Snap-in Management Console (MMC) OS Windows Vista™ adalah firewall logging jaringan untuk workstation yang memfilter koneksi masuk dan keluar sesuai dengan pengaturan yang telah Anda konfigurasikan. Sekarang Anda dapat mengonfigurasi pengaturan firewall dan protokol IPsec dengan satu alat. Artikel ini menjelaskan Windows Firewall dengan Keamanan Tingkat Lanjut, masalah umum, dan solusinya.
Cara kerja Windows Firewall dengan Keamanan Lanjutan
Windows Firewall dalam mode keamanan yang ditingkatkan, ini adalah firewall logging status jaringan untuk workstation. Tidak seperti firewall untuk router, yang dipasang di gateway antara jaringan lokal Anda dan Internet, Windows Firewall dirancang untuk berjalan di komputer individual. Itu hanya memonitor lalu lintas stasiun kerja: Lalu lintas yang datang ke alamat IP komputer ini dan lalu lintas keluar ke komputer itu sendiri. Windows Firewall dengan Advanced Security melakukan operasi dasar berikut:
Paket masuk diperiksa dan dibandingkan dengan daftar lalu lintas yang diizinkan. Jika paket cocok dengan salah satu nilai dalam daftar, Windows Firewall meneruskan paket ke TCP/IP untuk diproses lebih lanjut. Jika paket tidak cocok dengan salah satu nilai dalam daftar, Windows Firewall memblokir paket dan, jika logging diaktifkan, membuat entri di file log.
Daftar lalu lintas yang diizinkan dibentuk dengan dua cara:
Saat koneksi yang dikontrol oleh Windows Firewall dengan Advanced Security mengirim paket, firewall akan membuat nilai dalam daftar untuk mengizinkan lalu lintas kembali. Lalu lintas masuk yang sesuai akan memerlukan izin tambahan.
Saat Anda membuat Windows Firewall dengan aturan Izinkan Keamanan Tingkat Lanjut, lalu lintas yang aturannya dibuat akan diizinkan di komputer yang menjalankan Windows Firewall. Komputer ini akan menerima lalu lintas masuk yang diizinkan secara eksplisit saat beroperasi sebagai server, komputer klien, atau node jaringan peer-to-peer.
Langkah pertama dalam menyelesaikan masalah dengan Windows Firewall adalah memeriksa profil mana yang aktif. Windows Firewall dengan Advanced Security adalah aplikasi yang memantau lingkungan jaringan Anda. Profil Windows Firewall berubah saat lingkungan jaringan berubah. Profil adalah sekumpulan pengaturan dan aturan yang diterapkan tergantung pada lingkungan jaringan dan operasi koneksi jaringan.
Firewall membedakan antara tiga jenis lingkungan jaringan: jaringan domain, publik, dan pribadi. Domain adalah lingkungan jaringan tempat koneksi diautentikasi oleh pengontrol domain. Secara default, semua jenis koneksi jaringan diperlakukan sebagai jaringan publik. Setelah penemuan baru koneksi jendela Vista meminta pengguna untuk menunjukkan apakah jaringan ini swasta atau publik. Profil umum dimaksudkan untuk digunakan di tempat umum seperti bandara atau kafe. Profil pribadi dirancang untuk digunakan di rumah atau di kantor, dan di jaringan yang aman. Untuk mendefinisikan jaringan sebagai pribadi, pengguna harus memiliki hak administratif yang sesuai.
Meskipun komputer dapat terhubung ke jaringan pada saat yang bersamaan beda tipe, hanya satu profil yang dapat aktif. Pilihan profil aktif tergantung pada alasan berikut:
Jika semua antarmuka menggunakan otentikasi pengontrol domain, profil domain digunakan.
Jika setidaknya salah satu antarmuka terhubung ke jaringan pribadi dan yang lainnya terhubung ke domain atau jaringan pribadi, profil pribadi digunakan.
Dalam semua kasus lain, profil umum digunakan.
Untuk menentukan profil aktif, klik node Pengamatan dalam sekejap Windows Firewall dengan Keamanan Tingkat Lanjut. Di atas teks Status firewall akan menunjukkan profil mana yang aktif. Misalnya, jika profil domain aktif, keterangan akan ditampilkan di bagian atas Profil domain aktif.
Dengan menggunakan profil, Windows Firewall dapat secara otomatis mengizinkan lalu lintas masuk untuk alat manajemen komputer khusus saat komputer berada dalam domain, dan memblokir lalu lintas yang sama saat komputer tersambung ke jaringan publik atau pribadi. Dengan demikian, menentukan jenis lingkungan jaringan memastikan perlindungan Anda jaringan lokal tanpa mengorbankan keamanan pengguna seluler.
Masalah umum saat menjalankan Windows Firewall dengan Keamanan Lanjutan
Berikut ini adalah masalah utama yang terjadi saat menjalankan Windows Firewall dengan Advanced Security:
Jika lalu lintas diblokir, Anda harus terlebih dahulu memeriksa apakah firewall diaktifkan dan profil mana yang aktif. Jika ada aplikasi yang diblokir, pastikan itu di jepret Windows Firewall dengan Keamanan Tingkat Lanjut ada aturan izinkan aktif untuk profil saat ini. Untuk memverifikasi bahwa ada aturan izinkan, klik dua kali node Pengamatan, lalu pilih bagian Tembok api. Jika tidak ada aturan izin aktif untuk program ini, buka node dan buat aturan baru untuk program ini. Buat aturan untuk program atau layanan, atau tentukan grup aturan yang berlaku untuk fitur ini, dan pastikan semua aturan dalam grup tersebut diaktifkan.
Untuk memeriksa apakah aturan izinkan tidak diganti dengan aturan pemblokiran, ikuti langkah-langkah berikut:
Di pohon alat Windows Firewall dengan Keamanan Tingkat Lanjut klik node Pengamatan, lalu pilih bagian Tembok api.
Lihat daftar semua lokal aktif dan kebijakan kelompok. Tolak aturan mengesampingkan aturan izinkan, bahkan jika yang terakhir didefinisikan dengan lebih tepat.
Kebijakan Grup mencegah penegakan aturan lokal
Jika Windows Firewall dengan Keamanan Lanjutan dikonfigurasi menggunakan Kebijakan Grup, administrator dapat menentukan apakah aturan firewall atau aturan keamanan koneksi yang dibuat oleh administrator lokal akan digunakan. Ini masuk akal jika ada aturan firewall lokal yang dikonfigurasi atau aturan keamanan koneksi yang tidak ada di bagian pengaturan terkait.
Untuk mencari tahu mengapa aturan firewall lokal atau aturan keamanan sambungan hilang dari bagian Pemantauan, lakukan hal berikut:
Dalam sekejap Windows Firewall dengan Keamanan Tingkat Lanjut, klik tautannya Properti Windows Firewall.
Pilih tab profil aktif.
Dalam bab Pilihan, tekan tombolnya Lagu.
Jika aturan lokal berlaku, bagian Menggabungkan Aturan akan aktif.
Aturan yang membutuhkan koneksi aman dapat memblokir lalu lintas
Saat membuat aturan firewall untuk lalu lintas masuk atau keluar, salah satu opsinya adalah . Jika dipilih fungsi yang diberikan, Anda harus memiliki aturan keamanan sambungan yang sesuai atau kebijakan IPSec terpisah yang menentukan lalu lintas apa yang aman. Jika tidak, lalu lintas ini diblokir.
Untuk memeriksa bahwa satu atau beberapa aturan aplikasi memerlukan sambungan aman, ikuti langkah-langkah berikut:
Di pohon alat Windows Firewall dengan Keamanan Tingkat Lanjut klik bagian Aturan untuk koneksi masuk. Pilih aturan yang ingin Anda periksa dan klik tautannya Properti dalam ruang lingkup konsol.
Pilih tab Apakah umum dan periksa apakah nilai tombol radio dipilih Izinkan hanya koneksi aman.
Jika parameter ditentukan untuk aturan Izinkan hanya koneksi aman, luaskan bagian Pengamatan di pohon snap-in dan pilih bagian. Pastikan lalu lintas yang ditentukan dalam aturan firewall memiliki aturan keamanan koneksi yang sesuai.
Peringatan:
Jika Anda memiliki kebijakan IPSec yang aktif, pastikan kebijakan tersebut melindungi lalu lintas yang diperlukan. Jangan buat aturan keamanan koneksi untuk menghindari konflik antara kebijakan IPSec dan aturan keamanan koneksi.
Tidak dapat mengizinkan koneksi keluar
Di pohon alat Windows Firewall dengan Keamanan Tingkat Lanjut Pilih bagian Pengamatan. Pilih tab profil aktif dan di bawah Status firewall periksa apakah koneksi keluar yang tidak sesuai dengan aturan izinkan diperbolehkan.
Dalam bab Pengamatan Pilih bagian Tembok api untuk memastikan bahwa koneksi keluar yang diperlukan tidak tercantum dalam aturan tolak.
Kebijakan Campuran Dapat Memblokir Lalu Lintas
Anda dapat mengonfigurasi pengaturan firewall dan IPSec menggunakan berbagai antarmuka OS Windows.
Membuat kebijakan di banyak tempat dapat menyebabkan konflik dan pemblokiran lalu lintas. Titik pengaturan berikut tersedia:
Windows Firewall dengan Keamanan Tingkat Lanjut. Kebijakan ini dikonfigurasi menggunakan snap-in yang sesuai secara lokal atau sebagai bagian dari kebijakan grup. Kebijakan ini mengontrol setelan firewall dan IPSec di komputer yang menjalankan Windows Vista.
Templat Administratif Windows Firewall. Kebijakan ini dikonfigurasi menggunakan Editor Objek Kebijakan Grup di bagian ini. Antarmuka ini berisi pengaturan Windows Firewall yang tersedia sebelum Windows Vista dan ditujukan untuk mengonfigurasi GPO yang mengelola versi sebelumnya Windows. Meskipun pengaturan ini dapat digunakan untuk menjalankan komputer Kontrol jendela Vista, disarankan untuk menggunakan kebijakan sebagai gantinya Windows Firewall dengan Keamanan Tingkat Lanjut karena memberikan lebih banyak fleksibilitas dan keamanan. Perhatikan bahwa beberapa pengaturan profil domain dibagi antara Template Administratif Windows Firewall dan kebijakan Windows Firewall. Windows Firewall dengan Keamanan Tingkat Lanjut, sehingga Anda dapat melihat di sini pengaturan yang dikonfigurasi di profil domain menggunakan snap-in Windows Firewall dengan Keamanan Tingkat Lanjut.
kebijakan IPSec. Kebijakan ini dikonfigurasi menggunakan snap-in lokal Manajemen kebijakan IPSec atau Editor Objek Kebijakan Grup di bawah Konfigurasi Komputer\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Keamanan IP di Komputer Lokal. Kebijakan ini menentukan pengaturan IPSec yang dapat digunakan oleh Windows versi sebelumnya dan Windows Vista. Jangan terapkan kebijakan ini dan aturan keamanan koneksi yang ditentukan dalam kebijakan di komputer yang sama secara bersamaan. Windows Firewall dengan Keamanan Tingkat Lanjut.
Untuk melihat semua opsi ini di snap-in yang sesuai, buat snap-in Konsol Manajemen Anda sendiri dan tambahkan snap-in ke dalamnya Windows Firewall dengan Keamanan Tingkat Lanjut, Dan Keamanan IP.
Untuk membuat snap-in konsol manajemen Anda sendiri, ikuti langkah-langkah berikut:
Klik tombolnya Awal, buka menu Semua program, lalu di menu Standar dan pilih item Berlari.
Di bidang teks Membuka MEMASUKI.
Melanjutkan.
Di menu Menghibur Pilih .
Terdaftar Snap-in yang tersedia pilih sekejap Windows Firewall dengan Keamanan Tingkat Lanjut dan tekan tombol Menambahkan.
Klik tombolnya OKE.
Ulangi langkah 1 hingga 6 untuk menambahkan snap Kontrol kebijakan kelompok Dan Monitor Keamanan IP.
Untuk memeriksa kebijakan mana yang aktif di profil aktif, gunakan prosedur berikut ini:
Untuk memeriksa kebijakan mana yang diterapkan, ikuti langkah-langkah berikut:
DI DALAM garis komando ketik mmc dan tekan tombol MEMASUKI.
Jika kotak dialog Kontrol Akun Pengguna muncul, konfirmasikan tindakan yang diminta dan klik Melanjutkan.
Di menu Menghibur pilih item Tambahkan atau hapus snap.
Terdaftar Snap-in yang tersedia pilih sekejap Manajemen Kebijakan Grup dan tekan tombol Menambahkan.
Klik tombolnya OKE.
Perluas simpul di pohon (biasanya pohon di hutan tempat komputer ini) dan klik dua kali bagian di panel rincian konsol.
Pilih nilai sakelar Tampilkan setelan kebijakan untuk dari nilai-nilai pengguna saat ini atau pengguna lain. Jika Anda tidak ingin menampilkan pengaturan kebijakan untuk pengguna, tetapi hanya pengaturan kebijakan untuk komputer, pilih nilai tombol radio Jangan tampilkan kebijakan pengguna (lihat kebijakan komputer saja) dan klik dua kali tombol tersebut Lebih jauh.
Klik tombolnya Siap. Wisaya Hasil Kebijakan Grup menghasilkan laporan di panel rincian konsol. Laporan berisi tab Ringkasan, Pilihan Dan Peristiwa Kebijakan.
Untuk memverifikasi bahwa tidak ada konflik dengan kebijakan keamanan IP, setelah membuat laporan, pilih Pilihan dan buka Computer Configuration\Windows Settings\Security Settings\Security IP Settings di layanan direktori Active Directory. Jika bagian terakhir hilang, maka tidak ada kebijakan keamanan IP yang ditetapkan. Jika tidak, nama dan deskripsi kebijakan, serta GPO tempatnya, akan ditampilkan. Jika Anda menggunakan kebijakan keamanan IP dan Windows Firewall dengan kebijakan Keamanan Lanjutan pada saat yang sama dengan aturan keamanan sambungan, kebijakan ini mungkin bertentangan. Disarankan agar Anda hanya menggunakan salah satu dari kebijakan ini. Solusi optimal akan menggunakan kebijakan keamanan IP bersama dengan Windows Firewall dengan aturan Keamanan Lanjutan untuk lalu lintas masuk atau keluar. Jika pengaturan dikonfigurasikan di tempat yang berbeda dan tidak konsisten satu sama lain, konflik kebijakan yang sulit diselesaikan dapat terjadi.
Mungkin juga ada konflik antara kebijakan yang ditentukan di GPO lokal dan skrip yang dikonfigurasi oleh departemen TI. Periksa semua kebijakan keamanan IP menggunakan program Monitor Keamanan IP atau dengan mengetikkan perintah berikut pada prompt perintah:
Untuk melihat pengaturan yang ditentukan di Template Administratif Firewall Windows, perluas bagian ini Konfigurasi Komputer\Templat Administratif\Jaringan\Koneksi Jaringan\Windows Firewall.
Untuk melihat acara terbaru yang terkait dengan kebijakan saat ini, Anda dapat membuka tab peristiwa kebijakan di konsol yang sama.
Untuk melihat kebijakan yang digunakan oleh Windows Firewall dengan Keamanan Tingkat Lanjut, buka snap-in di komputer yang sedang didiagnosis dan tinjau pengaturan di bawah Pengamatan.
Untuk melihat template administratif, buka snap-in Kebijakan Grup dan di bagian Hasil Kebijakan Grup Lihat apakah ada pengaturan yang diwariskan dari Kebijakan Grup yang mungkin menyebabkan lalu lintas ditolak.
Untuk melihat kebijakan keamanan IP, buka snap-in IP Security Monitor. Pilih di pohon komputer lokal. Di cakupan konsol, pilih tautan Kebijakan aktif, Model Dasar atau Modus cepat. Periksa kebijakan bersaing yang dapat menyebabkan lalu lintas diblokir.
Dalam bab Pengamatan patah Windows Firewall dengan Keamanan Tingkat Lanjut Anda dapat melihat aturan kebijakan lokal dan grup yang ada. Untuk mendapatkan informasi tambahan lihat bagian " Menggunakan fungsi arloji dalam snap-in Windows Firewall dengan Keamanan Tingkat Lanjut » dari dokumen ini.
Untuk menghentikan Agen Kebijakan IPSec, ikuti langkah-langkah berikut:
Klik tombolnya Awal dan pilih bagian Panel kendali.
Klik ikon Sistem dan perawatannya dan pilih bagian Administrasi.
Klik dua kali ikon tersebut Jasa. Melanjutkan.
Temukan layanan dalam daftar Agen Kebijakan IPSec
Jika layanan Agen IPSec berjalan, klik di atasnya klik kanan mouse dan pilih dari menu Berhenti. Anda juga dapat menghentikan layanan Agen IPSec dari baris perintah menggunakan perintah
Kebijakan jaringan peer-to-peer dapat menyebabkan lalu lintas ditolak
Untuk koneksi menggunakan IPSec, kedua komputer harus memiliki kebijakan keamanan IP yang kompatibel. Kebijakan ini dapat ditentukan menggunakan snap-in Aturan Keamanan Koneksi Firewall Windows Keamanan IP atau penyedia keamanan IP lainnya.
Untuk memeriksa pengaturan kebijakan keamanan IP di jaringan peer-to-peer, ikuti langkah-langkah berikut:
Klik bagian Model Dasar, di panel detail konsol, pilih koneksi yang akan diuji, lalu klik tautannya Properti dalam ruang lingkup konsol. Tinjau properti koneksi untuk kedua node untuk memastikan keduanya kompatibel.
Ulangi langkah 2.1 untuk bagian Modus cepat. Tinjau properti koneksi untuk kedua node untuk memastikan keduanya kompatibel.
Dalam sekejap Windows Firewall dengan Keamanan Tingkat Lanjut pilih simpul Pengamatan Dan Aturan keamanan koneksi untuk memastikan kedua host di jaringan memiliki kebijakan keamanan IP yang dikonfigurasi.
Jika salah satu komputer di jaringan peer-to-peer sedang berjalan sebelumnya Versi Windows daripada Windows Vista, pastikan bahwa setidaknya salah satu suite sandi mode asli dan salah satu suite sandi mode cepat menggunakan algoritme yang didukung oleh kedua host.
Jika Anda menggunakan autentikasi Kerberos versi 5, pastikan host berada di domain yang sama atau tepercaya.
Jika sertifikat digunakan, pastikan kotak centang yang diperlukan dipilih. Sertifikat yang menggunakan IPSec Internet Key Exchange (IKE) memerlukan tanda tangan digital. Sertifikat yang menggunakan Authenticated Internet Protocol (AuthIP) memerlukan autentikasi klien (bergantung pada jenis autentikasi server). Untuk informasi lebih lanjut tentang sertifikat AuthIP, silakan merujuk ke artikel IP terotentikasi di Windows Vista AuthIP di Windows Vista di situs web Microsoft.
Tidak dapat mengonfigurasi Windows Firewall dengan Keamanan Tingkat Lanjut
Pengaturan Windows Firewall dengan Keamanan Tingkat Lanjut berwarna abu-abu dalam kasus berikut:
Komputer terhubung ke jaringan dengan manajemen terpusat, dan administrator jaringan menggunakan Kebijakan Grup untuk mengonfigurasi Windows Firewall dengan pengaturan Keamanan Lanjutan. Dalam hal ini, di bagian atas snap Windows Firewall dengan Keamanan Tingkat Lanjut Anda akan melihat pesan "Beberapa pengaturan dikendalikan oleh Kebijakan Grup". Administrator jaringan Anda mengonfigurasi kebijakan, sehingga mencegah Anda mengubah pengaturan Windows Firewall.
Komputer yang menjalankan Windows Vista tidak tersambung ke jaringan yang dikelola secara terpusat, tetapi pengaturan Windows Firewall ditentukan oleh kebijakan grup lokal.
Untuk mengubah pengaturan Windows Firewall dengan Keamanan Tingkat Lanjut menggunakan kebijakan grup lokal, gunakan Kebijakan Komputer Lokal. Untuk membuka snap-in ini, ketik secpol di command prompt. Jika kotak dialog Kontrol Akun Pengguna muncul, konfirmasikan tindakan yang diminta dan klik Melanjutkan. Buka Konfigurasi Komputer\Pengaturan Windows\Pengaturan Keamanan\Windows Firewall dengan Keamanan Lanjutan untuk mengonfigurasi Windows Firewall dengan pengaturan kebijakan Keamanan Lanjutan.
Komputer tidak menanggapi permintaan ping
Cara utama untuk menguji konektivitas antar komputer adalah dengan menggunakan utilitas Ping untuk menguji konektivitas ke alamat IP tertentu. Selama ping, pesan gema ICMP (juga dikenal sebagai permintaan gema ICMP) dikirim dan tanggapan gema ICMP diminta sebagai tanggapan. Secara default, Windows Firewall menolak pesan gema ICMP yang masuk, sehingga komputer tidak dapat mengirim respons gema ICMP.
Mengizinkan pesan gema ICMP yang masuk akan memungkinkan komputer lain melakukan ping ke komputer Anda. Di sisi lain, ini akan membuat komputer rentan terhadap serangan menggunakan pesan gema ICMP. Namun, disarankan untuk sementara mengaktifkan gema ICMP yang masuk jika perlu, lalu menonaktifkannya.
Untuk mengizinkan pesan gema ICMP, buat aturan masuk baru untuk mengizinkan paket permintaan gema ICMPv4 dan ICMPv6.
Untuk mengizinkan permintaan gema ICMPv4 dan ICMPv6, ikuti langkah-langkah berikut:
Di pohon alat Windows Firewall dengan Keamanan Tingkat Lanjut pilih simpul Aturan untuk koneksi masuk dan klik tautannya aturan baru dalam lingkup konsol.
Dapat disesuaikan dan tekan tombol Lebih jauh.
Tentukan nilai tombol radio Semua program dan tekan tombol Lebih jauh.
Menjatuhkan tipe protokol pilih nilai ICMPv4.
Klik tombolnya Lagu untuk barang parameter protokol ICMP.
Setel tombol radio ke Beberapa jenis ICMP, centang kotak permintaan gema, tekan tombolnya OKE dan tekan tombol Lebih jauh.
Pada tahap pemilihan alamat IP lokal dan jarak jauh yang sesuai aturan ini, atur tombol radio ke nilai Alamat IP apa pun atau Alamat IP yang ditentukan. Jika Anda memilih nilai Alamat IP yang ditentukan, tentukan alamat IP yang diperlukan, klik tombol Menambahkan dan tekan tombol Lebih jauh.
Tentukan nilai tombol radio Izinkan koneksi dan tekan tombol Lebih jauh.
Pada tahap pemilihan profil, centang satu atau lebih profil (profil domain, profil pribadi atau publik) di mana Anda ingin menggunakan aturan ini, dan klik tombol Lebih jauh.
Di lapangan Nama masukkan nama aturan, dan di lapangan Keterangan adalah deskripsi opsional. Klik tombolnya Siap.
Ulangi langkah di atas untuk protokol ICMPv6, pilih di langkah tipe protokol nilai tarik-turun ICMPv6 alih-alih ICMPv4.
Jika Anda memiliki aturan keamanan sambungan aktif, pengecualian sementara ICMP dari persyaratan IPsec dapat membantu menyelesaikan masalah. Untuk melakukan ini, buka di snap Windows Firewall dengan Keamanan Tingkat Lanjut jendela dialog Properti, buka tab Pengaturan IPSec dan atur nilainya dalam daftar drop-down Ya untuk parameter Kecualikan ICMP dari IPSec.
Catatan
Pengaturan Windows Firewall hanya dapat diubah oleh administrator dan operator jaringan.
Tidak dapat berbagi file dan printer
Jika Anda tidak bisa mendapatkan akses umum ke file dan printer di komputer dengan Windows Firewall aktif, pastikan semua aturan grup diaktifkan Akses ke file dan printer Windows Firewall dengan Keamanan Tingkat Lanjut pilih simpul Aturan untuk koneksi masuk Akses ke file dan printer Aktifkan aturan dalam ruang lingkup konsol.
Perhatian:
Sangat disarankan agar Anda tidak mengaktifkan berbagi file dan printer di komputer yang terhubung langsung ke Internet, karena penyerang dapat mencoba mendapatkan akses ke file bersama dan merugikan Anda dengan merusak file pribadi Anda.
Tidak dapat mengelola Windows Firewall dari jarak jauh
Jika Anda tidak dapat mengelola komputer dari jarak jauh dengan Windows Firewall aktif, pastikan bahwa semua aturan di grup yang dikonfigurasi secara default telah diaktifkan Kontrol jarak jauh dari Windows Firewall profil aktif. Dalam sekejap Windows Firewall dengan Keamanan Tingkat Lanjut pilih simpul Aturan untuk koneksi masuk dan gulir daftar aturan ke grup Kontrol jarak jauh. Pastikan aturan ini diaktifkan. Pilih setiap aturan yang dinonaktifkan dan klik tombol Aktifkan aturan dalam ruang lingkup konsol. Selain itu, verifikasi bahwa layanan Agen Kebijakan IPSec diaktifkan. Layanan ini diperlukan untuk kendali jarak jauh Windows Firewall.
Untuk memverifikasi bahwa Agen Kebijakan IPSec sedang berjalan, ikuti langkah-langkah berikut:
Klik tombolnya Awal dan pilih bagian Panel kendali.
Klik ikon Sistem dan perawatannya dan pilih bagian Administrasi.
Klik dua kali ikon tersebut Jasa.
Jika kotak dialog Kontrol Akun Pengguna muncul, masukkan kredensial yang diperlukan untuk pengguna dengan izin yang sesuai, lalu klik Melanjutkan.
Temukan layanan dalam daftar Agen Kebijakan IPSec dan pastikan statusnya "Running".
Jika layanan Agen IPSec berhenti, klik kanan padanya dan pilih menu konteks gugus kalimat Berlari. Anda juga dapat memulai layanan Agen IPSec dari baris perintah menggunakan perintah net start policy agent.
Catatan
Layanan Bawaan Agen Kebijakan IPSec diluncurkan. Layanan ini harus berfungsi kecuali dihentikan secara manual.
Pemecah Masalah Windows Firewall
Bagian ini menjelaskan alat dan metode yang digunakan untuk memecahkan masalah umum. Bagian ini terdiri dari subbagian berikut:
Menggunakan fitur pemantauan di Windows Firewall dengan Keamanan Lanjutan
Langkah pertama dalam menyelesaikan masalah dengan Windows Firewall adalah melihat aturan saat ini. Fungsi Pengamatan memungkinkan Anda melihat aturan yang digunakan berdasarkan kebijakan lokal dan grup. Untuk melihat aturan lalu lintas masuk dan keluar saat ini di pohon snap-in Windows Firewall dengan Keamanan Tingkat Lanjut Pilih bagian Pengamatan, lalu pilih bagian Tembok api. Di bagian ini Anda juga dapat melihat saat ini aturan keamanan koneksi Dan Asosiasi Keamanan (Mode Dasar dan Cepat).
Mengaktifkan dan menggunakan audit keamanan dengan alat baris perintah auditpol
Secara default, opsi audit dinonaktifkan. Untuk mengonfigurasinya, gunakan alat baris perintah auditpol.exe, yang mengubah pengaturan kebijakan audit di komputer lokal. auditpol dapat digunakan untuk mengaktifkan atau menonaktifkan tampilan berbagai kategori acara dan tampilan lebih lanjut di snap-in Penampil Acara.
Untuk melihat daftar subkategori yang disertakan dalam kategori tertentu (misalnya, dalam kategori Perubahan Kebijakan), pada prompt perintah, ketik:
auditpol.exe /list /category:"Ubah kebijakan"
Untuk mengaktifkan tampilan kategori atau subkategori, masukkan berikut ini di baris perintah:
/SubKategori:" NamaKategori"
Untuk melihat daftar kategori yang didukung oleh program auditpol, pada prompt perintah, ketik:
Misalnya, untuk menetapkan kebijakan audit untuk kategori dan subkategorinya, masukkan perintah berikut:
auditpol.exe /set /category:"Ubah kebijakan" /subkategori:"Ubah kebijakan di tingkat aturan MPSSVC" /success:enable /failure:enable
Perubahan kebijakan
Mengubah kebijakan di tingkat aturan MPSSVC
Mengubah kebijakan platform pemfilteran
Masuk keluar
Mode Dasar IPsec
Mode IPsec Cepat
Mode IPsec Lanjutan
Sistem
Sopir IPSec
Peristiwa sistem lainnya
Akses ke objek
Menjatuhkan paket dengan platform penyaringan
Menghubungkan platform filtrasi
Agar perubahan pada kebijakan audit keamanan berlaku, Anda harus me-restart komputer lokal atau memaksa pembaruan kebijakan secara manual. Untuk memaksa penyegaran kebijakan, pada prompt perintah, ketik:
secedit / refreshpolicy<название_политики>
Setelah diagnostik selesai, Anda dapat menonaktifkan audit peristiwa dengan mengganti parameter aktifkan dengan menonaktifkan pada perintah di atas dan menjalankan perintah lagi.
Melihat Peristiwa Audit Keamanan di Log Peristiwa
Setelah Anda mengaktifkan audit, gunakan snap-in Peraga Peristiwa untuk melihat peristiwa audit di log peristiwa keamanan.
Untuk membuka snap-in Peraga Peristiwa di folder Alat Administratif, ikuti langkah-langkah berikut:
Klik tombolnya Awal.
Pilih bagian Panel kendali. Klik ikon Sistem dan perawatannya dan pilih bagian Administrasi.
Klik dua kali ikon tersebut Penampil Acara.
Untuk menambahkan snap-in Peraga Peristiwa ke MMC, ikuti langkah-langkah berikut:
Klik tombolnya Awal, buka menu Semua program, lalu di menu Standar dan pilih item Berlari.
Di bidang teks Membuka ketik mmc dan tekan tombol MEMASUKI.
Jika kotak dialog Kontrol Akun Pengguna muncul, konfirmasikan tindakan yang diminta dan klik Melanjutkan.
Di menu Menghibur pilih item Tambahkan atau hapus snap.
Terdaftar Snap-in yang tersedia pilih sekejap Penampil Acara dan tekan tombol Menambahkan.
Klik tombolnya OKE.
Sebelum menutup snap-in, simpan konsol untuk digunakan di lain waktu.
Dalam sekejap Penampil Acara memperluas bagian Log Windows dan pilih simpul Keamanan. Anda dapat melihat peristiwa audit keamanan di ruang kerja konsol. Semua acara ditampilkan di bagian atas ruang kerja konsol. Klik acara di bagian atas ruang kerja konsol untuk ditampilkan Informasi rinci di bagian bawah panel. Di tab Apakah umum deskripsi peristiwa ditempatkan dalam bentuk teks yang dapat dimengerti. Di tab Detail tersedia parameter berikut tampilan acara: Presentasi yang jelas Dan Modus XML.
Mengatur log firewall untuk profil
Sebelum Anda dapat melihat log firewall, Anda harus mengonfigurasi Windows Firewall dengan Advanced Security untuk membuat file log.
Untuk mengonfigurasi pengelogan untuk Windows Firewall dengan profil Keamanan Tingkat Lanjut, ikuti langkah-langkah berikut:
Di pohon alat Windows Firewall dengan Keamanan Tingkat Lanjut Pilih bagian Windows Firewall dengan Keamanan Tingkat Lanjut dan tekan tombol Properti dalam ruang lingkup konsol.
Pilih tab profil yang ingin Anda konfigurasikan pembuatan lognya (profil domain, profil pribadi, atau profil publik), lalu klik tombol Lagu Dalam bab Penebangan.
Tentukan nama dan lokasi untuk file log.
Menentukan ukuran maksimum file log (dari 1 hingga 32767 kilobyte)
Menjatuhkan Catat paket yang terlewat masukkan nilai Ya.
Menjatuhkan Rekam koneksi yang berhasil masukkan nilai Ya lalu klik tombol OKE.
Melihat File Log Firewall
Buka file yang Anda tentukan selama prosedur sebelumnya, "Mengkonfigurasi Log Firewall untuk Profil." Untuk mengakses log firewall, Anda harus memiliki hak administrator lokal.
Anda dapat melihat file log dengan Notepad atau editor teks apa pun.
Menganalisis File Log Firewall
Informasi yang dicatat ditampilkan dalam tabel berikut. Beberapa data ditentukan hanya untuk protokol tertentu (tanda TCP, tipe dan kode ICMP, dll.), dan beberapa data ditentukan hanya untuk paket yang dijatuhkan (ukuran).
|
Bidang |
Keterangan |
Contoh |
|
Menampilkan tahun, bulan, dan hari acara direkam. Tanggal ditulis dengan format YYYY-MM-DD, dimana YYYY adalah tahun, MM adalah bulan, dan DD adalah hari. |
||
|
Menampilkan jam, menit, dan detik saat acara direkam. Waktu ditulis dalam format HH:MM:SS, dengan HH adalah jam dalam format 24 jam, MM adalah menit, dan SS adalah detik. |
||
|
Tindakan |
Menunjukkan tindakan yang diambil oleh firewall. Ada tindakan berikut: OPEN, CLOSE, DROP, dan INFO-EVENTS-LOST. Tindakan INFO-EVENTS-LOST menunjukkan bahwa lebih dari satu peristiwa terjadi tetapi tidak dicatat. |
|
|
Protokol |
Menampilkan protokol yang digunakan untuk koneksi. Entri ini juga bisa berupa jumlah paket yang tidak menggunakan TCP, UDP, atau ICMP. |
|
|
Menampilkan alamat IP komputer pengirim. |
||
|
Menampilkan alamat IP komputer tujuan. |
||
|
Menampilkan nomor port sumber dari komputer pengirim. Nilai port sumber ditulis sebagai bilangan bulat dari 1 hingga 65535. Nilai port sumber yang valid hanya ditampilkan untuk protokol TCP dan UDP. Untuk protokol lain, "-" ditulis sebagai port sumber. |
||
|
Menampilkan nomor port komputer tujuan. Nilai port tujuan ditulis sebagai bilangan bulat dari 1 hingga 65535. Nilai port tujuan yang valid hanya ditampilkan untuk protokol TCP dan UDP. Untuk protokol lain, "-" ditulis sebagai port tujuan. |
||
|
Menampilkan ukuran paket dalam byte. |
||
|
Menampilkan flag kontrol protokol TCP yang ditemukan di header TCP dari paket IP.
Ack. Bidang pengakuan signifikan Sirip. Tidak ada lagi data dari pengirim Psh. fungsi dorong Rp. Setel ulang koneksi Bendera dilambangkan dengan huruf kapital pertama namanya. Misalnya bendera Sirip dilambangkan sebagai F. |
||
|
Menampilkan nomor antrian TCP dalam paket. |
||
|
Menampilkan nomor pengakuan TCP dalam paket. |
||
|
Menampilkan ukuran jendela paket TCP dalam byte. |
||
|
Jenis dalam pesan ICMP. |
||
|
Menampilkan angka yang mewakili bidang Kode dalam pesan ICMP. |
||
|
Menampilkan informasi berdasarkan tindakan yang dilakukan. Misalnya, untuk tindakan INFO-EVENTS-LOST, nilainya bidang yang diberikan menunjukkan jumlah kejadian yang terjadi tetapi tidak dicatat dalam waktu yang telah berlalu sejak kejadian sebelumnya dari kejadian jenis ini. |
Catatan
Tanda hubung (-) digunakan di bidang dalam rekaman saat ini yang tidak berisi informasi apa pun.
Membuat file teks netstat dan daftar tugas
Anda dapat membuat dua file log kustom, satu untuk melihat statistik jaringan (daftar semua port yang mendengarkan) dan satu lagi untuk melihat daftar layanan dan tugas aplikasi. Daftar tugas berisi ID Proses (pengidentifikasi proses, PID) untuk peristiwa yang terdapat dalam file statistik jaringan. Prosedur untuk membuat kedua file ini dijelaskan di bawah ini.
Untuk membuat file teks statistik jaringan dan daftar tugas melakukan hal berikut:
Di baris perintah, ketik netstat -ano > netstat.txt dan tekan tombol MEMASUKI.
Di baris perintah, ketik daftar tugas > daftar tugas.txt dan tekan tombol MEMASUKI. Jika Anda ingin membuat file teks dengan daftar layanan, ketik daftar tugas /svc > daftar tugas.txt.
Buka file tasklist.txt dan netstat.txt.
Temukan ID dari proses yang Anda diagnosis di file tasklist.txt dan bandingkan dengan nilai yang terdapat di file netstat.txt. Catat protokol yang digunakan.
Contoh menerbitkan file Tasklist.txt dan Netstat.txt
netstat.txt
Proto Alamat Lokal Asing Alamat Negara PID
TCP 0.0.0.0:XXX 0.0.0.0:0 MENDENGARKAN 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 MENDENGARKAN 322
Daftar tugas.txt
Nama Gambar PID Nama Sesi Sesi# Penggunaan Mem
==================== ======== ================ =========== ============
svchost.exe 122 Layanan 0 7.172 K
XzzRpc.exe 322 Layanan 0 5.104 K
Catatan
Alamat IP asli telah diubah menjadi "X" dan layanan RPC menjadi "z".
Pastikan layanan penting berjalan
Layanan berikut harus berjalan:
Layanan Penyaringan Dasar
Klien Kebijakan Grup
Modul Kunci IPsec untuk Pertukaran Kunci Internet dan IP Terotentikasi
Layanan Pembantu IP
Layanan Agen Kebijakan IPSec
Layanan Lokasi Jaringan
Layanan Daftar Jaringan
Windows Firewall
Untuk membuka snap-in Layanan dan memverifikasi bahwa layanan yang diperlukan sedang berjalan, ikuti langkah-langkah berikut:
Klik tombolnya Awal dan pilih bagian Panel kendali.
Klik ikon Sistem dan perawatannya dan pilih bagian Administrasi.
Klik dua kali ikon tersebut Jasa.
Jika kotak dialog Kontrol Akun Pengguna muncul, masukkan kredensial yang diperlukan untuk pengguna dengan izin yang sesuai, lalu klik Melanjutkan.
Pastikan layanan yang tercantum di atas berjalan. Jika satu atau lebih layanan tidak berjalan, klik kanan nama layanan dalam daftar dan pilih perintah Berlari.
Cara tambahan untuk memecahkan masalah
Sebagai upaya terakhir, Anda dapat mengembalikan pengaturan Windows Firewall default. Mengembalikan pengaturan default akan menghilangkan semua pengaturan yang dibuat sejak Windows Vista diinstal. Hal ini dapat menyebabkan beberapa program berhenti bekerja. Selain itu, jika Anda mengelola komputer dari jarak jauh, koneksi ke komputer tersebut akan terputus.
Sebelum mengembalikan pengaturan default, pastikan Anda menyimpan konfigurasi firewall Anda saat ini. Ini akan memungkinkan Anda untuk memulihkan pengaturan Anda jika perlu.
Langkah-langkah untuk menyimpan konfigurasi firewall dan memulihkan pengaturan default dijelaskan di bawah ini.
Untuk menyimpan konfigurasi firewall saat ini, lakukan hal berikut:
Dalam sekejap Windows Firewall dengan Keamanan Tingkat Lanjut klik tautannya Kebijakan Ekspor dalam ruang lingkup konsol.
Untuk memulihkan pengaturan firewall default, lakukan hal berikut:
Dalam sekejap Windows Firewall dengan Keamanan Tingkat Lanjut klik tautannya Kembalikan Default dalam ruang lingkup konsol.
Saat diminta oleh Windows Firewall dengan Keamanan Lanjutan, klik Ya untuk mengembalikan nilai default.
Kesimpulan
Ada banyak cara untuk mendiagnosis dan menyelesaikan masalah Windows Firewall dengan Advanced Security. Diantara mereka:
Penggunaan fungsi Pengamatan untuk melihat aktivitas firewall, aturan keamanan koneksi, dan asosiasi keamanan.
Analisis peristiwa audit keamanan yang terkait dengan Windows Firewall.
Membuat file teks Daftar tugas Dan netstat untuk analisis komparatif.
Dimulai dengan Server 2008 dan Vista, mekanisme WFP dibangun ke dalam Windows,
yang merupakan kumpulan API dan layanan sistem. Dengan itu, menjadi mungkin
tolak dan izinkan koneksi, kelola paket individu. Ini
inovasi dimaksudkan untuk menyederhanakan kehidupan pengembang berbagai
perlindungan Perubahan yang dilakukan pada arsitektur jaringan memengaruhi mode kernel dan
dan bagian mode pengguna dari sistem. Dalam kasus pertama, fungsi yang diperlukan diekspor
fwpkclnt.sys, yang kedua - fwpuclnt.dll (huruf "k" dan "u" di nama perpustakaan
berdiri untuk kernel dan pengguna masing-masing). Pada artikel ini, kita akan berbicara tentang penggunaannya
WFP untuk mencegat dan memfilter lalu lintas, dan setelah membiasakan diri dengan dasar-dasarnya
Dengan definisi dan kemampuan WFP, kami akan menulis filter sederhana kami sendiri.
Konsep dasar
Sebelum kita mulai coding, kita benar-benar perlu membiasakan diri dengan terminologi
Microsoft - dan untuk memahami artikel itu akan bermanfaat, dan literatur tambahan
akan lebih mudah dibaca :) Jadi ayo pergi.
Klasifikasi- proses penentuan apa yang harus dilakukan dengan paket tersebut.
Dari kemungkinan tindakan: izinkan, blokir, atau panggil info.
Info adalah sekumpulan fungsi pada driver yang melakukan pemeriksaan
paket. Mereka memiliki fungsi khusus yang melakukan klasifikasi paket. Ini
fungsi dapat membuat keputusan berikut:
- izinkan(FWP_ACTION_PERMIT);
- blok(FWP_ACTION_BLOCK);
- melanjutkan pemrosesan;
- meminta lebih banyak data;
- mengakhiri koneksi.
Filter- aturan yang menentukan kapan harus menelepon
keterangan ini atau itu. Satu driver dapat memiliki beberapa info, dan
kita akan membahas pengembangan driver callout di artikel ini. Ngomong-ngomong, colout
ada juga yang built-in, misalnya NAT-callout.
lapisan adalah fitur di mana berbagai filter digabungkan (atau,
seperti yang mereka katakan di MSDN, "wadah").
Sebenarnya, dokumentasi dari Microsoft terlihat agak suram
Anda tidak dapat melihat contoh di WDK. Karena itu, jika Anda tiba-tiba memutuskan untuk mengembangkan sesuatu
Serius, Anda pasti harus memeriksanya. Nah sekarang lancar
mari kita lanjutkan untuk berlatih. Untuk kompilasi dan pengujian yang berhasil, Anda memerlukan WDK (Windows
Kit Pengemudi), VmWare, mesin virtual dengan Vista diinstal dan debugger WinDbg.
Adapun WDK, saya pribadi menginstal versi 7600.16385.0 - semuanya ada di sana
lib yang diperlukan (karena kami akan mengembangkan driver, kami hanya perlu
fwpkclnt.lib dan ntoskrnl.lib) dan contoh WFP. Tautan ke keseluruhan
Alat tersebut telah dikutip beberapa kali, jadi kami tidak akan mengulanginya sendiri.
Pengkodean
Untuk menginisialisasi info, saya menulis fungsi BlInitialize. Algoritma umum
membuat info dan menambahkan filter adalah seperti ini:
- FWPENGINEOPEN0 melakukan pembukaan sesi;
- FWPMTRANSACTIONBEGIN0- mulai beroperasi dengan WFP;
- FWPSCALLOUTREGISTER0- pembuatan info baru;
- FWPMCALLOUTADD0- menambahkan objek info ke sistem;
- FWPMFILTERAD0- menambahkan filter baru;
- FWPMTRANSACTIONCOMMIT0- menyimpan perubahan (ditambahkan
filter).
Perhatikan bahwa fungsi diakhiri dengan 0. Di Windows 7, beberapa di antaranya
fungsi telah diubah, misalnya, FwpsCalloutRegister1 muncul (ketika
menyimpan FwpsCalloutRegister0). Mereka berbeda dalam argumen dan, sebagai hasilnya,
prototipe fungsi klasifikasi, tetapi bagi kami itu tidak masalah sekarang - 0-fungsi
universal.
FwpmEngineOpen0 dan FwpmTransactionBegin0 tidak menarik bagi kami - ini adalah
tahap persiapan. Kegembiraan dimulai dengan fungsinya
FwpsCalloutRegister0:
Prototipe FwpsCalloutRegister0
NTSTATUS NTAPI FwpsCalloutRegister0
__inout batal *deviceObject,
__in const FWPS_CALLOUT0 *info,
__out_opt UINT32 *calloutId
);
Saya sudah mengatakan bahwa info adalah sekumpulan fungsi, sekarang saatnya
membicarakannya lebih detail. Struktur FWPS_CALLOUT0 berisi pointer ke tiga
fungsi - mengklasifikasikan (classifyFn) dan dua memberi tahu (tentang
menambahkan/menghapus filter (notifyFn) dan menutup aliran yang sedang diproses (flowDeleteFn)).
Dua fungsi pertama wajib, yang terakhir diperlukan hanya jika
Anda ingin memantau paket itu sendiri, bukan hanya koneksinya. Juga dalam struktur
berisi pengidentifikasi unik, callout GUID (calloutKey).
kode pendaftaran panggilan
Panggilan FWPS_CALLOUT = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// mengklasifikasikan fungsi
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlBeritahu;
// fungsi memberi tahu tentang penambahan/penghapusan filter
// buat info baru
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);
WINAPI DWORD FwpmCalloutAdd0(
__di HANDLE engineHandle,
__in const FWPM_CALLOUT0 *info,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_(
calloutKey GUID;
FWPM_DISPLAY_DATA0 menampilkanData; // keterangan keterangan
bendera UINT32;
GUID *providerKey;
FWP_BYTE_BLOB providerData;
GUID Lapisan yang berlaku;
calloutId UINT32;
) FWPM_CALLOUT0;
Dalam struktur FWPM_CALLOUT0, kami tertarik pada bidang applyLayer - unik
pengidentifikasi tingkat tempat info ditambahkan. Dalam kasus kami, ini
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" dalam nama pengidentifikasi berarti versinya
Protokol Ipv4, ada juga FWPM_LAYER_ALE_AUTH_CONNECT_V6 untuk Ipv6. Mempertimbangkan
prevalensi rendah Ipv6 saat ini, kami hanya akan bekerja dengan
ipv4. CONNECT dalam namanya berarti kami hanya mengontrol instalasi
koneksi, tidak ada masalah paket masuk dan keluar ke alamat ini! Sama sekali
ada banyak level selain yang kita gunakan - semuanya dideklarasikan di file header
fwpmk.h dari WDK.
Menambahkan objek info ke sistem
// nama panggilan
displayData.name = L"Blocker Callout";
displayData.description = L"Seruan Pemblokir";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = datatampilan;
// keterangan keterangan
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);
Jadi, setelah info berhasil ditambahkan ke sistem, Anda perlu membuat
filter, yaitu, tentukan dalam kasus apa info kita akan dipanggil, yaitu
- fungsi klasifikasinya. Filter baru dibuat oleh fungsi FwpmFilterAdd0,
yang struktur FWPM_FILTER0 diteruskan sebagai argumen.
FWPM_FILTER0 berisi satu atau lebih struktur FWPM_FILTER_CONDITION0 (
nomornya ditentukan oleh bidang numFilterConditions). Bidang layerKey diisi dengan GUID
lapisan (layer) yang ingin kita gabungkan. Dalam hal ini, kami menentukan
FWPM_LAYER_ALE_AUTH_CONNECT_V4.
Sekarang mari kita lihat lebih dekat pengisian FWPM_FILTER_CONDITION0. Pertama, di
bidang fieldKey harus ditentukan secara eksplisit apa yang ingin kita kontrol - port, alamat,
aplikasi atau yang lainnya. Dalam hal ini WPM_CONDITION_IP_REMOTE_ADDRESS
memberi tahu sistem bahwa kami tertarik dengan alamat IP. Nilai fieldKey menentukan
jenis nilai apa yang akan disertakan dalam struktur FWP_CONDITION_VALUE
FWPM_FILTER_CONDITION0. Dalam hal ini, ini berisi alamat ipv4. Ayo pergi
lebih jauh. Kolom matchType menentukan bagaimana perbandingan akan dibuat.
nilai dalam FWP_CONDITION_VALUE dengan apa yang masuk melalui jaringan. Ada banyak opsi di sini:
Anda dapat menentukan FWP_MATCH_EQUAL, yang berarti sangat cocok dengan kondisi tersebut, dan
Anda bisa - FWP_MATCH_NOT_EQUAL, sebenarnya kita bisa menambahkan ini
dengan demikian memfilter pengecualian (alamat, koneksi yang tidak dilacak).
Ada juga opsi FWP_MATCH_GREATER, FWP_MATCH_LESS dan lainnya (lihat enum
FWP_MATCH_TYPE). Dalam hal ini, kami memiliki FWP_MATCH_EQUAL.
Saya tidak terlalu peduli dan hanya menulis kondisi pemblokiran
satu alamat IP yang dipilih. Jika beberapa aplikasi mencoba
membuat koneksi dengan alamat yang dipilih, classifier akan dipanggil
fungsi info kami. Kode meringkas apa yang telah dikatakan dapat dilihat di
Lihat sidebar "Menambahkan filter ke sistem".
Menambahkan filter ke sistem
filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Seruan Pemblokir";
filter.displayData.description = L"Seruan Pemblokir";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterKondisi = filterKondisi;
// satu kondisi filter
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.berat.jenis = FWP_KOSONG; // bobot otomatis.
// tambahkan filter ke alamat jarak jauh
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// tambahkan filter
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);
Secara umum, tentu saja, ada banyak kondisi penyaringan. Misalnya, Anda bisa
tentukan koneksi pemblokiran ke port jarak jauh atau lokal tertentu (FWPM_CONDITION_IP_REMOTE_PORT
dan FWPM_CONDITION_IP_LOCAL_PORT masing-masing). Dapat menangkap semua paket
protokol khusus atau aplikasi tertentu. Dan itu belum semuanya! Bisa,
misalnya, memblokir lalu lintas pengguna tertentu. Secara umum, ada di mana
berkeliaran.
Namun, kembali ke filter. Fungsi klasifikasi dalam kasus kami sederhana
memblokir koneksi ke alamat yang ditentukan (BLOCKED_IP_ADDRESS), kembali
FWP_ACTION_BLOCK:
Kode fungsi klasifikasi kami
batal BlKlasifikasi(
const FWPS_INCOMING_VALUES* dalam FixedValues,
const FWPS_INCOMING_METADATA_VALUES* di MetaValues,
Paket VOID*, filter IN const FWPS_FILTER*,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// isi struktur FWPS_CLASSIFY_OUT0
if(classifyOut)( // memblokir paket
classifyOut->actionType =
FWP_ACTION_BLOCK;
// saat memblokir sebuah paket, Anda perlu
setel ulang FWPS_RIGHT_ACTION_WRITE
classifyOut->hak&=~FWPS_RIGHT_ACTION_WRITE;
}
}
Dalam praktiknya, fungsi klasifikasi juga dapat mengatur FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE dll.
Dan terakhir, saat membongkar driver, Anda harus menghapus semua yang diinstal
callouts (tebak apa yang terjadi jika sistem mencoba memanggil callout
sopir diturunkan? Itu benar, BSOD). Ada fungsi untuk ini
FwpsCalloutUnregisterById. Itu dilewatkan parameter 32-bit sebagai parameter.
pengenal info yang dikembalikan oleh fungsi FwpsCalloutRegister.
Penyelesaian panggilan
NTSTATUS BlUninisialisasi()(
NTSTATUS ns;
jika(gEngineHandle)(
FwpmEngineClose(gEngineHandle);
}
jika(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
kembali ns;
}
Seperti yang Anda lihat, memprogram filter WFP bukanlah tugas yang sulit, karena
MS memberi kami API yang sangat berguna. Omong-omong, dalam kasus kami, kami menetapkan
filter di driver, tapi bisa juga dilakukan dari usermod! Misalnya, sampel dari wdk
msnmntr (monitor lalu lintas MSN Messenger) melakukan hal itu - memungkinkan Anda untuk tidak melakukannya
membebani bagian mode-kernel dari filter.
GUID Anda
Untuk mendaftarkan info, dibutuhkan pengenal unik. Untuk
dapatkan GUID Anda (Pengidentifikasi Unik Global), gunakan guidgen.exe disertakan
V Studio visual. Alat ini terletak di (VS_Path)\Common7\Tools. Probabilitas Tabrakan
sangat kecil karena GUID panjangnya 128 bit dan tersedia 2^128
pengidentifikasi.
Filter Debug
Untuk men-debug kayu bakar, lebih mudah menggunakan bundel Windbg + VmWare. Untuk ini Anda perlu
konfigurasikan sistem tamu (dalam bentuk yang digunakan Vista) dan debugger
windbg. Jika WinXP harus mengedit boot.ini untuk debugging jarak jauh, maka
untuk Vista+ ada utilitas konsol bcdedit. Seperti biasa, Anda perlu mengaktifkan debugging:
BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
AKTIF (atau BCDedit / atur debug AKTIF)
Sekarang semuanya sudah siap! Kami meluncurkan file batch dengan teks berikut:
mulai windbg -b -k com:pipe,port=\\.\pipe\com_1,reset=0
dan lihat hasil debug di jendela windbg (lihat gambar).
Kesimpulan
Seperti yang Anda lihat, cakupan WFP cukup luas. Anda memutuskan bagaimana
terapkan pengetahuan ini - untuk kejahatan atau untuk kebaikan 🙂
Firewall (firewall atau firewall) Windows tidak menghormati perintah. Sedikit berubah dari XP ke Vista, ia melakukan tugasnya dengan baik, tetapi tidak memiliki ambisi untuk menjadi firewall pribadi terbaik. Namun, terlepas dari kenyataan bahwa firewall Windows 7 menerima beberapa fitur baru, masih belum mendapatkan apa yang saya harapkan.
Menggantung dengan HomeGroup
Selama Instalasi Windows 7 menyarankan untuk membuat "kelompok rumah". Semakin banyak komputer Windows 7 ditemukan di jaringan, mereka juga diminta untuk bergabung dengan grup. Dan yang mereka butuhkan untuk ini hanyalah kata sandi untuk itu. Namun, dengan satu komputer yang menjalankan Windows 7, saya tidak melihat proses masuk ke grup komputer lain, meskipun pemberitahuan tentang ini tidak ada salahnya. Namun, meskipun komputer Windows 7 mana pun dapat bergabung dengan homegroup, komputer Windows 7 Rumah Dasar dan Windows 7 Starter tidak dapat membuatnya.
Komputer di homegroup yang sama dapat berbagi (atau, seperti yang mereka katakan, "berbagi") printer dan pustaka file tertentu. Secara default, pustaka gambar, musik, video, dan dokumen dibagikan, tetapi pengguna dapat membatasinya atas kebijakannya sendiri. Bantuan dalam sistem operasi memberikan penjelasan yang jelas tentang cara mengecualikan file atau folder agar tidak dibagikan, atau cara membuatnya hanya-baca atau cara membatasi akses ke sana.
Dalam miliknya jaringan rumah pengguna dapat membagikan kontennya ke komputer dan perangkat lain, dan bahkan ke komputer non-Windows 7 dan bahkan ke non-komputer sama sekali. Secara khusus, Microsoft menunjukkan contoh cara berbagi konten untuk Xbox 360. Namun, perusahaan tidak menawarkan untuk menyambungkan Wii ke jaringan. Sayangnya, perusahaan tidak memenuhi syarat Wii sebagai perangkat media streaming.
Jadi seberapa amankah jaringan rumah di Windows 7? Biasanya, pengguna yang gagal berbagi file dan folder mulai menonaktifkan semua yang ada di sekitar, termasuk filewall, antivirus, dll., Yang menurut mereka dapat mengganggu proses ini. Pada saat yang sama, jika Anda membuat berbagi menjadi sederhana, mematikan semua yang ada di sekitar dapat dihindari.
Jika Vista membagi jaringan menjadi publik (Publik) dan pribadi (Pribadi), maka Windows 7 membagi jaringan pribadi menjadi rumah (Rumah) dan kantor (Kerja). kelompok rumah(HomeGroup) hanya tersedia bila jaringan asal dipilih. Namun, bahkan di jaringan kerja, komputer Anda masih dapat melihat dan terhubung ke perangkat lain di dalamnya. Sebaliknya, di jaringan publik (seperti warnet nirkabel), Windows 7 memblokir akses ke Anda dan dari Anda ke perangkat lain, demi keamanan Anda. Ini adalah kesempatan kecil tapi bagus.
Firewall mode ganda
Di Vista dan XP, mengelola firewall semudah menyalakan dan mematikannya. Pada saat yang sama waktu jendela 7 menawarkan kepada pengguna pengaturan konfigurasi yang berbeda untuk jaringan pribadi (rumah dan kantor) dan publik. Pada saat yang sama, pengguna tidak perlu memasukkan pengaturan firewall untuk bekerja, katakanlah, di kafe lokal. Cukup baginya untuk memilih jaringan publik, dan firewall itu sendiri akan menerapkan seluruh rangkaian parameter pembatas. Kemungkinan besar, pengguna akan mengonfigurasi jaringan publik untuk memblokir semua koneksi yang masuk. Di Vista, ini tidak dapat dilakukan tanpa memutus semua lalu lintas masuk jaringan sendiri pengguna.
Beberapa pengguna tidak mengerti mengapa firewall dibutuhkan. Jika UAC berfungsi, bukankah firewall berlebihan? Faktanya, program-program ini melayani tujuan yang sangat berbeda. UAC melacak program dan operasinya dalam sistem lokal. Firewall, di sisi lain, mengamati dengan cermat data yang masuk dan keluar. Jika Anda membayangkan kedua program ini sebagai dua pahlawan yang saling membelakangi dan menangkis serangan zombie, Anda hampir dapat mengatakan bahwa Anda tidak salah.
Awalnya saya tertarik kesempatan baru“Beri tahu saya ketika Windows Firewall memblokir program baru". Bukankah ini pertanda bahwa Windows Firewall telah mengambil alih program dan menjadi firewall dua arah yang sebenarnya?. Saya dilahap oleh keinginan untuk menonaktifkan fitur ini. Dan sebagai hasilnya, Windows Firewall tidak mendapatkan rasa hormat yang lebih dari sebelumnya.
Sudah sepuluh tahun sejak ZoneLabs mempopulerkan firewall pribadi dua arah. Program ZoneAlarm miliknya menyembunyikan semua port komputer (yang dapat dilakukan Windows Firewall) dan juga memungkinkan Anda untuk mengontrol akses program ke Internet (Windows Firewall masih tidak dapat melakukan ini). Saya tidak memerlukan pemantauan cerdas atas perilaku program, seperti, misalnya, di Norton keamanan internet 2010 dan paket lainnya. Tapi saya berharap dengan dirilisnya Windows 8, Microsoft akan tetap mengimplementasikan fitur ZoneAlarm yang sudah berumur satu dekade ke dalam firewallnya.
Microsoft sangat menyadari bahwa banyak pengguna menginstal firewall pihak ketiga dan paket keamanan dan cukup menonaktifkan Windows Firewall. Di masa lalu, banyak program keamanan pihak ketiga secara otomatis menonaktifkan Windows Firewall untuk menghindari konflik. Di Windows 7, Microsoft telah melakukannya sendiri. Saat memasang firewall yang dikenalnya, sistem operasi menonaktifkan firewall bawaannya dan melaporkan bahwa "pengaturan firewall dikendalikan oleh program ini dan itu dari pabrikan ini dan itu."
Apakah Anda menggunakannya atau tidak, Windows Firewall hadir di setiap Windows 7, dengan integrasi mendalam dengan sistem operasi. Jadi bukankah lebih baik jika aplikasi keamanan pihak ketiga dapat menggunakan filewall Windows untuk tujuan mereka sendiri? Ide ini terletak di balik antarmuka pemrograman yang disebut Platform Penyaringan Windows. Tetapi apakah pengembang akan menggunakannya? Lebih lanjut tentang ini di bagian selanjutnya.
Keamanan Windows 7: Platform Penyaringan Windows - Platform Penyaringan Windows
Firewall harus bekerja dengan Windows 7 pada level yang sangat rendah, yang sangat dibenci oleh programmer Microsoft. Beberapa teknologi Microsoft, seperti PatchGuard, ditemukan di Windows 7 edisi 64-bit (Windows 7 64-bit memiliki sejumlah keunggulan keamanan dibandingkan Windows 7 32-bit), memblokir penyusup dan juga melindungi kernel agar tidak dapat mengaksesnya. Namun, Microsoft tidak memberikan tingkat keamanan yang sama dengan program pihak ketiga. Jadi apa yang harus dilakukan?
Solusi untuk masalah ini adalah Platform Penyaringan Windows (WFP). Yang terakhir, menurut Microsoft, memungkinkan firewall pihak ketiga didasarkan pada fitur inti Windows Firewall - memungkinkan mereka untuk menambahkan fitur khusus dan secara selektif mengaktifkan atau menonaktifkan bagian dari Windows Firewall. Hasilnya, pengguna dapat memilih firewall yang akan berdampingan dengan Windows Firewall.
Tetapi seberapa bermanfaatkah ini bagi pengembang perangkat lunak keamanan? Apakah mereka akan menggunakannya? Saya mewawancarai beberapa orang dan mendapat banyak jawaban.
BitDefender LLC
Manajer Pengembangan Produk Iulian Costache menyatakan bahwa perusahaannya saat ini menjalankan platform tersebut di Windows 7. Namun, mereka mengalami kebocoran memori yang signifikan. Bug ada di pihak Microsoft, seperti yang telah dikonfirmasi oleh raksasa perangkat lunak terbesar. Namun, Julian belum mengetahui kapan akan diselesaikan. Sementara itu, mereka diganti sementara pengemudi baru WFP ke TDI lama.
Periksa Point Software Technologies Ltd
Mirka Janus, manajer PR di Check Point Software Technologies Ltd, mengatakan perusahaannya telah menggunakan WFP sejak Vista. Mereka juga menggunakan platform di bawah Windows 7. Ini adalah antarmuka yang bagus dan didukung dengan baik, tetapi malware atau driver yang tidak kompatibel dapat berbahaya bagi produk keamanan yang mengandalkannya. ZoneAlarm selalu mengandalkan dua lapis – lapis koneksi jaringan dan tingkat kelompok. Sejak Vista, Microsoft telah menawarkan WFP sebagai cara yang didukung untuk memfilter koneksi jaringan. Dimulai dengan Windows 7 SP1, Microsoft harus mengajarkan WFP untuk mengaktifkan pemfilteran paket.
“Menggunakan API yang didukung berarti meningkatkan stabilitas dan mengurangi BSOD. Banyak driver yang dapat didaftarkan dan setiap pengembang driver tidak perlu khawatir tentang kompatibilitas dengan yang lain. Jika ada pengemudi, katakanlah, diblokir, tidak ada pengemudi lain yang terdaftar yang dapat melewati pemblokiran ini. Di sisi lain, driver yang tidak kompatibel dapat menjadi masalah, melewati semua yang terdaftar lainnya. Kami tidak hanya mengandalkan WFP untuk keamanan jaringan.”
Perusahaan F-Secure
Mikko Hypponen, seorang peneliti senior di F-Secure Corporation, menyatakan bahwa untuk beberapa alasan, WFP tidak pernah berhubungan dengan pengembang perangkat lunak keamanan. Pada saat yang sama, perusahaannya telah menggunakan WFP cukup lama dan senang dengannya.
McAfee Inc.
Pada gilirannya, arsitek utama McAfee Ahmed Sallam (Ahmed Sallam) mengatakan bahwa WFP adalah antarmuka pemfilteran jaringan yang lebih kuat dan fleksibel daripada antarmuka sebelumnya berdasarkan NDIS. McAfee memanfaatkan WFP secara ekstensif dalam produk keamanannya.
Pada saat yang sama, meskipun WFP memiliki fitur positif, penjahat dunia maya juga dapat memanfaatkan platform tersebut. Platform memungkinkan malware untuk memasuki tumpukan lapisan jaringan kernel Windows. Oleh karena itu, 64-bit driver Windows tingkat kernel harus memiliki tanda tangan digital untuk melindungi kernel agar tidak dimuat ke dalamnya malware. Namun, tanda tangan digital tidak diperlukan pada versi 32-bit.
Ya, secara teori, tanda tangan digital adalah mekanisme pertahanan yang masuk akal, tetapi pada kenyataannya pembuat malware masih bisa mendapatkannya.
keamanan panda
Juru bicara Panda Security Pedro Bustamante mengatakan perusahaannya memantau platform WFP tetapi saat ini tidak menggunakannya. Perusahaan percaya bahwa kelemahan utama WFP adalah, pertama, ketidakmampuan untuk menciptakan teknologi yang dapat digabungkan berbagai teknik untuk memaksimalkan perlindungan. Teknologi tidak berguna jika perusahaan tidak dapat melihat paket masuk dan keluar ke mesin. Itu juga harus bertindak sebagai sensor untuk teknologi perlindungan lainnya. Tak satu pun dari fitur ini disediakan oleh WFP. Kedua, WFP hanya didukung oleh Vista dan sistem operasi yang lebih baru. Platform tidak kompatibel ke belakang. Dan ketiga, WFP adalah platform yang cukup baru, dan perusahaan lebih memilih untuk membangun teknologi lama yang lebih mapan.
Symantec Corp.
Direktur manajemen produk konsumen Symantec, Dan Nadir, mengatakan bahwa WFP belum digunakan dalam produk mereka karena relatif baru. Namun, seiring waktu, perusahaan berencana untuk bermigrasi ke sana, karena. antarmuka lama yang mereka andalkan sekarang tidak akan dapat menyediakan fungsionalitas penuh yang mereka butuhkan. Mereka menganggap WFP sebagai platform yang bagus karena itu telah dirancang khusus untuk menyediakan interoperabilitas antara berbagai perangkat lunak pihak ketiga. Pada prinsipnya, platform seharusnya memiliki lebih sedikit masalah kompatibilitas di masa mendatang. WFP juga bagus karena terintegrasi dengan Microsoft Network Diagnostic Framework. Ini sangat berguna sebagai sangat memudahkan pencarian program tertentu yang menjadi kendala lalu lintas jaringan. Akhirnya, WFP harus mengarah pada peningkatan kinerja dan stabilitas sistem operasi, seperti platform menghindari emulasi dan konflik driver atau masalah stabilitas.
Namun, di sisi lain, menurut Nadir, WFP dapat menciptakan masalah tertentu yang ada di struktur mana pun - pengembang yang mengandalkan WFP tidak dapat menutup kerentanan di dalam WFP itu sendiri, juga tidak dapat memperluas fitur spesifik yang ditawarkan oleh WFP. Selain itu, jika banyak program bergantung pada WFP, pembuat malware secara teoritis dapat mencoba menyerang WFP itu sendiri.
TrendMicro Inc.
Direktur Riset di Trend Micro Inc. Dale Liao mengatakan bahwa keuntungan terbesar dari platform ini adalah kompatibilitas dengan sistem operasinya. Juga firewall standar sekarang berguna. Jadi sekarang mereka dapat berfokus pada hal yang benar-benar penting bagi pengguna. Hal buruk tentang WFP adalah ketika bug ditemukan di platform, perusahaan harus menunggu Microsoft untuk memperbaikinya.
WFP: Kesimpulan
Akibatnya, sebagian besar pengembang perangkat lunak keamanan yang saya wawancarai sudah menggunakan WFP. Benar, beberapa paralel dengan teknologi lain. Mereka menyukai interoperabilitas, mereka menyukai sifat platform yang terdokumentasi dan resmi, dan juga stabilitas operasinya. Dengan yang lain, sisi negatif, jika semua pengembang mulai mengandalkan WFP, maka platform tersebut berpotensi menjadi titik rawan bagi semua orang. Dan mereka harus bergantung pada Microsoft untuk memperbaikinya. Selain itu, platform belum menawarkan pemfilteran tingkat paket.
Kerugian besar WFP juga tidak tersedia di Windows XP. Oleh karena itu, pengembang yang ingin mendukung XP harus menjalankan dua proyek paralel. Namun, saat XP keluar dari pasar, saya pikir WFP akan menjadi lebih populer di kalangan pengembang.
Memuat...