Firewall(firewall ili firewall) Windows ne izaziva poštovanje. Malo promijenjen sa XP na Vistu, dobro radi svoj jednostavan posao, ali mu nedostaje ambicija da bude najbolji osobni firewall. Međutim, uprkos činjenici da je Windows 7 firewall dobio nekoliko novih funkcija, još uvijek nije dobio ono što sam očekivao da ću u njemu vidjeti.
Druženje sa kućnom grupom
Tokom Windows instalacije 7 predlaže stvaranje „domaće grupe“. Kako su drugi Windows 7 računari otkriveni na mreži, oni su takođe pozvani da se pridruže grupi. I sve što im za ovo treba je lozinka za to. Međutim, s jednim računarom koji radi pod Windows 7, nisam vidio proces prijavljivanja u grupu drugih računara, iako obavještenje o tome ne bi škodilo. Međutim, ako bilo koji računar sa Windows 7 može da se pridruži matičnoj grupi, onda računari koji koriste Windows 7 Home Basic a Windows 7 Starter ne može da ga kreira.
Računari u istoj matičnoj grupi mogu dijeliti (ili, kako kažu, “dijeliti”) štampače i određene biblioteke datoteka. Podrazumevano, biblioteke slika, muzike, video zapisa i dokumenata se dele, ali ih korisnik može ograničiti po sopstvenom nahođenju. Pomoć u operativnom sistemu daje jasna objašnjenja kako da isključite datoteku ili fasciklu iz deljenja, ili kako da ih učinite samo za čitanje ili kako da im ograničite pristup.
U njegovom kućnu mrežu korisnik može dijeliti svoj sadržaj na druge računare i uređaje, pa čak i na računare koji nemaju Windows 7, pa čak i na ne-računare. Konkretno, Microsoft je pokazao primjere kako možete dijeliti sadržaj na Xbox 360. Međutim, kompanija ne nudi povezivanje Wii-a na mrežu. Nažalost, kompanija nije kvalifikovala Wii kao uređaj za streaming medija.
Dakle, koliko je bezbednija vaša kućna mreža u Windows 7? Obično korisnici koji ne podijele datoteke i mape počinju da onemogućavaju sve oko sebe, uključujući zid datoteka, antivirus itd., što, po njihovom mišljenju, može ometati ovaj proces. U isto vrijeme, ako dijeljenje učinite jednostavnim, možete izbjeći isključivanje svega oko sebe.
Ako Vista dijeli mreže na javne (javne) i privatne (privatne), onda Windows 7 dijeli privatnu mrežu na kućnu (kućnu) i radnu (radnu). HomeGroup je dostupan samo kada odaberete svoju kućnu mrežu. Međutim, čak i na radnoj mreži, vaš računar i dalje može vidjeti i povezati se s drugim uređajima na njemu. Zauzvrat, na javnoj mreži (poput bežične u internet kafeu), Windows 7 blokira pristup vašim i drugim uređajima, radi vaše sigurnosti. Ovo je mala, ali lijepa prilika.
Dvostruki zaštitni zid
U Visti i XP-u, upravljanje firewall-om se svodi na jednostavno uključivanje i isključivanje. Na istom Windows vrijeme 7 korisniku nudi različite konfiguracijske postavke za privatne (kućne i poslovne) i javne mreže. Istovremeno, korisnik ne mora da ulazi u postavke firewall-a da bi radio, recimo, u lokalnom kafiću. Sve što treba da uradi je da odabere javnu mrežu, a sam firewall će primeniti čitav skup restriktivnih parametara. Najvjerovatnije će korisnici konfigurirati javnu mrežu da blokira sve dolazne veze. U Visti to se nije moglo učiniti bez prekidanja dolaznog saobraćaja vlastitu mrežu korisnik.
Neki korisnici ne razumiju zašto je potreban zaštitni zid. Ako UAC radi, nije li zaštitni zid pretjeran? U stvarnosti, ovi programi imaju potpuno različite ciljeve. UAC prati programe i njihov rad unutar lokalnog sistema. Firewall pažljivo prati dolazne i odlazne podatke. Ako zamislite ova dva programa kao dva heroja koji stoje jedan uz drugog i odbijaju napade zombija, onda, moglo bi se reći, teško da možete pogriješiti.
U početku sam bio zaintrigiran nova prilika“Obavijesti me kada Windows zaštitni zid blokova novi program" Da li je ovo znak da je Windows zaštitni zid dobio kontrolu nad programima i postao pravi dvosmjerni zaštitni zid? Obuzela me je želja da onemogućim ovu funkciju. I kao rezultat toga, Windows zaštitni zid nije dobio više poštovanja nego što je imao.
Prošlo je deset godina otkako je ZoneLabs popularizirao dvosmjerni osobni zaštitni zid. Njen program ZoneAlarm sakrio je sve portove računara (što Windows zaštitni zid može da uradi) i takođe vam je omogućio da kontrolišete pristup programa Internetu (što Windows zaštitni zid još uvek ne može). Ne zahtijevam inteligentno praćenje ponašanja programa, kao što je Norton Internet Security 2010 iu drugim paketima. Ali nadam se da će do izdavanja Windowsa 8, Microsoft ipak uvesti skup mogućnosti deset godina starog ZoneAlarma u svoj firewall.
Microsoft je dobro svjestan da mnogi korisnici instaliraju zaštitne zidove treće strane i sigurnosne pakete i jednostavno onemogućuju Windows zaštitni zid. U prošlosti su mnogi sigurnosni programi trećih strana automatski onemogućavali Windows zaštitni zid kako bi izbjegli sukobe. U Windows 7, Microsoft je to sam uradio. Prilikom instaliranja njemu poznatog zaštitnog zida, operativni sistem deaktivira svoj ugrađeni zaštitni zid i javlja da „postavke zaštitnog zida kontroliše taj i taj program tog i tog proizvođača.
Bez obzira da li ga koristite ili ne, Windows zaštitni zid je prisutan u svakom operativnom sistemu Windows 7, sa solidnom integracijom operativni sistem. Pa zar ne bi bilo bolje kada bi sigurnosne aplikacije trećih strana mogle koristiti Windows datotečni zid za svoje potrebe? Ovo je ideja iza programskog interfejsa koji se zove Windows Filtering Platform. Ali hoće li ga programeri koristiti? Više o tome u sljedećem dijelu.
Windows 7 sigurnost: Windows platforma za filtriranje
Zaštitni zidovi moraju raditi sa Windows 7 na veoma niskom nivou, što Microsoft programeri apsolutno mrze. Neke Microsoft tehnologije, kao što je PatchGuard, prisutne u 64-bitnim izdanjima Windowsa 7 (64-bitni Windows 7 ima niz sigurnosnih prednosti u odnosu na 32-bitni Windows 7), blokiraju napadače i štite kernel od pristupa njemu. Ipak, Microsoft ne pruža isti nivo sigurnosti kao programi trećih strana. Pa šta da radimo?
Rješenje za ovaj problem je Windows Filtering Platform (WFP). Potonji, prema Microsoft-u, omogućava da zaštitni zidovi trećih strana budu zasnovani na ključu Windows mogućnosti Zaštitni zid - omogućava vam da im dodate prilagođene mogućnosti i selektivno omogućite i onemogućite dijelove Windows zaštitnog zida. Kao rezultat toga, korisnik može izabrati zaštitni zid koji će postojati zajedno sa Windows zaštitnim zidom.
Ali koliko je to zaista korisno za programere sigurnosti? Hoće li ga koristiti? Pitao sam nekoliko ljudi i dobio tonu odgovora.
BitDefender LLC
Menadžer razvoja proizvoda Iulian Costache rekao je da njegova kompanija trenutno koristi ovu platformu u Windowsu 7. Međutim, naišli su na značajno curenje memorije. Greška je na Microsoftovoj strani, što je najveći softverski gigant već potvrdio. Međutim, Julian ne zna kada će to biti riješeno. U međuvremenu su privremeno zamijenjeni novi vozač WFP na starom TDI.
Check Point Software Technologies Ltd
Menadžer za odnose s javnošću Check Point Software Technologies Ltd Mirka Janus rekla je da njegova kompanija koristi WFP od Viste. Oni također koriste platformu pod Windowsom 7. To je dobro, podržano sučelje, ali svaki zlonamjerni softver ili nekompatibilni drajver može biti opasan za sigurnosni proizvod koji se oslanja na njega. ZoneAlarm se uvijek oslanjao na dva sloja - slojeve mrežne veze i nivo paketa. Počevši od Viste, Microsoft je ponudio WFP kao podržani način za filtriranje mrežnih veza. Počevši od Windows 7 SP1, Microsoft mora naučiti WFP da omogući filtriranje paketa.
“Korišćenje podržanih API-ja znači poboljšanu stabilnost i manje BSOD-ova. Mnogi drajveri se mogu registrovati i svaki programer drajvera ne mora da brine o kompatibilnosti sa drugima. Ako je neki drajver, recimo, blokiran, nijedan drugi registrovani vozač ne može zaobići to blokiranje. S druge strane, nekompatibilni drajver može postati problem, zaobilazeći sve ostale registrovane. Ne oslanjamo se samo na WFP za sigurnost mreže.”
F-Secure Corporation
Viši istraživač u F-Secure Corporation Mikko Hypponen rekao je da iz nekog razloga WFP nikada nije postao popularan među programerima sigurnosnog softvera. Istovremeno, njegova kompanija je dosta dugo koristila WFP i bila je zadovoljna time.
McAfee, Inc.
Zauzvrat, McAfee vodeći arhitekt Ahmed Sallam rekao je da je WFP moćniji i fleksibilniji interfejs za filtriranje mreže od prethodnog interfejsa zasnovanog na NDIS-u. McAfee aktivno koristi WFP u svojim sigurnosnim proizvodima.
Istovremeno, uprkos činjenici da WFP ima pozitivne sposobnosti, sajber kriminalci također mogu iskoristiti prednosti platforme. Platforma bi mogla dozvoliti zlonamjernom softveru da uđe u mrežni stog slojeva Windows kerneli. Dakle, 64-bitni Windows drajveri nivo kernela mora imati digitalne potpise kako bi zaštitio kernel od učitavanja u njega malware. Međutim, digitalni potpisi nisu potrebni na 32-bitnim verzijama.
Da, u teoriji, digitalni potpisi su razuman sigurnosni mehanizam, ali u stvarnosti, autori zlonamjernog softvera ih i dalje mogu sami nabaviti.
Panda Security
Portparol kompanije Panda Security Pedro Bustamante rekao je da njegova kompanija prati WFP platformu, ali je trenutno ne koristi. Kompanija smatra da su glavni nedostaci WFP-a, prvo, nedostatak mogućnosti za stvaranje tehnologije koja bi kombinovala razne tehnike za maksimalnu zaštitu. Tehnologija je beskorisna ako kompanija ne može da pogleda pakete koji ulaze i izlaze iz mašine. Također bi trebao djelovati kao senzor za druge sigurnosne tehnologije. WFP ne pruža nijednu od ovih funkcija. Drugo, WFP podržava samo Vista i noviji operativni sistemi. Platforma nije kompatibilna unatrag. I treće, WFP je prilično nova platforma i kompanija se radije oslanja na starije i dokazane tehnologije.
Symantec Corp.
Dan Nadir, direktor upravljanja potrošačkim proizvodima u Symantecu, rekao je da se WFP još uvijek ne koristi u njihovim proizvodima zbog svoje relativne novosti. Međutim, s vremenom kompanija planira da migrira na nju, jer... stara sučelja na koja se trenutno oslanjaju neće moći pružiti punu funkcionalnost koja im je potrebna. Oni smatraju WFP dobrom platformom jer... posebno je dizajniran da obezbijedi interoperabilnost između raznih programa trećih strana. U principu, platforma bi trebala imati još manje problema s kompatibilnošću u budućnosti. WFP je također odličan jer je integriran s Microsoft Network Diagnostic Framework. Ovo je izuzetno korisno jer... uvelike olakšava potragu za određenim programima koji predstavljaju prepreku mrežni promet. I konačno, WFP bi trebao dovesti do poboljšanja performansi i stabilnosti operativnog sistema jer... Platforma izbjegava emulaciju i probleme sa konfliktima ili stabilnošću drajvera.
Međutim, s druge strane, prema Nadiru, WFP može stvoriti određene probleme koji postoje u bilo kojoj strukturi – programeri koji se oslanjaju na WFP ne mogu zatvoriti ranjivosti unutar samog WFP-a, niti mogu proširiti specifične mogućnosti koje nudi WFP. Također, ako se mnogi programi oslanjaju na WFP, kreatori zlonamjernog softvera bi teoretski mogli pokušati napasti sam WFP.
Trend Micro Inc.
Direktor istraživanja u Trend Micro Inc. Dale Liao je rekao da je najveća prednost platforme njena kompatibilnost sa operativnim sistemom. Takođe, standardni firewall je sada postao koristan. Sada se mogu fokusirati na ono što je korisniku zaista važno. Loša stvar kod WFP-a je da kada se otkrije greška na platformi, kompanija mora čekati da je ispravi Microsoft.
WFP: Zaključak
Kao rezultat toga, većina programera sigurnosti koje sam intervjuirao već koristi WFP. Istina, neke paralelno s drugim tehnologijama. Oni vole interoperabilnost, poput dokumentacije i formalnosti platforme, kao i percipirane stabilnosti njenog rada. sa drugom, negativnu stranu Ako se svi programeri oslanjaju na WFP, tada bi platforma potencijalno mogla postati slaba tačka za sve. I moraće da se oslone na Microsoft da to popravi. Osim toga, platforma još uvijek ne nudi filtriranje na nivou paketa.
Još jedan veliki nedostatak WFP-a je to što nije dostupan u Windows XP-u. Stoga će programeri koji žele podržati XP morati pokrenuti dva paralelna projekta. Međutim, kako XP napusti tržište, mislim da će WFP postati popularniji među programerima.
Dopuna konzole za upravljanje OS (MMC). Windows Vista™ je zaštitni zid stanja mreže za radne stanice koji filtrira dolazne i odlazne veze prema određenim postavkama. Sada možete konfigurirati postavke zaštitnog zida i IPsec protokol sa jednim alatom. Ovaj članak opisuje kako funkcioniše Windows zaštitni zid sa naprednom bezbednošću, uobičajene probleme i rešenja.
Kako funkcioniše Windows zaštitni zid sa naprednom bezbednošću
Windows zaštitni zid u režimu poboljšane sigurnosti, to je zaštitni zid koji snima stanje mreže za radne stanice. Za razliku od zaštitnih zidova rutera, koji se postavljaju na pristupniku između vaše lokalne mreže i Interneta, Windows zaštitni zid je dizajniran da radi na pojedinačnim računarima. Samo prati saobraćaj radna stanica: saobraćaj koji dolazi na IP adresu ovog računara, i odlazni saobraćaj sa samog računara. Windows zaštitni zid sa naprednom bezbednošću obavlja sledeće osnovne operacije:
Dolazni paket se provjerava i upoređuje sa listom dozvoljenog saobraćaja. Ako paket odgovara jednoj od vrednosti na listi, Windows zaštitni zid prosleđuje paket na TCP/IP radi dalje obrade. Ako paket ne odgovara nijednoj od vrijednosti na listi, Windows zaštitni zid blokira paket i, ako je evidentiranje omogućeno, kreira unos u datoteci evidencije.
Lista dozvoljenog saobraćaja formira se na dva načina:
Kada veza koju kontroliše Windows zaštitni zid sa naprednom bezbednošću pošalje paket, zaštitni zid kreira vrednost na listi kako bi omogućio prihvatanje povratnog saobraćaja. Za relevantan dolazni saobraćaj će biti potrebna dodatna dozvola.
Kada kreirate pravilo dozvole za Windows zaštitni zid sa naprednom bezbednošću, saobraćaj za koji ste kreirali pravilo biće dozvoljen na računaru koji koristi Windows zaštitni zid. Ovaj računar će prihvatiti eksplicitno dozvoljeni dolazni saobraćaj kada radi kao server, klijentski računar ili peer-to-peer mrežni host.
Prvi korak ka rešavanju problema sa Windows zaštitnim zidom je da proverite koji profil je aktivan. Windows zaštitni zid sa naprednom bezbednošću je aplikacija koja nadgleda vaše mrežno okruženje. Profil Windows zaštitnog zida mijenja se kako se mijenja vaše mrežno okruženje. Profil je skup postavki i pravila koja se primjenjuju ovisno o mrežnom okruženju i trenutnom stanju mrežne veze.
Zaštitni zid razlikuje tri tipa mrežnih okruženja: domenske, javne i privatne mreže. Domena je mrežno okruženje u kojem su veze provjerene od strane kontrolera domene. Prema zadanim postavkama, svi ostali tipovi mrežnih veza se tretiraju kao javne mreže. Kada se otkrije novi Windows veze Vista traži od korisnika da naznači da li ovu mrežu privatno ili javno. Opšti profil je namenjen za upotrebu na javnim mestima, kao što su aerodromi ili kafići. Privatni profil je namijenjen za korištenje kod kuće ili u uredu, kao i na sigurnoj mreži. Da bi definirao mrežu kao privatnu, korisnik mora imati odgovarajuće administrativne privilegije.
Iako računar može biti povezan na mreže istovremeno različite vrste, samo jedan profil može biti aktivan. Izbor aktivnog profila ovisi o sljedećim razlozima:
Ako sva sučelja koriste autentifikaciju kontrolera domene, koristi se profil domene.
Ako je barem jedno od sučelja povezano na privatnu mrežu, a svi ostali povezani na domenu ili privatne mreže, koristi se privatni profil.
U svim ostalim slučajevima koristi se opći profil.
Da biste odredili aktivni profil, kliknite na čvor Opservation u trenu Windows zaštitni zid sa naprednom bezbednošću. Iznad teksta Status zaštitnog zidaće označiti koji je profil aktivan. Na primjer, ako je profil domene aktivan, prikazat će se na vrhu Profil domene je aktivan.
Korišćenjem profila, Windows zaštitni zid može automatski dozvoliti dolazni saobraćaj za određene alate za upravljanje računarom kada je računar u domenu i blokirati isti saobraćaj kada je računar povezan na javnu ili privatnu mrežu. Dakle, određivanje tipa mrežnog okruženja štiti vaše lokalna mreža bez ugrožavanja sigurnosti mobilnih korisnika.
Uobičajeni problemi pri pokretanju Windows zaštitnog zida sa naprednom bezbednošću
Ovo su glavni problemi koji se javljaju kada je pokrenut Windows zaštitni zid sa naprednom bezbednošću:
U slučaju da je saobraćaj blokiran, prvo treba provjeriti da li je firewall uključen i koji profil je aktivan. Ako je neka od aplikacija blokirana, uvjerite se da je snap-in Windows zaštitni zid sa naprednom bezbednošću Postoji aktivno pravilo dozvole za trenutni profil. Da biste provjerili postoji li dopušteno pravilo, dvaput kliknite na čvor Opservation, a zatim odaberite odjeljak Firewall. Ako nema aktivnih pravila koja dozvoljavaju ovaj program, idite na stranicu i kreirajte novo pravilo za ovaj program. Kreirajte pravilo za program ili uslugu ili navedite grupu pravila koja se primjenjuje na ovu funkciju i uvjerite se da su sva pravila u toj grupi omogućena.
Da biste provjerili da pravilo za dopuštanje nije nadjačano pravilom blokiranja, slijedite ove korake:
U stablu Windows zaštitni zid sa naprednom bezbednošću kliknite na čvor Opservation, a zatim odaberite odjeljak Firewall.
Pogledajte listu svih aktivnih lokalnih i grupna politika. Pravila zabrane nadjačavaju pravila koja dozvoljavaju čak i ako su potonja preciznije definirana.
Politika grupe sprječava primjenu lokalnih pravila
Ako je Windows zaštitni zid sa naprednom bezbednošću konfigurisan korišćenjem smernica grupe, vaš administrator može odrediti da li će se koristiti pravila zaštitnog zida ili bezbednosna pravila veze koja su kreirali lokalni administratori. Ovo ima smisla ako postoje konfigurirana lokalna pravila zaštitnog zida ili pravila sigurnosti veze koja se ne nalaze u odgovarajućem odjeljku postavki.
Da biste utvrdili zašto lokalna pravila zaštitnog zida ili pravila sigurnosti veze nedostaju u odjeljku Nadgledanje, slijedite ove korake:
U trenutku Windows zaštitni zid sa naprednom bezbednošću, kliknite na vezu Svojstva Windows zaštitnog zida.
Odaberite karticu aktivnog profila.
U poglavlju Opcije, pritisnite dugme Tune.
Ako se primjenjuju lokalna pravila, odjeljak Kombinovanje pravilaće biti aktivan.
Pravila koja zahtijevaju sigurne veze mogu blokirati promet
Prilikom kreiranja pravila zaštitnog zida za dolazni ili odlazni promet, jedan od parametara je . Ako je odabrano ovu funkciju, morate imati odgovarajuće pravilo sigurnosti veze ili posebnu IPSec politiku koja određuje koji promet je siguran. U suprotnom, ovaj saobraćaj je blokiran.
Da biste potvrdili da jedno ili više pravila aplikacije zahtijevaju sigurne veze, slijedite ove korake:
U stablu Windows zaštitni zid sa naprednom bezbednošću kliknite na odjeljak Pravila za dolazne veze. Odaberite pravilo koje želite provjeriti i kliknite na vezu Svojstva u opsegu konzole.
Odaberite karticu Uobičajeni su i provjerite da li je odabrana vrijednost radio dugmeta Dozvolite samo sigurne veze.
Ako je pravilo navedeno s parametrom Dozvolite samo sigurne veze, proširite odjeljak Opservation u stablu snap-in i odaberite odjeljak. Osigurajte da promet definiran u pravilu zaštitnog zida ima odgovarajuća pravila sigurnosti veze.
Upozorenje:
Ako imate aktivnu IPSec politiku, osigurajte da politika štiti potreban promet. Nemojte kreirati sigurnosna pravila veze da biste izbjegli konfliktne IPSec politike i pravila sigurnosti veze.
Nije moguće dozvoliti odlazne veze
U stablu Windows zaštitni zid sa naprednom bezbednošću Odaberite odjeljak Opservation. Odaberite karticu aktivnog profila i u odjeljku Status zaštitnog zida provjerite da li su odlazne veze koje ne potpadaju pod dozvoljeno pravilo dopuštene.
U poglavlju Opservation Odaberite odjeljak Firewall kako bi se osiguralo da potrebne odlazne veze nisu navedene u pravilima zabrane.
Mješovite politike mogu dovesti do blokiranja saobraćaja
Možete konfigurirati postavke zaštitnog zida i IPSec koristeći razni interfejsi Windows OS.
Kreiranje pravila na više mjesta može dovesti do sukoba i blokiranja saobraćaja. Dostupne su sljedeće postavke:
Windows zaštitni zid sa naprednom bezbednošću. Ova politika se konfigurira pomoću odgovarajućeg dodatka lokalno ili kao dio pravila grupe. Ova politika definiše postavke zaštitnog zida i IPSec-a na računarima koji koriste Windows Vista.
Administrativni šablon Windows zaštitnog zida. Ova politika se konfiguriše pomoću uređivača objekata grupne politike u odjeljku. Ovo sučelje sadrži postavke Windows zaštitnog zida koje su bile dostupne prije Windows Vista i koristi se za konfiguriranje GPO-a koji kontrolira prethodne verzije Windows. Iako se ovi parametri mogu koristiti za računare koji rade Windows kontrola Vista, preporučuje se da umjesto toga koristite politiku Windows zaštitni zid sa naprednom bezbednošću, jer pruža veću fleksibilnost i sigurnost. Imajte na umu da su neke postavke profila domene zajedničke Administrativnom predlošku i politici Windows zaštitnog zida Windows zaštitni zid sa naprednom bezbednošću, tako da ovdje možete vidjeti parametre konfigurirane u profilu domene pomoću dodatka Windows zaštitni zid sa naprednom bezbednošću.
IPSec politike. Ovo pravilo se konfigurira pomoću lokalnog dodatka IPSec Policy Management ili uređivač objekata grupne politike u odjeljku Konfiguracija računara\Konfiguracija Windows\Sigurnosne postavke\IP sigurnosne politike na "Lokalnom računaru". Ovo pravilo definiše IPSec postavke koje mogu koristiti i prethodne verzije operativnog sistema Windows i Windows Vista. Ne bi trebalo da se koristi istovremeno na istom računaru ovu politiku i pravila sigurnosti veze definisana u politici Windows zaštitni zid sa naprednom bezbednošću.
Da biste vidjeli sve ove opcije u odgovarajućim dodacima, kreirajte vlastiti dodatak upravljačke konzole i dodajte mu dodatke Windows zaštitni zid sa naprednom bezbednošću, And IP sigurnost.
Za kreiranje vlastitog dodatka upravljačke konzole slijedite ove korake:
Kliknite na dugme Počni, idite na meni Svi programi, a zatim na meni Standard i odaberite Izvrši.
U tekstualnom polju Otvori ENTER.
Nastavi.
Na meniju Konzola odaberite stavku.
Na listi Dostupna dodatna oprema izaberite opremu Windows zaštitni zid sa naprednom bezbednošću i pritisnite dugme Dodati.
Kliknite na dugme uredu.
Ponovite korake od 1 do 6 da dodate snimke Kontrola grupna politika I IP Security Monitor.
Da biste provjerili koje su politike aktivne u aktivnom profilu, koristite sljedeću proceduru:
Da provjerite koja se pravila primjenjuju, slijedite ove korake:
IN komandna linija unesite mmc i pritisnite tipku ENTER.
Ako se pojavi dijalog Kontrola korisničkog naloga, potvrdite traženu radnju i kliknite Nastavi.
Na meniju Konzola odaberite stavku Dodajte ili uklonite dodatak.
Na listi Dostupna dodatna oprema izaberite opremu Upravljanje grupnim politikama i pritisnite dugme Dodati.
Kliknite na dugme uredu.
Proširite čvor u stablu (obično drvo šume u kojoj je ovaj računar) i dvaput kliknite na odjeljak u oknu s detaljima konzole.
Odaberite vrijednost radio dugmeta Prikaži postavke pravila za od vrednosti trenutni korisnik ili drugog korisnika. Ako ne želite da prikažete postavke politike za korisnike, već samo postavke politike za računar, izaberite radio dugme Ne prikazuj korisničku politiku (samo pogledaj politiku računara) i dvaput pritisnite dugme Dalje.
Kliknite na dugme Spreman. Čarobnjak za rezultate grupne politike generiše izveštaj u oknu sa detaljima na konzoli. Izvještaj sadrži kartice Sažetak, Opcije I Politički događaji.
Da biste provjerili da nema sukoba sa IP sigurnosnim politikama, nakon generiranja izvještaja, odaberite karticu Opcije i otvorite Computer Configuration\Windows Configuration\Security Settings\IP Security Settings u usluzi Active Directory direktorija. Ako nedostaje posljednji odjeljak, onda sigurnosna politika IP-a nije postavljena. U suprotnom, biće prikazani naziv i opis politike i GPO-a kojem ona pripada. Ako koristite IP sigurnosnu politiku i Windows zaštitni zid sa politikom napredne sigurnosti u isto vrijeme sa pravilima sigurnosti veze, ove politike mogu biti u sukobu. Preporučuje se korištenje samo jedne od ovih pravila. Optimalno rješenjeće koristiti IP sigurnosne politike zajedno sa Windows zaštitnim zidom sa pravilima napredne sigurnosti za dolazni ili odlazni saobraćaj. Ako su parametri konfigurisani na različitim mjestima i nisu konzistentni jedni s drugima, može doći do sukoba politika koje je teško riješiti.
Također može postojati sukob između politika definiranih u lokalnim objektima grupnih politika i skripti koje je konfigurirao IT odjel. Provjerite sve IP sigurnosne politike pomoću programa IP Security Monitor ili unosom sljedeće naredbe u komandni redak:
Da vidite postavke definisane u Administrativnom predlošku Windows zaštitnog zida, proširite odeljak Konfiguracija računara\Administrativni predlošci\Mreža\Mrežne veze\Windows zaštitni zid.
Da biste vidjeli najnovije događaje u vezi s trenutnom politikom, možete otići na karticu Policy Events u istoj konzoli.
Da vidite politiku koju koristi Windows zaštitni zid sa naprednom bezbednošću, otvorite dodatak na računaru koji dijagnostikujete i pregledajte postavke pod Opservation.
Da vidite administrativne predloške, otvorite dodatak Group Policy i u sekciji Rezultati grupne politike Pregledajte da li postoje postavke naslijeđene iz grupnih politika koje mogu uzrokovati odbijanje prometa.
Da vidite politike zaštite IP-a, otvorite dodatak IP Security Monitor. Odaberite u stablu lokalni računar. U opsegu konzole odaberite vezu Aktivna politika, Osnovni način rada ili Brzi način rada. Provjerite postoje li konkurentna pravila koja mogu dovesti do blokiranja saobraćaja.
U poglavlju Opservation rigging Windows zaštitni zid sa naprednom bezbednošću Možete vidjeti postojeća pravila za lokalnu i grupnu politiku. Za dobijanje Dodatne informacije pogledajte odjeljak " Korištenje funkcije sata u snap-in Windows zaštitni zid sa naprednom bezbednošću » ovog dokumenta.
Da zaustavite IPSec Policy Agent, slijedite ove korake:
Kliknite na dugme Počni i odaberite odjeljak Kontrolna tabla.
Kliknite na ikonu Sistem i njegovo održavanje i odaberite odjeljak Administracija.
Dvaput kliknite na ikonu Usluge. Nastavi.
Pronađite uslugu na listi IPSec Policy Agent
Ako je usluga IPSec Agent radi, kliknite na njega desni klik miša i odaberite stavku menija Stani. Takođe možete zaustaviti uslugu IPSec Agent iz komandne linije koristeći naredbu
Peer-to-peer politika može uzrokovati odbijanje saobraćaja
Za veze koje koriste IPSec, oba računara moraju imati kompatibilne IP sigurnosne politike. Ove smernice se mogu definisati pomoću dodatka za bezbednosna pravila veze Windows zaštitnog zida IP sigurnost ili drugog provajdera IP sigurnosti.
Da biste provjerili postavke sigurnosne politike IP-a na peer-to-peer mreži, slijedite ove korake:
Kliknite na odjeljak Osnovni način rada, u oknu s detaljima konzole odaberite vezu koju želite testirati, a zatim kliknite vezu Svojstva u opsegu konzole. Pregledajte svojstva veze za oba čvora kako biste bili sigurni da su kompatibilni.
Ponovite korak 2.1 za particiju Brzi način rada. Pregledajte svojstva veze za oba čvora kako biste bili sigurni da su kompatibilni.
U trenutku Windows zaštitni zid sa naprednom bezbednošću izaberite čvor Opservation I Pravila sigurnosti veze kako biste bili sigurni da je IP sigurnosna politika konfigurirana na oba mrežna čvora.
Ako na jednom od računara na peer-to-peer mreži radi stariji Windows verzije nego Windows Vista, pobrinite se da barem jedan od paketa šifri u prirodnom režimu i jedan od paketa šifri u brzom režimu koriste algoritme koje podržavaju oba čvora.
Ako koristite provjeru autentičnosti Kerberos verzije 5, provjerite je li host u istoj domeni ili domeni od povjerenja.
Ako koristite certifikate, provjerite jesu li potvrđena potrebna polja. Za certifikate koji koriste Internet Key Exchange (IKE) IPSec, morate digitalni potpis. Certifikati koji koriste Authenticated Internet Protocol (AuthIP) zahtijevaju provjeru autentičnosti klijenta (u zavisnosti od tipa provjere autentičnosti servera). Za više informacija o AuthIP certifikatima pogledajte članak IP autentikacija u operativnom sistemu Windows Vista AuthIP u operativnom sistemu Windows Vista na Microsoft veb lokaciji.
Windows zaštitni zid sa naprednom bezbednošću nije moguće konfigurisati
Windows zaštitni zid sa naprednim sigurnosnim postavkama je zasivljen (zasivljen) u sljedećim slučajevima:
Računar je povezan na mrežu sa centralizovano upravljanje, a administrator mreže koristi smernice grupe da konfiguriše Windows zaštitni zid sa postavkama napredne bezbednosti. U ovom slučaju, na vrhu kopče Windows zaštitni zid sa naprednom bezbednošću Vidjet ćete poruku "Neke postavke kontroliraju pravila grupe." Administrator mreže konfiguriše politiku, čime vas sprečava da promenite postavke Windows zaštitnog zida.
Računar sa operativnim sistemom Windows Vista nije povezan na mrežu kojom se centralno upravlja, ali postavke Windows zaštitnog zida određuju lokalne smernice grupe.
Da biste promijenili postavke Windows zaštitnog zida sa naprednom sigurnošću koristeći Smjernice lokalne grupe, koristite dodatak Lokalna kompjuterska politika. Da biste otvorili ovaj dodatak, unesite secpol na komandnoj liniji. Ako se pojavi dijalog Kontrola korisničkog naloga, potvrdite traženu radnju i kliknite Nastavi. Idite na Konfiguracija računara\Konfiguracija Windows\Sigurnosne postavke\Windows zaštitni zid sa naprednom bezbednošću da konfigurišete Windows zaštitni zid sa postavkama smernica napredne bezbednosti.
Računar ne odgovara na ping zahtjeve
Glavni način testiranja povezanosti između računara je korištenje uslužnog programa Ping za testiranje povezanosti na određenu IP adresu. Tokom pinga, šalje se ICMP eho poruka (također poznata kao ICMP eho zahtjev) i zauzvrat se traži ICMP eho odgovor. Windows zaštitni zid podrazumevano odbija dolazne ICMP eho poruke, tako da računar ne može poslati ICMP eho odgovor.
Dopuštanje dolaznih ICMP eho poruka omogućit će drugim računarima da pinguju vaš računar. S druge strane, ovo će učiniti računar ranjivim na napade koji koriste ICMP eho poruke. Međutim, preporučuje se privremeno dozvoliti dolazne ICMP eho poruke ako je potrebno, a zatim ih onemogućiti.
Da biste dozvolili ICMP eho poruke, kreirajte nova ulazna pravila koja dozvoljavaju ICMPv4 i ICMPv6 pakete eho zahtjeva.
Da biste riješili ICMPv4 i ICMPv6 eho zahtjeve, slijedite ove korake:
U stablu Windows zaštitni zid sa naprednom bezbednošću izaberite čvor Pravila za dolazne veze i kliknite na link Novo pravilo u području akcije konzole.
Prilagodljivo i pritisnite dugme Dalje.
Odredite vrijednost prekidača Svi programi i pritisnite dugme Dalje.
U padajućoj listi Vrsta protokola odaberite vrijednost ICMPv4.
Kliknite na dugme Tune za stavku Parametri ICMP protokola.
Postavite radio dugme na Specifični ICMP tipovi, označite polje Echo request, pritisnite dugme uredu i pritisnite dugme Dalje.
U fazi odabira odgovarajućih lokalnih i udaljenih IP adresa ovo pravilo, postavite prekidače na vrijednosti Bilo koja IP adresa ili Navedene IP adrese. Ako odaberete vrijednost Navedene IP adrese, navedite potrebne IP adrese, kliknite na dugme Dodati i pritisnite dugme Dalje.
Odredite vrijednost prekidača Dozvoli vezu i pritisnite dugme Dalje.
U fazi odabira profila odaberite jedan ili više profila (profil domene, privatni ili javni profil) u kojima želite koristiti ovo pravilo i kliknite na dugme Dalje.
Na terenu Ime unesite naziv pravila i u polje Opis– opcioni opis. Kliknite na dugme Spreman.
Ponovite gornje korake za ICMPv6 protokol, odabirom Vrsta protokola padajuće vrijednosti ICMPv6 umjesto ICMPv4.
Ako imate aktivna pravila sigurnosti veze, privremeno isključivanje ICMP-a iz IPsec zahtjeva može pomoći u rješavanju problema. Da biste to učinili, otvorite u trenutku Windows zaštitni zid sa naprednom bezbednošću dijalog prozor Svojstva, idite na karticu IPSec postavke i navedite vrijednost u padajućoj listi Da za parametar Isključi ICMP iz IPSec-a.
Bilješka
Postavke Windows zaštitnog zida mogu promijeniti samo administratori i mrežni operateri.
Nije moguće dijeliti datoteke i štampače
Ako ne možete dobiti opšti pristup za datoteke i štampače na računaru sa aktivnim Windows zaštitnim zidom, uverite se da su sva pravila grupe omogućena Pristup datotekama i štampačima Windows zaštitni zid sa naprednom bezbednošću izaberite čvor Pravila za dolazne veze Pristup datotekama i štampačima Omogući pravilo u opsegu konzole.
pažnja:
Izričito se preporučuje da ne omogućite deljenje datoteka i štampača na računarima koji su direktno povezani na Internet, jer napadači mogu pokušati da pristupe podijeljeni fajlovi i nanijeti vam štetu oštećenjem vaših ličnih fajlova.
Windows zaštitni zid se ne može upravljati daljinski
Ako niste u mogućnosti da daljinski administrirate računar sa aktivnim Windows zaštitnim zidom, uverite se da su sva pravila u podrazumevanoj grupi omogućena Udaljeno upravljanje Windows zaštitnim zidom aktivni profil. U trenutku Windows zaštitni zid sa naprednom bezbednošću izaberite čvor Pravila za dolazne veze i skrolujte listu pravila do grupe Daljinski upravljač. Provjerite jesu li ova pravila omogućena. Odaberite svako od onemogućenih pravila i kliknite na dugme Omogući pravilo u opsegu konzole. Osim toga, uvjerite se da je usluga IPSec Policy Agent omogućena. Ova usluga je potrebna za daljinski upravljač Windows zaštitni zid.
Da biste potvrdili da je IPSec Policy Agent pokrenut, slijedite ove korake:
Kliknite na dugme Počni i odaberite odjeljak Kontrolna tabla.
Kliknite na ikonu Sistem i njegovo održavanje i odaberite odjeljak Administracija.
Dvaput kliknite na ikonu Usluge.
Ako se pojavi dijalog Kontrola korisničkog naloga, unesite potrebne korisničke informacije sa odgovarajućim dozvolama i kliknite Nastavi.
Pronađite uslugu na listi IPSec Policy Agent i uvjerite se da ima status "Running".
Ako je usluga IPSec Agent zaustavljen, kliknite desnim tasterom miša na njega i izaberite unutra kontekstni meni stav Pokreni. Takođe možete pokrenuti uslugu IPSec Agent iz komandne linije koristeći naredbu agenta politike net starta.
Bilješka
Zadana usluga IPSec Policy Agent pokrenut. Ova usluga bi trebao raditi osim ako nije zaustavljen ručno.
Windows Firewall Troubleshooters
Ovaj odjeljak opisuje alate i metode koje se koriste za rješavanje problema tipični problemi. Ovaj odjeljak se sastoji od sljedećih pododjeljaka:
Koristite funkcije nadgledanja u Windows zaštitnom zidu sa naprednom bezbednošću
Prvi korak ka rješavanju problema Windows zaštitnog zida je pregled trenutnih pravila. Funkcija Opservation omogućava vam da vidite pravila koja se koriste na osnovu lokalnih i grupnih politika. Za prikaz trenutnih ulaznih i odlaznih pravila u stablu za umetanje Windows zaštitni zid sa naprednom bezbednošću Odaberite odjeljak Opservation, a zatim odaberite odjeljak Firewall. U ovoj sekciji možete pogledati i trenutne pravila sigurnosti veze I sigurnosne asocijacije (glavni i brzi načini rada).
Omogućite i koristite sigurnosnu reviziju pomoću alata auditpol komandne linije
Po defaultu, opcije revizije su onemogućene. Da biste ih konfigurirali, koristite alat za naredbenu liniju auditpol.exe, koji mijenja postavke politike revizije na lokalnom računalu. Auditpol se može koristiti da omogući ili onemogući prikaz različitih kategorija događaja, a zatim ih pogleda kasnije u dodatku Event Viewer.
Da vidite listu potkategorija koje su uključene u datu kategoriju (na primjer, kategorija Promjena politike), unesite u komandnu liniju:
auditpol.exe /list /category:"Promjene politike"
Da biste omogućili prikaz kategorije ili potkategorije, unesite u komandnu liniju:
/Podkategorija:" NameCategory"
Da vidite listu kategorija koje podržava auditpol, unesite na komandnoj liniji:
Na primjer, da postavite politike revizije za kategoriju i njenu potkategoriju, unijeli biste sljedeću naredbu:
auditpol.exe /set /category:"Promjena politike" /podkategorija:"Promjena politike na nivou pravila MPSSVC" /uspjeh:omogući /neuspjeh:omogući
Promjena politike
Promjena politike na nivou pravila MPSSVC
Promjena politike platforme za filtriranje
Unesite izlaz
IPsec Basic Mode
IPsec brzi način rada
IPsec Enhanced Mode
Sistem
IPSEC Driver
Ostali sistemski događaji
Pristup objektima
Paket pada putem platforme za filtriranje
Povezivanje platforme za filtriranje
Da bi promjene politike revizije stupile na snagu, morate ponovo pokrenuti lokalni računar ili prisilno izvršiti ručno ažuriranje politike. Za prisilno ažuriranje politike, unesite na komandnoj liniji:
secedit/refreshpolicy<название_политики>
Nakon što je dijagnostika završena, možete onemogućiti reviziju događaja tako što ćete zamijeniti parametar za uključivanje u gornjim naredbama s onemogućavanjem i ponovo pokrenuti komande.
Pregledajte događaje sigurnosne revizije u dnevniku događaja
Nakon što omogućite reviziju, koristite Event Viewer za pregled događaja revizije u Dnevniku sigurnosnih događaja.
Da biste otvorili Event Viewer u folderu Administrativni alati, slijedite ove korake:
Kliknite na dugme Počni.
Odaberite odjeljak Kontrolna tabla. Kliknite na ikonu Sistem i njegovo održavanje i odaberite odjeljak Administracija.
Dvaput kliknite na ikonu Event Viewer.
Da dodate preglednik događaja na MMC, slijedite ove korake:
Kliknite na dugme Počni, idite na meni Svi programi, a zatim na meni Standard i odaberite Izvrši.
U tekstualnom polju Otvori unesite mmc i pritisnite tipku ENTER.
Ako se pojavi dijalog Kontrola korisničkog naloga, potvrdite traženu radnju i kliknite Nastavi.
Na meniju Konzola odaberite stavku Dodajte ili uklonite dodatak.
Na listi Dostupna dodatna oprema izaberite opremu Event Viewer i pritisnite dugme Dodati.
Kliknite na dugme uredu.
Prije zatvaranja snap-in-a, sačuvajte konzolu za buduću upotrebu.
U trenutku Event Viewer proširite odjeljak Windows evidencije i izaberite čvor Sigurnost. U radnom području konzole možete vidjeti događaje sigurnosne revizije. Svi događaji su prikazani na vrhu radnog područja konzole. Kliknite na događaj na vrhu radnog područja konzole za prikaz detaljne informacije na dnu panela. Na kartici Uobičajeni su Postoji opis događaja u obliku jasnog teksta. Na kartici Detalji dostupan sledećim parametrima prikaz događaja: Jasna prezentacija I XML način rada.
Konfigurišite evidenciju zaštitnog zida za profil
Pre nego što budete mogli da vidite evidenciju zaštitnog zida, morate da konfigurišete Windows zaštitni zid sa naprednom bezbednošću da generiše datoteke evidencije.
Da biste konfigurirali evidentiranje za Windows zaštitni zid s profilom napredne sigurnosti, slijedite ove korake:
U stablu Windows zaštitni zid sa naprednom bezbednošću Odaberite odjeljak Windows zaštitni zid sa naprednom bezbednošću i pritisnite dugme Svojstva u opsegu konzole.
Odaberite karticu profila za koju želite konfigurirati prijavu (profil domene, privatni profil ili javni profil), a zatim kliknite Tune U poglavlju Logging.
Odredite ime i lokaciju datoteke evidencije.
Odrediti maksimalna veličina log fajl (od 1 do 32767 kilobajta)
U padajućoj listi Zabilježite nedostajuće pakete unesite vrijednost Da.
U padajućoj listi Snimite uspješne veze unesite vrijednost Da a zatim kliknite na dugme uredu.
Pregledajte fajlove evidencije zaštitnog zida
Otvorite datoteku koju ste naveli tokom prethodne procedure, „Konfiguracija evidencije zaštitnog zida za profil“. Da biste pristupili dnevniku zaštitnog zida, morate imati prava lokalnog administratora.
Datoteku evidencije možete pogledati koristeći Notepad ili bilo koji uređivač teksta.
Analiziranje datoteka dnevnika zaštitnog zida
Podaci zabilježeni u dnevniku prikazani su u sljedećoj tabeli. Neki podaci su specificirani samo za određene protokole (TCP zastavice, ICMP tip i kod, itd.), a neki podaci su specificirani samo za ispuštene pakete (veličina).
|
Polje |
Opis |
Primjer |
|
Prikazuje godinu, mjesec i dan kada je događaj snimljen. Datum se ispisuje u formatu GGGG-MM-DD, gde je GGGG godina, MM mesec, a DD dan. |
||
|
Prikazuje sat, minut i sekundu u kojoj je događaj snimljen. Vrijeme se zapisuje u formatu HH:MM:SS, gdje je HH sat u 24-satnom formatu, MM je minuta, a SS sekunda. |
||
|
Akcija |
Označava radnju koju izvodi zaštitni zid. Postoje sljedeće akcije: OTVORI, ZATVORI, ISPUSTI i INFO-DOGAĐAJI-IZGUBLJENI. Akcija INFO-EVENTS-LOST ukazuje da se dogodilo više događaja, ali nisu zabilježeni. |
|
|
Protokol |
Prikazuje protokol koji se koristi za vezu. Ovaj unos također može biti broj paketa koji ne koriste TCP, UDP ili ICMP. |
|
|
Prikazuje IP adresu računara koji šalje. |
||
|
Prikazuje IP adresu računara primaoca. |
||
|
Prikazuje broj izvornog porta računara koji šalje. Vrijednost izvornog porta je zapisana kao cijeli broj od 1 do 65535. Ispravna vrijednost izvornog porta se prikazuje samo za TCP i UDP protokole. Za druge protokole, “-” se upisuje kao izvorni port. |
||
|
Prikazuje broj porta odredišnog računara. Vrijednost odredišnog porta je zapisana kao cijeli broj od 1 do 65535. Ispravna vrijednost odredišnog porta se prikazuje samo za TCP i UDP protokole. Za druge protokole, “-” se piše kao odredišni port. |
||
|
Prikazuje veličinu paketa u bajtovima. |
||
|
Prikazuje kontrolne zastavice TCP protokola koje se nalaze u TCP zaglavlju IP paketa.
Ack. Polje za priznanje značajno Fin. Nema više podataka od pošiljaoca Psh. Push funkcija Rst. Resetujte vezu Zastava je označena prvim velikim slovom njenog imena. Na primjer, zastava Fin označeno kao F. |
||
|
Prikazuje broj TCP reda u paketu. |
||
|
Prikazuje broj TCP potvrde u paketu. |
||
|
Prikazuje veličinu prozora TCP paketa u bajtovima. |
||
|
Tip u ICMP poruci. |
||
|
Prikazuje broj koji predstavlja polje Kod u ICMP poruci. |
||
|
Prikazuje informacije na osnovu izvršene radnje. Na primjer, za akciju INFO-EVENTS-LOST vrijednost ove oblasti označava broj događaja koji su se dogodili, ali nisu zabilježeni od prethodne pojave događaja ovog tipa. |
Bilješka
Crtica (-) se koristi u poljima trenutnog zapisa koja ne sadrže nikakve informacije.
Kreiranje tekstualnih datoteka netstat i liste zadataka
Možete kreirati dvije prilagođene datoteke dnevnika, jednu za pregled mrežne statistike (lista svih portova za slušanje) i drugu za pregled liste zadataka usluga i aplikacija. Lista zadataka sadrži identifikator procesa (PID) za događaje sadržane u datoteci mrežne statistike. Procedura za kreiranje ove dvije datoteke je opisana u nastavku.
Za stvaranje tekstualne datoteke mrežnu statistiku i listu zadataka, slijedite ove korake:
U komandnoj liniji unesite netstat -ano > netstat.txt i pritisnite tipku ENTER.
U komandnoj liniji unesite tasklist > tasklist.txt i pritisnite tipku ENTER. Ako trebate kreirati tekstualnu datoteku sa listom usluga, unesite tasklist /svc > tasklist.txt.
Otvorite datoteke tasklist.txt i netstat.txt.
Pronađite kod procesa koji dijagnosticirate u datoteci tasklist.txt i uporedite ga sa vrijednošću sadržanom u datoteci netstat.txt. Zabilježite korištene protokole.
Primjer izdavanja Tasklist.txt i Netstat.txt datoteka
Netstat.txt
Proto lokalna adresa Strana adresa PID stanja
TCP 0.0.0.0:XXX 0.0.0.0:0 SLUŠANJE 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 SLUŠANJE 322
Tasklist.txt
Naziv slike PID Naziv sesije Sesija# Upotreba memorije
==================== ======== ================ =========== ============
svchost.exe 122 Usluge 0 7,172 K
XzzRpc.exe 322 Usluge 0 5.104 K
Bilješka
Prave IP adrese se mijenjaju u "X", a RPC servis se mijenja u "z".
Uvjerite se da osnovne usluge rade
Sljedeći servisi moraju biti pokrenuti:
Osnovna usluga filtriranja
Klijent grupne politike
IPsec moduli ključeva za razmjenu internetskih ključeva i IP autentifikaciju
IP pomoćna usluga
IPSec Policy Agent Service
Usluga mrežne lokacije
Usluga mrežne liste
Windows zaštitni zid
Da biste otvorili dodatak Usluge i provjerili da li su potrebne usluge pokrenute, slijedite ove korake:
Kliknite na dugme Počni i odaberite odjeljak Kontrolna tabla.
Kliknite na ikonu Sistem i njegovo održavanje i odaberite odjeljak Administracija.
Dvaput kliknite na ikonu Usluge.
Ako se pojavi dijalog Kontrola korisničkog naloga, unesite potrebne korisničke informacije sa odgovarajućim dozvolama i kliknite Nastavi.
Provjerite rade li gore navedene usluge. Ako jedna ili više usluga ne rade, kliknite desnim tasterom miša na ime usluge na listi i izaberite Pokreni.
Dodatni način rješavanja problema
U krajnjem slučaju, možete vratiti postavke Windows zaštitnog zida na njihove zadane vrijednosti. Vraćanje zadanih postavki će izgubiti sve postavke napravljene nakon instaliranja Windows Vista. To može uzrokovati da neki programi prestanu raditi. Takođe, ako daljinski kontrolišete računar, veza sa njim će se izgubiti.
Prije vraćanja zadanih postavki, uvjerite se da ste sačuvali trenutnu konfiguraciju zaštitnog zida. Ovo će vam omogućiti da vratite postavke ako je potrebno.
Ispod su koraci za spremanje vaše konfiguracije zaštitnog zida i vraćanje zadanih postavki.
Da biste sačuvali trenutnu konfiguraciju zaštitnog zida, slijedite ove korake:
U trenutku Windows zaštitni zid sa naprednom bezbednošću kliknite na link Izvozna politika u opsegu konzole.
Da vratite postavke zaštitnog zida na zadane vrijednosti, slijedite ove korake:
U trenutku Windows zaštitni zid sa naprednom bezbednošću kliknite na link Vrati zadane postavke u opsegu konzole.
Kada dobijete upit Windows zaštitni zid sa naprednom bezbednošću, kliknite Da da vratite zadane vrijednosti.
Zaključak
Postoji mnogo načina za dijagnosticiranje i rješavanje problema sa Windows zaštitnim zidom uz naprednu sigurnost. Među njima:
Korištenje funkcije Opservation da vidite radnje zaštitnog zida, pravila sigurnosti veze i sigurnosne asocijacije.
Analizirajte događaje revizije sigurnosti koji se odnose na Windows zaštitni zid.
Kreiranje tekstualnih fajlova lista zadataka I netstat za komparativnu analizu.
Počevši od Servera 2008 i Viste, WFP mehanizam je ugrađen u Windows,
koji je skup API-ja i sistemskih usluga. Uz njegovu pomoć to je postalo moguće
odbiti i dozvoliti veze, upravljati pojedinačnim paketima. Ove
inovacije su imale za cilj da pojednostave život programera raznih
zaštita Promjene napravljene u mrežnoj arhitekturi utjecale su i na kernel-mod i
i dijelovi sistema u korisničkom modu. U prvom slučaju se izvoze potrebne funkcije
fwpkclnt.sys, u drugom - fwpuclnt.dll (slova "k" i "u" u nazivima biblioteke
označava kernel i korisnika). U ovom članku ćemo govoriti o aplikaciji
WFP za presretanje i filtriranje saobraćaja, a nakon upoznavanja sa osnovnim
Koristeći definicije i mogućnosti WFP-a, napisat ćemo vlastiti jednostavan filter.
Osnovni koncepti
Prije nego što počnemo s kodiranjem, apsolutno je neophodno da se upoznamo s terminologijom
Microsoft - i dodatna literatura će biti od koristi za razumijevanje članka
Biće lakše za čitanje :). Pa, idemo.
Klasifikacija- proces određivanja šta da se radi sa paketom.
Moguće radnje: dozvoli, blokiraj ili oblačić.
Oblačići je skup funkcija u vozaču koje obavljaju inspekciju
paketi. Imaju posebnu funkciju koja vrši klasifikaciju paketa. Ovo
funkcija može odlučiti sljedeće:
- dozvoli(FWP_ACTION_PERMIT);
- blok (FWP_ACTION_BLOCK);
- nastaviti obradu;
- zatražiti više podataka;
- prekinuti vezu.
Filteri- pravila koja pokazuju u kojim slučajevima se zove
ovaj ili onaj oblačić. Jedan vozač može imati nekoliko oblačića i
U ovom članku ćemo razviti upravljački program s oblačićem. Usput, colautas
Postoje i ugrađeni, na primjer, NAT-callout.
Layer- ovo je znak kojim se kombinuju različiti filteri (ili,
kako kažu u MSDN-u, "kontejner").
Iskreno rečeno, dokumentacija iz Microsofta za sada izgleda prilično nejasna
ne možete pogledati primjere u WDK. Stoga, ako iznenada odlučite nešto razviti
ozbiljno, sa njima se svakako treba upoznati. Pa, sada je glatko
Pređimo na praksu. Za uspješnu kompilaciju i testiranje trebat će vam WDK (Windows
Driver Kit), VmWare, virtuelna mašina sa instaliranom Vistom i WinDbg debugerom.
Što se tiče WDK-a, ja lično imam instaliranu verziju 7600.16385.0 - sve je tu
potrebne libs (pošto ćemo razviti drajver, trebaju nam samo
fwpkclnt.lib i ntoskrnl.lib) i primjeri korištenja WFP-a. Linkovi za sve
Alati su već predstavljeni nekoliko puta, pa ih nećemo ponavljati.
Kodiranje
Da inicijaliziram oblačić, napisao sam funkciju BlInitialize. Opšti algoritam
kreiranje oblačića i dodavanje filtera je ovako:
- FWPMENGINEOPEN0 otvara sesiju;
- FWPMTRANSACTIONBEGIN0- početak rada sa WFP;
- FWPSCALLOUTREGISTER0- kreiranje novog oblačića;
- FWPMCALLOUTADD0- dodavanje objekta callout sistemu;
- FWPMFILTERADD0- dodavanje novih filtera;
- FWPMTRANSACTIONCOMMIT0- čuvanje promjena (dodato
filteri).
Imajte na umu da se funkcije završavaju na 0. U Windows 7, neke od njih
funkcije su promijenjene, na primjer, pojavio se FwpsCalloutRegister1 (sa
sačuvao FwpsCalloutRegister0). Razlikuju se u argumentima i, kao posljedica toga,
prototipovi klasifikacionih funkcija, ali za nas to sada nije važno - 0-funkcije
univerzalni.
FwpmEngineOpen0 i FwpmTransactionBegin0 nam nisu posebno zanimljivi - ovo su
pripremna faza. Zabava počinje s funkcijom
FwpsCalloutRegister0:
FwpsCalloutRegister0 prototip
NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *poziv,
__out_opt UINT32 *calloutId
);
Već sam rekao da je callout skup funkcija, sada je vrijeme
recite nam više o ovome. Struktura FWPS_CALLOUT0 sadrži pokazivače na tri
funkcije - razvrstavanje (classifyFn) i dvije obavijesti (o
dodavanje/uklanjanje filtera (notifyFn) i zatvaranje obrađenog toka (flowDeleteFn)).
Prve dvije funkcije su obavezne, posljednja je potrebna samo ako
želite da nadgledate same pakete, a ne samo veze. Takođe u strukturi
sadrži jedinstveni identifikator, GUID oblačića (calloutKey).
Oblačić registracijski kod
FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *CalloutKey;
sCallout.classifyFn = BlClassify;
// funkcija klasifikacije
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// funkcija koja obavještava o dodavanju/uklanjanju filtera
// kreiramo novi oblačić
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);
DWORD WINAPI FwpmCalloutAdd0(
__u HANDLE engineHandle,
__in const FWPM_CALLOUT0 *poziv,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_ (
GUID calloutKey;
FWPM_DISPLAY_DATA0 displayData; // opis oblačića
UINT32 zastavice;
GUID *providerKey;
FWP_BYTE_BLOB providerData;
GUID applicableLayer;
UINT32 calloutId;
) FWPM_CALLOUT0;
U strukturi FWPM_CALLOUT0 zanima nas polje applicableLayer - jedinstveno
ID nivoa na koji je dodan oblačić. U našem slučaju jeste
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" u imenu identifikatora znači verziju
Ipv4 protokol, postoji i FWPM_LAYER_ALE_AUTH_CONNECT_V6 za Ipv6. Razmatrati
niska prevalencija IPv6 u ovom trenutku, mi ćemo raditi samo sa
IPv4. CONNECT u nazivu znači da kontrolišemo samo instalaciju
veze, nema govora o paketima koji dolaze ili odlaze na ovu adresu! Uopšte
Postoji mnogo nivoa osim onog koji smo koristili - oni su deklarisani u zaglavlju
fwpmk.h iz WDK.
Dodavanje objekta oblačića sistemu
// naziv oblačića
displayData.name = L"Oblačić za blokiranje";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *CalloutKey;
mCallout.displayData = displayData;
// opis oblačića
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);
Dakle, nakon što je oblačić uspješno dodan u sistem, trebate kreirati
filter, odnosno naznačiti u kojim slučajevima će biti pozvan naš oblačić, tj
- njegovu klasifikacionu funkciju. Novi filter kreira funkcija FwpmFilterAdd0,
koji prosljeđuje strukturu FWPM_FILTER0 kao argument.
FWPM_FILTER0 ima jednu ili više FWPM_FILTER_CONDITION0 struktura (njihove
broj je određen poljem numFilterConditions). Polje layerKey je ispunjeno GUID-om
sloj koji želimo da spojimo. U ovom slučaju ukazujemo
FWPM_LAYER_ALE_AUTH_CONNECT_V4.
Sada pogledajmo bliže popunjavanje FWPM_FILTER_CONDITION0. Prvo, u
fieldKey mora biti eksplicitno specificiran u pogledu onoga što želimo kontrolirati - port, adresu,
aplikaciju ili nešto drugo. U ovom slučaju, WPM_CONDITION_IP_REMOTE_ADDRESS
ukazuje sistemu da smo zainteresovani za IP adresu. Vrijednost fieldKey određuje da li
koji tip vrijednosti će biti uključen u strukturu FWP_CONDITION_VALUE
FWPM_FILTER_CONDITION0. U ovom slučaju, sadrži ipv4 adresu. Idemo
dalje. Polje matchType određuje kako će se izvršiti poređenje
vrijednosti u FWP_CONDITION_VALUE sa onim što je došlo preko mreže. Ovdje postoji mnogo opcija:
možete specificirati FWP_MATCH_EQUAL, što će značiti potpunu usklađenost sa uslovom, i
možete - FWP_MATCH_NOT_EQUAL, odnosno, u stvari, možemo dodati ovo
čime se isključuje filtriranje (adresa čija se veza ne prati).
Postoje i opcije FWP_MATCH_GREATER, FWP_MATCH_LESS i druge (vidi enum
FWP_MATCH_TYPE). U ovom slučaju imamo FWP_MATCH_EQUAL.
Nisam se previše trudio i samo sam napisao uslov za blokiranje
jedna odabrana IP adresa. U slučaju da neka aplikacija pokuša
uspostaviti vezu sa odabranom adresom, klasifikator će biti pozvan
našu funkciju oblačića. Možete pogledati kod koji sumira ono što je rečeno
Pogledajte bočnu traku "Dodavanje filtera sistemu".
Dodavanje filtera sistemu
filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker Callout";
filter.displayData.description = L"Oblačić za blokiranje";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterUvjeti;
// jedan uslov filtera
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // auto-weight.
// dodaj filter na udaljenu adresu
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// dodaj filter
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);
Općenito, naravno, može postojati mnogo uslova filtriranja. Na primjer, možete
navedite blokiranje veza na određeni udaljeni ili lokalni port (FWPM_CONDITION_IP_REMOTE_PORT
i FWPM_CONDITION_IP_LOCAL_PORT respektivno). Možete uhvatiti sve pakete
određeni protokol ili specifična aplikacija. I to nije sve! može,
na primjer, blokirati promet određenog korisnika. Općenito, ima gdje
prosetaj.
Međutim, vratimo se na filter. Funkcija klasifikacije u našem slučaju je jednostavna
blokira vezu na navedenu adresu (BLOCKED_IP_ADDRESS), vraćajući se
FWP_ACTION_BLOCK:
Kod naše funkcije klasifikacije
void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* u MetaValues,
VOID* paket,IN const FWPS_FILTER* filter,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// popunjavanje strukture FWPS_CLASSIFY_OUT0
if(classifyOut)( // blokira paket
classifyOut->actionType =
FWP_ACTION_BLOCK;
// kada blokirate paket koji vam je potreban
resetirajte FWPS_RIGHT_ACTION_WRITE
classifyOut->rights&=~FWPS_RIGHT_ACTION_WRITE;
}
}
U praksi, funkcija klasifikacije također može postaviti FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE, itd.
I na kraju, prilikom uklanjanja drajvera, morate ukloniti sve instalirane
callouts (pogodite šta će se dogoditi ako sistem pokuša pozvati callout
neopterećen drajver? Tako je, BSOD). Za to postoji funkcija
FwpsCalloutUnregisterById. Kao parametar se prenosi 32-bitni
identifikator oblačića koji vraća funkcija FwpsCalloutRegister.
Prekidanje poziva
NTSTATUS BlUninitialize())(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);
}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
return ns;
}
Kao što vidite, programiranje WFP filtera nije tako težak zadatak, jer
MS nam je pružio vrlo zgodan API. Inače, u našem slučaju smo instalirali
filter u drajveru, ali to se može uraditi i iz usermoda! Na primjer, uzorak iz wdk
msnmntr (MSN Messenger saobraćajni monitor) radi upravo to - to vam omogućava da ne
preopteretiti deo filtera u režimu jezgra.
Vaš GUID
Za registraciju oblačića potreban mu je jedinstveni identifikator. Da bi
nabavite svoj GUID (globalno jedinstveni identifikator), koristite guidgen.exe uključen
V Visual Studio. Alat se nalazi u (VS_Path)\Common7\Tools. Vjerovatnoća sudara
je vrlo mali jer je GUID dužina 128 bita i ukupno je dostupno 2^128
identifikatori.
Otklanjanje grešaka u filteru
Za otklanjanje grešaka u drva za ogrjev, zgodno je koristiti kombinaciju Windbg+VmWare. Za ovo vam je potrebno
konfigurišite i sistem za goste (koji je Vista) i program za otklanjanje grešaka
WinDbg. Ako ste u WinXP-u morali urediti boot.ini za udaljeno otklanjanje grešaka, onda
Za Vistu+ postoji uslužni program za konzolu koji se zove bcdedit. Kao i obično, morate omogućiti otklanjanje grešaka:
BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
UKLJUČENO (ili BCDedit /set debug ON)
Sada je sve spremno! Pokrećemo batch fajl sa tekstom ispod:
start windbg -b -k com:pipe,port=\\.\pipe\com_1,resetuje=0
i pogledajte izlaz za otklanjanje grešaka u prozoru windbg (pogledajte sliku).
Zaključak
Kao što vidite, opseg WFP-a je prilično širok. Na vama je da odlučite kako
primijeni ovo znanje - za zlo ili za dobro :)
Učitavanje...