Betriebssystem der Snap-in-Verwaltungskonsole (MMC). Windows Vista™ ist eine Network Logging Firewall für Workstations, die ein- und ausgehende Verbindungen gemäß den von Ihnen konfigurierten Einstellungen filtert. Jetzt können Sie die Firewall-Einstellungen konfigurieren und IPsec-Protokoll mit einem Werkzeug. Dieser Artikel beschreibt die Windows-Firewall mit erweiterter Sicherheit, allgemeine Probleme und Lösungen.
Funktionsweise der Windows-Firewall mit erweiterter Sicherheit
Windows-Firewall im erweiterten Sicherheitsmodus ist es eine Netzwerkstatusprotokollierungs-Firewall für Arbeitsstationen. Im Gegensatz zu Firewalls für Router, die am Gateway zwischen Ihrem lokalen Netzwerk und dem Internet bereitgestellt werden, ist die Windows-Firewall für die Ausführung auf einzelnen Computern konzipiert. Es überwacht nur den Datenverkehr Arbeitsplatz: An die IP-Adresse dieses Computers eingehender Datenverkehr und an den Computer selbst ausgehender Datenverkehr. Die Windows-Firewall mit erweiterter Sicherheit führt die folgenden grundlegenden Vorgänge aus:
Das eingehende Paket wird geprüft und mit der Liste des erlaubten Verkehrs verglichen. Wenn das Paket mit einem der Werte in der Liste übereinstimmt, leitet die Windows-Firewall das Paket zur weiteren Verarbeitung an TCP/IP weiter. Stimmt das Paket mit keinem der Werte in der Liste überein, blockiert die Windows-Firewall das Paket und erstellt bei aktiviertem Logging einen Eintrag in der Logdatei.
Die Liste des zulässigen Datenverkehrs wird auf zwei Arten erstellt:
Wenn eine von der Windows-Firewall mit erweiterter Sicherheit gesteuerte Verbindung ein Paket sendet, erstellt die Firewall einen Wert in der Liste, um den Rückverkehr zuzulassen. Entsprechender eingehender Datenverkehr erfordert eine zusätzliche Genehmigung.
Wenn Sie eine Windows-Firewall mit erweiterter Sicherheitszulassungsregel erstellen, wird der Datenverkehr, für den die Regel erstellt wurde, auf einem Computer zugelassen, auf dem die Windows-Firewall ausgeführt wird. Dieser Computer akzeptiert explizit zugelassenen eingehenden Datenverkehr, wenn er als Server, Client-Computer oder Peer-to-Peer-Netzwerkknoten fungiert.
Der erste Schritt zur Lösung von Problemen mit der Windows-Firewall besteht darin, zu überprüfen, welches Profil aktiv ist. Die Windows-Firewall mit erweiterter Sicherheit ist eine Anwendung, die Ihre Netzwerkumgebung überwacht. Das Windows-Firewallprofil ändert sich, wenn sich die Netzwerkumgebung ändert. Ein Profil ist eine Reihe von Einstellungen und Regeln, die abhängig von der Netzwerkumgebung und dem Betrieb angewendet werden Netzwerkverbindungen.
Die Firewall unterscheidet zwischen drei Arten von Netzwerkumgebungen: Domänen-, öffentliche und private Netzwerke. Eine Domäne ist eine Netzwerkumgebung, in der Verbindungen von einem Domänencontroller authentifiziert werden. Standardmäßig werden alle anderen Arten von Netzwerkverbindungen als öffentliche Netzwerke behandelt. Bei der Entdeckung eines neuen Windows-Verbindungen Vista fordert den Benutzer auf, anzugeben, ob dieses Netzwerk privat oder öffentlich. Das allgemeine Profil ist für die Verwendung an öffentlichen Orten wie Flughäfen oder Cafés vorgesehen. Ein privates Profil ist für die Verwendung zu Hause oder im Büro und in einem sicheren Netzwerk konzipiert. Um ein Netzwerk als privat zu definieren, muss der Benutzer über die entsprechenden Administratorrechte verfügen.
Obwohl der Computer gleichzeitig mit Netzwerken verbunden sein kann Anderer Typ, kann nur ein Profil aktiv sein. Die Wahl eines aktiven Profils hängt von folgenden Gründen ab:
Wenn alle Schnittstellen Domänencontroller-Authentifizierung verwenden, wird das Domänenprofil verwendet.
Wenn mindestens eine der Schnittstellen mit einem privaten Netzwerk verbunden ist und alle anderen mit einer Domäne oder privaten Netzwerken verbunden sind, wird das private Profil verwendet.
In allen anderen Fällen wird das allgemeine Profil verwendet.
Um das aktive Profil zu ermitteln, klicken Sie auf den Knoten Überwachung im Handumdrehen Windows-Firewall mit erweiterter Sicherheit. Oberer Text Firewall-Status zeigt an, welches Profil aktiv ist. Wenn beispielsweise ein Domänenprofil aktiv ist, wird die Beschriftung oben angezeigt Domänenprofil aktiv.
Mithilfe von Profilen kann die Windows-Firewall eingehenden Datenverkehr für spezielle Computerverwaltungstools automatisch zulassen, wenn sich der Computer in einer Domäne befindet, und denselben Datenverkehr blockieren, wenn der Computer mit einem öffentlichen oder privaten Netzwerk verbunden ist. Somit gewährleistet die Bestimmung der Art der Netzwerkumgebung den Schutz Ihrer lokales Netzwerk ohne die Sicherheit mobiler Benutzer zu gefährden.
Häufige Probleme beim Ausführen der Windows-Firewall mit erweiterter Sicherheit
Im Folgenden sind die Hauptprobleme aufgeführt, die beim Ausführen der Windows-Firewall mit erweiterter Sicherheit auftreten:
Für den Fall, dass der Datenverkehr blockiert wird, sollten Sie zunächst prüfen, ob die Firewall aktiviert ist und welches Profil aktiv ist. Wenn eine der Anwendungen blockiert ist, stellen Sie dies im Handumdrehen sicher Windows-Firewall mit erweiterter Sicherheit Es gibt eine aktive Zulassungsregel für das aktuelle Profil. Um zu überprüfen, ob eine Zulassungsregel vorhanden ist, doppelklicken Sie auf den Knoten Überwachung, und wählen Sie dann einen Abschnitt aus Firewall. Wenn für dieses Programm keine aktiven Zulassungsregeln vorhanden sind, gehen Sie zum Knoten und erstellen Sie eine neue Regel für dieses Programm. Erstellen Sie eine Regel für ein Programm oder einen Dienst oder geben Sie eine Regelgruppe an, die für diese Funktion gilt, und stellen Sie sicher, dass alle Regeln in dieser Gruppe aktiviert sind.
Gehen Sie folgendermaßen vor, um zu überprüfen, ob eine Zulassungsregel nicht von einer Sperrregel überschrieben wird:
Im Werkzeugbaum Windows-Firewall mit erweiterter Sicherheit Knoten anklicken Überwachung, und wählen Sie dann einen Abschnitt aus Firewall.
Zeigen Sie eine Liste aller aktiven lokalen und Gruppenrichtlinie. Deny-Regeln setzen Allow-Regeln außer Kraft, auch wenn letztere genauer definiert sind.
Die Gruppenrichtlinie verhindert, dass lokale Regeln erzwungen werden
Wenn die Windows-Firewall mit erweiterter Sicherheit mithilfe von Gruppenrichtlinien konfiguriert wird, kann ein Administrator angeben, ob Firewallregeln oder Verbindungssicherheitsregeln verwendet werden, die von lokalen Administratoren erstellt wurden. Dies ist sinnvoll, wenn lokale Firewall-Regeln oder Verbindungssicherheitsregeln konfiguriert sind, die sich nicht im entsprechenden Einstellungsbereich befinden.
Gehen Sie wie folgt vor, um herauszufinden, warum lokale Firewallregeln oder Verbindungssicherheitsregeln im Abschnitt "Überwachung" fehlen:
im Handumdrehen Windows-Firewall mit erweiterter Sicherheit, klicken Sie auf den Link Windows-Firewall-Eigenschaften.
Wählen Sie die aktive Profilregisterkarte.
Im Kapitel Optionen, Drücken Sie den Knopf Melodie.
Wenn lokale Vorschriften gelten, Abschnitt Regeln kombinieren wird aktiv sein.
Regeln, die sichere Verbindungen erfordern, können den Datenverkehr blockieren
Beim Erstellen einer Firewallregel für eingehenden oder ausgehenden Datenverkehr ist eine der Optionen . Falls ausgewählt gegebene Funktion, müssen Sie über eine geeignete Verbindungssicherheitsregel oder eine separate IPSec-Richtlinie verfügen, die definiert, welcher Datenverkehr sicher ist. Andernfalls wird dieser Datenverkehr blockiert.
Gehen Sie folgendermaßen vor, um zu überprüfen, ob eine oder mehrere Anwendungsregeln sichere Verbindungen erfordern:
Im Werkzeugbaum Windows-Firewall mit erweiterter Sicherheit Abschnitt anklicken Regeln für eingehende Verbindungen. Wählen Sie die Regel aus, die Sie überprüfen möchten, und klicken Sie auf den Link Eigenschaften im Rahmen der Konsole.
Registerkarte auswählen Sind üblich und überprüfen Sie, ob der Optionsfeldwert ausgewählt ist Nur sichere Verbindungen zulassen.
Wenn der Parameter für die Regel angegeben ist Nur sichere Verbindungen zulassen, erweitern Sie den Abschnitt Überwachung im Snap-In-Baum und wählen Sie den Abschnitt aus. Stellen Sie sicher, dass der in der Firewallregel definierte Datenverkehr über die entsprechenden Verbindungssicherheitsregeln verfügt.
Warnung:
Wenn Sie über eine aktive IPSec-Richtlinie verfügen, stellen Sie sicher, dass die Richtlinie den erforderlichen Datenverkehr schützt. Erstellen Sie keine Verbindungssicherheitsregeln, um Konflikte zwischen der IPSec-Richtlinie und den Verbindungssicherheitsregeln zu vermeiden.
Ausgehende Verbindungen können nicht zugelassen werden
Im Werkzeugbaum Windows-Firewall mit erweiterter Sicherheit Wählen Sie einen Abschnitt Überwachung. Wählen Sie die Registerkarte aktives Profil und darunter Firewall-StatusÜberprüfen Sie, ob ausgehende Verbindungen, die nicht der Zulassungsregel entsprechen, zulässig sind.
Im Kapitel Überwachung Wählen Sie einen Abschnitt Firewall um sicherzustellen, dass die erforderlichen ausgehenden Verbindungen nicht in den Verweigerungsregeln aufgeführt sind.
Gemischte Richtlinien können Datenverkehr blockieren
Sie können die Firewall- und IPSec-Einstellungen mit konfigurieren verschiedene Schnittstellen Windows-Betriebssystem.
Das Erstellen von Richtlinien an mehreren Stellen kann zu Konflikten und Verkehrsblockierungen führen. Folgende Einstellpunkte stehen zur Verfügung:
Windows-Firewall mit erweiterter Sicherheit. Diese Richtlinie wird mit dem entsprechenden Snap-In lokal oder als Teil einer Gruppenrichtlinie konfiguriert. Diese Richtlinie steuert die Firewall- und IPSec-Einstellungen auf Computern, auf denen Windows Vista ausgeführt wird.
Administrative Vorlage für die Windows-Firewall. Diese Richtlinie wird mit dem Gruppenrichtlinienobjekt-Editor im Abschnitt konfiguriert. Diese Schnittstelle enthält Windows-Firewalleinstellungen, die vor Windows Vista verfügbar waren, und dient zum Konfigurieren des verwaltenden GPO vorherige Versionen Fenster. Obwohl diese Einstellungen für laufende Computer verwendet werden können Windows-Steuerung Vista wird empfohlen, stattdessen die Richtlinie zu verwenden Windows-Firewall mit erweiterter Sicherheit weil es mehr Flexibilität und Sicherheit bietet. Beachten Sie, dass einige der Domänenprofileinstellungen von der administrativen Vorlage der Windows-Firewall und der Windows-Firewall-Richtlinie gemeinsam genutzt werden. Windows-Firewall mit erweiterter Sicherheit, sodass Sie hier die Einstellungen sehen können, die im Domänenprofil mithilfe des Snap-Ins konfiguriert wurden Windows-Firewall mit erweiterter Sicherheit.
IPSec-Richtlinien. Diese Richtlinie wird mit dem lokalen Snap-In konfiguriert IPSec-Richtlinienverwaltung oder den Gruppenrichtlinienobjekt-Editor unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\IP-Sicherheitsrichtlinien auf lokalem Computer. Diese Richtlinie definiert IPSec-Einstellungen, die sowohl von früheren Versionen von Windows als auch von Windows Vista verwendet werden können. Wenden Sie diese Richtlinie und die in der Richtlinie definierten Verbindungssicherheitsregeln nicht gleichzeitig auf demselben Computer an. Windows-Firewall mit erweiterter Sicherheit.
Um alle diese Optionen in den entsprechenden Snap-Ins anzuzeigen, erstellen Sie Ihr eigenes Verwaltungskonsolen-Snap-In und fügen Sie ihm die Snap-Ins hinzu Windows-Firewall mit erweiterter Sicherheit, Und IP-Sicherheit.
Gehen Sie folgendermaßen vor, um Ihr eigenes Verwaltungskonsolen-Snap-In zu erstellen:
Drück den Knopf Start, gehen Sie zum Menü Alle Programme, dann im Menü Standard und wählen Sie den Artikel aus Laufen.
In einem Textfeld Offen EINGEBEN.
Weitermachen.
Auf der Speisekarte Konsole wählen .
Gelistet Verfügbare Snap-Ins Wählen Sie einen Snap aus Windows-Firewall mit erweiterter Sicherheit und drücken Sie die Taste Hinzufügen.
Drück den Knopf OK.
Wiederholen Sie die Schritte 1 bis 6, um Fangpunkte hinzuzufügen Kontrolle Gruppenrichtlinie Und IP-Sicherheitsmonitor.
Um zu überprüfen, welche Richtlinien im aktiven Profil aktiv sind, gehen Sie wie folgt vor:
Gehen Sie folgendermaßen vor, um zu überprüfen, welche Richtlinien angewendet werden:
IN Befehlszeile Geben Sie mmc ein und drücken Sie die Taste EINGEBEN.
Wenn ein Dialogfeld zur Benutzerkontensteuerung angezeigt wird, bestätigen Sie die angeforderte Aktion und klicken Sie auf Weitermachen.
Auf der Speisekarte Konsole Menüpunkt wählen Fügen Sie einen Snap hinzu oder entfernen Sie ihn.
Gelistet Verfügbare Snap-Ins Wählen Sie einen Snap aus Gruppenrichtlinienverwaltung und drücken Sie die Taste Hinzufügen.
Drück den Knopf OK.
Erweitern Sie den Knoten im Baum (normalerweise der Baum des Waldes, in dem die dieser Computer) und doppelklicken Sie im Detailbereich der Konsole auf den Abschnitt.
Schaltwert wählen Richtlinieneinstellungen anzeigen für aus Werten aktueller Benutzer oder Ein anderer Benutzer. Wenn Sie keine Richtlinieneinstellungen für Benutzer, sondern nur Richtlinieneinstellungen für den Computer anzeigen möchten, wählen Sie den Wert des Optionsfelds aus Benutzerrichtlinie nicht anzeigen (nur Computerrichtlinie anzeigen) und doppelklicken Sie auf die Schaltfläche Weiter.
Drück den Knopf Bereit. Der Assistent für Gruppenrichtlinienergebnisse generiert einen Bericht im Detailbereich der Konsole. Der Bericht enthält Registerkarten Zusammenfassung, Optionen Und Richtlinienereignisse.
Um zu überprüfen, ob es keinen Konflikt mit IP-Sicherheitsrichtlinien gibt, wählen Sie nach dem Erstellen des Berichts die Option aus Optionen und öffnen Sie Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\IP-Sicherheitseinstellungen im Active Directory-Verzeichnisdienst. Wenn der letzte Abschnitt fehlt, wurde keine IP-Sicherheitsrichtlinie festgelegt. Andernfalls werden der Name und die Beschreibung der Richtlinie sowie das GPO, zu dem sie gehört, angezeigt. Wenn Sie eine IP-Sicherheitsrichtlinie und eine Windows-Firewall mit erweiterter Sicherheitsrichtlinie gleichzeitig mit Verbindungssicherheitsregeln verwenden, können diese Richtlinien in Konflikt geraten. Es wird empfohlen, nur eine dieser Richtlinien zu verwenden. Die optimale Lösung verwendet IP-Sicherheitsrichtlinien zusammen mit der Windows-Firewall mit erweiterten Sicherheitsregeln für eingehenden oder ausgehenden Datenverkehr. Wenn die Einstellungen an unterschiedlichen Stellen konfiguriert werden und nicht miteinander konsistent sind, kann es zu schwer lösbaren Richtlinienkonflikten kommen.
Es kann auch Konflikte zwischen Richtlinien geben, die in lokalen Gruppenrichtlinienobjekten definiert sind, und Skripts, die von der IT-Abteilung konfiguriert wurden. Überprüfen Sie alle IP-Sicherheitsrichtlinien mit dem IP Security Monitor-Programm oder indem Sie den folgenden Befehl an einer Eingabeaufforderung eingeben:
Erweitern Sie den Abschnitt, um die in der administrativen Vorlage der Windows-Firewall definierten Einstellungen anzuzeigen Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall.
Um die neuesten Ereignisse im Zusammenhang mit der aktuellen Richtlinie anzuzeigen, können Sie zur Registerkarte wechseln politische Ereignisse in derselben Konsole.
Um die von der Windows-Firewall mit erweiterter Sicherheit verwendete Richtlinie anzuzeigen, öffnen Sie das Snap-In auf dem zu diagnostizierenden Computer und überprüfen Sie die Einstellungen unter Überwachung.
Um administrative Vorlagen anzuzeigen, öffnen Sie das Snap-In Gruppenrichtlinie und in der Sektion Ergebnisse der GruppenrichtlinieÜberprüfen Sie, ob von der Gruppenrichtlinie geerbte Einstellungen vorhanden sind, die dazu führen können, dass Datenverkehr abgelehnt wird.
Um IP-Sicherheitsrichtlinien anzuzeigen, öffnen Sie das IP-Sicherheitsmonitor-Snap-In. Wählen Sie im Baum aus lokalen Computer. Wählen Sie im Konsolenbereich den Link aus Aktive Politik, Grundmodus oder Schneller Modus. Suchen Sie nach konkurrierenden Richtlinien, die dazu führen könnten, dass der Datenverkehr blockiert wird.
Im Kapitel Überwachung schnappen Windows-Firewall mit erweiterter Sicherheit Sie können vorhandene lokale und Gruppenrichtlinienregeln anzeigen. Zum bekommen Weitere Informationen siehe Abschnitt " Verwenden der Watch-Funktion in einem Snap-In Windows-Firewall mit erweiterter Sicherheit » dieses Dokuments.
Führen Sie die folgenden Schritte aus, um den IPSec-Richtlinien-Agent zu stoppen:
Drück den Knopf Start und Abschnitt auswählen Schalttafel.
Klicken Sie auf das Symbol System und seine Wartung und Abschnitt auswählen Verwaltung.
Doppelklicken Sie auf das Symbol Dienstleistungen. Weitermachen.
Suchen Sie einen Dienst in der Liste IPSec-Richtlinien-Agent
Wenn der Dienst IPSec-Agent läuft, klicken Sie darauf Rechtsklick Maus und wählen Sie aus dem Menü Stoppen. Sie können den Dienst auch stoppen IPSec-Agent von der Befehlszeile mit dem Befehl
Die Peer-to-Peer-Netzwerkrichtlinie kann dazu führen, dass Datenverkehr abgelehnt wird
Für Verbindungen mit IPSec müssen beide Computer über kompatible IP-Sicherheitsrichtlinien verfügen. Diese Richtlinien können mithilfe des Snap-Ins Verbindungssicherheitsregeln der Windows-Firewall definiert werden IP-Sicherheit oder einem anderen IP-Sicherheitsanbieter.
Gehen Sie folgendermaßen vor, um die Einstellungen der IP-Sicherheitsrichtlinie in einem Peer-to-Peer-Netzwerk zu überprüfen:
Abschnitt anklicken Grundmodus, wählen Sie im Detailbereich der Konsole die zu testende Verbindung aus und klicken Sie dann auf den Link Eigenschaften im Rahmen der Konsole. Überprüfen Sie die Verbindungseigenschaften für beide Knoten, um sicherzustellen, dass sie kompatibel sind.
Wiederholen Sie Schritt 2.1 für Abschnitt Schneller Modus. Überprüfen Sie die Verbindungseigenschaften für beide Knoten, um sicherzustellen, dass sie kompatibel sind.
im Handumdrehen Windows-Firewall mit erweiterter Sicherheit Knoten auswählen Überwachung Und Verbindungssicherheitsregeln um sicherzustellen, dass für beide Hosts im Netzwerk eine IP-Sicherheitsrichtlinie konfiguriert ist.
Wenn einer der Computer im Peer-to-Peer-Netzwerk früher läuft Windows-Versionen als Windows Vista, stellen Sie sicher, dass mindestens eine der Verschlüsselungssammlungen im nativen Modus und eine der Verschlüsselungssammlungen im Schnellmodus Algorithmen verwenden, die von beiden Hosts unterstützt werden.
Wenn Sie die Authentifizierung mit Kerberos Version 5 verwenden, stellen Sie sicher, dass sich der Host in derselben oder einer vertrauenswürdigen Domäne befindet.
Wenn Zertifikate verwendet werden, stellen Sie sicher, dass die erforderlichen Kontrollkästchen aktiviert sind. Zertifikate, die den IPSec-Schlüsselaustausch von Internet Key Exchange (IKE) verwenden, erfordern eine digitale Signatur. Zertifikate, die Authenticated Internet Protocol (AuthIP) verwenden, erfordern eine Client-Authentifizierung (abhängig vom Server-Authentifizierungstyp). Weitere Informationen zu AuthIP-Zertifikaten finden Sie im Artikel Authentifizierte IP in Windows Vista AuthIP in Windows Vista auf der Microsoft-Website.
Die Windows-Firewall kann nicht mit erweiterter Sicherheit konfiguriert werden
Die Windows-Firewall mit erweiterten Sicherheitseinstellungen ist in den folgenden Fällen ausgegraut:
Der Computer ist mit einem Netzwerk verbunden zentralisierte Verwaltung, und ein Netzwerkadministrator verwendet Gruppenrichtlinien, um die Windows-Firewall mit erweiterten Sicherheitseinstellungen zu konfigurieren. In diesem Fall am oberen Rand des Druckknopfs Windows-Firewall mit erweiterter Sicherheit Sie sehen die Meldung „Einige Einstellungen werden von Gruppenrichtlinien gesteuert“. Ihr Netzwerkadministrator konfiguriert die Richtlinie und verhindert dadurch, dass Sie die Einstellungen der Windows-Firewall ändern.
Ein Computer, auf dem Windows Vista ausgeführt wird, ist nicht mit einem zentral verwalteten Netzwerk verbunden, aber die Einstellungen der Windows-Firewall werden durch lokale Gruppenrichtlinien bestimmt.
Um die Einstellungen der Windows-Firewall mit erweiterter Sicherheit mithilfe der lokalen Gruppenrichtlinie zu ändern, verwenden Sie die Richtlinie für lokale Computer. Um dieses Snap-In zu öffnen, geben Sie an der Eingabeaufforderung secpol ein. Wenn ein Dialogfeld zur Benutzerkontensteuerung angezeigt wird, bestätigen Sie die angeforderte Aktion und klicken Sie auf Weitermachen. Gehen Sie zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit, um die Richtlinieneinstellungen für die Windows-Firewall mit erweiterter Sicherheit zu konfigurieren.
Computer reagiert nicht auf Ping-Anforderungen
Die Hauptmethode zum Testen der Konnektivität zwischen Computern besteht darin, das Ping-Dienstprogramm zu verwenden, um die Konnektivität zu einer bestimmten IP-Adresse zu testen. Während eines Pings wird eine ICMP-Echonachricht (auch ICMP-Echoanforderung genannt) gesendet und als Antwort eine ICMP-Echoantwort angefordert. Standardmäßig lehnt die Windows-Firewall eingehende ICMP-Echonachrichten ab, sodass der Computer keine ICMP-Echoantwort senden kann.
Wenn Sie eingehende ICMP-Echonachrichten zulassen, können andere Computer Ihren Computer anpingen. Andererseits wird der Computer dadurch anfällig für Angriffe mit ICMP-Echo-Nachrichten. Es wird jedoch empfohlen, eingehende ICMP-Echos bei Bedarf vorübergehend zu aktivieren und dann zu deaktivieren.
Um ICMP-Echonachrichten zuzulassen, erstellen Sie neue eingehende Regeln, um ICMPv4- und ICMPv6-Echoanforderungspakete zuzulassen.
Gehen Sie folgendermaßen vor, um ICMPv4- und ICMPv6-Echoanfragen zuzulassen:
Im Werkzeugbaum Windows-Firewall mit erweiterter Sicherheit Knoten auswählen Regeln für eingehende Verbindungen und klicken Sie auf den Link neue Regel im Bereich der Konsole.
Anpassbar und drücken Sie die Taste Weiter.
Geben Sie einen Optionsfeldwert an Alle Programme und drücken Sie die Taste Weiter.
Tropfen Protokolltyp Wähle Wert ICMPv4.
Drück den Knopf Melodie für Artikel ICMP-Protokollparameter.
Stellen Sie das Optionsfeld auf ein Bestimmte Arten von ICMP, aktivieren Sie das Kontrollkästchen Echo-Anfrage, Drücken Sie den Knopf OK und drücken Sie die Taste Weiter.
In der Phase der Auswahl lokaler und entfernter IP-Adressen entsprechend diese Regel, setzen Sie die Optionsfelder auf Werte Beliebige IP-Adresse oder Angegebene IP-Adressen. Wenn Sie den Wert wählen Angegebene IP-Adressen, geben Sie die erforderlichen IP-Adressen an, klicken Sie auf die Schaltfläche Hinzufügen und drücken Sie die Taste Weiter.
Geben Sie einen Optionsfeldwert an Verbindung zulassen und drücken Sie die Taste Weiter.
Aktivieren Sie bei der Profilauswahl ein oder mehrere Profile (Domänenprofil, privates oder öffentliches Profil), in denen Sie diese Regel verwenden möchten, und klicken Sie auf die Schaltfläche Weiter.
Auf dem Feld Name Geben Sie den Namen der Regel und in das Feld ein Beschreibung ist eine optionale Beschreibung. Drück den Knopf Bereit.
Wiederholen Sie die obigen Schritte für das ICMPv6-Protokoll und wählen Sie im Schritt aus Protokolltyp Dropdown-Wert ICMPv6 anstatt ICMPv4.
Wenn Sie über aktive Verbindungssicherheitsregeln verfügen, kann der vorübergehende Ausschluss von ICMP von den IPsec-Anforderungen zur Lösung von Problemen beitragen. Öffnen Sie dazu im Handumdrehen Windows-Firewall mit erweiterter Sicherheit Dialogfenster Eigenschaften, gehen Sie zur Registerkarte IPSec-Einstellungen und legen Sie den Wert in der Dropdown-Liste fest Ja für Parameter Schließen Sie ICMP von IPSec aus.
Notiz
Die Einstellungen der Windows-Firewall können nur von Administratoren und Netzwerkbetreibern geändert werden.
Dateien und Drucker können nicht freigegeben werden
Wenn Sie nicht bekommen können allgemeiner Zugang auf Dateien und Drucker auf einem Computer mit aktiver Windows-Firewall, stellen Sie sicher, dass alle Gruppenregeln aktiviert sind Zugriff auf Dateien und Drucker Windows-Firewall mit erweiterter Sicherheit Knoten auswählen Regeln für eingehende Verbindungen Zugriff auf Dateien und Drucker Regel aktivieren im Rahmen der Konsole.
Aufmerksamkeit:
Es wird dringend empfohlen, die Datei- und Druckerfreigabe nicht auf Computern zu aktivieren, die direkt mit dem Internet verbunden sind, da Angreifer versuchen könnten, sich Zugriff darauf zu verschaffen geteilte Dateien und Ihnen Schaden zufügen, indem Sie Ihre persönlichen Dateien beschädigen.
Die Windows-Firewall kann nicht remote verwaltet werden
Wenn Sie einen Computer mit aktiver Windows-Firewall nicht remote verwalten können, stellen Sie sicher, dass alle Regeln in der standardmäßig konfigurierten Gruppe aktiviert sind Fernsteuerung der Windows-Firewall aktives Profil. im Handumdrehen Windows-Firewall mit erweiterter Sicherheit Knoten auswählen Regeln für eingehende Verbindungen und scrollen Sie durch die Liste der Regeln zu der Gruppe Fernbedienung. Stellen Sie sicher, dass diese Regeln aktiviert sind. Wählen Sie jede der deaktivierten Regeln aus und klicken Sie auf die Schaltfläche Regel aktivieren im Rahmen der Konsole. Stellen Sie außerdem sicher, dass der IPSec-Richtlinien-Agent-Dienst aktiviert ist. Dieser Dienst wird benötigt für Fernbedienung Windows-Firewall.
Gehen Sie folgendermaßen vor, um zu überprüfen, ob der IPSec-Richtlinien-Agent ausgeführt wird:
Drück den Knopf Start und Abschnitt auswählen Schalttafel.
Klicken Sie auf das Symbol System und seine Wartung und Abschnitt auswählen Verwaltung.
Doppelklicken Sie auf das Symbol Dienstleistungen.
Wenn ein Dialogfeld zur Benutzerkontensteuerung angezeigt wird, geben Sie die erforderlichen Anmeldeinformationen für einen Benutzer mit den entsprechenden Berechtigungen ein und klicken Sie dann auf Weitermachen.
Suchen Sie einen Dienst in der Liste IPSec-Richtlinien-Agent und vergewissern Sie sich, dass es den Status "Running" hat.
Wenn der Dienst IPSec-Agent angehalten, mit der rechten Maustaste darauf klicken und auswählen Kontextmenü Absatz Laufen. Sie können den Dienst auch starten IPSec-Agentüber die Befehlszeile mit dem Befehl net start policy agent.
Notiz
Standarddienst IPSec-Richtlinien-Agent gestartet. Der Service sollte funktionieren, es sei denn, es wurde manuell gestoppt.
Fehlerbehebungen für die Windows-Firewall
In diesem Abschnitt werden die Tools und Methoden beschrieben, die zur Lösung allgemeiner Probleme verwendet werden. Dieser Abschnitt besteht aus den folgenden Unterabschnitten:
Verwenden von Überwachungsfunktionen in der Windows-Firewall mit erweiterter Sicherheit
Der erste Schritt zur Lösung von Problemen mit der Windows-Firewall besteht darin, die aktuellen Regeln anzuzeigen. Funktion Überwachung ermöglicht Ihnen, die verwendeten Regeln basierend auf lokalen und Gruppenrichtlinien anzuzeigen. Zum Anzeigen der aktuellen Regeln für eingehenden und ausgehenden Datenverkehr in der Snap-In-Struktur Windows-Firewall mit erweiterter Sicherheit Wählen Sie einen Abschnitt Überwachung, und wählen Sie dann einen Abschnitt aus Firewall. In diesem Abschnitt können Sie auch aktuelle anzeigen Verbindungssicherheitsregeln Und Sicherheitszuordnungen (Basis- und Schnellmodus).
Aktivieren und Verwenden der Sicherheitsüberwachung mit dem Befehlszeilentool auditpol
Standardmäßig sind Überwachungsoptionen deaktiviert. Verwenden Sie zum Konfigurieren das Befehlszeilentool auditpol.exe, das die Überauf dem lokalen Computer ändert. auditpol kann verwendet werden, um die Anzeige verschiedener Kategorien von Ereignissen und deren weitere Anzeige im Snap-In zu aktivieren oder zu deaktivieren Ereignisanzeige.
Um eine Liste der Unterkategorien anzuzeigen, die in einer bestimmten Kategorie enthalten sind (z. B. in der Kategorie Richtlinienänderung), geben Sie an der Eingabeaufforderung Folgendes ein:
auditpol.exe /list /category:"Richtlinie ändern"
Um die Anzeige einer Kategorie oder Unterkategorie zu aktivieren, geben Sie Folgendes in die Befehlszeile ein:
/Unterkategorie:" NameKategorie"
Um eine Liste der vom auditpol-Programm unterstützten Kategorien anzuzeigen, geben Sie an der Eingabeaufforderung Folgendes ein:
Um beispielsweise Überwachungsrichtlinien für eine Kategorie und ihre Unterkategorie festzulegen, geben Sie den folgenden Befehl ein:
auditpol.exe /set /category:"Richtlinie ändern" /subcategory:"Richtlinie auf MPSSVC-Regelebene ändern" /success:enable /failure:enable
Richtlinienänderung
Ändern der Richtlinie auf MPSSVC-Regelebene
Ändern der Filterplattformrichtlinie
Eingang Ausgang
IPsec Basic-Modus
Schneller IPsec-Modus
Erweiterter IPsec-Modus
System
IPSec-Treiber
Andere Systemereignisse
Zugriff auf Objekte
Verwerfen eines Pakets durch die Filterplattform
Anschließen der Filtrationsplattform
Damit Änderungen an der Sicherheitsüberwachungsrichtlinie wirksam werden, müssen Sie den lokalen Computer neu starten oder eine manuelle Aktualisierung der Richtlinie erzwingen. Um eine Richtlinienaktualisierung zu erzwingen, geben Sie an der Eingabeaufforderung Folgendes ein:
secedit /refreshpolicy<название_политики>
Nachdem die Diagnose abgeschlossen ist, können Sie die Ereignisüberwachung deaktivieren, indem Sie in den obigen Befehlen den Parameter enable durch disable ersetzen und die Befehle erneut ausführen.
Anzeigen von Sicherheitsüberwachungsereignissen im Ereignisprotokoll
Nachdem Sie die Überwachung aktiviert haben, verwenden Sie das Ereignisanzeige-Snap-In, um Überwachungsereignisse im Sicherheitsereignisprotokoll anzuzeigen.
Führen Sie die folgenden Schritte aus, um das Snap-In "Ereignisanzeige" im Ordner "Verwaltung" zu öffnen:
Drück den Knopf Start.
Wählen Sie einen Abschnitt Schalttafel. Klicken Sie auf das Symbol System und seine Wartung und Abschnitt auswählen Verwaltung.
Doppelklicken Sie auf das Symbol Ereignisanzeige.
Führen Sie die folgenden Schritte aus, um das Ereignisanzeige-Snap-In zur MMC hinzuzufügen:
Drück den Knopf Start, gehen Sie zum Menü Alle Programme, dann im Menü Standard und wählen Sie den Artikel aus Laufen.
In einem Textfeld Offen Geben Sie mmc ein und drücken Sie die Taste EINGEBEN.
Wenn ein Dialogfeld zur Benutzerkontensteuerung angezeigt wird, bestätigen Sie die angeforderte Aktion und klicken Sie auf Weitermachen.
Auf der Speisekarte Konsole Menüpunkt wählen Fügen Sie einen Snap hinzu oder entfernen Sie ihn.
Gelistet Verfügbare Snap-Ins Wählen Sie einen Snap aus Ereignisanzeige und drücken Sie die Taste Hinzufügen.
Drück den Knopf OK.
Bevor Sie das Snap-In schließen, speichern Sie die Konsole für die zukünftige Verwendung.
im Handumdrehen Ereignisanzeige Abschnitt erweitern Windows-Protokolle und Knoten auswählen Sicherheit. Sie können Sicherheitsüberwachungsereignisse im Konsolenarbeitsbereich anzeigen. Alle Ereignisse werden oben im Arbeitsbereich der Konsole angezeigt. Klicken Sie auf das Ereignis oben im Arbeitsbereich der Konsole, um es anzuzeigen genaue Information am unteren Rand des Panels. Auf der Registerkarte Sind üblich die Beschreibung von Ereignissen wird in Form von verständlichem Text platziert. Auf der Registerkarte Einzelheiten verfügbar folgenden Optionen Ereignisanzeige: Übersichtliche Darstellung Und XML-Modus.
Setzen des Firewall-Logs für ein Profil
Bevor Sie Firewall-Protokolle anzeigen können, müssen Sie die Windows-Firewall mit erweiterter Sicherheit konfigurieren, um Protokolldateien zu generieren.
Gehen Sie folgendermaßen vor, um die Protokollierung für eine Windows-Firewall mit erweitertem Sicherheitsprofil zu konfigurieren:
Im Werkzeugbaum Windows-Firewall mit erweiterter Sicherheit Wählen Sie einen Abschnitt Windows-Firewall mit erweiterter Sicherheit und drücken Sie die Taste Eigenschaften im Rahmen der Konsole.
Wählen Sie die Profilregisterkarte aus, für die Sie die Protokollierung konfigurieren möchten (Domänenprofil, privates Profil oder öffentliches Profil), und klicken Sie dann auf die Schaltfläche Melodie Im Kapitel Protokollierung.
Geben Sie einen Namen und Speicherort für die Protokolldatei an.
Angeben maximale Größe Protokolldatei (von 1 bis 32767 Kilobyte)
Tropfen Verpasste Pakete protokollieren geben Sie einen Wert ein Ja.
Tropfen Zeichnen Sie erfolgreiche Verbindungen auf geben Sie einen Wert ein Ja und klicken Sie dann auf die Schaltfläche OK.
Anzeigen von Firewall-Protokolldateien
Öffnen Sie die Datei, die Sie im vorherigen Verfahren „Konfigurieren des Firewall-Protokolls für ein Profil“ angegeben haben. Um auf das Firewall-Protokoll zugreifen zu können, müssen Sie über lokale Administratorrechte verfügen.
Sie können die Protokolldatei mit Notepad oder einem beliebigen Texteditor anzeigen.
Analysieren von Firewall-Protokolldateien
Die protokollierten Informationen sind in der folgenden Tabelle aufgeführt. Einige Daten werden nur für bestimmte Protokolle angegeben (TCP-Flags, ICMP-Typ und -Code usw.), und einige Daten werden nur für verworfene Pakete (Größe) angegeben.
|
Feld |
Beschreibung |
Beispiel |
|
Zeigt das Jahr, den Monat und den Tag an, an dem das Ereignis aufgezeichnet wurde. Das Datum wird im Format JJJJ-MM-TT geschrieben, wobei JJJJ das Jahr, MM der Monat und TT der Tag ist. |
||
|
Zeigt die Stunde, Minute und Sekunde an, zu der das Ereignis aufgezeichnet wurde. Die Zeit wird im Format HH:MM:SS geschrieben, wobei HH die Stunde im 24-Stunden-Format, MM die Minute und SS die Sekunde ist. |
||
|
Aktion |
Zeigt eine von der Firewall durchgeführte Aktion an. Es gibt die folgenden Aktionen: OPEN, CLOSE, DROP und INFO-EVENTS-LOST. Die Aktion INFO-EVENTS-LOST gibt an, dass mehr als ein Ereignis aufgetreten ist, aber nicht protokolliert wurde. |
|
|
Protokoll |
Zeigt das für die Verbindung verwendete Protokoll an. Dieser Eintrag kann auch die Anzahl der Pakete sein, die TCP, UDP oder ICMP nicht verwenden. |
|
|
Zeigt die IP-Adresse des sendenden Computers an. |
||
|
Zeigt die IP-Adresse des Zielcomputers an. |
||
|
Zeigt die Quellportnummer des sendenden Computers an. Der Quellportwert wird als Ganzzahl von 1 bis 65535 geschrieben. Ein gültiger Quellportwert wird nur für TCP- und UDP-Protokolle angezeigt. Bei anderen Protokollen wird "-" als Quellport geschrieben. |
||
|
Zeigt die Portnummer des Zielcomputers an. Der Zielportwert wird als ganze Zahl von 1 bis 65535 geschrieben. Ein gültiger Zielportwert wird nur für TCP- und UDP-Protokolle angezeigt. Bei anderen Protokollen wird "-" als Zielport geschrieben. |
||
|
Zeigt die Paketgröße in Byte an. |
||
|
Zeigt die Kontroll-Flags des TCP-Protokolls an, die im TCP-Header eines IP-Pakets gefunden werden.
Quit. Quittierfeld signifikant Flosse. Keine Daten mehr vom Absender Psst. Push-Funktion Rst. Setzen Sie die Verbindung zurück Die Flagge wird durch den ersten Großbuchstaben ihres Namens gekennzeichnet. Zum Beispiel die Flagge Flosse bezeichnet als F. |
||
|
Zeigt die TCP-Warteschlangennummer im Paket an. |
||
|
Zeigt die TCP-Bestätigungsnummer im Paket an. |
||
|
Zeigt die Fenstergröße des TCP-Pakets in Byte an. |
||
|
Typ in einer ICMP-Nachricht. |
||
|
Zeigt eine Zahl an, die das Feld darstellt Code in einer ICMP-Nachricht. |
||
|
Zeigt Informationen basierend auf der durchgeführten Aktion an. Beispielsweise für die Aktion INFO-EVENTS-LOST der Wert gegebenes Feld gibt die Anzahl der aufgetretenen, aber nicht protokollierten Ereignisse in der seit dem letzten Auftreten eines Ereignisses dieses Typs verstrichenen Zeit an. |
Notiz
Ein Bindestrich (-) wird in Feldern im aktuellen Datensatz verwendet, die keine Informationen enthalten.
Erstellen von netstat- und Tasklist-Textdateien
Sie können zwei benutzerdefinierte Protokolldateien erstellen, eine zum Anzeigen von Netzwerkstatistiken (eine Liste aller lauschenden Ports) und eine andere zum Anzeigen von Dienst- und Anwendungsaufgabenlisten. Die Aufgabenliste enthält die Prozess-ID (Prozesskennung, PID) für die in der Netzwerkstatistikdatei enthaltenen Ereignisse. Das Verfahren zum Erstellen dieser beiden Dateien wird im Folgenden beschrieben.
Zum Erstellen Textdateien Netzwerkstatistiken und Aufgabenliste tun Folgendes:
Geben Sie in der Befehlszeile ein netstat -ano > netstat.txt und drücken Sie die Taste EINGEBEN.
Geben Sie in der Befehlszeile ein Aufgabenliste > Aufgabenliste.txt und drücken Sie die Taste EINGEBEN. Wenn Sie eine Textdatei mit einer Liste von Diensten erstellen möchten, geben Sie ein Aufgabenliste /svc > Aufgabenliste.txt.
Öffnen Sie die Dateien tasklist.txt und netstat.txt.
Suchen Sie die ID des Prozesses, den Sie diagnostizieren, in der Datei tasklist.txt und vergleichen Sie sie mit dem Wert in der Datei netstat.txt. Notieren Sie die verwendeten Protokolle.
Ein Beispiel für die Ausgabe von Tasklist.txt- und Netstat.txt-Dateien
netstat.txt
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:XXX 0.0.0.0:0 HÖREN 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 LÖSCHEN 322
Aufgabenliste.txt
Bildname PID-Sitzungsname Sitzungsnummer Speichernutzung
==================== ======== ================ =========== ============
svchost.exe 122 Dienste 0 7.172 K
XzzRpc.exe 322 Dienste 0 5.104 K
Notiz
Die realen IP-Adressen wurden auf „X“ und der RPC-Dienst auf „z“ geändert.
Stellen Sie sicher, dass wichtige Dienste ausgeführt werden
Folgende Dienste müssen laufen:
Grundlegender Filterservice
Gruppenrichtlinien-Client
IPsec-Schlüsselmodule für Internet-Schlüsselaustausch und authentifizierte IP
IP-Hilfsdienst
IPSec-Richtlinien-Agent-Dienst
Netzwerkortungsdienst
Netzwerklistendienst
Windows-Firewall
Führen Sie die folgenden Schritte aus, um das Dienste-Snap-In zu öffnen und zu überprüfen, ob die erforderlichen Dienste ausgeführt werden:
Drück den Knopf Start und Abschnitt auswählen Schalttafel.
Klicken Sie auf das Symbol System und seine Wartung und Abschnitt auswählen Verwaltung.
Doppelklicken Sie auf das Symbol Dienstleistungen.
Wenn ein Dialogfeld zur Benutzerkontensteuerung angezeigt wird, geben Sie die erforderlichen Anmeldeinformationen für einen Benutzer mit den entsprechenden Berechtigungen ein und klicken Sie dann auf Weitermachen.
Stellen Sie sicher, dass die oben aufgeführten Dienste ausgeführt werden. Wenn ein oder mehrere Dienste nicht ausgeführt werden, klicken Sie mit der rechten Maustaste auf den Dienstnamen in der Liste und wählen Sie Befehl aus Laufen.
Eine zusätzliche Möglichkeit, Probleme zu lösen
Als letzten Ausweg können Sie die Standardeinstellungen der Windows-Firewall wiederherstellen. Beim Wiederherstellen der Standardeinstellungen gehen alle Einstellungen verloren, die seit der Installation von Windows Vista vorgenommen wurden. Dies kann dazu führen, dass einige Programme nicht mehr funktionieren. Auch wenn Sie den Computer remote verwalten, geht die Verbindung zu ihm verloren.
Stellen Sie vor dem Wiederherstellen der Standardeinstellungen sicher, dass Sie Ihre aktuelle Firewall-Konfiguration speichern. Dadurch können Sie Ihre Einstellungen bei Bedarf wiederherstellen.
Die Schritte zum Speichern der Firewall-Konfiguration und Wiederherstellen der Standardeinstellungen werden im Folgenden beschrieben.
Gehen Sie wie folgt vor, um die aktuelle Firewall-Konfiguration zu speichern:
im Handumdrehen Windows-Firewall mit erweiterter Sicherheit klicken Sie auf den Link Exportrichtlinie im Rahmen der Konsole.
Gehen Sie wie folgt vor, um die standardmäßigen Firewall-Einstellungen wiederherzustellen:
im Handumdrehen Windows-Firewall mit erweiterter Sicherheit klicken Sie auf den Link Standardeinstellungen wiederherstellen im Rahmen der Konsole.
Wenn Sie von der Windows-Firewall mit erweiterter Sicherheit dazu aufgefordert werden, klicken Sie auf Ja Standardwerte wiederherzustellen.
Abschluss
Es gibt viele Möglichkeiten, Probleme mit der Windows-Firewall mit erweiterter Sicherheit zu diagnostizieren und zu beheben. Darunter:
Funktion verwenden Überwachung, um Firewall-Aktivität, Verbindungssicherheitsregeln und Sicherheitszuordnungen anzuzeigen.
Analysieren Sie Sicherheitsüberwachungsereignisse im Zusammenhang mit der Windows-Firewall.
Textdateien erstellen Aufgabenliste Und Nettostat zur vergleichenden Analyse.
Beginnend mit Server 2008 und Vista wurde der WFP-Mechanismus in Windows integriert,
Dabei handelt es sich um eine Reihe von API- und Systemdiensten. Damit wurde es möglich
Verbindungen verweigern und zulassen, einzelne Pakete verwalten. Diese
Neuerungen sollten das Leben von Entwicklern verschiedener Art vereinfachen
Schutz Die an der Netzwerkarchitektur vorgenommenen Änderungen betrafen sowohl den Kernelmodus als auch
und Benutzermodusteile des Systems. Im ersten Fall werden die notwendigen Funktionen exportiert
fwpkclnt.sys, im zweiten - fwpuclnt.dll (Buchstaben "k" und "u" in den Namen der Bibliotheken
stehen jeweils für Kernel und Benutzer). In diesem Artikel werden wir über die Verwendung sprechen
WFP zum Abfangen und Filtern von Datenverkehr und nachdem Sie sich mit den Grundlagen vertraut gemacht haben
Mit den Definitionen und Fähigkeiten von WFP werden wir unseren eigenen einfachen Filter schreiben.
Grundlegendes Konzept
Bevor wir mit dem Codieren beginnen, müssen wir uns unbedingt mit der Terminologie vertraut machen
Microsoft - und für das Verständnis des Artikels wird es nützlich sein, und zusätzliche Literatur
es wird einfacher zu lesen :) So lass uns gehen.
Einstufung- der Prozess der Bestimmung, was mit dem Paket geschehen soll.
Von den möglichen Aktionen: Callout zulassen, blockieren oder aufrufen.
Beschriftungen ist eine Reihe von Funktionen im Treiber, die die Inspektion durchführen
Pakete. Sie haben eine spezielle Funktion, die eine Paketklassifizierung durchführt. Das
Die Funktion kann folgende Entscheidung treffen:
- erlauben (FWP_ACTION_PERMIT);
- Block (FWP_ACTION_BLOCK);
- Verarbeitung fortsetzen;
- weitere Daten anfordern;
- beenden Sie die Verbindung.
Filter- Regeln, die angeben, wann man anrufen soll
dieser oder jener Hinweis. Ein Treiber kann mehrere Callouts haben und
Wir werden uns in diesem Artikel mit der Entwicklung eines Callout-Treibers befassen. Übrigens Colouts
Es gibt auch eingebaute, zum Beispiel NAT-Callout.
Schicht ist eine Funktion, mit der verschiedene Filter kombiniert werden (oder
wie sie in MSDN sagen, "Container").
In Wahrheit sieht die Dokumentation von Microsoft noch ziemlich düster aus
Sie können sich die Beispiele im WDK nicht ansehen. Also, wenn Sie sich plötzlich entscheiden, etwas zu entwickeln
Im Ernst, Sie sollten sie sich unbedingt ansehen. Nun, jetzt ist es glatt
lasst uns zur Praxis übergehen. Für eine erfolgreiche Kompilierung und Tests benötigen Sie das WDK (Windows
Treiber-Kit), VmWare, virtuelle Maschine mit installiertem Vista und dem WinDbg-Debugger.
Was das WDK betrifft, habe ich persönlich die Version 7600.16385.0 installiert - alles ist da
notwendige libs (da wir einen Treiber entwickeln werden, brauchen wir nur
fwpkclnt.lib und ntoskrnl.lib) und WFP-Beispiele. Links zum Ganzen
Die Tools wurden bereits mehrfach zitiert, wir wiederholen uns also nicht.
Kodierung
Um das Callout zu initialisieren, habe ich die BlInitialize-Funktion geschrieben. Allgemeiner Algorithmus
So erstellen Sie ein Callout und fügen einen Filter hinzu:
- FWPMENGINEOPEN0 führt die Eröffnung der Sitzung durch;
- FWPMTRANSACTIONBEGIN0- Inbetriebnahme mit WFP;
- FWPSCALLOUTREGISTER0- Erstellung eines neuen Callouts;
- FWPMCALLOUTADD0- Hinzufügen eines Callout-Objekts zum System;
- FWPMFILTERADD0- Hinzufügen neuer Filter;
- FWPMTRANSACTIONCOMMIT0- Änderungen speichern (hinzugefügt
Filter).
Beachten Sie, dass Funktionen auf 0 enden. In Windows 7 einige davon
Funktionen wurden geändert, zum Beispiel erschien FwpsCalloutRegister1 (wann
gespeichertes FwpsCalloutRegister0). Sie unterscheiden sich in ihren Argumenten und demzufolge
Prototypen von Klassifikationsfunktionen, aber für uns spielt es jetzt keine Rolle - 0-Funktionen
Universal.
FwpmEngineOpen0 und FwpmTransactionBegin0 sind für uns nicht besonders interessant - diese sind es
Vorbereitungsphase. Der Spaß beginnt mit der Funktion
FwpsCalloutRegister0:
FwpsCalloutRegister0-Prototyp
NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *Callout,
__out_opt UINT32 *calloutId
);
Ich habe bereits gesagt, dass Callout eine Reihe von Funktionen ist, jetzt ist es soweit
ausführlicher darüber sprechen. Die FWPS_CALLOUT0-Struktur enthält Zeiger auf drei
Funktionen - Klassifizieren (classifyFn) und zwei Benachrichtigungen (about
Hinzufügen/Entfernen eines Filters (notifyFn) und Schließen des verarbeiteten Streams (flowDeleteFn)).
Die ersten beiden Funktionen sind obligatorisch, die letzte wird nur benötigt, wenn
Sie möchten die Pakete selbst überwachen, nicht nur die Verbindungen. Auch im Aufbau
enthält eine eindeutige Kennung, Callout-GUID (calloutKey).
Callout-Registrierungscode
FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// Klassifizierungsfunktion
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// Funktion, die über das Hinzufügen/Entfernen eines Filters informiert
// neues Callout erstellen
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);
WINAPI DWORD FwpmCalloutAdd0(
__in HANDLE engineHandle,
__in const FWPM_CALLOUT0 *Callout,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_(
calloutKey-GUID;
FWPM_DISPLAY_DATA0 Anzeigedaten; // Callout-Beschreibung
UINT32-Flags;
GUID *providerKey;
FWP_BYTE_BLOB Anbieterdaten;
anwendbareLayer-GUID;
UINT32 calloutId;
) FWPM_CALLOUT0;
In der FWPM_CALLOUT0-Struktur interessieren wir uns für das Feld „applicableLayer“ – eindeutig
Bezeichner der Ebene, zu der das Callout hinzugefügt wird. In unserem Fall diese
FWPM_LAYER_ALE_AUTH_CONNECT_V4. „v4“ im Namen des Bezeichners bedeutet die Version
Ipv4-Protokoll, es gibt auch FWPM_LAYER_ALE_AUTH_CONNECT_V6 für Ipv6. Angesichts
geringe Verbreitung von Ipv6 im Moment, wir werden nur mit arbeiten
IPv4. CONNECT im Namen bedeutet, dass wir nur die Installation kontrollieren
Verbindung, es handelt sich nicht um ein- und ausgehende Pakete an diese Adresse! Überhaupt
Es gibt viele Ebenen neben der von uns verwendeten - sie sind in der Header-Datei deklariert
fwpmk.h von WDK.
Hinzufügen eines Callout-Objekts zum System
// Callout-Name
displayData.name = L"Blocker-Callout";
displayData.description = L"Blocker-Callout";
mCallout.calloutKey = *CalloutKey;
mCallout.displayData = displayData;
// Callout-Beschreibung
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);
Nachdem das Callout also erfolgreich zum System hinzugefügt wurde, müssen Sie es erstellen
filtern, also angeben, in welchen Fällen unser Callout aufgerufen wird, nämlich
- seine klassifizierende Funktion. Der neue Filter wird von der Funktion FwpmFilterAdd0 erstellt,
an die die Struktur FWPM_FILTER0 als Argument übergeben wird.
FWPM_FILTER0 enthält eine oder mehrere FWPM_FILTER_CONDITION0-Strukturen (ihre
die Anzahl wird durch das Feld numFilterConditions bestimmt). Das Feld layerKey wird mit einer GUID gefüllt
Ebene (Ebene), mit der wir uns verbinden möchten. In diesem Fall geben wir an
FWPM_LAYER_ALE_AUTH_CONNECT_V4.
Schauen wir uns nun das Füllen von FWPM_FILTER_CONDITION0 genauer an. Erster
das fieldKey-Feld muss explizit angegeben werden, was wir steuern möchten - Port, Adresse,
Anwendung oder etwas anderes. In diesem Fall WPM_CONDITION_IP_REMOTE_ADDRESS
teilt dem System mit, dass wir an einer IP-Adresse interessiert sind. Der fieldKey-Wert bestimmt
welche Art von Werten in der FWP_CONDITION_VALUE-Struktur enthalten sein werden
FWPM_FILTER_CONDITION0. In diesem Fall enthält es eine IPv4-Adresse. Lass uns gehen
weiter. Das Feld matchType bestimmt, wie der Vergleich durchgeführt wird.
Werte in FWP_CONDITION_VALUE mit dem, was über das Netzwerk kam. Hier gibt es viele Möglichkeiten:
Sie können FWP_MATCH_EQUAL angeben, was eine vollständige Übereinstimmung mit der Bedingung bedeutet, und
Sie können - FWP_MATCH_NOT_EQUAL, das heißt, wir können dies tatsächlich hinzufügen
damit Filterung der Ausnahme (Adresse, Verbindung zu der nicht getrackt wird).
Es gibt auch die Optionen FWP_MATCH_GREATER, FWP_MATCH_LESS und andere (siehe enum
FWP_MATCH_TYPE). In diesem Fall haben wir FWP_MATCH_EQUAL.
Ich habe mir nicht viel Mühe gegeben und einfach eine Sperrbedingung geschrieben
eine ausgewählte IP-Adresse. Für den Fall, dass eine Anwendung versucht
eine Verbindung mit der ausgewählten Adresse herstellen, wird ein Klassifikator aufgerufen
unsere Callout-Funktion. Der Code, der das Gesagte zusammenfasst, kann unter eingesehen werden
Siehe Seitenleiste „Hinzufügen eines Filters zum System“.
Hinzufügen eines Filters zum System
filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker-Callout";
filter.displayData.description = L"Blocker-Callout";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// eine Filterbedingung
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // Automatisches Gewicht.
// einen Filter zur entfernten Adresse hinzufügen
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// Filter hinzufügen
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);
Im Allgemeinen kann es natürlich viele Filterbedingungen geben. Zum Beispiel können Sie
Spezifizieren Sie blockierende Verbindungen zu einem bestimmten Remote- oder lokalen Port (FWPM_CONDITION_IP_REMOTE_PORT
bzw. FWPM_CONDITION_IP_LOCAL_PORT). Kann alle Pakete fangen
spezifisches Protokoll oder spezifische Anwendung. Und das ist noch nicht alles! Dürfen,
Blockieren Sie beispielsweise den Datenverkehr eines bestimmten Benutzers. Im Allgemeinen gibt es wo
durchstreifen.
Aber zurück zum Filter. Die Klassifikationsfunktion ist in unserem Fall einfach
blockiert die Verbindung zur angegebenen Adresse (BLOCKED_IP_ADDRESS) und kehrt zurück
FWP_ACTION_BLOCK:
Unser Klassifikationsfunktionscode
void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* in MetaValues,
VOID* Paket, IN konstanter FWPS_FILTER* Filter,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// Struktur FWPS_CLASSIFY_OUT0 ausfüllen
if(classifyOut)( // Paket blockieren
classifyOut->actionType =
FWP_ACTION_BLOCK;
// Beim Blockieren eines Pakets benötigen Sie
Setzen Sie FWPS_RIGHT_ACTION_WRITE zurück
classifyOut->rights&=~FWPS_RIGHT_ACTION_WRITE;
}
}
In der Praxis kann die Klassifizierungsfunktion auch FWP_ACTION_PERMIT setzen,
FWP_ACTION_CONTINUE usw.
Und schließlich müssen Sie beim Entladen des Treibers alle installierten entfernen
callouts (raten Sie, was passiert, wenn das System versucht, callout aufzurufen
unbelasteter Fahrer? Das ist richtig, BSOD). Dafür gibt es eine Funktion
FwpsCalloutUnregisterById. Als Parameter wird ihr ein 32-Bit-Parameter übergeben.
die Callout-ID, die von der FwpsCalloutRegister-Funktion zurückgegeben wird.
Abschluss des Aufrufs
NTSTATUS BlUninitialize()(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);
}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
gib ns zurück;
}
Wie Sie sehen können, ist die Programmierung des WFP-Filters keine so schwierige Aufgabe, weil
MS hat uns eine sehr praktische API zur Verfügung gestellt. Übrigens, in unserem Fall setzen wir
Filter im Treiber, aber es kann auch vom Usermod aus gemacht werden! Zum Beispiel ein Beispiel von wdk
msnmntr (MSN Messenger Traffic Monitor) tut genau das - es erlaubt Ihnen nicht
überladen Sie den Kernel-Modus-Teil des Filters.
Ihre GUID
Um ein Callout zu registrieren, benötigt es eine eindeutige Kennung. Damit
Holen Sie sich Ihre GUID (Globally Unique Identifier), verwenden Sie guidgen.exe enthalten
v visuelles Studio. Das Tool befindet sich unter (VS_Path)\Common7\Tools. Kollisionswahrscheinlichkeit
sehr klein, da die GUID 128 Bit lang ist und 2^128 zur Verfügung stehen
Kennungen.
Filter-Debugging
Zum Debuggen von Brennholz ist es praktisch, das Windbg + VmWare-Bundle zu verwenden. Dazu benötigen Sie
konfigurieren Sie sowohl das Gastsystem (in dessen Form Vista agiert) als auch den Debugger
windbg. Wenn WinXP die boot.ini für das Remote-Debugging bearbeiten müsste, dann
Für Vista+ gibt es das Konsolendienstprogramm bcdedit. Wie üblich müssen Sie das Debuggen aktivieren:
BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ON (oder BCDedit /set debug ON)
Jetzt ist alles bereit! Wir starten eine Batchdatei mit folgendem Text:
starte windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0
und sehen Sie sich die Debug-Ausgabe im windbg-Fenster an (siehe Bild).
Abschluss
Wie Sie sehen können, ist der Anwendungsbereich von WFP ziemlich breit. Sie entscheiden wie
wende dieses Wissen an - zum Bösen oder zum Guten 🙂
Firewall (Firewall oder Firewall) Windows gebietet keinen Respekt. Leicht geändert von XP zu Vista, macht es seine Arbeit gut, aber es fehlt ihm der Ehrgeiz, die beste Personal Firewall zu sein. Trotz der Tatsache, dass die Windows 7-Firewall mehrere neue Funktionen erhalten hat, hat sie immer noch nicht das bekommen, was ich erwartet hatte.
Hängen mit Heimnetzgruppe
Zur Zeit Windows-Installation 7 schlägt vor, eine „Heimnetzgruppe“ zu erstellen. Wenn weitere Windows 7-Computer im Netzwerk erkannt werden, werden sie ebenfalls aufgefordert, der Gruppe beizutreten. Und alles, was sie dafür brauchen, ist ein Passwort dafür. Bei einem Computer, auf dem Windows 7 ausgeführt wird, habe ich jedoch den Prozess der Anmeldung bei einer Gruppe anderer Computer nicht gesehen, obwohl eine Benachrichtigung darüber nicht schaden würde. Während jedoch jeder Windows 7-Computer einer Heimnetzgruppe beitreten kann, können Windows 7-Computer Startseite Grundlegend und Windows 7 Starter kann es nicht erstellen.
Computer in derselben Heimnetzgruppe können Drucker und bestimmte Dateibibliotheken gemeinsam nutzen (oder, wie sie sagen, „teilen“). Standardmäßig werden Bibliotheken mit Bildern, Musik, Videos und Dokumenten geteilt, aber der Benutzer kann sie nach eigenem Ermessen einschränken. Die Hilfe im Betriebssystem gibt klare Erklärungen, wie Sie eine Datei oder einen Ordner von der Freigabe ausschließen, schreibgeschützt machen oder den Zugriff darauf einschränken können.
In seinem Heimnetzwerk Der Benutzer kann seine Inhalte mit anderen Computern und Geräten und sogar mit Computern ohne Windows 7 und sogar mit Nicht-Computern teilen. Insbesondere Microsoft zeigte Beispiele, wie man Inhalte für die Xbox 360 teilen kann. Allerdings bietet das Unternehmen nicht an, die Wii mit dem Netzwerk zu verbinden. Leider hat das Unternehmen die Wii nicht als Streaming-Media-Gerät qualifiziert.
Wie viel sicherer ist also das Heimnetzwerk in Windows 7? Normalerweise beginnen Benutzer, die Dateien und Ordner nicht freigeben, damit, alles um sie herum zu deaktivieren, einschließlich der Dateiwand, des Virenschutzes usw., was ihrer Meinung nach diesen Prozess stören kann. Wenn Sie gleichzeitig die gemeinsame Nutzung vereinfachen, kann das Herunterfahren aller Umgebungen vermieden werden.
Wenn Vista Netzwerke in öffentliche (Public) und private (Private) unterteilt, dann unterteilt Windows 7 das private Netzwerk in Heim (Home) und Arbeit (Work). Hausgruppe(HomeGroup) ist nur verfügbar, wenn das Heimnetzwerk ausgewählt ist. Selbst in einem Arbeitsnetzwerk kann Ihr Computer jedoch immer noch andere Geräte darauf sehen und sich mit ihnen verbinden. In einem öffentlichen Netzwerk (wie einem drahtlosen Internetcafé) wiederum blockiert Windows 7 zu Ihrer Sicherheit den Zugriff auf Sie und von Ihnen auf andere Geräte. Das ist eine kleine aber feine Gelegenheit.
Dual-Mode-Firewall
In Vista und XP ist die Verwaltung der Firewall so einfach wie das Ein- und Ausschalten. Gleichzeitig Windows-Zeit 7 bietet dem Benutzer unterschiedliche Konfigurationseinstellungen für private (Heim und Arbeit) und öffentliche Netzwerke. Gleichzeitig muss der Benutzer die Firewall-Einstellungen nicht eingeben, um beispielsweise in einem örtlichen Café zu arbeiten. Es reicht ihm, sich zu entscheiden öffentliches Netzwerk, und die Firewall selbst wendet den gesamten Satz an einschränkenden Parametern an. Höchstwahrscheinlich werden Benutzer das öffentliche Netzwerk so konfigurieren, dass alle eingehenden Verbindungen blockiert werden. In Vista war dies nicht möglich, ohne auch den gesamten eingehenden Datenverkehr zu unterbrechen eigenes Netzwerk Benutzer.
Einige Benutzer verstehen nicht, warum eine Firewall benötigt wird. Wenn UAC funktioniert, ist eine Firewall nicht übertrieben? Tatsächlich dienen diese Programme sehr unterschiedlichen Zwecken. UAC verfolgt Programme und deren Betrieb innerhalb des lokalen Systems. Die Firewall hingegen beobachtet eingehende und ausgehende Daten genau. Wenn Sie sich diese beiden Programme als zwei Helden vorstellen, die Rücken an Rücken stehen und Zombieangriffe abwehren, dann können Sie fast sagen, dass Sie nichts falsch machen können.
Zuerst war ich fasziniert neue Chance„Benachrichtigen Sie mich, wenn die Windows-Firewall blockiert neues Programm". Ist das nicht ein Zeichen dafür, dass die Windows-Firewall die Kontrolle über die Programme übernommen hat und zu einer echten Zwei-Wege-Firewall geworden ist? Ich wurde von dem Wunsch verschlungen, diese Funktion zu deaktivieren. Und als Ergebnis erhielt die Windows-Firewall nicht mehr Respekt als zuvor.
Es ist zehn Jahre her, seit ZoneLabs die bidirektionale Personal Firewall populär gemacht hat. Ihr ZoneAlarm-Programm versteckte alle Computerports (was die Windows-Firewall kann) und erlaubte Ihnen auch, den Zugriff von Programmen auf das Internet zu kontrollieren (die Windows-Firewall kann dies immer noch nicht). Ich benötige keine intelligente Überwachung des Programmverhaltens, wie beispielsweise bei Norton Internet sicherheit 2010 und andere Pakete. Aber ich hoffe, dass Microsoft bis zur Veröffentlichung von Windows 8 immer noch einen jahrzehntealten ZoneAlarm-Funktionssatz in seine Firewall implementieren wird.
Microsoft ist sich bewusst, dass viele Benutzer Firewalls und Sicherheitspakete von Drittanbietern installieren und einfach die Windows-Firewall deaktivieren. In der Vergangenheit haben viele Sicherheitsprogramme von Drittanbietern die Windows-Firewall automatisch deaktiviert, um Konflikte zu vermeiden. Bei Windows 7 hat Microsoft es selbst gemacht. Bei der Installation einer ihm bekannten Firewall deaktiviert das Betriebssystem seine eingebaute Firewall und meldet, dass "die Firewall-Einstellungen von diesem und jenem Programm von diesem und jenem Hersteller kontrolliert werden".
Ob Sie es verwenden oder nicht, die Windows-Firewall ist in jedem Windows 7 vorhanden, mit tiefer Integration Betriebssystem. Wäre es also nicht besser, wenn Sicherheitsanwendungen von Drittanbietern die Windows Filewall für ihre eigenen Zwecke nutzen könnten? Diese Idee steckt hinter einer Programmierschnittstelle namens Windows Filtering Platform. Aber werden Entwickler es nutzen? Mehr dazu im nächsten Abschnitt.
Windows 7-Sicherheit: Windows-Filterplattform - Windows-Filterplattform
Firewalls müssen mit Windows 7 auf einem sehr niedrigen Niveau arbeiten, was Microsoft-Programmierer absolut hassen. Einige Microsoft-Technologien, wie PatchGuard, die in 64-Bit-Editionen von Windows 7 zu finden sind (64-Bit-Windows 7 hat eine Reihe von Sicherheitsvorteilen gegenüber 32-Bit-Windows 7), blockieren Eindringlinge und schützen auch den Kernel vor dem Zugriff darauf. Dennoch bietet Microsoft nicht das gleiche Maß an Sicherheit wie Programme von Drittanbietern. Was also tun?
Die Lösung für dieses Problem ist die Windows Filtering Platform (WFP). Letzteres ermöglicht laut Microsoft, dass Firewalls von Drittanbietern auf Kernfunktionen der Windows-Firewall basieren, wodurch sie benutzerdefinierte Funktionen hinzufügen und Teile der Windows-Firewall selektiv aktivieren oder deaktivieren können. Folglich kann der Benutzer eine Firewall auswählen, die mit der Windows-Firewall koexistiert.
Aber wie nützlich ist das wirklich für Entwickler von Sicherheitssoftware? Werden sie es nutzen? Ich habe mehrere Leute interviewt und viele Antworten bekommen.
BitDefender LLC
Product Development Manager Iulian Costache gab an, dass sein Unternehmen die Plattform derzeit auf Windows 7 ausführt. Sie sind jedoch auf erhebliche Speicherlecks gestoßen. Der Fehler liegt auf Seiten von Microsoft, wie der größte Softwareriese bereits bestätigt hat. Julian weiß jedoch nicht, wann es gelöst wird. In der Zwischenzeit wurden sie vorübergehend ersetzt neuer Fahrer WFP zu altem TDI.
Check Point Software Technologies Ltd
Mirka Janus, PR-Managerin bei Check Point Software Technologies Ltd, sagte, sein Unternehmen verwende WFP seit Vista. Sie verwenden die Plattform auch unter Windows 7. Es ist eine gute, gut unterstützte Schnittstelle, aber jede Malware oder inkompatibler Treiber kann für ein Sicherheitsprodukt, das darauf angewiesen ist, gefährlich werden. ZoneAlarm hat sich immer auf zwei Schichten verlassen – Schichten Netzwerkverbindungen und Chargenebene. Seit Vista bietet Microsoft WFP als unterstützte Methode zum Filtern von Netzwerkverbindungen an. Beginnend mit Windows 7 SP1 sollte Microsoft WFP beibringen, die Paketfilterung zu aktivieren.
„Die Verwendung unterstützter APIs bedeutet verbesserte Stabilität und weniger BSODs. Viele Treiber können registriert werden und jeder Treiberentwickler muss sich keine Gedanken über die Kompatibilität mit anderen machen. Wenn beispielsweise ein Fahrer blockiert ist, kann kein anderer registrierter Fahrer diese Blockierung umgehen. Andererseits kann ein inkompatibler Treiber zu einem Problem werden und alle anderen registrierten Treiber umgehen. Wir verlassen uns bei der Netzwerksicherheit nicht allein auf WFP.“
F-Secure Corporation
Mikko Hypponen, ein leitender Forscher bei der F-Secure Corporation, erklärte, dass WFP aus irgendeinem Grund nie mit Entwicklern von Sicherheitssoftware in Kontakt gekommen sei. Gleichzeitig nutzte sein Unternehmen WFP schon seit geraumer Zeit und war damit zufrieden.
McAfee Inc.
Der leitende Architekt McAfee Ahmed Sallam (Ahmed Sallam) wiederum sagte, dass WFP eine leistungsfähigere und flexiblere Schnittstelle für die Netzwerkfilterung sei als die vorherige Schnittstelle auf Basis von NDIS. McAfee nutzt WFP umfassend in seinen Sicherheitsprodukten.
Gleichzeitig können trotz der positiven Eigenschaften von WFP auch Cyberkriminelle die Plattform nutzen. Die Plattform kann Malware erlauben, in den Netzwerkschichtstapel einzudringen Windows-Kernel. Also 64bit Windows-Treiber Kernel-Ebene haben muss digitale Signaturen um den Kernel davor zu schützen, hineingeladen zu werden Malware. Bei 32-Bit-Versionen sind jedoch keine digitalen Signaturen erforderlich.
Ja, theoretisch sind digitale Signaturen ein vernünftiger Verteidigungsmechanismus, aber in Wirklichkeit können Malware-Autoren sie immer noch erwerben.
Panda-Sicherheit
Panda Security-Sprecher Pedro Bustamante sagte, sein Unternehmen überwache die WFP-Plattform, nutze sie aber derzeit nicht. Das Unternehmen ist der Ansicht, dass die Hauptnachteile von WFP erstens in der Unfähigkeit liegen, eine Technologie zu entwickeln, die sich kombinieren lässt verschiedene Techniken um den Schutz zu maximieren. Technologie ist nutzlos, wenn das Unternehmen die eingehenden und ausgehenden Pakete an der Maschine nicht sehen kann. Es soll auch als Sensor für andere Schutztechnologien fungieren. Keine dieser Funktionen wird von WFP bereitgestellt. Zweitens wird WFP nur von Vista und neueren Betriebssystemen unterstützt. Die Plattform ist nicht abwärtskompatibel. Und drittens ist WFP eine ziemlich neue Plattform, und das Unternehmen baut lieber auf älteren, etablierteren Technologien auf.
Symantec Corp.
Dan Nadir, Director of Consumer Products Management bei Symantec, sagte, dass WFP aufgrund seiner relativen Neuheit noch nicht in seinen Produkten verwendet wird. Im Laufe der Zeit plant das Unternehmen jedoch, darauf umzusteigen, da. Die alten Schnittstellen, auf die sie sich jetzt verlassen, werden nicht in der Lage sein, die volle Funktionalität bereitzustellen, die sie benötigen. Sie halten WFP für eine gute Plattform, weil Es wurde speziell entwickelt, um Interoperabilität zwischen einer Vielzahl von Software von Drittanbietern bereitzustellen. Grundsätzlich soll die Plattform künftig noch weniger Kompatibilitätsprobleme haben. WFP ist auch gut, weil es in das Microsoft Network Diagnostic Framework integriert ist. Dies ist äußerst nützlich, da erleichtert die Suche nach bestimmten Programmen, die ein Hindernis darstellen, erheblich Netzwerktraffic. Schließlich sollte WFP zu Verbesserungen der Betriebssystemleistung und -stabilität führen, da die Plattform vermeidet Emulations- und Treiberkonflikte oder Stabilitätsprobleme.
Andererseits kann WFP laut Nadir bestimmte Probleme schaffen, die in jeder Struktur vorhanden sind - Entwickler, die sich auf WFP verlassen, können weder Schwachstellen innerhalb von WFP selbst schließen, noch können sie die von WFP angebotenen spezifischen Funktionen erweitern. Auch wenn viele Programme auf WFP angewiesen sind, könnten Malware-Ersteller theoretisch versuchen, WFP selbst anzugreifen.
TrendMicro Inc.
Forschungsleiter bei Trend Micro Inc. Dale Liao sagte, dass der größte Vorteil der Plattform die Kompatibilität mit dem Betriebssystem ist. Auch die Standard-Firewall ist jetzt nützlich. So können sie sich jetzt auf das konzentrieren, was für den Benutzer wirklich wichtig ist. Das Schlechte an WFP ist, dass das Unternehmen warten muss, bis Microsoft ihn behebt, wenn ein Fehler in der Plattform gefunden wird.
WFP: Fazit
Daher verwenden die meisten der von mir befragten Entwickler von Sicherheitssoftware bereits WFP. Stimmt, einige parallel zu anderen Technologien. Sie mögen Interoperabilität, sie mögen den dokumentierten und offiziellen Charakter der Plattform und auch die angebliche Stabilität ihres Betriebs. Mit einem anderen, negative Seite, wenn alle Entwickler anfangen, sich auf WFP zu verlassen, dann kann die Plattform möglicherweise zu einer Schwachstelle für alle werden. Und sie müssen sich auf Microsoft verlassen, um das Problem zu beheben. Zudem bietet die Plattform noch keine Filterung auf Paketebene.
Der große Nachteil von WFP ist auch, dass es in Windows XP nicht verfügbar ist. Daher müssen Entwickler, die XP unterstützen wollen, zwei parallele Projekte ausführen. Da XP jedoch vom Markt genommen wird, denke ich, dass WFP bei Entwicklern immer beliebter werden wird.
Wird geladen...