ΛΣ Snap-in Management Console (MMC). Windows VistaΤο ™ είναι ένα τείχος προστασίας καταγραφής δικτύου για σταθμούς εργασίας που φιλτράρει τις εισερχόμενες και εξερχόμενες συνδέσεις σύμφωνα με τις ρυθμίσεις που έχετε διαμορφώσει. Τώρα μπορείτε να διαμορφώσετε τις ρυθμίσεις του τείχους προστασίας και Πρωτόκολλο IPsecμε ένα εργαλείο. Αυτό το άρθρο περιγράφει το Τείχος προστασίας των Windows με προηγμένη ασφάλεια, κοινά προβλήματα και λύσεις.
Πώς λειτουργεί το Τείχος προστασίας των Windows με προηγμένη ασφάλεια
τείχος προστασίας των Windowsσε λειτουργία βελτιωμένης ασφάλειας, είναι ένα τείχος προστασίας καταγραφής κατάστασης δικτύου για σταθμούς εργασίας. Σε αντίθεση με τα τείχη προστασίας για δρομολογητές, τα οποία αναπτύσσονται στην πύλη μεταξύ του τοπικού σας δικτύου και του Διαδικτύου, το Τείχος προστασίας των Windows έχει σχεδιαστεί για να εκτελείται σε μεμονωμένους υπολογιστές. Παρακολουθεί μόνο την κυκλοφορία σταθμός εργασίας: Επισκεψιμότητα που έρχεται στη διεύθυνση IP αυτού του υπολογιστή και εξερχόμενη κίνηση προς τον ίδιο τον υπολογιστή. Το τείχος προστασίας των Windows με προηγμένη ασφάλεια εκτελεί τις ακόλουθες βασικές λειτουργίες:
Το εισερχόμενο πακέτο ελέγχεται και συγκρίνεται με τη λίστα επιτρεπόμενης κίνησης. Εάν το πακέτο ταιριάζει με μία από τις τιμές της λίστας, το Τείχος προστασίας των Windows μεταβιβάζει το πακέτο στο TCP/IP για περαιτέρω επεξεργασία. Εάν το πακέτο δεν ταιριάζει με καμία από τις τιμές της λίστας, το Τείχος προστασίας των Windows αποκλείει το πακέτο και, εάν είναι ενεργοποιημένη η καταγραφή, δημιουργεί μια καταχώρηση στο αρχείο καταγραφής.
Η λίστα επιτρεπόμενης κυκλοφορίας διαμορφώνεται με δύο τρόπους:
Όταν μια σύνδεση που ελέγχεται από το Τείχος προστασίας των Windows με προηγμένη ασφάλεια στέλνει ένα πακέτο, το τείχος προστασίας δημιουργεί μια τιμή στη λίστα για να επιτρέψει την επιστροφή της κυκλοφορίας. Η κατάλληλη εισερχόμενη κίνηση απαιτεί πρόσθετη άδεια.
Όταν δημιουργείτε ένα Τείχος προστασίας των Windows με κανόνα επιτρεπόμενης ασφάλειας για προχωρημένους, η κυκλοφορία για την οποία δημιουργείται ο κανόνας θα επιτρέπεται σε έναν υπολογιστή που εκτελεί το Τείχος προστασίας των Windows. Αυτός ο υπολογιστής θα δέχεται ρητά επιτρεπόμενη εισερχόμενη κίνηση όταν λειτουργεί ως διακομιστής, υπολογιστής πελάτη ή κόμβος δικτύου peer-to-peer.
Το πρώτο βήμα για την επίλυση προβλημάτων με το Τείχος προστασίας των Windows είναι να ελέγξετε ποιο προφίλ είναι ενεργό. Το Τείχος προστασίας των Windows με προηγμένη ασφάλεια είναι μια εφαρμογή που παρακολουθεί το περιβάλλον του δικτύου σας. Το προφίλ του Τείχους προστασίας των Windows αλλάζει όταν αλλάζει το περιβάλλον δικτύου. Το προφίλ είναι ένα σύνολο ρυθμίσεων και κανόνων που εφαρμόζεται ανάλογα με το περιβάλλον του δικτύου και τη λειτουργία του δικτυακές συνδέσεις.
Το τείχος προστασίας διακρίνει μεταξύ τριών τύπων περιβαλλόντων δικτύου: τομέα, δημόσια και ιδιωτικά δίκτυα. Ένας τομέας είναι ένα περιβάλλον δικτύου όπου οι συνδέσεις ελέγχονται από έναν ελεγκτή τομέα. Από προεπιλογή, όλοι οι άλλοι τύποι συνδέσεων δικτύου αντιμετωπίζονται ως δημόσια δίκτυα. Με την ανακάλυψη ενός νέου Συνδέσεις WindowsΤα Vista ζητούν από το χρήστη να υποδείξει εάν αυτό το δίκτυοιδιωτική ή δημόσια. Το γενικό προφίλ προορίζεται για χρήση σε δημόσιους χώρους όπως αεροδρόμια ή καφετέριες. Ένα ιδιωτικό προφίλ έχει σχεδιαστεί για χρήση στο σπίτι ή στο γραφείο και σε ένα ασφαλές δίκτυο. Για να ορίσετε ένα δίκτυο ως ιδιωτικό, ο χρήστης πρέπει να έχει τα κατάλληλα δικαιώματα διαχειριστή.
Παρόλο που ο υπολογιστής μπορεί να είναι συνδεδεμένος σε δίκτυα ταυτόχρονα διαφορετικού τύπου, μόνο ένα προφίλ μπορεί να είναι ενεργό. Η επιλογή ενός ενεργού προφίλ εξαρτάται από τους ακόλουθους λόγους:
Εάν όλες οι διεπαφές χρησιμοποιούν έλεγχο ταυτότητας ελεγκτή τομέα, χρησιμοποιείται το προφίλ τομέα.
Εάν τουλάχιστον μία από τις διεπαφές είναι συνδεδεμένη σε ιδιωτικό δίκτυο και όλες οι άλλες είναι συνδεδεμένες σε τομέα ή ιδιωτικά δίκτυα, χρησιμοποιείται το ιδιωτικό προφίλ.
Σε όλες τις άλλες περιπτώσεις, χρησιμοποιείται το γενικό προφίλ.
Για να προσδιορίσετε το ενεργό προφίλ, κάντε κλικ στον κόμβο Παρατήρησησε μια στιγμή Τείχος προστασίας των Windows με προηγμένη ασφάλεια. Πάνω από το κείμενο Κατάσταση τείχους προστασίαςθα υποδείξει ποιο προφίλ είναι ενεργό. Για παράδειγμα, εάν ένα προφίλ τομέα είναι ενεργό, η λεζάντα θα εμφανίζεται στην κορυφή Ενεργό προφίλ τομέα.
Χρησιμοποιώντας προφίλ, το Τείχος προστασίας των Windows μπορεί να επιτρέπει αυτόματα την εισερχόμενη κίνηση για ειδικά εργαλεία διαχείρισης υπολογιστή όταν ο υπολογιστής βρίσκεται σε έναν τομέα και να αποκλείει την ίδια κίνηση όταν ο υπολογιστής είναι συνδεδεμένος σε δημόσιο ή ιδιωτικό δίκτυο. Έτσι, ο προσδιορισμός του τύπου του περιβάλλοντος δικτύου εξασφαλίζει την προστασία του τοπικό δίκτυοχωρίς να διακυβεύεται η ασφάλεια των χρηστών κινητής τηλεφωνίας.
Συνήθη προβλήματα κατά την εκτέλεση του Τείχους προστασίας των Windows με την προηγμένη ασφάλεια
Τα ακόλουθα είναι τα κύρια ζητήματα που παρουσιάζονται κατά την εκτέλεση του Τείχους προστασίας των Windows με προηγμένη ασφάλεια:
Σε περίπτωση αποκλεισμού της κυκλοφορίας, θα πρέπει πρώτα να ελέγξετε εάν το τείχος προστασίας είναι ενεργοποιημένο και ποιο προφίλ είναι ενεργό. Εάν κάποια από τις εφαρμογές είναι μπλοκαρισμένη, βεβαιωθείτε ότι στο snap Τείχος προστασίας των Windows με προηγμένη ασφάλειαυπάρχει ένας ενεργός κανόνας άδειας για το τρέχον προφίλ. Για να επαληθεύσετε ότι υπάρχει κανόνας επιτρεπόμενου, κάντε διπλό κλικ στον κόμβο Παρατήρησηκαι, στη συνέχεια, επιλέξτε μια ενότητα Τείχος προστασίας. Εάν δεν υπάρχουν ενεργοί κανόνες αποδοχής για αυτό το πρόγραμμα, μεταβείτε στον κόμβο και δημιουργήστε έναν νέο κανόνα για αυτό το πρόγραμμα. Δημιουργήστε έναν κανόνα για ένα πρόγραμμα ή υπηρεσία ή καθορίστε μια ομάδα κανόνων που ισχύει για αυτήν τη δυνατότητα και βεβαιωθείτε ότι όλοι οι κανόνες σε αυτήν την ομάδα είναι ενεργοποιημένοι.
Για να ελέγξετε ότι ένας κανόνας άδειας δεν παρακάμπτεται από έναν κανόνα μπλοκ, ακολουθήστε τα εξής βήματα:
Στο δέντρο εργαλείων Τείχος προστασίας των Windows με προηγμένη ασφάλειακόμβος κλικ Παρατήρησηκαι, στη συνέχεια, επιλέξτε μια ενότητα Τείχος προστασίας.
Δείτε μια λίστα με όλα τα ενεργά τοπικά και πολιτική ομάδας. Οι κανόνες άρνησης παρακάμπτουν τους επιτρεπόμενους κανόνες, ακόμα κι αν οι τελευταίοι ορίζονται με μεγαλύτερη ακρίβεια.
Η πολιτική ομάδας αποτρέπει την επιβολή τοπικών κανόνων
Εάν το Τείχος προστασίας των Windows με προηγμένη ασφάλεια έχει ρυθμιστεί χρησιμοποιώντας Πολιτική ομάδας, ένας διαχειριστής μπορεί να καθορίσει εάν χρησιμοποιούνται κανόνες τείχους προστασίας ή κανόνες ασφάλειας σύνδεσης που έχουν δημιουργηθεί από τοπικούς διαχειριστές. Αυτό έχει νόημα εάν υπάρχουν ρυθμισμένοι κανόνες τοπικού τείχους προστασίας ή κανόνες ασφάλειας σύνδεσης που δεν βρίσκονται στην αντίστοιχη ενότητα ρυθμίσεων.
Για να μάθετε γιατί λείπουν οι κανόνες τοπικού τείχους προστασίας ή οι κανόνες ασφάλειας σύνδεσης από την ενότητα Παρακολούθηση, κάντε τα εξής:
σε μια στιγμή Τείχος προστασίας των Windows με προηγμένη ασφάλεια, κάντε κλικ στον σύνδεσμο Ιδιότητες τείχους προστασίας των Windows.
Επιλέξτε την καρτέλα ενεργό προφίλ.
Στο κεφάλαιο Επιλογές, πάτα το κουμπί Αρμονία.
Εάν ισχύουν τοπικοί κανόνες, ενότητα Συνδυασμός Κανόνωνθα είναι ενεργό.
Οι κανόνες που απαιτούν ασφαλείς συνδέσεις ενδέχεται να εμποδίσουν την κυκλοφορία
Όταν δημιουργείτε έναν κανόνα τείχους προστασίας για εισερχόμενη ή εξερχόμενη κυκλοφορία, μία από τις επιλογές είναι . Εάν επιλεγεί δεδομένη λειτουργία, πρέπει να διαθέτετε έναν κατάλληλο κανόνα ασφάλειας σύνδεσης ή μια ξεχωριστή πολιτική IPSec που να ορίζει ποια κυκλοφορία είναι ασφαλής. Διαφορετικά, αυτή η κίνηση είναι αποκλεισμένη.
Για να ελέγξετε ότι ένας ή περισσότεροι κανόνες εφαρμογής απαιτούν ασφαλείς συνδέσεις, ακολουθήστε τα εξής βήματα:
Στο δέντρο εργαλείων Τείχος προστασίας των Windows με προηγμένη ασφάλειαενότητα κλικ Κανόνες για εισερχόμενες συνδέσεις. Επιλέξτε τον κανόνα που θέλετε να ελέγξετε και κάντε κλικ στον σύνδεσμο Ιδιότητεςεντός του πεδίου εφαρμογής της κονσόλας.
Επιλέξτε καρτέλα Είναι κοινάκαι ελέγξτε εάν είναι επιλεγμένη η τιμή του κουμπιού επιλογής Επιτρέπονται μόνο ασφαλείς συνδέσεις.
Εάν η παράμετρος έχει καθοριστεί για τον κανόνα Επιτρέπονται μόνο ασφαλείς συνδέσεις, επεκτείνετε την ενότητα Παρατήρησηστο συμπληρωματικό δέντρο και επιλέξτε την ενότητα. Βεβαιωθείτε ότι η κίνηση που ορίζεται στον κανόνα του τείχους προστασίας έχει τους κατάλληλους κανόνες ασφαλείας σύνδεσης.
Προειδοποίηση:
Εάν έχετε ενεργή πολιτική IPSec, βεβαιωθείτε ότι η πολιτική προστατεύει την απαιτούμενη επισκεψιμότητα. Μην δημιουργείτε κανόνες ασφάλειας σύνδεσης για να αποφύγετε τη σύγκρουση μεταξύ της πολιτικής IPSec και των κανόνων ασφάλειας σύνδεσης.
Δεν μπορούν να επιτραπούν εξερχόμενες συνδέσεις
Στο δέντρο εργαλείων Τείχος προστασίας των Windows με προηγμένη ασφάλειαΕπιλέξτε μια ενότητα Παρατήρηση. Επιλέξτε την καρτέλα ενεργό προφίλ και κάτω Κατάσταση τείχους προστασίαςελέγξτε ότι επιτρέπονται εξερχόμενες συνδέσεις που δεν ταιριάζουν με τον κανόνα επιτρεπόμενης.
Στο κεφάλαιο ΠαρατήρησηΕπιλέξτε μια ενότητα Τείχος προστασίαςγια να διασφαλίσετε ότι οι απαιτούμενες εξερχόμενες συνδέσεις δεν αναφέρονται στους κανόνες άρνησης.
Οι μικτές πολιτικές μπορούν να εμποδίσουν την κυκλοφορία
Μπορείτε να διαμορφώσετε τις ρυθμίσεις του τείχους προστασίας και του IPSec χρησιμοποιώντας διάφορες διεπαφέςλειτουργικό σύστημα Windows.
Η δημιουργία πολιτικών σε πολλά μέρη μπορεί να οδηγήσει σε διενέξεις και αποκλεισμό κυκλοφορίας. Τα ακόλουθα σημεία ρύθμισης είναι διαθέσιμα:
Τείχος προστασίας των Windows με προηγμένη ασφάλεια. Αυτή η πολιτική διαμορφώνεται χρησιμοποιώντας το κατάλληλο συμπληρωματικό πρόγραμμα τοπικά ή ως μέρος μιας πολιτικής ομάδας. Αυτή η πολιτική ελέγχει το τείχος προστασίας και τις ρυθμίσεις IPSec σε υπολογιστές με Windows Vista.
Πρότυπο διαχείρισης τείχους προστασίας των Windows. Αυτή η πολιτική διαμορφώνεται χρησιμοποιώντας τον Επεξεργαστή αντικειμένου πολιτικής ομάδας στην ενότητα. Αυτή η διεπαφή περιέχει ρυθμίσεις του τείχους προστασίας των Windows που ήταν διαθέσιμες πριν από τα Windows Vista και προορίζεται για τη διαμόρφωση του GPO που διαχειρίζεται ΠΡΟΗΓΟΥΜΕΝΕΣ ΕΚΔΟΣΕΙΣ Windows. Αν και αυτές οι ρυθμίσεις μπορούν να χρησιμοποιηθούν για υπολογιστές που λειτουργούν Έλεγχος των Windows Vista, συνιστάται να χρησιμοποιήσετε την πολιτική αντ' αυτού Τείχος προστασίας των Windows με προηγμένη ασφάλειαγιατί παρέχει μεγαλύτερη ευελιξία και ασφάλεια. Σημειώστε ότι ορισμένες από τις ρυθμίσεις προφίλ τομέα είναι κοινόχρηστες μεταξύ του προτύπου διαχείρισης του τείχους προστασίας των Windows και της πολιτικής του τείχους προστασίας των Windows. Τείχος προστασίας των Windows με προηγμένη ασφάλεια, ώστε να μπορείτε να δείτε εδώ τις ρυθμίσεις που έχουν διαμορφωθεί στο προφίλ τομέα χρησιμοποιώντας το συμπληρωματικό πρόγραμμα Τείχος προστασίας των Windows με προηγμένη ασφάλεια.
Πολιτικές IPSec. Αυτή η πολιτική διαμορφώνεται χρησιμοποιώντας το τοπικό συμπληρωματικό πρόγραμμα Διαχείριση πολιτικής IPSecή τον Επεξεργαστή αντικειμένου πολιτικής ομάδας στην περιοχή Ρύθμιση παραμέτρων υπολογιστή\Ρυθμίσεις Windows\Ρυθμίσεις ασφαλείας\Πολιτικές ασφαλείας IP σε τοπικό υπολογιστή. Αυτή η πολιτική ορίζει ρυθμίσεις IPSec που μπορούν να χρησιμοποιηθούν και από τις προηγούμενες εκδόσεις των Windows και των Windows Vista. Μην εφαρμόζετε αυτήν την πολιτική και τους κανόνες ασφαλείας σύνδεσης που ορίζονται στην πολιτική στον ίδιο υπολογιστή ταυτόχρονα. Τείχος προστασίας των Windows με προηγμένη ασφάλεια.
Για να δείτε όλες αυτές τις επιλογές στα κατάλληλα συμπληρωματικά προγράμματα, δημιουργήστε το δικό σας συμπληρωματικό πρόγραμμα Κονσόλας διαχείρισης και προσθέστε τα συμπληρωματικά σε αυτό Τείχος προστασίας των Windows με προηγμένη ασφάλεια, Και Ασφάλεια IP.
Για να δημιουργήσετε το δικό σας συμπληρωματικό πρόγραμμα κονσόλας διαχείρισης, ακολουθήστε τα εξής βήματα:
Κάντε κλικ στο κουμπί Αρχή, μεταβείτε στο μενού Ολα τα προγράμματα, μετά στο μενού Πρότυποκαι επιλέξτε το στοιχείο Τρέξιμο.
Σε πλαίσιο κειμένου Ανοιξε ΕΙΣΑΓΩ.
Να συνεχίσει.
Στο μενού Κονσόλαεπιλέξτε .
Εισηγμένη Διαθέσιμα snap-inεπιλέξτε ένα στιγμιότυπο Τείχος προστασίας των Windows με προηγμένη ασφάλειακαι πατήστε το κουμπί Προσθήκη.
Κάντε κλικ στο κουμπί Εντάξει.
Επαναλάβετε τα βήματα 1 έως 6 για να προσθέσετε κουμπιά Ελεγχος πολιτική ομάδας Και IP Security Monitor.
Για να ελέγξετε ποιες πολιτικές είναι ενεργές στο ενεργό προφίλ, χρησιμοποιήστε την ακόλουθη διαδικασία:
Για να ελέγξετε ποιες πολιτικές εφαρμόζονται, ακολουθήστε τα εξής βήματα:
ΣΕ γραμμή εντολώνπληκτρολογήστε mmc και πατήστε το πλήκτρο ΕΙΣΑΓΩ.
Εάν εμφανιστεί ένα παράθυρο διαλόγου Έλεγχος λογαριασμού χρήστη, επιβεβαιώστε την ενέργεια που ζητήσατε και κάντε κλικ Να συνεχίσει.
Στο μενού Κονσόλαεπιλέξτε αντικείμενο Προσθέστε ή αφαιρέστε ένα στιγμιότυπο.
Εισηγμένη Διαθέσιμα snap-inεπιλέξτε ένα στιγμιότυπο Διαχείριση πολιτικής ομάδαςκαι πατήστε το κουμπί Προσθήκη.
Κάντε κλικ στο κουμπί Εντάξει.
Αναπτύξτε τον κόμβο στο δέντρο (συνήθως το δέντρο του δάσους όπου το αυτός ο υπολογιστής) και κάντε διπλό κλικ στην ενότητα στο παράθυρο λεπτομερειών της κονσόλας.
Επιλέξτε τιμή διακόπτη Εμφάνιση ρυθμίσεων πολιτικής γιααπό αξίες τρέχων χρήστης ή άλλο χρήστη. Εάν δεν θέλετε να εμφανίζονται οι ρυθμίσεις πολιτικής για τους χρήστες, αλλά μόνο οι ρυθμίσεις πολιτικής για τον υπολογιστή, επιλέξτε την τιμή του κουμπιού επιλογής Να μην εμφανίζεται η πολιτική χρήστη (προβολή μόνο πολιτικής υπολογιστή)και κάντε διπλό κλικ στο κουμπί Περαιτέρω.
Κάντε κλικ στο κουμπί Ετοιμος. Ο Οδηγός αποτελεσμάτων πολιτικής ομάδας δημιουργεί μια αναφορά στο παράθυρο λεπτομερειών της κονσόλας. Η αναφορά περιέχει καρτέλες Περίληψη, ΕπιλογέςΚαι Εκδηλώσεις πολιτικής.
Για να επαληθεύσετε ότι δεν υπάρχει διένεξη με τις πολιτικές ασφαλείας IP, μετά τη δημιουργία της αναφοράς, επιλέξτε το Επιλογέςκαι ανοίξτε το Computer Configuration\Windows Settings\Security Settings\IP Security Settings στην υπηρεσία καταλόγου Active Directory. Εάν λείπει η τελευταία ενότητα, τότε δεν έχει οριστεί πολιτική ασφάλειας IP. Διαφορετικά, θα εμφανίζεται το όνομα και η περιγραφή της πολιτικής, καθώς και το GPO στο οποίο ανήκει. Εάν χρησιμοποιείτε μια πολιτική ασφαλείας IP και ένα Τείχος προστασίας των Windows με πολιτική για προχωρημένους ταυτόχρονα με κανόνες ασφαλείας σύνδεσης, αυτές οι πολιτικές ενδέχεται να έρχονται σε διένεξη. Συνιστάται να χρησιμοποιείτε μόνο μία από αυτές τις πολιτικές. Η βέλτιστη λύσηθα χρησιμοποιήσει πολιτικές ασφαλείας IP μαζί με το Τείχος προστασίας των Windows με κανόνες ασφαλείας για προχωρημένους για εισερχόμενη ή εξερχόμενη κίνηση. Εάν οι ρυθμίσεις έχουν διαμορφωθεί σε διαφορετικά σημεία και δεν είναι συνεπείς μεταξύ τους, ενδέχεται να προκύψουν διενέξεις πολιτικής που είναι δύσκολο να επιλυθούν.
Ενδέχεται επίσης να υπάρχουν διενέξεις μεταξύ των πολιτικών που ορίζονται σε τοπικούς GPO και των σεναρίων που έχουν διαμορφωθεί από το τμήμα IT. Ελέγξτε όλες τις πολιτικές ασφαλείας IP χρησιμοποιώντας το πρόγραμμα IP Security Monitor ή πληκτρολογώντας την ακόλουθη εντολή σε μια γραμμή εντολών:
Για να προβάλετε τις ρυθμίσεις που ορίζονται στο πρότυπο διαχείρισης του τείχους προστασίας των Windows, αναπτύξτε την ενότητα Διαμόρφωση υπολογιστή\Πρότυπα διαχείρισης\Δίκτυο\Συνδέσεις δικτύου\Τείχος προστασίας των Windows.
Για να δείτε τα πιο πρόσφατα συμβάντα που σχετίζονται με την τρέχουσα πολιτική, μπορείτε να μεταβείτε στην καρτέλα γεγονότα πολιτικήςστην ίδια κονσόλα.
Για να προβάλετε την πολιτική που χρησιμοποιείται από το Τείχος προστασίας των Windows με προηγμένη ασφάλεια, ανοίξτε το συμπληρωματικό πρόγραμμα στον υπολογιστή που διαγιγνώσκεται και ελέγξτε τις ρυθμίσεις στο Παρατήρηση.
Για να προβάλετε πρότυπα διαχείρισης, ανοίξτε το συμπληρωματικό πρόγραμμα Πολιτική ομάδαςκαι στην ενότητα Αποτελέσματα πολιτικής ομάδαςΔείτε αν υπάρχουν ρυθμίσεις που έχουν κληρονομηθεί από την Πολιτική ομάδας που ενδέχεται να προκαλέσουν την απόρριψη της κυκλοφορίας.
Για να δείτε τις πολιτικές ασφαλείας IP, ανοίξτε το συμπληρωματικό πρόγραμμα IP Security Monitor. Επιλέξτε στο δέντρο τοπικός υπολογιστής. Στο πεδίο της κονσόλας, επιλέξτε τη σύνδεση Ενεργή πολιτική, Βασική λειτουργίαή Γρήγορη λειτουργία. Ελέγξτε για ανταγωνιστικές πολιτικές που θα μπορούσαν να οδηγήσουν σε αποκλεισμό της κυκλοφορίας.
Στο κεφάλαιο Παρατήρησηθραύση Τείχος προστασίας των Windows με προηγμένη ασφάλειαΜπορείτε να δείτε τους υπάρχοντες κανόνες τοπικής και ομαδικής πολιτικής. Για να πάρεις Επιπλέον πληροφορίεςανατρέξτε στην ενότητα " Χρήση της λειτουργίας ρολογιού σε ένα συμπληρωματικό πρόγραμμα Τείχος προστασίας των Windows με προηγμένη ασφάλεια » αυτού του εγγράφου.
Για να διακόψετε το IPSec Policy Agent, ακολουθήστε τα εξής βήματα:
Κάντε κλικ στο κουμπί Αρχήκαι επιλέξτε ενότητα Πίνακας Ελέγχου.
Κάντε κλικ στο εικονίδιο Το σύστημα και η συντήρησή τουκαι επιλέξτε ενότητα Διαχείριση.
Κάντε διπλό κλικ στο εικονίδιο Υπηρεσίες. Να συνεχίσει.
Βρείτε μια υπηρεσία στη λίστα IPSec Policy Agent
Εάν η υπηρεσία Πράκτορας IPSecτρέχει, κάντε κλικ σε αυτό κάντε δεξί κλικποντίκι και επιλέξτε από το μενού Να σταματήσει. Μπορείτε επίσης να σταματήσετε την υπηρεσία Πράκτορας IPSecαπό τη γραμμή εντολών χρησιμοποιώντας την εντολή
Η πολιτική δικτύου peer-to-peer μπορεί να προκαλέσει την απόρριψη της κυκλοφορίας
Για συνδέσεις που χρησιμοποιούν IPSec, και οι δύο υπολογιστές πρέπει να έχουν συμβατές πολιτικές ασφαλείας IP. Αυτές οι πολιτικές μπορούν να καθοριστούν χρησιμοποιώντας το συμπληρωματικό πρόγραμμα Κανόνες ασφαλείας σύνδεσης τείχους προστασίας των Windows Ασφάλεια IPή άλλον πάροχο ασφάλειας IP.
Για να ελέγξετε τις ρυθμίσεις της πολιτικής ασφαλείας IP σε ένα δίκτυο peer-to-peer, ακολουθήστε τα εξής βήματα:
Κάντε κλικ στην ενότητα Βασική λειτουργία, στο παράθυρο λεπτομερειών της κονσόλας, επιλέξτε τη σύνδεση για δοκιμή και, στη συνέχεια, κάντε κλικ στη σύνδεση Ιδιότητεςεντός του πεδίου εφαρμογής της κονσόλας. Ελέγξτε τις ιδιότητες σύνδεσης και για τους δύο κόμβους για να βεβαιωθείτε ότι είναι συμβατοί.
Επαναλάβετε το βήμα 2.1 για το τμήμα Γρήγορη λειτουργία. Ελέγξτε τις ιδιότητες σύνδεσης και για τους δύο κόμβους για να βεβαιωθείτε ότι είναι συμβατοί.
σε μια στιγμή Τείχος προστασίας των Windows με προηγμένη ασφάλειαεπιλέξτε κόμβο ΠαρατήρησηΚαι Κανόνες ασφαλείας σύνδεσηςγια να βεβαιωθείτε ότι και οι δύο κεντρικοί υπολογιστές στο δίκτυο έχουν διαμορφώσει μια πολιτική ασφαλείας IP.
Εάν ένας από τους υπολογιστές του δικτύου peer-to-peer εκτελείται παλαιότερο εκδόσεις Windowsαπό τα Windows Vista, βεβαιωθείτε ότι τουλάχιστον μία από τις σουίτες κρυπτογράφησης εγγενούς λειτουργίας και μία από τις σουίτες κρυπτογράφησης γρήγορης λειτουργίας χρησιμοποιεί αλγόριθμους που υποστηρίζονται και από τους δύο κεντρικούς υπολογιστές.
Εάν χρησιμοποιείτε έλεγχο ταυτότητας Kerberos έκδοσης 5, βεβαιωθείτε ότι ο κεντρικός υπολογιστής βρίσκεται στον ίδιο ή αξιόπιστο τομέα.
Εάν χρησιμοποιούνται πιστοποιητικά, βεβαιωθείτε ότι είναι επιλεγμένα τα απαιτούμενα πλαίσια ελέγχου. Τα πιστοποιητικά που χρησιμοποιούν ανταλλαγή κλειδιών Internet (IKE) IPSec απαιτούν ψηφιακή υπογραφή. Τα πιστοποιητικά που χρησιμοποιούν το Authenticated Internet Protocol (AuthIP) απαιτούν έλεγχο ταυτότητας πελάτη (ανάλογα με τον τύπο ελέγχου ταυτότητας διακομιστή). Για περισσότερες πληροφορίες σχετικά με τα πιστοποιητικά AuthIP, ανατρέξτε στο άρθρο Πιστοποιημένη IP στα Windows Vista AuthIP στα Windows Vista στον ιστότοπο της Microsoft.
Δεν είναι δυνατή η διαμόρφωση του τείχους προστασίας των Windows με την προηγμένη ασφάλεια
Οι ρυθμίσεις του Τείχους προστασίας των Windows με προηγμένη ασφάλεια είναι γκριζαρισμένες στις ακόλουθες περιπτώσεις:
Ο υπολογιστής είναι συνδεδεμένος σε δίκτυο με κεντρική διαχείριση, και ένας διαχειριστής δικτύου χρησιμοποιεί Πολιτικές ομάδας για να διαμορφώσει το Τείχος προστασίας των Windows με ρυθμίσεις για προχωρημένους ασφαλείας. Σε αυτή την περίπτωση, στην κορυφή του κουμπώματος Τείχος προστασίας των Windows με προηγμένη ασφάλειαΘα δείτε το μήνυμα "Ορισμένες ρυθμίσεις ελέγχονται από την πολιτική ομάδας". Ο διαχειριστής του δικτύου σας διαμορφώνει την πολιτική, εμποδίζοντάς σας έτσι να αλλάξετε τις ρυθμίσεις του Τείχους προστασίας των Windows.
Ένας υπολογιστής με Windows Vista δεν είναι συνδεδεμένος σε δίκτυο κεντρικά διαχειριζόμενο, αλλά οι ρυθμίσεις του Τείχους προστασίας των Windows καθορίζονται από την πολιτική τοπικής ομάδας.
Για να αλλάξετε το Τείχος προστασίας των Windows με ρυθμίσεις ασφαλείας για προχωρημένους χρησιμοποιώντας την πολιτική τοπικής ομάδας, χρησιμοποιήστε το Τοπική πολιτική υπολογιστών. Για να ανοίξετε αυτό το συμπληρωματικό πρόγραμμα, πληκτρολογήστε secpol στη γραμμή εντολών. Εάν εμφανιστεί ένα παράθυρο διαλόγου Έλεγχος λογαριασμού χρήστη, επιβεβαιώστε την ενέργεια που ζητήσατε και κάντε κλικ Να συνεχίσει. Μεταβείτε στο Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security για να διαμορφώσετε το Τείχος προστασίας των Windows με τις ρυθμίσεις πολιτικής για προχωρημένους ασφαλείας.
Ο υπολογιστής δεν ανταποκρίνεται σε αιτήματα ping
Ο κύριος τρόπος για να ελέγξετε τη συνδεσιμότητα μεταξύ των υπολογιστών είναι να χρησιμοποιήσετε το βοηθητικό πρόγραμμα Ping για να ελέγξετε τη συνδεσιμότητα σε μια συγκεκριμένη διεύθυνση IP. Κατά τη διάρκεια ενός ping, αποστέλλεται ένα μήνυμα ηχούς ICMP (γνωστό και ως αίτημα ηχούς ICMP) και ζητείται απόκριση ηχούς ICMP. Από προεπιλογή, το Τείχος προστασίας των Windows απορρίπτει τα εισερχόμενα μηνύματα ηχούς ICMP, επομένως ο υπολογιστής δεν μπορεί να στείλει απόκριση ηχούς ICMP.
Επιτρέποντας τα εισερχόμενα μηνύματα ηχούς ICMP θα επιτρέψει σε άλλους υπολογιστές να κάνουν ping στον υπολογιστή σας. Από την άλλη πλευρά, αυτό θα αφήσει τον υπολογιστή ευάλωτο σε επιθέσεις που χρησιμοποιούν μηνύματα ηχούς ICMP. Ωστόσο, συνιστάται να ενεργοποιήσετε προσωρινά τις εισερχόμενες ηχώ ICMP εάν είναι απαραίτητο και στη συνέχεια να τις απενεργοποιήσετε.
Για να επιτρέψετε μηνύματα ηχούς ICMP, δημιουργήστε νέους εισερχόμενους κανόνες για να επιτρέψετε τα πακέτα αιτημάτων ηχούς ICMPv4 και ICMPv6.
Για να επιτρέψετε αιτήματα ηχούς ICMPv4 και ICMPv6, ακολουθήστε τα εξής βήματα:
Στο δέντρο εργαλείων Τείχος προστασίας των Windows με προηγμένη ασφάλειαεπιλέξτε κόμβο Κανόνες για εισερχόμενες συνδέσειςκαι κάντε κλικ στον σύνδεσμο νέος κανόναςστο πεδίο εφαρμογής της κονσόλας.
Προσαρμόσιμοκαι πατήστε το κουμπί Περαιτέρω.
Καθορίστε μια τιμή κουμπιού επιλογής Ολα τα προγράμματακαι πατήστε το κουμπί Περαιτέρω.
Πτώση τύπο πρωτοκόλλουεπιλέξτε τιμή ICMPv4.
Κάντε κλικ στο κουμπί Αρμονίαγια το στοιχείο Παράμετροι πρωτοκόλλου ICMP.
Ρυθμίστε το κουμπί επιλογής σε Ορισμένοι τύποι ICMP, επιλέξτε το πλαίσιο αίτημα ηχούς, πάτα το κουμπί Εντάξεικαι πατήστε το κουμπί Περαιτέρω.
Στο στάδιο της επιλογής τοπικών και απομακρυσμένων διευθύνσεων IP που αντιστοιχούν αυτόν τον κανόνα, ρυθμίστε τα κουμπιά επιλογής σε τιμές Οποιαδήποτε διεύθυνση IPή Καθορισμένες διευθύνσεις IP. Εάν επιλέξετε την τιμή Καθορισμένες διευθύνσεις IP, καθορίστε τις απαιτούμενες διευθύνσεις IP, κάντε κλικ στο κουμπί Προσθήκηκαι πατήστε το κουμπί Περαιτέρω.
Καθορίστε μια τιμή κουμπιού επιλογής Να επιτρέπεται η σύνδεσηκαι πατήστε το κουμπί Περαιτέρω.
Στο στάδιο επιλογής προφίλ, επιλέξτε ένα ή περισσότερα προφίλ (προφίλ τομέα, ιδιωτικό ή δημόσιο προφίλ) στα οποία θέλετε να χρησιμοποιήσετε αυτόν τον κανόνα και κάντε κλικ στο κουμπί Περαιτέρω.
Στο χωράφι Ονομαεισάγετε το όνομα του κανόνα και στο πεδίο Περιγραφήείναι μια προαιρετική περιγραφή. Κάντε κλικ στο κουμπί Ετοιμος.
Επαναλάβετε τα παραπάνω βήματα για το πρωτόκολλο ICMPv6, επιλέγοντας στο βήμα τύπο πρωτοκόλλουαναπτυσσόμενη τιμή ICMPv6αντί ICMPv4.
Εάν έχετε ενεργούς κανόνες ασφαλείας σύνδεσης, η προσωρινή εξαίρεση του ICMP από τις απαιτήσεις IPsec μπορεί να βοηθήσει στην επίλυση προβλημάτων. Για να το κάνετε αυτό, ανοίξτε το στο snap Τείχος προστασίας των Windows με προηγμένη ασφάλειαπαράθυρο διαλόγου Ιδιότητες, μεταβείτε στην καρτέλα Ρυθμίσεις IPSecκαι ορίστε την τιμή στην αναπτυσσόμενη λίστα Ναίγια την παράμετρο Εξαιρέστε το ICMP από το IPSec.
Σημείωση
Οι ρυθμίσεις του Τείχους προστασίας των Windows μπορούν να αλλάξουν μόνο από διαχειριστές και χειριστές δικτύου.
Δεν είναι δυνατή η κοινή χρήση αρχείων και εκτυπωτών
Εάν δεν μπορείτε να πάρετε γενική πρόσβασησε αρχεία και εκτυπωτές σε υπολογιστή με ενεργό τείχος προστασίας των Windows, βεβαιωθείτε ότι είναι ενεργοποιημένοι όλοι οι κανόνες ομάδας Πρόσβαση σε αρχεία και εκτυπωτές Τείχος προστασίας των Windows με προηγμένη ασφάλειαεπιλέξτε κόμβο Κανόνες για εισερχόμενες συνδέσεις Πρόσβαση σε αρχεία και εκτυπωτές Ενεργοποίηση κανόναεντός του πεδίου εφαρμογής της κονσόλας.
Προσοχή:
Συνιστάται ιδιαίτερα να μην ενεργοποιείτε την κοινή χρήση αρχείων και εκτυπωτών σε υπολογιστές που είναι απευθείας συνδεδεμένοι στο Διαδίκτυο, καθώς οι εισβολείς ενδέχεται να επιχειρήσουν να αποκτήσουν πρόσβαση σε κοινόχρηστα αρχείακαι να σας βλάψει καταστρέφοντας τα προσωπικά σας αρχεία.
Δεν είναι δυνατή η απομακρυσμένη διαχείριση του Τείχους προστασίας των Windows
Εάν δεν μπορείτε να διαχειριστείτε εξ αποστάσεως έναν υπολογιστή με ενεργό Τείχος προστασίας των Windows, βεβαιωθείτε ότι είναι ενεργοποιημένοι όλοι οι κανόνες στην προεπιλεγμένη ομάδα Τηλεχειριστήριο του Τείχους προστασίας των Windowsενεργό προφίλ. σε μια στιγμή Τείχος προστασίας των Windows με προηγμένη ασφάλειαεπιλέξτε κόμβο Κανόνες για εισερχόμενες συνδέσειςκαι μετακινηθείτε στη λίστα κανόνων στην ομάδα Τηλεχειριστήριο. Βεβαιωθείτε ότι αυτοί οι κανόνες είναι ενεργοποιημένοι. Επιλέξτε κάθε έναν από τους απενεργοποιημένους κανόνες και κάντε κλικ στο κουμπί Ενεργοποίηση κανόναεντός του πεδίου εφαρμογής της κονσόλας. Επιπλέον, βεβαιωθείτε ότι η υπηρεσία IPSec Policy Agent είναι ενεργοποιημένη. Αυτή η υπηρεσία απαιτείται για τηλεχειριστήριοΤείχος προστασίας των Windows.
Για να επαληθεύσετε ότι εκτελείται ο παράγοντας πολιτικής IPSec, ακολουθήστε τα εξής βήματα:
Κάντε κλικ στο κουμπί Αρχήκαι επιλέξτε ενότητα Πίνακας Ελέγχου.
Κάντε κλικ στο εικονίδιο Το σύστημα και η συντήρησή τουκαι επιλέξτε ενότητα Διαχείριση.
Κάντε διπλό κλικ στο εικονίδιο Υπηρεσίες.
Εάν εμφανιστεί ένα παράθυρο διαλόγου Έλεγχος λογαριασμού χρήστη, εισαγάγετε τα απαιτούμενα διαπιστευτήρια για έναν χρήστη με τα κατάλληλα δικαιώματα και, στη συνέχεια, κάντε κλικ Να συνεχίσει.
Βρείτε μια υπηρεσία στη λίστα IPSec Policy Agentκαι βεβαιωθείτε ότι έχει την κατάσταση "Εκτέλεση".
Εάν η υπηρεσία Πράκτορας IPSecσταμάτησε, κάντε δεξί κλικ πάνω του και επιλέξτε κατάλογος συμφραζόμενωνπαράγραφος Τρέξιμο. Μπορείτε επίσης να ξεκινήσετε την υπηρεσία Πράκτορας IPSecαπό τη γραμμή εντολών χρησιμοποιώντας την εντολή net start policy agent.
Σημείωση
Προεπιλεγμένη υπηρεσία IPSec Policy Agentεκτοξεύτηκε. Αυτή η υπηρεσίαθα πρέπει να λειτουργεί εκτός εάν διακόπηκε χειροκίνητα.
Αντιμετώπιση προβλημάτων τείχους προστασίας των Windows
Αυτή η ενότητα περιγράφει τα εργαλεία και τις μεθόδους που χρησιμοποιούνται για την επίλυση κοινών προβλημάτων. Αυτή η ενότητα αποτελείται από τις ακόλουθες υποενότητες:
Χρήση λειτουργιών παρακολούθησης στο Τείχος προστασίας των Windows με προηγμένη ασφάλεια
Το πρώτο βήμα για την επίλυση προβλημάτων με το Τείχος προστασίας των Windows είναι να δείτε τους τρέχοντες κανόνες. Λειτουργία Παρατήρησησας επιτρέπει να προβάλλετε τους κανόνες που χρησιμοποιούνται με βάση τις τοπικές και ομαδικές πολιτικές. Για να δείτε τους τρέχοντες κανόνες εισερχόμενης και εξερχόμενης κυκλοφορίας στο snap-in δέντρο Τείχος προστασίας των Windows με προηγμένη ασφάλειαΕπιλέξτε μια ενότητα Παρατήρησηκαι, στη συνέχεια, επιλέξτε μια ενότητα Τείχος προστασίας. Σε αυτή την ενότητα μπορείτε επίσης να δείτε το τρέχον κανόνες ασφαλείας σύνδεσηςΚαι Συσχετίσεις ασφαλείας (Βασικές και Γρήγορες λειτουργίες).
Ενεργοποίηση και χρήση ελέγχου ασφαλείας με το εργαλείο γραμμής εντολών auditpol
Από προεπιλογή, οι επιλογές ελέγχου είναι απενεργοποιημένες. Για να τα διαμορφώσετε, χρησιμοποιήστε το εργαλείο γραμμής εντολών auditpol.exe, το οποίο αλλάζει τις ρυθμίσεις πολιτικής ελέγχου στον τοπικό υπολογιστή. Το auditpol μπορεί να χρησιμοποιηθεί για να ενεργοποιήσει ή να απενεργοποιήσει την εμφάνιση διαφορετικών κατηγοριών συμβάντων και την περαιτέρω προβολή τους στο συμπληρωματικό πρόγραμμα Πρόγραμμα προβολής συμβάντων.
Για να προβάλετε μια λίστα υποκατηγοριών που περιλαμβάνονται σε μια δεδομένη κατηγορία (για παράδειγμα, στην κατηγορία Αλλαγή πολιτικής), στη γραμμή εντολών, πληκτρολογήστε:
auditpol.exe /list /category:"Αλλαγή πολιτικής"
Για να ενεργοποιήσετε την εμφάνιση μιας κατηγορίας ή υποκατηγορίας, πληκτρολογήστε τα ακόλουθα στη γραμμή εντολών:
/Υποκατηγορία:" ΌνομαΚατηγορία"
Για να προβάλετε μια λίστα κατηγοριών που υποστηρίζονται από το πρόγραμμα auditpol, στη γραμμή εντολών, πληκτρολογήστε:
Για παράδειγμα, για να ορίσετε πολιτικές ελέγχου για μια κατηγορία και την υποκατηγορία της, πληκτρολογήστε την ακόλουθη εντολή:
auditpol.exe /set /category:"Αλλαγή πολιτικής" /subcategory:"Αλλαγή πολιτικής σε επίπεδο κανόνα MPSSVC" /success:enable /failure:enable
Αλλαγή πολιτικής
Αλλαγή πολιτικής σε επίπεδο κανόνα MPSSVC
Αλλαγή της πολιτικής της πλατφόρμας φιλτραρίσματος
Μπείτε στην έξοδο
Βασική λειτουργία IPsec
Γρήγορη λειτουργία IPsec
Προηγμένη λειτουργία IPsec
Σύστημα
Πρόγραμμα οδήγησης IPSec
Άλλα συμβάντα του συστήματος
Πρόσβαση σε αντικείμενα
Απόρριψη πακέτου από την πλατφόρμα φιλτραρίσματος
Σύνδεση της πλατφόρμας φιλτραρίσματος
Για να τεθούν σε ισχύ οι αλλαγές στην πολιτική ελέγχου ασφαλείας, πρέπει να επανεκκινήσετε τον τοπικό υπολογιστή ή να επιβάλετε μια μη αυτόματη ενημέρωση της πολιτικής. Για να επιβάλετε μια ανανέωση πολιτικής, στη γραμμή εντολών, πληκτρολογήστε:
secedit /refreshpolicy<название_политики>
Αφού ολοκληρωθούν τα διαγνωστικά, μπορείτε να απενεργοποιήσετε τον έλεγχο συμβάντων αντικαθιστώντας την παράμετρο ενεργοποίηση με απενεργοποίηση στις παραπάνω εντολές και εκτελώντας ξανά τις εντολές.
Προβολή συμβάντων ελέγχου ασφαλείας στο αρχείο καταγραφής συμβάντων
Αφού ενεργοποιήσετε τον έλεγχο, χρησιμοποιήστε το συμπληρωματικό πρόγραμμα προβολής συμβάντων για να προβάλετε συμβάντα ελέγχου στο αρχείο καταγραφής συμβάντων ασφαλείας.
Για να ανοίξετε το συμπληρωματικό πρόγραμμα προβολής συμβάντων στο φάκελο Εργαλεία διαχείρισης, ακολουθήστε τα εξής βήματα:
Κάντε κλικ στο κουμπί Αρχή.
Επιλέξτε μια ενότητα Πίνακας Ελέγχου. Κάντε κλικ στο εικονίδιο Το σύστημα και η συντήρησή τουκαι επιλέξτε ενότητα Διαχείριση.
Κάντε διπλό κλικ στο εικονίδιο Πρόγραμμα προβολής συμβάντων.
Για να προσθέσετε το συμπληρωματικό πρόγραμμα προβολής συμβάντων στο MMC, ακολουθήστε τα εξής βήματα:
Κάντε κλικ στο κουμπί Αρχή, μεταβείτε στο μενού Ολα τα προγράμματα, μετά στο μενού Πρότυποκαι επιλέξτε το στοιχείο Τρέξιμο.
Σε πλαίσιο κειμένου Ανοιξεπληκτρολογήστε mmc και πατήστε το πλήκτρο ΕΙΣΑΓΩ.
Εάν εμφανιστεί ένα παράθυρο διαλόγου Έλεγχος λογαριασμού χρήστη, επιβεβαιώστε την ενέργεια που ζητήσατε και κάντε κλικ Να συνεχίσει.
Στο μενού Κονσόλαεπιλέξτε αντικείμενο Προσθέστε ή αφαιρέστε ένα στιγμιότυπο.
Εισηγμένη Διαθέσιμα snap-inεπιλέξτε ένα στιγμιότυπο Πρόγραμμα προβολής συμβάντωνκαι πατήστε το κουμπί Προσθήκη.
Κάντε κλικ στο κουμπί Εντάξει.
Πριν κλείσετε το snap-in, αποθηκεύστε την κονσόλα για μελλοντική χρήση.
σε μια στιγμή Πρόγραμμα προβολής συμβάντωνεπέκταση ενότητας αρχεία καταγραφής των Windows και επιλέξτε κόμβο Ασφάλεια. Μπορείτε να προβάλετε συμβάντα ελέγχου ασφαλείας στον χώρο εργασίας της κονσόλας. Όλα τα συμβάντα εμφανίζονται στο επάνω μέρος του χώρου εργασίας της κονσόλας. Κάντε κλικ στο συμβάν στο επάνω μέρος του χώρου εργασίας της κονσόλας για εμφάνιση λεπτομερείς πληροφορίεςστο κάτω μέρος του πίνακα. Στην καρτέλα Είναι κοινάη περιγραφή των γεγονότων τοποθετείται με τη μορφή κατανοητού κειμένου. Στην καρτέλα Λεπτομέριεςδιαθέσιμος παρακάτω επιλογέςπροβολή εκδήλωσης: Ξεκάθαρη παρουσίασηΚαι Λειτουργία XML.
Ρύθμιση του αρχείου καταγραφής τείχους προστασίας για ένα προφίλ
Για να μπορέσετε να προβάλετε αρχεία καταγραφής τείχους προστασίας, πρέπει να διαμορφώσετε το Τείχος προστασίας των Windows με την Προηγμένη ασφάλεια για τη δημιουργία αρχείων καταγραφής.
Για να διαμορφώσετε την καταγραφή για ένα Τείχος προστασίας των Windows με προφίλ Προηγμένης Ασφάλειας, ακολουθήστε τα εξής βήματα:
Στο δέντρο εργαλείων Τείχος προστασίας των Windows με προηγμένη ασφάλειαΕπιλέξτε μια ενότητα Τείχος προστασίας των Windows με προηγμένη ασφάλειακαι πατήστε το κουμπί Ιδιότητεςεντός του πεδίου εφαρμογής της κονσόλας.
Επιλέξτε την καρτέλα προφίλ για την οποία θέλετε να διαμορφώσετε την καταγραφή (προφίλ τομέα, ιδιωτικό προφίλ ή δημόσιο προφίλ) και, στη συνέχεια, κάντε κλικ στο κουμπί ΑρμονίαΣτο κεφάλαιο Ξύλευση.
Καθορίστε ένα όνομα και θέση για το αρχείο καταγραφής.
Προσδιορίζω μέγιστο μέγεθοςαρχείο καταγραφής (από 1 έως 32767 kilobyte)
Πτώση Καταγραφή χαμένων πακέτωνεισάγετε μια τιμή Ναί.
Πτώση Καταγράψτε επιτυχημένες συνδέσειςεισάγετε μια τιμή Ναίκαι μετά κάντε κλικ στο κουμπί Εντάξει.
Προβολή αρχείων καταγραφής τείχους προστασίας
Ανοίξτε το αρχείο που καθορίσατε κατά την προηγούμενη διαδικασία, "Διαμόρφωση του αρχείου καταγραφής τείχους προστασίας για ένα προφίλ". Για να αποκτήσετε πρόσβαση στο αρχείο καταγραφής του τείχους προστασίας, πρέπει να έχετε δικαιώματα τοπικού διαχειριστή.
Μπορείτε να προβάλετε το αρχείο καταγραφής με το Σημειωματάριο ή οποιοδήποτε πρόγραμμα επεξεργασίας κειμένου.
Ανάλυση αρχείων καταγραφής τείχους προστασίας
Οι πληροφορίες που καταγράφονται εμφανίζονται στον παρακάτω πίνακα. Ορισμένα δεδομένα καθορίζονται μόνο για ορισμένα πρωτόκολλα (σημαίες TCP, τύπος και κωδικός ICMP, κ.λπ.) και ορισμένα δεδομένα προσδιορίζονται μόνο για πακέτα που έχουν απορριφθεί (μέγεθος).
|
Πεδίο |
Περιγραφή |
Παράδειγμα |
|
Εμφανίζει το έτος, τον μήνα και την ημέρα που καταγράφηκε το συμβάν. Η ημερομηνία γράφεται με τη μορφή ΕΕΕΕ-ΜΜ-ΗΗ, όπου ΕΕΕΕ είναι το έτος, ΜΜ είναι ο μήνας και ΗΗ είναι η ημέρα. |
||
|
Εμφανίζει την ώρα, τα λεπτά και το δευτερόλεπτο κατά την οποία καταγράφηκε το συμβάν. Ο χρόνος γράφεται με τη μορφή HH:MM:SS, όπου HH είναι η ώρα σε μορφή 24 ωρών, MM είναι το λεπτό και SS είναι η δεύτερη. |
||
|
Δράση |
Υποδεικνύει μια ενέργεια που έγινε από το τείχος προστασίας. Υπάρχουν οι ακόλουθες ενέργειες: ΑΝΟΙΓΜΑ, ΚΛΕΙΣΙΜΟ, ΑΠΟΡΡΙΨΗ και ΠΛΗΡΟΦΟΡΙΕΣ-ΕΚΔΗΛΩΣΕΙΣ-ΧΑΘΗΚΕ. Η ενέργεια INFO-EVENTS-LOST υποδεικνύει ότι συνέβησαν περισσότερα από ένα συμβάντα αλλά δεν καταγράφηκαν. |
|
|
Πρωτόκολλο |
Εμφανίζει το πρωτόκολλο που χρησιμοποιείται για τη σύνδεση. Αυτή η καταχώρηση μπορεί επίσης να είναι ο αριθμός των πακέτων που δεν χρησιμοποιούν TCP, UDP ή ICMP. |
|
|
Εμφανίζει τη διεύθυνση IP του υπολογιστή αποστολής. |
||
|
Εμφανίζει τη διεύθυνση IP του υπολογιστή προορισμού. |
||
|
Εμφανίζει τον αριθμό θύρας προέλευσης του υπολογιστή αποστολής. Η τιμή της θύρας προέλευσης γράφεται ως ακέραιος από το 1 έως το 65535. Μια έγκυρη τιμή θύρας προέλευσης εμφανίζεται μόνο για πρωτόκολλα TCP και UDP. Για άλλα πρωτόκολλα, το "-" γράφεται ως η θύρα προέλευσης. |
||
|
Εμφανίζει τον αριθμό θύρας του υπολογιστή προορισμού. Η τιμή της θύρας προορισμού γράφεται ως ακέραιος από το 1 έως το 65535. Μια έγκυρη τιμή θύρας προορισμού εμφανίζεται μόνο για πρωτόκολλα TCP και UDP. Για άλλα πρωτόκολλα, το "-" γράφεται ως η θύρα προορισμού. |
||
|
Εμφανίζει το μέγεθος του πακέτου σε byte. |
||
|
Εμφανίζει τις σημαίες ελέγχου πρωτοκόλλου TCP που βρίσκονται στην κεφαλίδα TCP ενός πακέτου IP.
Ακ.Σημαντικό το πεδίο αναγνώρισης Πτερύγιο.Δεν υπάρχουν άλλα δεδομένα από τον αποστολέα Psh.λειτουργία ώθησης Rst.Επαναφέρετε τη σύνδεση Η σημαία υποδηλώνεται με το πρώτο κεφαλαίο γράμμα του ονόματός της. Για παράδειγμα, η σημαία Πτερύγιοσυμβολίζεται ως φά. |
||
|
Εμφανίζει τον αριθμό ουράς TCP στο πακέτο. |
||
|
Εμφανίζει τον αριθμό επιβεβαίωσης TCP στο πακέτο. |
||
|
Εμφανίζει το μέγεθος του παραθύρου πακέτου TCP σε byte. |
||
|
Τύποςσε ένα μήνυμα ICMP. |
||
|
Εμφανίζει έναν αριθμό που αντιπροσωπεύει το πεδίο Κώδικαςσε ένα μήνυμα ICMP. |
||
|
Εμφανίζει πληροφορίες με βάση τις ενέργειες που έγιναν. Για παράδειγμα, για την ενέργεια INFO-EVENTS-LOST, η τιμή δεδομένο πεδίουποδεικνύει τον αριθμό των γεγονότων που συνέβησαν αλλά δεν καταγράφηκαν στο χρόνο που πέρασε από την προηγούμενη εμφάνιση ενός συμβάντος αυτού του τύπου. |
Σημείωση
Μια παύλα (-) χρησιμοποιείται σε πεδία της τρέχουσας εγγραφής που δεν περιέχουν πληροφορίες.
Δημιουργία αρχείων κειμένου netstat και tasklist
Μπορείτε να δημιουργήσετε δύο προσαρμοσμένα αρχεία καταγραφής, ένα για την προβολή στατιστικών στοιχείων δικτύου (μια λίστα με όλες τις θύρες ακρόασης) και ένα άλλο για την προβολή λιστών εργασιών υπηρεσιών και εφαρμογών. Η λίστα εργασιών περιέχει το Αναγνωριστικό διεργασίας (αναγνωριστικό διεργασίας, PID) για τα συμβάντα που περιέχονται στο αρχείο στατιστικών στοιχείων δικτύου. Η διαδικασία δημιουργίας αυτών των δύο αρχείων περιγράφεται παρακάτω.
Για τη δημιουργία αρχεία κειμένουΤα στατιστικά στοιχεία δικτύου και η λίστα εργασιών κάνουν τα εξής:
Στη γραμμή εντολών, πληκτρολογήστε netstat -ano > netstat.txtκαι πατήστε το πλήκτρο ΕΙΣΑΓΩ.
Στη γραμμή εντολών, πληκτρολογήστε λίστα εργασιών > tasklist.txtκαι πατήστε το πλήκτρο ΕΙΣΑΓΩ. Εάν θέλετε να δημιουργήσετε ένα αρχείο κειμένου με μια λίστα υπηρεσιών, πληκτρολογήστε tasklist /svc > tasklist.txt.
Ανοίξτε τα αρχεία tasklist.txt και netstat.txt.
Βρείτε το αναγνωριστικό της διαδικασίας που διαγιγνώσκετε στο αρχείο tasklist.txt και συγκρίνετε το με την τιμή που περιέχεται στο αρχείο netstat.txt. Καταγράψτε τα πρωτόκολλα που χρησιμοποιήθηκαν.
Ένα παράδειγμα έκδοσης αρχείων Tasklist.txt και Netstat.txt
netstat.txt
Πρωτότυπη Τοπική Διεύθυνση Κράτος Διεύθυνσης Εξωτερικού PID
TCP 0.0.0.0:XXX 0.0.0.0:0 LISTENING 122
TCP 0.0.0.0:XXXX 0.0.0.0:0 LISTENING 322
Tasklist.txt
Όνομα εικόνας Όνομα συνεδρίας PID Συνεδρία# Χρήση μνήμης
==================== ======== ================ =========== ============
svchost.exe 122 Υπηρεσίες 0 7.172 K
XzzRpc.exe 322 Services 0 5.104 K
Σημείωση
Οι πραγματικές διευθύνσεις IP έχουν αλλάξει σε "X" και η υπηρεσία RPC σε "z".
Βεβαιωθείτε ότι εκτελούνται οι βασικές υπηρεσίες
Πρέπει να εκτελούνται οι ακόλουθες υπηρεσίες:
Βασική υπηρεσία φιλτραρίσματος
Client Policy Group
Μονάδες κλειδιού IPsec για ανταλλαγή κλειδιών Internet και επαληθευμένη IP
Υπηρεσία βοήθειας IP
Υπηρεσία αντιπροσώπου πολιτικής IPSec
Υπηρεσία τοποθεσίας δικτύου
Υπηρεσία λίστας δικτύου
τείχος προστασίας των Windows
Για να ανοίξετε το συμπληρωματικό πρόγραμμα Υπηρεσίες και να επαληθεύσετε ότι εκτελούνται οι απαιτούμενες υπηρεσίες, ακολουθήστε τα εξής βήματα:
Κάντε κλικ στο κουμπί Αρχήκαι επιλέξτε ενότητα Πίνακας Ελέγχου.
Κάντε κλικ στο εικονίδιο Το σύστημα και η συντήρησή τουκαι επιλέξτε ενότητα Διαχείριση.
Κάντε διπλό κλικ στο εικονίδιο Υπηρεσίες.
Εάν εμφανιστεί ένα παράθυρο διαλόγου Έλεγχος λογαριασμού χρήστη, εισαγάγετε τα απαιτούμενα διαπιστευτήρια για έναν χρήστη με τα κατάλληλα δικαιώματα και, στη συνέχεια, κάντε κλικ Να συνεχίσει.
Βεβαιωθείτε ότι εκτελούνται οι υπηρεσίες που αναφέρονται παραπάνω. Εάν μία ή περισσότερες υπηρεσίες δεν εκτελούνται, κάντε δεξί κλικ στο όνομα της υπηρεσίας στη λίστα και επιλέξτε εντολή Τρέξιμο.
Ένας επιπλέον τρόπος επίλυσης προβλημάτων
Ως τελευταία λύση, μπορείτε να επαναφέρετε τις προεπιλεγμένες ρυθμίσεις του Τείχους προστασίας των Windows. Η επαναφορά των προεπιλεγμένων ρυθμίσεων θα χάσει όλες τις ρυθμίσεις που έγιναν από την εγκατάσταση των Windows Vista. Αυτό μπορεί να προκαλέσει τη διακοπή της λειτουργίας ορισμένων προγραμμάτων. Επίσης, εάν διαχειρίζεστε τον υπολογιστή από απόσταση, η σύνδεση με αυτόν θα χαθεί.
Πριν επαναφέρετε τις προεπιλεγμένες ρυθμίσεις, βεβαιωθείτε ότι έχετε αποθηκεύσει την τρέχουσα διαμόρφωση του τείχους προστασίας. Αυτό θα σας επιτρέψει να επαναφέρετε τις ρυθμίσεις σας εάν είναι απαραίτητο.
Τα βήματα για την αποθήκευση της διαμόρφωσης του τείχους προστασίας και την επαναφορά των προεπιλεγμένων ρυθμίσεων περιγράφονται παρακάτω.
Για να αποθηκεύσετε την τρέχουσα διαμόρφωση του τείχους προστασίας, κάντε τα εξής:
σε μια στιγμή Τείχος προστασίας των Windows με προηγμένη ασφάλειακάντε κλικ στον σύνδεσμο Εξαγωγική πολιτικήεντός του πεδίου εφαρμογής της κονσόλας.
Για να επαναφέρετε τις προεπιλεγμένες ρυθμίσεις του τείχους προστασίας, κάντε τα εξής:
σε μια στιγμή Τείχος προστασίας των Windows με προηγμένη ασφάλειακάντε κλικ στον σύνδεσμο Επαναφέρετε τις προεπιλογέςεντός του πεδίου εφαρμογής της κονσόλας.
Όταν σας ζητηθεί από το Τείχος προστασίας των Windows με προηγμένη ασφάλεια, κάντε κλικ Ναίγια να επαναφέρετε τις προεπιλεγμένες τιμές.
συμπέρασμα
Υπάρχουν πολλοί τρόποι διάγνωσης και επίλυσης προβλημάτων με το Τείχος προστασίας των Windows με την προηγμένη ασφάλεια. Ανάμεσα τους:
Χρήση λειτουργίας Παρατήρησηγια να δείτε τη δραστηριότητα του τείχους προστασίας, τους κανόνες ασφαλείας σύνδεσης και τις συσχετίσεις ασφαλείας.
Αναλύστε συμβάντα ελέγχου ασφαλείας που σχετίζονται με το Τείχος προστασίας των Windows.
Δημιουργία αρχείων κειμένου λίστα εργασιώνΚαι netstatγια συγκριτική ανάλυση.
Ξεκινώντας με τον Server 2008 και τα Vista, ο μηχανισμός WFP ενσωματώθηκε στα Windows,
που είναι ένα σύνολο υπηρεσιών API και συστήματος. Με αυτό, έγινε δυνατό
αρνηθείτε και επιτρέψτε συνδέσεις, διαχειριστείτε μεμονωμένα πακέτα. Αυτά τα
καινοτομίες είχαν σκοπό να απλοποιήσουν τη ζωή των προγραμματιστών διαφόρων
ΠΡΟΣΤΑΣΙΑ Οι αλλαγές που έγιναν στην αρχιτεκτονική του δικτύου επηρέασαν τόσο τη λειτουργία πυρήνα όσο και
και μέρη του συστήματος σε λειτουργία χρήστη. Στην πρώτη περίπτωση, εξάγονται οι απαραίτητες λειτουργίες
fwpkclnt.sys, στο δεύτερο - fwpuclnt.dll (γράμματα "k" και "u" στα ονόματα των βιβλιοθηκών
σημαίνει πυρήνα και χρήστης αντίστοιχα). Σε αυτό το άρθρο, θα μιλήσουμε για τη χρήση
WFP για την παρακολούθηση και το φιλτράρισμα της κυκλοφορίας και αφού εξοικειωθείτε με τα βασικά
Με τους ορισμούς και τις δυνατότητες του WFP, θα γράψουμε το δικό μας απλό φίλτρο.
ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ
Πριν ξεκινήσουμε την κωδικοποίηση, πρέπει οπωσδήποτε να εξοικειωθούμε με την ορολογία
Microsoft - και για την κατανόηση του άρθρου θα είναι χρήσιμο και πρόσθετη βιβλιογραφία
θα είναι πιο εύκολο να διαβαστεί :) Λοιπόν πάμε.
Ταξινόμηση- η διαδικασία καθορισμού του τι θα γίνει με το πακέτο.
Από τις πιθανές ενέργειες: επιτρέψτε, αποκλείστε ή καλέστε ένα μήνυμα προώθησης.
Επεξηγήσειςείναι ένα σύνολο λειτουργιών στο πρόγραμμα οδήγησης που εκτελούν επιθεώρηση
πακέτα. Έχουν μια ειδική λειτουργία που εκτελεί ταξινόμηση πακέτων. Αυτό
η συνάρτηση μπορεί να πάρει την ακόλουθη απόφαση:
- επιτρέπουν(FWP_ACTION_PERMIT);
- μπλοκ(FWP_ACTION_BLOCK);
- συνέχιση της επεξεργασίας·
- ζητήστε περισσότερα δεδομένα.
- τερματίσετε τη σύνδεση.
Φίλτρα- κανόνες που καθορίζουν πότε να καλέσετε
αυτό ή εκείνο το μήνυμα. Ένα πρόγραμμα οδήγησης μπορεί να έχει πολλά μηνύματα προώθησης και
θα ασχοληθούμε με την ανάπτυξη ενός προγράμματος οδήγησης προώθησης σε αυτό το άρθρο. Παρεμπιπτόντως, colouts
υπάρχουν επίσης ενσωματωμένα, για παράδειγμα, NAT-callout.
στρώμαείναι ένα χαρακτηριστικό με το οποίο συνδυάζονται διαφορετικά φίλτρα (ή,
όπως λένε στο MSDN, "container").
Στην πραγματικότητα, η τεκμηρίωση από τη Microsoft φαίνεται μάλλον θολή
δεν μπορείτε να δείτε τα παραδείγματα στο WDK. Επομένως, εάν ξαφνικά αποφασίσετε να αναπτύξετε κάτι
Σοβαρά, πρέπει οπωσδήποτε να τα ελέγξετε. Λοιπόν τώρα είναι ομαλό
ας προχωρήσουμε στην πρακτική. Για επιτυχή μεταγλώττιση και δοκιμές, θα χρειαστείτε το WDK (Windows
Driver Kit), VmWare, εικονική μηχανήμε εγκατεστημένα τα Vista και τον εντοπισμό σφαλμάτων WinDbg.
Όσο για το WDK, προσωπικά έχω εγκατεστημένη την έκδοση 7600.16385.0 - όλα είναι εκεί
απαραίτητα libs (καθώς θα αναπτύξουμε ένα πρόγραμμα οδήγησης, χρειαζόμαστε μόνο
fwpkclnt.lib και ntoskrnl.lib) και παραδείγματα WFP. Σύνδεσμοι στο σύνολο
Τα εργαλεία έχουν ήδη αναφερθεί αρκετές φορές, επομένως δεν θα επαναλάβουμε τους εαυτούς μας.
Κωδικοποίηση
Για να αρχικοποιήσω το μήνυμα, έγραψα τη συνάρτηση BlInitialize. Γενικός αλγόριθμος
Η δημιουργία ενός μηνύματος προώθησης και η προσθήκη ενός φίλτρου έχει ως εξής:
- FWPMENGINEOPEN0εκτελεί την έναρξη της συνεδρίας·
- FWPMTRANSACTIONBEGIN0- έναρξη λειτουργίας με το WFP.
- FWPSCALLOUTREGISTER0- δημιουργία νέου μηνύματος
- FWPMCALLOUTADD0- προσθήκη αντικειμένου προώθησης στο σύστημα.
- FWPMFILTERADD0- προσθήκη νέου φίλτρου.
- FWPMTRANSACTIONCOMMIT0- αποθήκευση αλλαγών (προστέθηκε
φίλτρα).
Σημειώστε ότι οι λειτουργίες τελειώνουν σε 0. Στα Windows 7, ορισμένες από αυτές
οι συναρτήσεις έχουν αλλάξει, για παράδειγμα, εμφανίστηκε το FwpsCalloutRegister1 (όταν
αποθηκευμένο FwpsCalloutRegister0). Διαφέρουν στα επιχειρήματα και, ως αποτέλεσμα,
πρωτότυπα ταξινόμησης λειτουργιών, αλλά για εμάς δεν έχει σημασία τώρα - 0-λειτουργίες
Παγκόσμιος.
Τα FwpmEngineOpen0 και FwpmTransactionBegin0 δεν μας ενδιαφέρουν ιδιαίτερα - αυτά είναι
προπαρασκευαστικό στάδιο. Η διασκέδαση ξεκινά με τη λειτουργία
FwpsCalloutRegister0:
Πρωτότυπο FwpsCalloutRegister0
NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__σε const FWPS_CALLOUT0 *callout,
__out_opt UINT32 *calloutId
);
Είπα ήδη ότι το callout είναι ένα σύνολο λειτουργιών, τώρα ήρθε η ώρα
μιλήστε για αυτό με περισσότερες λεπτομέρειες. Η δομή FWPS_CALLOUT0 περιέχει δείκτες προς τρεις
λειτουργίες - ταξινόμηση (classifyFn) και δύο ειδοποιήσεις (σχετικά
προσθήκη/αφαίρεση φίλτρου (notifyFn) και κλείσιμο της ροής που υποβάλλεται σε επεξεργασία (flowDeleteFn)).
Οι δύο πρώτες λειτουργίες είναι υποχρεωτικές, η τελευταία χρειάζεται μόνο εάν
θέλετε να παρακολουθείτε τα ίδια τα πακέτα, όχι μόνο τις συνδέσεις. Επίσης στη δομή
περιέχει ένα μοναδικό αναγνωριστικό, το callout GUID (calloutKey).
κωδικός εγγραφής επεξήγησης
FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// συνάρτηση ταξινόμησης
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// λειτουργία που ειδοποιεί για την προσθήκη/αφαίρεση φίλτρου
// Δημιουργία νέου μηνύματος
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);
WINAPI DWORD FwpmCalloutAdd0(
__στη λαβή κινητήρα HANDLE,
__σε const FWPM_CALLOUT0 *callout,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_(
calloutKey GUID;
Δεδομένα εμφάνισης FWPM_DISPLAY_DATA0. // περιγραφή επεξήγησης
Σημαίες UINT32.
GUID *providerKey;
FWP_BYTE_BLOB δεδομένα παρόχου.
applicableLayer GUID.
UINT32 calloutId;
) FWPM_CALLOUT0;
Στη δομή FWPM_CALLOUT0, μας ενδιαφέρει το πεδίο applicableLayer - μοναδικό
αναγνωριστικό του επιπέδου στο οποίο προστίθεται το μήνυμα προώθησης. Στην περίπτωσή μας αυτό
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" στο όνομα του αναγνωριστικού σημαίνει την έκδοση
Πρωτόκολλο Ipv4, υπάρχει επίσης το FWPM_LAYER_ALE_AUTH_CONNECT_V6 για το Ipv6. Θεωρώντας
χαμηλό επιπολασμό του Ipv6 αυτή τη στιγμή, θα εργαστούμε μόνο με
ipv4. CONNECT στο όνομα σημαίνει ότι ελέγχουμε μόνο την εγκατάσταση
σύνδεση, δεν τίθεται θέμα εισερχόμενων και εξερχόμενων πακέτων σε αυτή τη διεύθυνση! Καθόλου
υπάρχουν πολλά επίπεδα εκτός από αυτό που χρησιμοποιήσαμε - δηλώνονται στο αρχείο κεφαλίδας
fwpmk.h από το WDK.
Προσθήκη αντικειμένου επεξήγησης στο σύστημα
// όνομα επεξήγησης
displayData.name = L"Αποκλεισμός προώθησης";
displayData.description = L"Αποκλεισμός προώθησης";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// περιγραφή επεξήγησης
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);
Έτσι, μετά την επιτυχή προσθήκη του μηνύματος στο σύστημα, πρέπει να δημιουργήσετε
φίλτρο, δηλαδή, προσδιορίστε σε ποιες περιπτώσεις θα καλείται το μήνυμα μας, δηλαδή
- η ταξινομική του λειτουργία. Το νέο φίλτρο δημιουργείται από τη συνάρτηση FwpmFilterAdd0,
στην οποία μεταβιβάζεται η δομή FWPM_FILTER0 ως όρισμα.
Το FWPM_FILTER0 περιέχει μία ή περισσότερες δομές FWPM_FILTER_CONDITION0 (τους
ο αριθμός καθορίζεται από το πεδίο numFilterConditions). Το πεδίο layerKey είναι γεμάτο με ένα GUID
στρώμα (στρώμα) στο οποίο θέλουμε να ενώσουμε. Σε αυτή την περίπτωση διευκρινίζουμε
FWPM_LAYER_ALE_AUTH_CONNECT_V4.
Τώρα ας ρίξουμε μια πιο προσεκτική ματιά στη συμπλήρωση FWPM_FILTER_CONDITION0. Πρώτον, σε
το πεδίο fieldKey πρέπει να προσδιορίζεται ρητά τι θέλουμε να ελέγξουμε - port, address,
εφαρμογή ή κάτι άλλο. Σε αυτήν την περίπτωση WPM_CONDITION_IP_REMOTE_ADDRESS
λέει στο σύστημα ότι μας ενδιαφέρει μια διεύθυνση IP. Η τιμή fieldKey καθορίζει
ποιος τύπος τιμών θα περιλαμβάνεται στη δομή FWP_CONDITION_VALUE
FWPM_FILTER_CONDITION0. Σε αυτήν την περίπτωση, περιέχει μια διεύθυνση ipv4. Πάμε
περαιτέρω. Το πεδίο matchType καθορίζει τον τρόπο με τον οποίο θα γίνει η σύγκριση.
τιμές σε FWP_CONDITION_VALUE με ό,τι ήρθε μέσω του δικτύου. Υπάρχουν πολλές επιλογές εδώ:
μπορείτε να καθορίσετε FWP_MATCH_EQUAL, που θα σημαίνει πλήρη αντιστοίχιση με την συνθήκη, και
μπορείτε - FWP_MATCH_NOT_EQUAL, δηλαδή, στην πραγματικότητα, μπορούμε να προσθέσουμε αυτό
άρα φιλτράρισμα εξαίρεσης (διεύθυνση, σύνδεση με την οποία δεν παρακολουθείται).
Υπάρχουν επίσης επιλογές FWP_MATCH_GREATER, FWP_MATCH_LESS και άλλες (δείτε αρίθμηση
FWP_MATCH_TYPE). Σε αυτήν την περίπτωση, έχουμε FWP_MATCH_EQUAL.
Δεν ενόχλησα πολύ και απλώς έγραψα έναν όρο αποκλεισμού
μία επιλεγμένη διεύθυνση IP. Σε περίπτωση που κάποια εφαρμογή προσπαθήσει
δημιουργήστε μια σύνδεση με την επιλεγμένη διεύθυνση, θα κληθεί ένας ταξινομητής
τη λειτουργία επεξήγησης μας. Μπορείτε να δείτε τον κώδικα που συνοψίζει όσα ειπώθηκαν στο
Δείτε την πλαϊνή γραμμή "Προσθήκη φίλτρου στο σύστημα".
Προσθήκη φίλτρου στο σύστημα
filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Αποκλεισμός προώθησης";
filter.displayData.description = L"Αποκλεισμός προώθησης";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// συνθήκη ενός φίλτρου
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // αυτόματο βάρος.
// προσθέστε ένα φίλτρο στην απομακρυσμένη διεύθυνση
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// προσθήκη φίλτρου
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);
Γενικά, φυσικά, μπορεί να υπάρχουν πολλές συνθήκες φιλτραρίσματος. Για παράδειγμα, μπορείτε
καθορίστε τον αποκλεισμό συνδέσεων σε μια συγκεκριμένη απομακρυσμένη ή τοπική θύρα (FWPM_CONDITION_IP_REMOTE_PORT
και FWPM_CONDITION_IP_LOCAL_PORT αντίστοιχα). Μπορεί να πιάσει όλα τα πακέτα
συγκεκριμένο πρωτόκολλο ή συγκεκριμένη εφαρμογή. Και δεν είναι μόνο αυτό! Μπορώ,
για παράδειγμα, μπλοκάρετε την επισκεψιμότητα ενός συγκεκριμένου χρήστη. Γενικά, υπάρχει πού
περιπλανώμαι.
Ωστόσο, επιστρέψτε στο φίλτρο. Η συνάρτηση ταξινόμησης στην περίπτωσή μας είναι απλή
μπλοκάρει τη σύνδεση με την καθορισμένη διεύθυνση (BLOCKED_IP_ADDRESS), επιστρέφοντας
FWP_ACTION_BLOCK:
Ο κωδικός συνάρτησης ταξινόμησης μας
void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* σε MetaValues,
πακέτο VOID*, IN const FWPS_FILTER* φίλτρο,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// συμπληρώστε τη δομή FWPS_CLASSIFY_OUT0
if(classifyOut)( // μπλοκάρει το πακέτο
classifyOut->actionType =
FWP_ACTION_BLOCK;
// όταν αποκλείετε ένα πακέτο, χρειάζεστε
επαναφορά του FWPS_RIGHT_ACTION_WRITE
classifyOut->rights&=~FWPS_RIGHT_ACTION_WRITE;
}
}
Στην πράξη, η συνάρτηση ταξινόμησης μπορεί επίσης να ορίσει FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE κ.λπ.
Και τέλος, κατά την εκφόρτωση του προγράμματος οδήγησης, πρέπει να αφαιρέσετε όλα τα εγκατεστημένα
επεξηγήσεις (μαντέψτε τι συμβαίνει εάν το σύστημα προσπαθήσει να καλέσει το μήνυμα
άφορτο πρόγραμμα οδήγησης; Αυτό είναι σωστό, BSOD). Υπάρχει μια λειτουργία για αυτό
FwpsCalloutUnregisterById. Μεταβιβάζεται μια παράμετρος 32-bit ως παράμετρος.
το αναγνωριστικό επεξήγησης που επιστρέφεται από τη συνάρτηση FwpsCalloutRegister.
Ολοκλήρωση του μηνύματος
NTSTATUS BlUninitialize()(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);
}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
επιστροφή ns;
}
Όπως μπορείτε να δείτε, ο προγραμματισμός του φίλτρου WFP δεν είναι τόσο δύσκολο έργο, γιατί
Η MS μας παρείχε ένα πολύ εύχρηστο API. Παρεμπιπτόντως, στην περίπτωσή μας θέσαμε
φίλτρο στο πρόγραμμα οδήγησης, αλλά μπορεί να γίνει και από το usermod! Για παράδειγμα, ένα δείγμα από το wdk
Το msnmntr (παρακολούθηση κυκλοφορίας του MSN Messenger) κάνει ακριβώς αυτό - σας επιτρέπει να μην το κάνετε
υπερφόρτωση του τμήματος λειτουργίας πυρήνα του φίλτρου.
Ο GUID σας
Για να καταχωρήσετε ένα μήνυμα προώθησης, χρειάζεται ένα μοναδικό αναγνωριστικό. Ωστε να
λάβετε το GUID (Παγκόσμιο Μοναδικό Αναγνωριστικό), χρησιμοποιήστε το guidgen.exe που περιλαμβάνεται
V οπτικό στούντιο. Το εργαλείο βρίσκεται στο (VS_Path)\Common7\Tools. Πιθανότητα σύγκρουσης
πολύ μικρό αφού το GUID έχει μήκος 128 bit και υπάρχουν 2^128 διαθέσιμα
αναγνωριστικά.
Εντοπισμός σφαλμάτων φίλτρου
Για τον εντοπισμό σφαλμάτων καυσόξυλων, είναι βολικό να χρησιμοποιήσετε το πακέτο Windbg + VmWare. Για αυτό χρειάζεστε
ρυθμίστε τόσο το σύστημα επισκέπτη (με τη μορφή του οποίου ενεργεί τα Vista) όσο και το πρόγραμμα εντοπισμού σφαλμάτων
windbg. Αν το WinXP έπρεπε να επεξεργαστεί το boot.ini για απομακρυσμένο εντοπισμό σφαλμάτων, τότε
για Vista+ υπάρχει το βοηθητικό πρόγραμμα κονσόλας bcdedit. Ως συνήθως, πρέπει να ενεργοποιήσετε τον εντοπισμό σφαλμάτων:
BCDedit /dbgsettings ΣΕΙΡΙΚΟΣ ΕΝΤΟΠΙΣΜΟΣ ΣΦΑΛΜΑΤΩΝ:1 BAUDRATE:115200 BCDedit /debug
ON (ή BCDedit /set debug ON)
Τώρα όλα είναι έτοιμα! Ξεκινάμε ένα αρχείο δέσμης με το ακόλουθο κείμενο:
start windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0
και δείτε την έξοδο εντοπισμού σφαλμάτων στο παράθυρο windbg (βλ. εικόνα).
συμπέρασμα
Όπως μπορείτε να δείτε, το πεδίο εφαρμογής του WFP είναι αρκετά ευρύ. Εσείς αποφασίζετε πώς
εφαρμόστε αυτή τη γνώση - για κακό ή για καλό 🙂
Τείχος προστασίας (τείχος προστασίας ή τείχος προστασίας) Τα Windows δεν απαιτούν σεβασμό. Ελαφρώς αλλαγμένο από XP σε Vista, κάνει καλά τη δουλειά του, αλλά δεν έχει τη φιλοδοξία να είναι το καλύτερο προσωπικό τείχος προστασίας. Ωστόσο, παρά το γεγονός ότι το τείχος προστασίας των Windows 7 έλαβε αρκετές νέες δυνατότητες, και πάλι δεν έλαβε αυτό που περίμενα να δω σε αυτό.
Συνεργασία με την HomeGroup
Στη διάρκεια εγκατάσταση των Windows 7 προτείνει τη δημιουργία μιας «οικιακής ομάδας». Καθώς ανακαλύπτονται περισσότεροι υπολογιστές με Windows 7 στο δίκτυο, τους ζητείται επίσης να συμμετάσχουν στην ομάδα. Και το μόνο που χρειάζονται για αυτό είναι ένας κωδικός πρόσβασης σε αυτό. Ωστόσο, με έναν υπολογιστή με Windows 7, δεν είδα τη διαδικασία σύνδεσης σε μια ομάδα άλλων υπολογιστών, αν και μια ειδοποίηση σχετικά με αυτό δεν θα έβλαπτε. Ωστόσο, ενώ οποιοσδήποτε υπολογιστής με Windows 7 μπορεί να συμμετάσχει σε μια οικιακή ομάδα, υπολογιστές με Windows 7 Home Basicκαι το Windows 7 Starter δεν μπορεί να το δημιουργήσει.
Οι υπολογιστές στην ίδια οικιακή ομάδα μπορούν να μοιράζονται (ή, όπως λένε, να "μοιράζονται") εκτυπωτές και συγκεκριμένες βιβλιοθήκες αρχείων. Από προεπιλογή, οι βιβλιοθήκες εικόνων, μουσικής, βίντεο και εγγράφων είναι κοινόχρηστες, αλλά ο χρήστης μπορεί να τις περιορίσει κατά την κρίση του. Η βοήθεια στο λειτουργικό σύστημα παρέχει σαφείς εξηγήσεις σχετικά με τον τρόπο εξαίρεσης ενός αρχείου ή φακέλου από την κοινή χρήση ή πώς να το κάνετε μόνο για ανάγνωση ή πώς να περιορίσετε την πρόσβαση σε αυτό.
Στο δικό του οικιακό δίκτυοο χρήστης μπορεί να μοιράζεται το περιεχόμενό του σε άλλους υπολογιστές και συσκευές, ακόμη και σε υπολογιστές που δεν είναι Windows 7 και ακόμη και σε μη υπολογιστές καθόλου. Συγκεκριμένα, η Microsoft έδειξε παραδείγματα για τον τρόπο κοινής χρήσης περιεχομένου για το Xbox 360. Ωστόσο, η εταιρεία δεν προσφέρει τη σύνδεση του Wii στο δίκτυο. Δυστυχώς, η εταιρεία δεν προσδιόρισε το Wii ως συσκευή πολυμέσων ροής.
Πόσο πιο ασφαλής είναι λοιπόν η οικιακή δικτύωση στα Windows 7; Συνήθως, οι χρήστες που αποτυγχάνουν να μοιραστούν αρχεία και φακέλους αρχίζουν να απενεργοποιούν τα πάντα γύρω, συμπεριλαμβανομένου του τείχους αρχείων, του προγράμματος προστασίας από ιούς κ.λπ., τα οποία, κατά τη γνώμη τους, μπορούν να παρεμβαίνουν σε αυτή τη διαδικασία. Ταυτόχρονα, εάν κάνετε την κοινή χρήση απλή, τότε μπορεί να αποφευχθεί η απενεργοποίηση όλων των γύρω.
Εάν τα Vista διαιρούν τα δίκτυα σε δημόσια (Δημόσιο) και ιδιωτικά (Ιδιωτικά), τότε τα Windows 7 διαιρούν το ιδιωτικό δίκτυο σε οικιακό (Σπίτι) και εργασία (Εργασία). οικιακή ομάδαΤο (HomeGroup) είναι διαθέσιμο μόνο όταν είναι επιλεγμένο το οικιακό δίκτυο. Ωστόσο, ακόμη και σε ένα δίκτυο εργασίας, ο υπολογιστής σας μπορεί να βλέπει και να συνδέεται με άλλες συσκευές σε αυτόν. Με τη σειρά του, σε ένα δημόσιο δίκτυο (όπως ένα ασύρματο Internet cafe), τα Windows 7 αποκλείουν την πρόσβαση σε εσάς και από εσάς σε άλλες συσκευές, για την ασφάλειά σας. Αυτή είναι μια μικρή αλλά ωραία ευκαιρία.
Τείχος προστασίας διπλής λειτουργίας
Στα Vista και XP, η διαχείριση του τείχους προστασίας είναι τόσο απλή όσο η ενεργοποίηση και απενεργοποίηση του. Στο ίδιο ώρα WindowsΤο 7 προσφέρει στο χρήστη διαφορετικές ρυθμίσεις διαμόρφωσης για ιδιωτικά (οικία και εργασία) και δημόσια δίκτυα. Ταυτόχρονα, ο χρήστης δεν χρειάζεται να εισάγει τις ρυθμίσεις του τείχους προστασίας για να εργαστεί, ας πούμε, σε ένα τοπικό καφέ. Αρκεί να διαλέξει δημόσιο δίκτυο, και το ίδιο το τείχος προστασίας θα εφαρμόσει ολόκληρο το σύνολο των περιοριστικών παραμέτρων. Πιθανότατα, οι χρήστες θα διαμορφώσουν το δημόσιο δίκτυο ώστε να αποκλείει όλες τις εισερχόμενες συνδέσεις. Στα Vista, αυτό δεν θα μπορούσε να γίνει χωρίς να διακοπεί επίσης όλη η εισερχόμενη κίνηση δικό του δίκτυοχρήστης.
Ορισμένοι χρήστες δεν καταλαβαίνουν γιατί χρειάζεται ένα τείχος προστασίας. Εάν το UAC λειτουργεί, δεν είναι υπερβολικό το τείχος προστασίας; Στην πραγματικότητα, αυτά τα προγράμματα εξυπηρετούν πολύ διαφορετικούς σκοπούς. Το UAC παρακολουθεί τα προγράμματα και τη λειτουργία τους στο τοπικό σύστημα. Το τείχος προστασίας, από την άλλη πλευρά, παρακολουθεί στενά τα εισερχόμενα και τα εξερχόμενα δεδομένα. Αν φανταστείτε αυτά τα δύο προγράμματα ως δύο ήρωες που στέκονται πλάτη με πλάτη και αποκρούουν επιθέσεις ζόμπι, τότε μπορείτε σχεδόν να πείτε ότι δεν μπορείτε να κάνετε λάθος.
Στην αρχή με κίνησε το ενδιαφέρον νέα ευκαιρία«Ειδοποιήστε με όταν αποκλείεται το Τείχος προστασίας των Windows νέο πρόγραμμα". Δεν είναι αυτό ένα σημάδι ότι το Τείχος προστασίας των Windows έχει πάρει τον έλεγχο των προγραμμάτων και έχει γίνει ένα πραγματικό αμφίδρομο τείχος προστασίας;. Με έφαγε η επιθυμία να απενεργοποιήσω αυτή τη δυνατότητα. Και ως αποτέλεσμα, το Τείχος προστασίας των Windows δεν έλαβε περισσότερο σεβασμό από ό,τι είχε.
Έχουν περάσει δέκα χρόνια από τότε που η ZoneLabs έκανε δημοφιλή το αμφίδρομο προσωπικό τείχος προστασίας. Το πρόγραμμά της ZoneAlarm έκρυψε όλες τις θύρες υπολογιστή (τις οποίες μπορεί να κάνει το Τείχος προστασίας των Windows) και επίσης σας επέτρεπε να ελέγχετε την πρόσβαση των προγραμμάτων στο Διαδίκτυο (το Τείχος προστασίας των Windows εξακολουθεί να μην μπορεί να το κάνει αυτό). Δεν απαιτώ έξυπνη παρακολούθηση της συμπεριφοράς του προγράμματος, όπως, για παράδειγμα, στο Norton διαδικτυακή ασφάλεια 2010 και άλλα πακέτα. Ελπίζω όμως ότι μέχρι την κυκλοφορία των Windows 8, η Microsoft θα εξακολουθεί να εφαρμόζει στο τείχος προστασίας της μια λειτουργία ZoneAlarm παλιάς δεκαετίας.
Η Microsoft γνωρίζει καλά ότι πολλοί χρήστες εγκαθιστούν τείχη προστασίας και πακέτα ασφαλείας τρίτων και απλώς απενεργοποιούν το Τείχος προστασίας των Windows. Στο παρελθόν, πολλά προγράμματα ασφαλείας τρίτων απενεργοποίησαν αυτόματα το Τείχος προστασίας των Windows για την αποφυγή διενέξεων. Στα Windows 7, η Microsoft το έχει κάνει μόνη της. Κατά την εγκατάσταση ενός τείχους προστασίας που είναι γνωστό σε αυτό, το λειτουργικό σύστημα απενεργοποιεί το ενσωματωμένο τείχος προστασίας του και αναφέρει ότι "οι ρυθμίσεις του τείχους προστασίας ελέγχονται από ένα τέτοιο πρόγραμμα από τον τάδε κατασκευαστή."
Είτε το χρησιμοποιείτε είτε όχι, το Τείχος προστασίας των Windows υπάρχει σε κάθε Windows 7, με βαθιά ενοποίηση λειτουργικό σύστημα. Δεν θα ήταν λοιπόν καλύτερο εάν οι εφαρμογές ασφαλείας τρίτων μπορούν να χρησιμοποιήσουν το τείχος αρχείων των Windows για δικούς τους σκοπούς; Αυτή η ιδέα βρίσκεται πίσω από μια διεπαφή προγραμματισμού που ονομάζεται πλατφόρμα φιλτραρίσματος των Windows. Θα το χρησιμοποιήσουν όμως οι προγραμματιστές; Περισσότερα για αυτό στην επόμενη ενότητα.
Windows 7 Ασφάλεια: Windows Filtering Platform - Windows Filtering Platform
Τα τείχη προστασίας πρέπει να λειτουργούν με τα Windows 7 σε πολύ χαμηλό επίπεδο, το οποίο οι προγραμματιστές της Microsoft μισούν απολύτως. Ορισμένες τεχνολογίες της Microsoft, όπως το PatchGuard, που βρίσκονται σε εκδόσεις 64-bit των Windows 7 (τα Windows 7 64-bit έχουν πολλά πλεονεκτήματα ασφαλείας έναντι των Windows 7 32-bit), μπλοκάρουν τους εισβολείς και προστατεύουν επίσης τον πυρήνα από την πρόσβαση σε αυτόν. Ωστόσο, η Microsoft δεν παρέχει το ίδιο επίπεδο ασφάλειας με τα προγράμματα τρίτων κατασκευαστών. Τι να κάνουμε λοιπόν;
Η λύση σε αυτό το πρόβλημα είναι η πλατφόρμα φιλτραρίσματος των Windows (WFP). Το τελευταίο, σύμφωνα με τη Microsoft, επιτρέπει στα τείχη προστασίας τρίτων να βασίζονται σε βασικές λειτουργίες του Τείχους προστασίας των Windows - επιτρέποντάς τους να προσθέτουν προσαρμοσμένες δυνατότητες και να ενεργοποιούν ή να απενεργοποιούν επιλεκτικά μέρη του Τείχους προστασίας των Windows. Ως αποτέλεσμα, ο χρήστης μπορεί να επιλέξει ένα τείχος προστασίας που θα συνυπάρχει με το τείχος προστασίας των Windows.
Αλλά πόσο χρήσιμο είναι αυτό πραγματικά για τους προγραμματιστές λογισμικού ασφαλείας; Θα το χρησιμοποιήσουν; Πήρα συνέντευξη από πολλούς ανθρώπους και πήρα πολλές απαντήσεις.
BitDefender LLC
Ο διευθυντής ανάπτυξης προϊόντων Iulian Costache δήλωσε ότι η εταιρεία του τρέχει αυτήν τη στιγμή την πλατφόρμα στα Windows 7. Ωστόσο, έχουν αντιμετωπίσει σημαντικές διαρροές μνήμης. Το σφάλμα είναι με το μέρος της Microsoft, όπως έχει ήδη επιβεβαιώσει ο μεγαλύτερος γίγαντας λογισμικού. Ωστόσο, ο Τζούλιαν δεν ξέρει πότε θα λυθεί. Στο μεταξύ, αντικατέστησαν προσωρινά νέος οδηγός WFP στο παλιό TDI.
Check Point Software Technologies Ltd
Ο Mirka Janus, διευθυντής δημοσίων σχέσεων στην Check Point Software Technologies Ltd, είπε ότι η εταιρεία του χρησιμοποιεί το WFP από τα Vista. Χρησιμοποιούν επίσης την πλατφόρμα στα Windows 7. Είναι μια καλή, καλά υποστηριζόμενη διεπαφή, αλλά οποιοδήποτε κακόβουλο λογισμικό ή μη συμβατό πρόγραμμα οδήγησης μπορεί να είναι επικίνδυνο για ένα προϊόν ασφαλείας που βασίζεται σε αυτό. Το ZoneAlarm βασιζόταν πάντα σε δύο επίπεδα - επίπεδα δικτυακές συνδέσειςκαι επίπεδο παρτίδας. Από τα Vista, η Microsoft έχει προσφέρει το WFP ως υποστηριζόμενο τρόπο φιλτραρίσματος των συνδέσεων δικτύου. Ξεκινώντας με το Windows 7 SP1, η Microsoft θα πρέπει να διδάξει στο WFP να ενεργοποιεί το φιλτράρισμα πακέτων.
«Η χρήση υποστηριζόμενων API σημαίνει βελτιωμένη σταθερότητα και λιγότερα BSOD. Πολλά προγράμματα οδήγησης μπορούν να εγγραφούν και κάθε προγραμματιστής προγραμμάτων οδήγησης δεν χρειάζεται να ανησυχεί για τη συμβατότητα με άλλους. Εάν κάποιο πρόγραμμα οδήγησης είναι, ας πούμε, αποκλεισμένο, κανένα άλλο εγγεγραμμένο πρόγραμμα οδήγησης δεν μπορεί να παρακάμψει αυτόν τον αποκλεισμό. Από την άλλη πλευρά, ένα μη συμβατό πρόγραμμα οδήγησης μπορεί να γίνει πρόβλημα, παρακάμπτοντας όλα τα άλλα καταχωρημένα. Δεν βασιζόμαστε μόνο στο WFP για την ασφάλεια του δικτύου».
F-Secure Corporation
Ο Mikko Hypponen, ανώτερος ερευνητής στην F-Secure Corporation, δήλωσε ότι για κάποιο λόγο, το WFP δεν έπιασε ποτέ τους προγραμματιστές λογισμικού ασφαλείας. Ταυτόχρονα, η εταιρεία του χρησιμοποιούσε το WFP για αρκετό καιρό και ήταν ευχαριστημένη με αυτό.
McAfee Inc.
Με τη σειρά του, ο επικεφαλής αρχιτέκτονας McAfee Ahmed Sallam (Ahmed Sallam) είπε ότι το WFP είναι μια πιο ισχυρή και ευέλικτη διεπαφή φιλτραρίσματος δικτύου από την προηγούμενη διεπαφή που βασίζεται στο NDIS. Η McAfee χρησιμοποιεί εκτενώς το WFP στα προϊόντα ασφαλείας της.
Ταυτόχρονα, παρά το γεγονός ότι το WFP έχει θετικά χαρακτηριστικά, οι εγκληματίες του κυβερνοχώρου μπορούν επίσης να επωφεληθούν από την πλατφόρμα. Η πλατφόρμα ενδέχεται να επιτρέψει την είσοδο κακόβουλου λογισμικού στη στοίβα επιπέδου δικτύου Πυρήνας των Windows. Επομένως, 64-bit Windows προγράμματα οδήγησηςεπίπεδο πυρήνα πρέπει να έχει ψηφιακές υπογραφέςγια την προστασία του πυρήνα από τη φόρτωση σε αυτόν κακόβουλο λογισμικό. Ωστόσο, δεν απαιτούνται ψηφιακές υπογραφές σε εκδόσεις 32-bit.
Ναι, θεωρητικά, οι ψηφιακές υπογραφές είναι ένας λογικός μηχανισμός άμυνας, αλλά στην πραγματικότητα, οι δημιουργοί κακόβουλου λογισμικού μπορούν ακόμα να τις αποκτήσουν.
ασφάλεια panda
Ο εκπρόσωπος της Panda Security, Pedro Bustamante, δήλωσε ότι η εταιρεία του παρακολουθεί την πλατφόρμα του WFP, αλλά δεν τη χρησιμοποιεί επί του παρόντος. Η εταιρεία πιστεύει ότι τα κύρια μειονεκτήματα του WFP είναι, πρώτον, η αδυναμία δημιουργίας μιας τεχνολογίας που θα συνδύαζε διάφορες τεχνικέςγια μεγιστοποίηση της προστασίας. Η τεχνολογία είναι άχρηστη εάν η εταιρεία δεν μπορεί να εξετάσει τα εισερχόμενα και τα εξερχόμενα πακέτα προς το μηχάνημα. Θα πρέπει επίσης να λειτουργεί ως αισθητήρας για άλλες τεχνολογίες προστασίας. Καμία από αυτές τις δυνατότητες δεν παρέχεται από το WFP. Δεύτερον, το WFP υποστηρίζεται μόνο από Vista και νεότερα λειτουργικά συστήματα. Η πλατφόρμα δεν είναι συμβατή προς τα πίσω. Και τρίτον, το WFP είναι μια αρκετά νέα πλατφόρμα και η εταιρεία προτιμά να βασίζεται σε παλαιότερες, πιο καθιερωμένες τεχνολογίες.
Symantec Corp.
Ο διευθυντής διαχείρισης καταναλωτικών προϊόντων της Symantec, Dan Nadir, δήλωσε ότι το WFP δεν χρησιμοποιείται ακόμη στα προϊόντα τους λόγω της σχετικής καινοτομίας του. Ωστόσο, με την πάροδο του χρόνου, η εταιρεία σχεδιάζει να μεταναστεύσει σε αυτήν, επειδή. οι παλιές διεπαφές στις οποίες βασίζονται τώρα δεν θα είναι σε θέση να παρέχουν την πλήρη λειτουργικότητα που απαιτούν. Θεωρούν ότι το WFP είναι μια καλή πλατφόρμα γιατί έχει σχεδιαστεί ειδικά για να παρέχει διαλειτουργικότητα μεταξύ μιας ποικιλίας λογισμικού τρίτων. Κατ' αρχήν, η πλατφόρμα θα πρέπει να έχει ακόμη λιγότερα προβλήματα συμβατότητας στο μέλλον. Το WFP είναι επίσης καλό επειδή είναι ενσωματωμένο στο Microsoft Network Diagnostic Framework. Αυτό είναι εξαιρετικά χρήσιμο καθώς διευκολύνει πολύ την αναζήτηση συγκεκριμένων προγραμμάτων που αποτελούν εμπόδιο κυκλοφορίας δικτύου. Τέλος, το WFP θα πρέπει να οδηγήσει σε βελτιώσεις στην απόδοση και τη σταθερότητα του λειτουργικού συστήματος, όπως η πλατφόρμα αποφεύγει την εξομοίωση και ζητήματα σύγκρουσης οδηγών ή σταθερότητας.
Ωστόσο, από την άλλη πλευρά, σύμφωνα με τον Nadir, το WFP μπορεί να δημιουργήσει ορισμένα προβλήματα που υπάρχουν σε οποιαδήποτε δομή - οι προγραμματιστές που βασίζονται στο WFP δεν μπορούν να κλείσουν τρωτά σημεία εντός του ίδιου του WFP, ούτε μπορούν να επεκτείνουν τις συγκεκριμένες δυνατότητες που προσφέρει το WFP. Επίσης, εάν πολλά προγράμματα βασίζονται στο WFP, τότε οι δημιουργοί κακόβουλου λογισμικού θα μπορούσαν θεωρητικά να προσπαθήσουν να επιτεθούν στο ίδιο το WFP.
TrendMicro Inc.
Διευθυντής Έρευνας στην Trend Micro Inc. Ο Dale Liao είπε ότι το μεγαλύτερο πλεονέκτημα της πλατφόρμας είναι η συμβατότητα με το λειτουργικό σύστημα. Επίσης το τυπικό τείχος προστασίας είναι πλέον χρήσιμο. Έτσι τώρα μπορούν να επικεντρωθούν σε αυτό που πραγματικά έχει σημασία για τον χρήστη. Το κακό με το WFP είναι ότι όταν εντοπιστεί ένα σφάλμα στην πλατφόρμα, η εταιρεία πρέπει να περιμένει τη Microsoft να το διορθώσει.
WFP: Συμπέρασμα
Ως αποτέλεσμα, οι περισσότεροι από τους προγραμματιστές λογισμικού ασφαλείας με τους οποίους πήρα συνέντευξη χρησιμοποιούν ήδη το WFP. Είναι αλήθεια ότι μερικά παράλληλα με άλλες τεχνολογίες. Τους αρέσει η διαλειτουργικότητα, τους αρέσει η τεκμηριωμένη και επίσημη φύση της πλατφόρμας, καθώς και η υποτιθέμενη σταθερότητα της λειτουργίας της. Με άλλον, αρνητική πλευρά, εάν όλοι οι προγραμματιστές αρχίσουν να βασίζονται στο WFP, τότε η πλατφόρμα μπορεί ενδεχομένως να γίνει ένα ευάλωτο σημείο για όλους. Και θα πρέπει να βασιστούν στη Microsoft για να το διορθώσουν. Επιπλέον, η πλατφόρμα δεν προσφέρει ακόμη φιλτράρισμα σε επίπεδο πακέτων.
Το μεγάλο μειονέκτημα του WFP είναι επίσης ότι δεν είναι διαθέσιμο στα Windows XP. Επομένως, οι προγραμματιστές που θέλουν να υποστηρίξουν XP θα πρέπει να εκτελέσουν δύο παράλληλα έργα. Ωστόσο, καθώς το XP βγαίνει από την αγορά, νομίζω ότι το WFP θα γίνει πιο δημοφιλές μεταξύ των προγραμματιστών.
Φόρτωση...