната добавка IP Security Monitor. Изберете в дървото локален компютър. В обхвата на конзолата изберете връзката Активна политика, Основен режимили Бърз режим. Проверете за конкурентни политики, които могат да доведат до блокиране на трафика.
В глава Наблюдениещракам Защитна стена на Windows с разширена защитаМожете да видите съществуващите местни и групови правила за правила. За получаване Допълнителна информациявижте раздела " Използване на функцията за часовник в модул Защитна стена на Windows с разширена защита » на този документ.
За да спрете IPSec Policy Agent, изпълнете следните стъпки:
Щракнете върху бутона Започнетеи изберете раздел Контролен панел.
Кликнете върху иконата Система и нейната поддръжкаи изберете раздел Администрация.
Кликнете два пъти върху иконата Услуги. продължи.
Намерете услуга в списъка IPSec Policy Agent
Ако услугата IPSec агентработи, щракнете върху него Кликнете с десния бутонмишката и изберете от менюто Спри се. Можете също да спрете услугата IPSec агентот командния ред с помощта на командата
Политиката на мрежата peer-to-peer може да доведе до отхвърляне на трафика
За връзки, използващи IPSec, и двата компютъра трябва да имат съвместими политики за защита на IP. Тези правила могат да бъдат дефинирани с помощта на модула Правила за сигурност на връзката на защитната стена на Windows IP сигурностили друг доставчик на IP сигурност.
За да проверите настройките на политиката за защита на IP в peer-to-peer мрежа, изпълнете следните стъпки:
Кликнете върху раздел Основен режим, в панела с подробности на конзолата изберете връзката за тестване и след това щракнете върху връзката Имотив обхвата на конзолата. Прегледайте свойствата на връзката за двата възела, за да се уверите, че са съвместими.
Повторете стъпка 2.1 за раздел Бърз режим. Прегледайте свойствата на връзката за двата възела, за да се уверите, че са съвместими.
В един миг Защитна стена на Windows с разширена защитаизберете възел НаблюдениеИ Правила за сигурност на връзкатаза да сте сигурни, че и двата хоста в мрежата имат конфигурирана IP политика за сигурност.
Ако един от компютрите в peer-to-peer мрежата работи по-рано Windows версиив сравнение с Windows Vista, уверете се, че поне един от комплектите за шифроване в естествен режим и един от пакетите за шифроване в бърз режим използват алгоритми, поддържани от двата хоста.
Ако използвате Kerberos версия 5 удостоверяване, уверете се, че хостът е в същия или доверен домейн.
Ако се използват сертификати, уверете се, че необходимите квадратчета са избрани. Сертификатите, които използват IPSec Internet Key Exchange (IKE), изискват цифров подпис. Сертификатите, които използват удостоверен интернет протокол (AuthIP), изискват удостоверяване на клиента (в зависимост от типа удостоверяване на сървъра). За повече информация относно AuthIP сертификатите, моля, вижте статията Удостоверен IP в Windows Vista AuthIP в Windows Vista на уебсайта на Microsoft.
Не може да се конфигурира защитната стена на Windows с разширена защита
Настройките на защитната стена на Windows с разширена защита са сиви в следните случаи:
Компютърът е свързан към мрежа с централизирано управление, а мрежовият администратор използва групови правила, за да конфигурира защитната стена на Windows с настройки за разширена защита. В този случай в горната част на щракването Защитна стена на Windows с разширена защитаЩе видите съобщението „Някои настройки се контролират от групови правила“. Вашият мрежов администратор конфигурира правилата, като по този начин ви предпазва от промяна на настройките на защитната стена на Windows.
Компютър, работещ под Windows Vista, не е свързан към централно управлявана мрежа, но настройките на защитната стена на Windows се определят от локалната групова политика.
За да промените настройките на защитната стена на Windows с разширена защита с помощта на локална групова политика, използвайте Политика за локален компютър. За да отворите този модул, въведете secpol в командния ред. Ако се появи диалогов прозорец за контрол на потребителските акаунти, потвърдете исканото действие и щракнете продължи. Отидете на Конфигурация на компютъра\Настройки на Windows\Настройки за защита\Защитна стена на Windows с разширена защита, за да конфигурирате настройките на правилата за защитна стена на Windows с разширена защита.
Компютърът не отговаря на ping заявки
Основният начин за тестване на връзката между компютрите е да използвате помощната програма Ping за тестване на връзката към конкретен IP адрес. По време на ping се изпраща ICMP ехо съобщение (известно още като ICMP ехо заявка) и в отговор се изисква ICMP ехо отговор. По подразбиране защитната стена на Windows отхвърля входящите ICMP ехо съобщения, така че компютърът не може да изпрати ICMP ехо отговор.
Разрешаването на входящи ICMP ехо съобщения ще позволи на други компютри да пингват вашия компютър. От друга страна, това ще направи компютъра уязвим за атаки, използващи ICMP ехо съобщения. Въпреки това се препоръчва временно да активирате входящото ICMP ехо, ако е необходимо, и след това да ги деактивирате.
За да разрешите ICMP ехо съобщения, създайте нови входящи правила, за да разрешите ICMPv4 и ICMPv6 пакети с ехо заявки.
За да разрешите ICMPv4 и ICMPv6 ехо заявки, изпълнете следните стъпки:
В дървото на инструментите Защитна стена на Windows с разширена защитаизберете възел Правила за входящи връзкии щракнете върху връзката ново правилов обхвата на конзолата.
Възможност за персонализиранеи натиснете бутона По-нататък.
Задайте стойност на радио бутон Всички програмии натиснете бутона По-нататък.
Изпускайте тип протоколизберете стойност ICMPv4.
Щракнете върху бутона Настройтеза артикул Параметри на ICMP протокола.
Задайте радио бутона на Някои видове ICMP, поставете отметка в квадратчето ехо заявка, Натисни бутона Добреи натиснете бутона По-нататък.
На етапа на избор на локални и отдалечени IP адреси, съответстващи на това правило, задайте радио бутоните на стойности Всеки IP адресили Посочени IP адреси. Ако изберете стойността Посочени IP адреси, посочете необходимите IP адреси, щракнете върху бутона Добаветеи натиснете бутона По-нататък.
Задайте стойност на радио бутон Разрешете връзкаи натиснете бутона По-нататък.
На етапа на избор на профил маркирайте един или повече профили (профил на домейн, частен или публичен профил), в които искате да използвате това правило, и щракнете върху бутона По-нататък.
В полето Имевъведете името на правилото и в полето Описаниее незадължително описание. Щракнете върху бутона Готов.
Повторете горните стъпки за протокола ICMPv6, като изберете в стъпката тип протоколпадаща стойност ICMPv6вместо ICMPv4.
Ако имате активни правила за сигурност на връзката, временното изключване на ICMP от изискванията за IPsec може да помогне за разрешаването на проблемите. За да направите това, отворете в snap Защитна стена на Windows с разширена защитадиалогов прозорец Имоти, отидете на раздела IPSec настройкии задайте стойността в падащия списък даза параметър Изключете ICMP от IPSec.
Забележка
Настройките на защитната стена на Windows могат да се променят само от администратори и мрежови оператори.
Не могат да се споделят файлове и принтери
Ако не можете да получите общ достъпкъм файлове и принтери на компютър с активна защитна стена на Windows, уверете се, че всички групови правила са активирани Достъп до файлове и принтери Защитна стена на Windows с разширена защитаизберете възел Правила за входящи връзки Достъп до файлове и принтери Активиране на правилотов обхвата на конзолата.
Внимание:
Силно препоръчително е да не активирате споделянето на файлове и принтери на компютри, които са директно свързани с интернет, тъй като нападателите може да се опитат да получат достъп до споделени файловеи да ви навреди, като повреди личните ви файлове.
Не може да се администрира отдалечено защитната стена на Windows
Ако не можете отдалечено да администрирате компютър с активна защитна стена на Windows, уверете се, че всички правила в конфигурираната по подразбиране група са активирани Дистанционно управление на защитната стена на Windowsактивен профил. В един миг Защитна стена на Windows с разширена защитаизберете възел Правила за входящи връзкии превъртете списъка с правила до групата Дистанционно. Уверете се, че тези правила са активирани. Изберете всяко от деактивираните правила и щракнете върху бутона Активиране на правилотов обхвата на конзолата. Освен това проверете дали услугата IPSec Policy Agent е активирана. Тази услуга е необходима за дистанционноЗащитна стена на Windows.
За да проверите дали IPSec Policy Agent работи, изпълнете следните стъпки:
Щракнете върху бутона Започнетеи изберете раздел Контролен панел.
Кликнете върху иконата Система и нейната поддръжкаи изберете раздел Администрация.
Кликнете два пъти върху иконата Услуги.
Ако се появи диалогов прозорец за контрол на потребителските акаунти, въведете необходимите идентификационни данни за потребител със съответните разрешения и след това щракнете върху продължи.
Намерете услуга в списъка IPSec Policy Agentи се уверете, че е в състояние "Работи".
Ако услугата IPSec агентспряно, щракнете с десния бутон върху него и изберете контекстно менюпараграф Бягай. Можете също така да стартирате услугата IPSec агентот командния ред с помощта на командата net start policy agent.
Забележка
Услуга по подразбиране IPSec Policy Agentстартиран. Тази услугатрябва да работи, освен ако не е спрян ръчно.
Инструменти за отстраняване на неизправности в защитната стена на Windows
Този раздел описва инструментите и методите, използвани за решаване на често срещани проблеми. Този раздел се състои от следните подраздели:
Използване на функции за наблюдение в защитната стена на Windows с разширена защита
Първата стъпка при разрешаването на проблеми със защитната стена на Windows е да видите текущите правила. функция Наблюдениеви позволява да видите правилата, използвани въз основа на локални и групови правила. За да прегледате текущите правила за входящ и изходящ трафик в дървовидната добавка Защитна стена на Windows с разширена защитаИзберете раздел Наблюдениеи след това изберете раздел Защитна стена. В този раздел можете да видите и текущи правила за сигурност на връзкатаИ Асоциации за сигурност (основен и бърз режим).
Активиране и използване на одит на сигурността с инструмента за команден ред auditpol
По подразбиране опциите за одит са деактивирани. За да ги конфигурирате, използвайте инструмента за команден ред auditpol.exe, който променя настройките на политиката за проверка на локалния компютър. auditpol може да се използва за активиране или деактивиране на показването на различни категории събития и тяхното по-нататъшно разглеждане в модула Преглед на събития.
За да видите списък с подкатегории, които са включени в дадена категория (например в категорията Промяна на правилата), в командния ред въведете:
auditpol.exe /списък /категория:"Промяна на политика"
За да разрешите показването на категория или подкатегория, въведете следното в командния ред:
/Подкатегория:" ИмеКатегория"
За да видите списък с категории, поддържани от програмата auditpol, в командния ред въведете:
Например, за да зададете правила за одит за категория и нейната подкатегория, въведете следната команда:
auditpol.exe /set /category:"Промяна на политика" /подкатегория:"Промяна на политика на ниво правило на MPSSVC" /success:enable /failure:enable
Промяна на политиката
Промяна на политиката на ниво правило на MPSSVC
Промяна на политиката на платформата за филтриране
Въведете изход
Основен режим IPsec
Бърз IPsec режим
Разширен IPsec режим
Система
IPSec драйвер
Други системни събития
Достъп до обекти
Пускане на пакет от платформата за филтриране
Свързване на филтриращата платформа
За да влязат в сила промените в политиката за проверка на сигурността, трябва да рестартирате локалния компютър или да принудите ръчно актуализиране на политиката. За да принудите обновяване на правилата, в командния ред въведете:
secedit /refreshpolicy<название_политики>
След като диагностиката приключи, можете да деактивирате проверката на събития, като замените параметъра enable с disable в командите по-горе и изпълните командите отново.
Преглед на събития за одит на сигурността в регистъра на събитията
След като активирате одита, използвайте модула Event Viewer, за да видите събитията за одит в регистъра на събитията за защита.
За да отворите модула Event Viewer в папката Administrative Tools, изпълнете следните стъпки:
Щракнете върху бутона Започнете.
Изберете раздел Контролен панел. Кликнете върху иконата Система и нейната поддръжкаи изберете раздел Администрация.
Кликнете два пъти върху иконата Преглед на събития.
За да добавите модула Event Viewer към MMC, изпълнете следните стъпки:
Щракнете върху бутона Започнете, отидете в менюто Всички програми, след това в менюто Стандартени изберете елемента Бягай.
В текстово поле Отворетевъведете mmc и натиснете клавиша ENTER.
Ако се появи диалогов прозорец за контрол на потребителските акаунти, потвърдете исканото действие и щракнете продължи.
В менюто КонзолаИзбери предмет Добавете или премахнете щракване.
В списъка Налични добавкиизберете снимка Преглед на събитияи натиснете бутона Добавете.
Щракнете върху бутона Добре.
Преди да затворите модула, запазете конзолата за бъдеща употреба.
В един миг Преглед на събитияразширете раздела Регистри на Windows и изберете възел Безопасност. Можете да преглеждате събития за одит на сигурността в работното пространство на конзолата. Всички събития се показват в горната част на работното пространство на конзолата. Щракнете върху събитието в горната част на работното пространство на конзолата, за да се покаже подробна информацияв долната част на панела. В раздела са често срещаниописанието на събитията е поставено под формата на разбираем текст. В раздела Подробностина разположение следните параметридисплей на събитието: Ясна презентацияИ XML режим.
Настройка на регистрационния файл на защитната стена за профил
Преди да можете да видите регистрационните файлове на защитната стена, трябва да конфигурирате защитната стена на Windows с разширена защита за генериране на регистрационни файлове.
За да конфигурирате регистриране за профил на защитна стена на Windows с разширена защита, изпълнете следните стъпки:
В дървото на инструментите Защитна стена на Windows с разширена защитаИзберете раздел Защитна стена на Windows с разширена защитаи натиснете бутона Имотив обхвата на конзолата.
Изберете раздела на профила, за който искате да конфигурирате регистриране (профил на домейн, частен профил или публичен профил), след което щракнете върху бутона НастройтеВ глава Сеч.
Посочете име и местоположение за регистрационния файл.
Посочете максимален размерлог файл (от 1 до 32767 килобайта)
Изпускайте Регистрирайте пропуснатите пакетивъведете стойност да.
Изпускайте Записвайте успешни връзкивъведете стойност даи след това щракнете върху бутона Добре.
Преглед на регистрационните файлове на защитната стена
Отворете файла, който посочихте по време на предишната процедура, „Конфигуриране на регистрационния файл на защитната стена за профил“. За достъп до регистъра на защитната стена трябва да имате права на локален администратор.
Можете да видите регистрационния файл с Notepad или друг текстов редактор.
Анализиране на регистрационните файлове на защитната стена
Информацията, която се регистрира, е показана в следващата таблица. Някои данни са посочени само за определени протоколи (TCP флагове, ICMP тип и код и т.н.), а някои данни са посочени само за изпуснати пакети (размер).
|
Поле |
Описание |
Пример |
|
Показва годината, месеца и деня, когато е записано събитието. Датата се записва във формат ГГГГ-ММ-ДД, където ГГГГ е годината, ММ е месецът, а ДД е денят. |
||
|
Показва часа, минутата и секундата, в които е записано събитието. Часът се записва във формат HH:MM:SS, където HH е часът в 24-часов формат, MM е минутата, а SS е секундата. |
||
|
Действие |
Показва действие, предприето от защитната стена. Съществуват следните действия: ОТВАРЯНЕ, ЗАТВАРЯНЕ, ПУСКАНЕ и ИНФОРМАЦИОННИ СЪБИТИЯ-ЗАГУБЕНИ. Действието INFO-EVENTS-LOST показва, че е настъпило повече от едно събитие, но не е регистрирано. |
|
|
протокол |
Показва протокола, използван за връзката. Този запис може също да бъде броят на пакетите, които не използват TCP, UDP или ICMP. |
|
|
Показва IP адреса на изпращащия компютър. |
||
|
Показва IP адреса на целевия компютър. |
||
|
Показва номера на изходния порт на изпращащия компютър. Стойността на порта източник се записва като цяло число от 1 до 65535. Валидна стойност на порт източник се показва само за TCP и UDP протоколи. За други протоколи "-" се изписва като изходен порт. |
||
|
Показва номера на порта на целевия компютър. Стойността на целевия порт се записва като цяло число от 1 до 65535. Валидна стойност на целевия порт се показва само за TCP и UDP протоколи. За други протоколи "-" се изписва като порт на местоназначение. |
||
|
Показва размера на пакета в байтове. |
||
|
Показва контролните флагове на TCP протокола, намерени в TCP заглавката на IP пакет.
Ack.Значително поле за потвърждение перкаНяма повече данни от подателя Пш.функция за натискане ПърваНулирайте връзката Знамето се обозначава с първата главна буква от името му. Например знамето перкаозначен като Е. |
||
|
Показва номера на TCP опашката в пакета. |
||
|
Показва TCP номера за потвърждение в пакета. |
||
|
Показва размера на прозореца на TCP пакета в байтове. |
||
|
Типв ICMP съобщение. |
||
|
Показва число, представляващо полето Кодв ICMP съобщение. |
||
|
Показва информация въз основа на извършеното действие. Например, за действието INFO-EVENTS-LOST, стойността дадено полепоказва броя на събитията, които са се случили, но не са регистрирани през времето, изминало от предишното възникване на събитие от този тип. |
Забележка
Тире (-) се използва в полета в текущия запис, които не съдържат информация.
Създаване на текстови файлове netstat и tasklist
Можете да създадете два персонализирани регистрационни файла, един за преглед на мрежова статистика (списък на всички слушащи портове) и друг за преглед на списъци със задачи на услуги и приложения. Списъкът със задачи съдържа ID на процеса (идентификатор на процеса, PID) за събитията, съдържащи се във файла с мрежова статистика. Процедурата за създаване на тези два файла е описана по-долу.
За създаване текстови файловемрежова статистика и списък със задачи направете следното:
В командния ред въведете netstat -ano > netstat.txtи натиснете клавиша ENTER.
В командния ред въведете списък със задачи > списък със задачи.txtи натиснете клавиша ENTER. Ако искате да създадете текстов файл със списък от услуги, въведете tasklist /svc > tasklist.txt.
Отворете файловете tasklist.txt и netstat.txt.
Намерете идентификатора на процеса, който диагностицирате във файла tasklist.txt и го сравнете със стойността, съдържаща се във файла netstat.txt. Запишете използваните протоколи.
Пример за издаване на файлове Tasklist.txt и Netstat.txt
netstat.txt
Proto Local Address Чуждестранен адрес State PID
TCP 0.0.0.0:XXX 0.0.0.0:0 СЛУШАНЕ 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 СЛУШАНЕ 322
Tasklist.txt
Име на изображение PID Име на сесия Сесия# Използване на Mem
==================== ======== ================ =========== ============
svchost.exe 122 Услуги 0 7.172 K
XzzRpc.exe 322 Услуги 0 5,104 K
Забележка
Истинските IP адреси са променени на „X“, а RPC услугата на „z“.
Уверете се, че основните услуги работят
Следните услуги трябва да работят:
Основна услуга за филтриране
Клиент за групови правила
Ключови модули IPsec за обмен на интернет ключове и удостоверен IP
IP помощна услуга
Услуга на IPSec Policy Agent
Услуга за мрежово местоположение
Услуга за списък с мрежи
Защитна стена на Windows
За да отворите модула за услуги и да проверите дали необходимите услуги работят, изпълнете следните стъпки:
Щракнете върху бутона Започнетеи изберете раздел Контролен панел.
Кликнете върху иконата Система и нейната поддръжкаи изберете раздел Администрация.
Кликнете два пъти върху иконата Услуги.
Ако се появи диалогов прозорец за контрол на потребителските акаунти, въведете необходимите идентификационни данни за потребител със съответните разрешения и след това щракнете върху продължи.
Уверете се, че изброените по-горе услуги работят. Ако една или повече услуги не работят, щракнете с десния бутон върху името на услугата в списъка и изберете команда Бягай.
Допълнителен начин за решаване на проблеми
В краен случай можете да възстановите настройките на защитната стена на Windows по подразбиране. Възстановяването на настройките по подразбиране ще загуби всички настройки, направени след инсталирането на Windows Vista. Това може да доведе до спиране на работата на някои програми. Освен това, ако управлявате компютъра дистанционно, връзката с него ще бъде загубена.
Преди да възстановите настройките по подразбиране, уверете се, че сте запазили текущата си конфигурация на защитната стена. Това ще ви позволи да възстановите настройките си, ако е необходимо.
Стъпките за запазване на конфигурацията на защитната стена и възстановяване на настройките по подразбиране са описани по-долу.
За да запазите текущата конфигурация на защитната стена, направете следното:
В един миг Защитна стена на Windows с разширена защитащракнете върху връзката Експортна политикав обхвата на конзолата.
За да възстановите настройките на защитната стена по подразбиране, направете следното:
В един миг Защитна стена на Windows с разширена защитащракнете върху връзката Възстанови настройките по подразбиранев обхвата на конзолата.
Когато бъдете подканени от защитната стена на Windows с разширена защита, щракнете даза възстановяване на стойностите по подразбиране.
Заключение
Има много начини за диагностициране и разрешаване на проблеми със защитната стена на Windows с разширена защита. Между тях:
Използване на функция Наблюдениеза преглед на активността на защитната стена, правилата за сигурност на връзката и асоциациите за сигурност.
Анализирайте събития за одит на сигурността, свързани със защитната стена на Windows.
Създаване на текстови файлове списък със задачиИ netstatза сравнителен анализ.
Започвайки със Server 2008 и Vista, WFP механизмът беше вграден в Windows,
което е набор от API и системни услуги. С него това стана възможно
отказвайте и разрешавайте връзки, управлявайте отделни пакети. Тези
иновациите имаха за цел да опростят живота на разработчиците на различни
защита Промените, направени в мрежовата архитектура, засегнаха както режима на ядрото, така и
и части от системата в потребителски режим. В първия случай необходимите функции се експортират
fwpkclnt.sys, във втория - fwpuclnt.dll (букви "k" и "u" в имената на библиотеките
означава съответно ядро и потребител). В тази статия ще говорим за употребата
WFP за прихващане и филтриране на трафик, и след като се запознаете с осн
С дефинициите и възможностите на WFP ще напишем наш собствен прост филтър.
Основни понятия
Преди да започнем да кодираме, абсолютно трябва да се запознаем с терминологията
Microsoft - и за разбирането на статията ще бъде полезна и допълнителна литература
ще е по лесно за четене :) Така че да тръгваме.
Класификация- процесът на определяне какво да се прави с пакета.
От възможните действия: разрешаване, блокиране или извикване на извикване.
Поясненияе набор от функции в драйвера, които извършват проверка
пакети. Те имат специална функция, която извършва класификация на пакети. Това
функцията може да вземе следното решение:
- позволи (FWP_ACTION_PERMIT);
- блокиране (FWP_ACTION_BLOCK);
- продължи обработката;
- поискайте повече данни;
- прекъснете връзката.
Филтри- правила, определящи кога да се обадите
това или онова надпис. Един водач може да има множество допълнителни описания и
в тази статия ще разгледаме разработването на драйвер за допълнително съобщение. Между другото, colouts
има и вградени, например NAT-callout.
слойе функция, чрез която се комбинират различни филтри (или,
както се казва в MSDN, "контейнер").
Всъщност документацията от Microsoft все още изглежда доста мътна
не можете да разгледате примерите в WDK. Ето защо, ако изведнъж решите да разработите нещо
Сериозно, определено трябва да ги проверите. Е, сега е гладко
нека да преминем към практиката. За успешна компилация и тестове ще ви трябва WDK (Windows
Комплект драйвери), VmWare, виртуална машинас инсталирана Vista и дебъгер WinDbg.
Колкото до WDK, аз лично имам инсталирана версия 7600.16385.0 - всичко е там
необходимите libs (тъй като ще разработваме драйвер, имаме нужда само от
fwpkclnt.lib и ntoskrnl.lib) и WFP примери. Връзки към цялото
Инструментите вече са цитирани няколко пъти, така че няма да се повтаряме.
Кодиране
За да инициализирам допълнителното описание, написах функцията BlInitialize. Общ алгоритъм
създаването на допълнително описание и добавянето на филтър е така:
- FWPMENGINEOPEN0извършва откриването на сесията;
- FWPMTRANSACTIONBEGIN0- стартиране на работа с WFP;
- FWPSCALLOUTREGISTER0- създаване на нов callout;
- FWPMCALLOUTADD0- добавяне на callout обект към системата;
- FWPMFILTERADD0- добавяне на нов филтър(и);
- FWPMTRANSACTIONCOMMIT0- запазване на промените (добавено
филтри).
Обърнете внимание, че функциите завършват на 0. В Windows 7 някои от тези
функциите са променени, например се появи FwpsCalloutRegister1 (когато
запазен FwpsCalloutRegister0). Те се различават по аргументи и в резултат на това
прототипи на класифициращи функции, но за нас това вече няма значение - 0-функции
универсален.
FwpmEngineOpen0 и FwpmTransactionBegin0 не са от особен интерес за нас - това са
подготвителен етап. Забавлението започва с функцията
FwpsCalloutRegister0:
FwpsCalloutRegister0 Прототип
NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *изложено,
__out_opt UINT32 *calloutId
);
Вече казах, че callout е набор от функции, сега е време
говорете за това по-подробно. Структурата FWPS_CALLOUT0 съдържа указатели към три
функции - класифицираща (classifyFn) и две уведомителни (около
добавяне/премахване на филтър (notifyFn) и затваряне на потока, който се обработва (flowDeleteFn)).
Първите две функции са задължителни, последната е необходима само ако
искате да наблюдавате самите пакети, а не само връзките. Също така в структурата
съдържа уникален идентификатор, callout GUID (calloutKey).
код за регистрация на допълнително съобщение
FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// класифицираща функция
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// функция, уведомяваща за добавяне/премахване на филтър
// създаване на ново допълнително описание
статус = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);
WINAPI DWORD FwpmCalloutAdd0(
__в HANDLE engineHandle,
__in const FWPM_CALLOUT0 *облачение,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef структура FWPM_CALLOUT0_(
calloutKey GUID;
FWPM_DISPLAY_DATA0 displayData; // описание на допълнителното описание
UINT32 флагове;
GUID *providerKey;
FWP_BYTE_BLOB providerData;
GUID за приложим слой;
UINT32 calloutId;
) FWPM_CALLOUT0;
В структурата FWPM_CALLOUT0 се интересуваме от полето applyLayer - уникално
идентификатор на нивото, към което е добавено допълнителното описание. В нашия случай това
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" в името на идентификатора означава версията
Ipv4 протокол, има и FWPM_LAYER_ALE_AUTH_CONNECT_V6 за Ipv6. Имайки в предвид
слабо разпространение на Ipv6 в момента, ще работим само с
ipv4. CONNECT в името означава, че контролираме само инсталацията
връзка, няма въпрос за входящи и изходящи пакети към този адрес! Изобщо
има много нива освен това, което използвахме - те са декларирани в заглавния файл
fwpmk.h от WDK.
Добавяне на обект за допълнително описание към системата
// име на допълнително описание
displayData.name = L"Изображение за блокиране";
displayData.description = L"Изображение за блокиране";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// описание на допълнителното описание
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
състояние = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);
Така че, след като допълнителното описание е успешно добавено към системата, трябва да създадете
филтър, т.е. посочете в кои случаи ще бъде извикан нашият callout, а именно
- неговата класифицираща функция. Новият филтър се създава от функцията FwpmFilterAdd0,
на който структурата FWPM_FILTER0 се предава като аргумент.
FWPM_FILTER0 съдържа една или повече структури FWPM_FILTER_CONDITION0 (техните
числото се определя от полето numFilterConditions). Полето layerKey се попълва с GUID
слой (слой), към който искаме да се присъединим. В този случай уточняваме
FWPM_LAYER_ALE_AUTH_CONNECT_V4.
Сега нека разгледаме по-отблизо попълването на FWPM_FILTER_CONDITION0. Първо, в
полето fieldKey трябва изрично да посочи какво искаме да контролираме - порт, адрес,
приложение или нещо друго. В този случай WPM_CONDITION_IP_REMOTE_ADDRESS
казва на системата, че се интересуваме от IP адрес. Стойността fieldKey определя
какъв тип стойности ще бъдат включени в структурата FWP_CONDITION_VALUE
FWPM_FILTER_CONDITION0. В този случай той съдържа ipv4 адрес. Да тръгваме
по-нататък. Полето matchType определя как ще бъде направено сравнението.
стойности във FWP_CONDITION_VALUE с това, което дойде по мрежата. Тук има много опции:
можете да посочите FWP_MATCH_EQUAL, което ще означава пълно съответствие с условието и
можете - FWP_MATCH_NOT_EQUAL, тоест всъщност можем да добавим това
по този начин се филтрира изключение (адрес, връзката към който не се проследява).
Има също опции FWP_MATCH_GREATER, FWP_MATCH_LESS и други (вижте enum
FWP_MATCH_TYPE). В този случай имаме FWP_MATCH_EQUAL.
Не се притеснявах много и просто написах условие за блокиране
един избран IP адрес. В случай, че някое приложение се опита
установи връзка с избрания адрес, ще бъде извикан класификатор
нашата функция за допълнително съобщение. Кодът, обобщаващ казаното, може да се види на
Вижте страничната лента „Добавяне на филтър към системата“.
Добавяне на филтър към системата
filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Изображение за блокиране";
filter.displayData.description = L"Изображение за блокиране";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// едно филтърно условие
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // автоматично тегло.
// добавяне на филтър към отдалечения адрес
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(БЛОКИРАН_IP_АДРЕС);
// добавяне на филтър
състояние = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);
Като цяло, разбира се, може да има много условия за филтриране. Например можете
укажете блокиращи връзки към конкретен отдалечен или локален порт (FWPM_CONDITION_IP_REMOTE_PORT
и съответно FWPM_CONDITION_IP_LOCAL_PORT). Може да хване всички пакети
конкретен протокол или конкретно приложение. И това не е всичко! Мога,
например блокирайте трафика на конкретен потребител. Като цяло има къде
бродят.
Но да се върнем към филтъра. Класифициращата функция в нашия случай е проста
блокира връзката към посочения адрес (BLOCKED_IP_ADDRESS), връщайки се
FWP_ACTION_BLOCK:
Нашият функционален код за класифициране
void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* inMetaValues,
VOID* пакет, IN const FWPS_FILTER* филтър,
UINT64 flowContext, FWPS_CLASSIFY_OUT* classifyOut)
{
// попълване на структурата FWPS_CLASSIFY_OUT0
if(classifyOut)( // блокиране на пакета
classifyOut->actionType =
FWP_ACTION_BLOCK;
// когато блокирате пакет, имате нужда
нулиране на FWPS_RIGHT_ACTION_WRITE
classifyOut->права&=~FWPS_RIGHT_ACTION_WRITE;
}
}
На практика функцията за класифициране може също да задава FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE и т.н.
И накрая, когато разтоварвате драйвера, трябва да премахнете всички инсталирани
callouts (познайте какво се случва, ако системата се опита да извика callout
разтоварен драйвер? Точно така, BSOD). Има функция за това
FwpsCalloutUnregisterById. Подава се 32-битов параметър като параметър.
идентификаторът на допълнителното съобщение, върнат от функцията FwpsCalloutRegister.
Завършване на надписа
NTSTATUS BlUninitialize()(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);
}
ако (gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
връщане ns;
}
Както можете да видите, програмирането на WFP филтъра не е толкова трудна задача, т.к
MS ни предостави много удобен API. Между другото, в нашия случай ние задаваме
филтър в драйвера, но може и от usermod! Например пример от wdk
msnmntr (монитор на трафика на MSN Messenger) прави точно това - позволява ви да не го правите
претоварете частта на филтъра в режим на ядрото.
Вашият GUID
За да регистрирате извикване, то се нуждае от уникален идентификатор. За да
вземете своя GUID (глобално уникален идентификатор), използвайте включен guidgen.exe
V визуално студио. Инструментът се намира в (VS_Path)\Common7\Tools. Вероятност за сблъсък
много малък, тъй като GUID е дълъг 128 бита и има налични 2^128
идентификатори.
Филтриране на грешки
За отстраняване на грешки в дърва за огрев е удобно да използвате пакета Windbg + VmWare. За това трябва
конфигурирайте както системата за гости (под формата на която действа Vista), така и програмата за отстраняване на грешки
windbg. Ако WinXP трябваше да редактира boot.ini за отдалечено отстраняване на грешки, тогава
за Vista+ има конзолна програма bcdedit. Както обикновено, трябва да активирате отстраняването на грешки:
BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ON (или BCDedit /set debug ON)
Сега всичко е готово! Стартираме пакетен файл със следния текст:
стартирайте windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0
и вижте изхода за отстраняване на грешки в прозореца на windbg (вижте снимката).
Заключение
Както можете да видите, обхватът на WFP е доста широк. Вие решавате как
прилагайте това знание - за зло или за добро 🙂
Защитна стена (защитна стена или защитна стена) Windows не предизвиква уважение. Леко променен от XP на Vista, той върши работата си добре, но му липсва амбицията да бъде най-добрата персонална защитна стена. Въпреки факта, че защитната стена на Windows 7 получи няколко нови функции, тя все още не получи това, което очаквах да видя в нея.
Окачване с HomeGroup
По време на Инсталиране на Windows 7 предлага създаване на „домашна група“. Тъй като повече компютри с Windows 7 се откриват в мрежата, те също получават подкана да се присъединят към групата. И всичко, от което се нуждаят за това, е парола за него. Въпреки това, с един компютър, работещ с Windows 7, не видях процеса на влизане в група от други компютри, въпреки че известие за това не би навредило. Въпреки това, докато всеки компютър с Windows 7 може да се присъедини към домашна група, компютрите с Windows 7 Home Basicи Windows 7 Starter не може да го създаде.
Компютрите в една и съща домашна група могат да споделят (или, както се казва, „споделят“) принтери и конкретни файлови библиотеки. По подразбиране се споделят библиотеки от снимки, музика, видеоклипове и документи, но потребителят може да ги ограничи по свое усмотрение. Помощта в операционната система дава ясни обяснения как да изключите файл или папка от споделяне или как да го направите само за четене или как да ограничите достъпа до него.
В неговия домашна мрежапотребителят може да споделя съдържанието си с други компютри и устройства и дори с компютри, различни от Windows 7, и дори с други компютри. По-специално Microsoft показа примери как да споделяте съдържание за Xbox 360. Компанията обаче не предлага свързване на Wii към мрежата. Уви, компанията не квалифицира Wii като стрийминг медийно устройство.
И така, колко по-сигурна е домашната мрежа в Windows 7? Обикновено потребителите, които не споделят файлове и папки, започват да деактивират всичко наоколо, включително файловата стена, антивирусната програма и т.н., което според тях може да попречи на този процес. В същото време, ако направите споделянето просто, тогава изключването на всичко наоколо може да бъде избегнато.
Ако Vista разделя мрежите на публични (Public) и частни (Private), то Windows 7 разделя частната мрежа на домашна (Home) и работна (Work). домашна група(HomeGroup) е достъпно само когато е избрана домашната мрежа. Въпреки това, дори в работна мрежа, вашият компютър все още може да вижда и да се свързва с други устройства в него. На свой ред, в публична мрежа (като безжично интернет кафене), Windows 7 блокира достъпа до вас и от вас до други устройства, за вашата безопасност. Това е малка, но хубава възможност.
Защитна стена с двоен режим
Във Vista и XP управлението на защитната стена е толкова просто, колкото включването и изключването й. В същото Windows време 7 предлага на потребителя различни настройки за конфигурация за частни (домашни и работни) и обществени мрежи. В същото време потребителят не трябва да въвежда настройките на защитната стена, за да работи, да речем, в местно кафене. Достатъчно е той да избере обществена мрежа, а самата защитна стена ще приложи целия набор от ограничаващи параметри. Най-вероятно потребителите ще конфигурират публичната мрежа да блокира всички входящи връзки. Във Vista това не можеше да се направи, без да се прекъсне и целият входящ трафик собствена мрежапотребител.
Някои потребители не разбират защо е необходима защитна стена. Ако UAC работи, защитната стена не е ли излишна? Всъщност тези програми служат за много различни цели. UAC следи програмите и тяхната работа в локалната система. Защитната стена, от друга страна, следи внимателно входящите и изходящите данни. Ако си представите тези две програми като двама герои, които стоят гръб до гръб и отблъскват атаки на зомбита, тогава почти можете да кажете, че няма да сбъркате.
Отначало бях заинтригуван нова възможност„Извести ме, когато защитната стена на Windows блокира нова програма". Това не е ли знак, че защитната стена на Windows е поела контрола над програмите и се е превърнала в истинска двупосочна защитна стена?. Бях погълнат от желанието да деактивирам тази функция. И в резултат защитната стена на Windows не получи повече уважение, отколкото имаше.
Изминаха десет години, откакто ZoneLabs популяризираха двупосочната персонална защитна стена. Нейната програма ZoneAlarm скри всички компютърни портове (което може да направи защитната стена на Windows) и също така ви позволи да контролирате достъпа на програми до интернет (защитната стена на Windows все още не може да направи това). Не изисквам интелигентен мониторинг на поведението на програмата, както например в Norton интернет сигурност 2010 и други пакети. Но се надявам, че до пускането на Windows 8 Microsoft все пак ще внедри десетилетна функция ZoneAlarm в своята защитна стена.
Microsoft е наясно, че много потребители инсталират защитни стени и пакети за сигурност на трети страни и просто деактивират защитната стена на Windows. В миналото много програми за сигурност на трети страни автоматично деактивираха защитната стена на Windows, за да избегнат конфликти. В Windows 7 Microsoft го направи сама. Когато инсталира известна защитна стена, операционната система дезактивира вградената защитна стена и съобщава, че "настройките на защитната стена се контролират от такава и такава програма от този и този производител."
Независимо дали я използвате или не, защитната стена на Windows присъства във всеки Windows 7 с дълбока интеграция с операционна система. Така че не би ли било по-добре, ако приложенията за сигурност на трети страни могат да използват файловата стена на Windows за свои собствени цели? Тази идея се крие зад програмен интерфейс, наречен Windows Filtering Platform. Но ще го използват ли разработчиците? Повече за това в следващия раздел.
Защита на Windows 7: Платформа за филтриране на Windows - Платформа за филтриране на Windows
Защитните стени трябва да работят с Windows 7 на много ниско ниво, което програмистите на Microsoft абсолютно мразят. Някои технологии на Microsoft, като PatchGuard, открити в 64-битовите издания на Windows 7 (64-битовият Windows 7 има редица предимства в сигурността пред 32-битовия Windows 7), блокират нарушителите и също така защитават ядрото от достъп до него. Все пак Microsoft не предоставя същото ниво на сигурност като програмите на трети страни. И така, какво да правя?
Решението на този проблем е Windows Filtering Platform (WFP). Последното, според Microsoft, позволява на защитните стени на трети страни да се базират на основните функции на защитната стена на Windows - позволявайки им да добавят персонализирани функции и избирателно да активират или деактивират части от защитната стена на Windows. В резултат на това потребителят може да избере защитна стена, която ще съществува съвместно със защитната стена на Windows.
Но колко полезно е това наистина за разработчиците на софтуер за сигурност? Ще го използват ли? Интервюирах няколко души и получих много отговори.
BitDefender LLC
Мениджърът за продуктово развитие Юлиан Костаче заяви, че неговата компания в момента работи с платформата на Windows 7. Те обаче са се натъкнали на значителни течове на памет. Грешката е на страната на Microsoft, както най-големият софтуерен гигант вече потвърди. Юлиян обаче не знае кога ще се разреши. Междувременно те временно сменени нов драйвер WFP към стар TDI.
Check Point Software Technologies Ltd
Мирка Янус, PR мениджър в Check Point Software Technologies Ltd, каза, че неговата компания използва WFP от Vista. Те също използват платформата под Windows 7. Това е добър, добре поддържан интерфейс, но всеки зловреден софтуер или несъвместим драйвер може да бъде опасен за продукт за сигурност, който разчита на него. ZoneAlarm винаги е разчитал на два слоя - слоеве интернет връзкаи ниво на партида. След Vista, Microsoft предлага WFP като поддържан начин за филтриране на мрежови връзки. Започвайки с Windows 7 SP1, Microsoft трябва да научи WFP да активира филтриране на пакети.
„Използването на поддържани API означава подобрена стабилност и по-малко BSOD. Много драйвери могат да бъдат регистрирани и всеки разработчик на драйвери не трябва да се притеснява за съвместимостта с други. Ако някой драйвер е, да речем, блокиран, никой друг регистриран драйвер не може да заобиколи това блокиране. От друга страна, несъвместим драйвер може да се превърне в проблем, заобикаляйки всички останали регистрирани. Ние не разчитаме само на WFP за мрежова сигурност.“
F-Secure Corporation
Mikko Hypponen, старши изследовател във F-Secure Corporation, заяви, че по някаква причина WFP никога не е привлякъл разработчиците на софтуер за сигурност. В същото време компанията му използва WFP от доста време и беше доволна от него.
McAfee Inc.
На свой ред водещият архитект McAfee Ахмед Салам (Ahmed Sallam) каза, че WFP е по-мощен и гъвкав интерфейс за мрежово филтриране от предишния интерфейс, базиран на NDIS. McAfee използва широко WFP в своите продукти за сигурност.
В същото време, въпреки факта, че WFP има положителни характеристики, киберпрестъпниците също могат да се възползват от платформата. Платформата може да позволи злонамерен софтуер да влезе в стека на мрежовия слой Ядрото на Windows. Следователно, 64-битов Windows драйвериниво на ядрото трябва да има цифрови подписиза да защити ядрото от зареждане в него зловреден софтуер. Цифровите подписи обаче не са необходими за 32-битовите версии.
Да, на теория цифровите подписи са разумен защитен механизъм, но в действителност авторите на зловреден софтуер все още могат да ги придобият.
панда сигурност
Говорителят на Panda Security Педро Бустаманте каза, че неговата компания наблюдава платформата WFP, но в момента не я използва. Компанията смята, че основните недостатъци на WFP са, на първо място, невъзможността да се създаде технология, която да комбинира различни техникиза максимална защита. Технологията е безполезна, ако компанията не може да прегледа входящите и изходящите пакети към машината. Той също така трябва да действа като сензор за други защитни технологии. Нито една от тези функции не се предоставя от WFP. Второ, WFP се поддържа само от Vista и по-нови операционни системи. Платформата не е обратно съвместима. И трето, WFP е сравнително нова платформа и компанията предпочита да надгражда върху по-стари, по-утвърдени технологии.
Symantec Corp.
Директорът за управление на потребителските продукти на Symantec, Дан Надир, каза, че WFP все още не се използва в техните продукти поради относителната си новост. С течение на времето обаче компанията планира да мигрира към него, т.к. старите интерфейси, на които разчитат сега, няма да могат да осигурят пълната функционалност, от която се нуждаят. Те смятат WFP за добра платформа, защото той е специално проектиран да осигури оперативна съвместимост между различни софтуери на трети страни. По принцип платформата трябва да има още по-малко проблеми със съвместимостта в бъдеще. WFP също е добър, защото е интегриран с Microsoft Network Diagnostic Framework. Това е изключително полезно като значително улеснява търсенето на конкретни програми, които са пречка за мрежов трафик. И накрая, WFP трябва да доведе до подобрения в производителността и стабилността на операционната система, т.к платформата избягва емулация и конфликт на драйвери или проблеми със стабилността.
Въпреки това, от друга страна, според Надир, WFP може да създаде определени проблеми, които съществуват във всяка структура - разработчиците, разчитащи на WFP, не могат да затворят уязвимостите в самия WFP, нито могат да разширят специфичните функции, предлагани от WFP. Освен това, ако много програми разчитат на WFP, тогава създателите на зловреден софтуер биха могли теоретично да се опитат да атакуват самия WFP.
TrendMicro Inc.
Директор изследвания в Trend Micro Inc. Dale Liao каза, че най-голямото предимство на платформата е съвместимостта с операционната система. Също така стандартната защитна стена вече е полезна. Така че сега те могат да се съсредоточат върху това, което наистина има значение за потребителя. Лошото при WFP е, че когато се открие грешка в платформата, компанията трябва да изчака Microsoft да я поправи.
WFP: Заключение
В резултат на това повечето от разработчиците на софтуер за сигурност, които интервюирах, вече използват WFP. Вярно, някои паралелно с други технологии. Те харесват оперативната съвместимост, харесват документирания и официален характер на платформата, както и предполагаемата стабилност на нейната работа. с друг, отрицателна страна, ако всички разработчици започнат да разчитат на WFP, тогава платформата потенциално може да се превърне в уязвима точка за всички. И ще трябва да разчитат на Microsoft, за да го поправят. Освен това платформата все още не предлага филтриране на ниво пакети.
Големият недостатък на WFP също е, че не е наличен в Windows XP. Следователно разработчиците, които искат да поддържат XP, ще трябва да стартират два паралелни проекта. Въпреки това, тъй като XP излиза от пазара, мисля, че WFP ще стане по-популярен сред разработчиците.
Зареждане...