Sistem de operare Snap-in Management Console (MMC). Windows Vista™ este un firewall de înregistrare în rețea pentru stațiile de lucru care filtrează conexiunile de intrare și de ieșire în funcție de setările pe care le-ați configurat. Acum puteți configura firewall și setările IPsec cu un singur snap-in. Acest articol descrie Windows Firewall cu securitate avansată, probleme comune și soluții.
Cum funcționează Windows Firewall cu securitate avansată
Windows Firewallîn modul de securitate îmbunătățită, este un firewall de înregistrare a stării rețelei pentru stațiile de lucru. Spre deosebire de firewall-urile pentru routere, care sunt implementate la gateway-ul dintre rețeaua locală și Internet, Windows Firewall este proiectat să ruleze pe computere individuale. Monitorizează doar traficul stație de lucru: trafic care ajunge la adresa IP a acestui computer și trafic de ieșire către computerul însuși. Paravanul de protecție Windows cu securitate avansată efectuează următoarele operațiuni de bază:
Pachetul de intrare este verificat și comparat cu lista de trafic permis. Dacă pachetul se potrivește cu una dintre valorile din listă, Windows Firewall transmite pachetul către TCP/IP pentru procesare ulterioară. Dacă pachetul nu se potrivește cu niciuna dintre valorile din listă, Windows Firewall blochează pachetul și, dacă înregistrarea este activată, creează o intrare în fișierul jurnal.
Lista traficului permis se formează în două moduri:
Când o conexiune controlată de Windows Firewall cu Advanced Security trimite un pachet, firewall-ul creează o valoare în listă pentru a permite traficul de întoarcere. Traficul de intrare adecvat va necesita o permisiune suplimentară.
Când creați un paravan de protecție Windows cu o regulă de autorizare a securității avansate, traficul pentru care este creată regula va fi permis pe un computer care rulează Windows Firewall. Acest computer va accepta traficul de intrare permis în mod explicit atunci când operează ca server, computer client sau gazdă de rețea peer-to-peer.
Primul pas în rezolvarea problemelor cu Windows Firewall este să verificați ce profil este activ. Windows Firewall with Advanced Security este o aplicație care monitorizează mediul de rețea. Profilul Windows Firewall se modifică atunci când mediul de rețea se modifică. Un profil este un set de setări și reguli care se aplică în funcție de mediul de rețea și de conexiunile de rețea active.
Firewall-ul distinge între trei tipuri de medii de rețea: rețele de domeniu, publice și private. Un domeniu este un mediu de rețea în care conexiunile sunt autentificate de un controler de domeniu. În mod implicit, toate celelalte tipuri de conexiuni la rețea sunt tratate ca rețele publice. La descoperirea unui nou Conexiuni Windows Vista solicită utilizatorului să indice dacă această rețea privat sau public. Profilul general este destinat utilizării în locuri publice precum aeroporturi sau cafenele. Un profil privat este conceput pentru a fi utilizat acasă sau la birou și într-o rețea securizată. Pentru a defini o rețea ca fiind privată, utilizatorul trebuie să aibă privilegiile administrative corespunzătoare.
Deși computerul poate fi conectat la rețele în același timp tip diferit, un singur profil poate fi activ. Alegerea unui profil activ depinde de următoarele motive:
Dacă toate interfețele folosesc autentificarea controlerului de domeniu, se folosește profilul de domeniu.
Dacă cel puțin una dintre interfețe este conectată la o rețea privată și toate celelalte sunt conectate la un domeniu sau rețele private, se folosește profilul privat.
În toate celelalte cazuri, se utilizează profilul general.
Pentru a determina profilul activ, faceți clic pe nod Observareîntr-o clipă Firewall Windows cu securitate avansată. Deasupra textului Stare firewall va indica ce profil este activ. De exemplu, dacă un profil de domeniu este activ, legenda va fi afișată în partea de sus Profil de domeniu activ.
Folosind profiluri, Windows Firewall poate permite automat traficul de intrare pentru instrumente speciale de gestionare a computerului atunci când computerul se află într-un domeniu și poate bloca același trafic atunci când computerul este conectat la o rețea publică sau privată. Astfel, determinarea tipului de mediu de rețea asigură protecția dumneavoastră retea locala fără a compromite securitatea utilizatorilor de telefonie mobilă.
Probleme frecvente la rularea Windows Firewall cu Advanced Security
Următoarele sunt principalele probleme care apar atunci când rulați Windows Firewall cu Advanced Security:
În cazul în care traficul este blocat, ar trebui să verificați mai întâi dacă firewall-ul este activat și ce profil este activ. Dacă vreuna dintre aplicații este blocată, asigurați-vă că în snap Firewall Windows cu securitate avansată există o regulă de autorizare activă pentru profilul curent. Pentru a verifica dacă există o regulă de permis, faceți dublu clic pe nod Observare, apoi selectați o secțiune Firewall. Dacă nu există reguli active de permis pentru acest program, mergeți la nod și creați o nouă regulă pentru acest program. Creați o regulă pentru un program sau serviciu sau specificați un grup de reguli care se aplică acestei caracteristici și asigurați-vă că toate regulile din acel grup sunt activate.
Pentru a verifica dacă o regulă de permis nu este înlocuită de o regulă de blocare, urmați acești pași:
În arborele de instrumente Firewall Windows cu securitate avansată faceți clic pe nodul Observare, apoi selectați o secțiune Firewall.
Vizualizați o listă a tuturor activelor locale și Politica de grup. Regulile de refuz anulează regulile de permis, chiar dacă acestea din urmă sunt definite mai precis.
Politica de grup împiedică aplicarea regulilor locale
Dacă Paravanul de protecție Windows cu securitate avansată este configurat folosind Politica de grup, un administrator poate specifica dacă sunt utilizate regulile de firewall sau regulile de securitate a conexiunii create de administratorii locali. Acest lucru are sens dacă există reguli de firewall locale configurate sau reguli de securitate a conexiunii care nu sunt în secțiunea de setări corespunzătoare.
Pentru a afla de ce lipsesc regulile de firewall locale sau regulile de securitate a conexiunii din secțiunea Monitorizare, procedați în felul următor:
într-o clipă Firewall Windows cu securitate avansată, dă click pe link Proprietăți Windows Firewall.
Selectați fila profil activ.
În capitolul Opțiuni, apasa butonul Ton.
Dacă se aplică regulile locale, secțiunea Reguli de combinare va fi activ.
Regulile care necesită conexiuni securizate pot bloca traficul
Când creați o regulă de firewall pentru traficul de intrare sau de ieșire, una dintre opțiuni este . Dacă este selectat funcţie dată, trebuie să aveți o regulă adecvată de securitate a conexiunii sau o politică IPSec separată care să definească ce trafic este securizat. În caz contrar, acest trafic este blocat.
Pentru a verifica dacă una sau mai multe reguli de aplicație necesită conexiuni securizate, urmați acești pași:
În arborele de instrumente Firewall Windows cu securitate avansată faceți clic pe secțiunea Reguli pentru conexiunile de intrare. Selectați regula pe care doriți să o verificați și faceți clic pe link Proprietățiîn sfera consolei.
Selectați fila Generalși verificați dacă valoarea butonului radio este selectată Permiteți numai conexiuni securizate.
Dacă parametrul este specificat pentru regulă Permiteți numai conexiuni securizate, extindeți secțiunea Observareîn arborele snap-in și selectați secțiunea. Asigurați-vă că traficul definit în regula firewall are regulile adecvate de securitate a conexiunii.
Avertizare:
Dacă aveți o politică IPSec activă, asigurați-vă că aceasta protejează traficul necesar. Nu creați reguli de securitate a conexiunii pentru a evita conflictul între politica IPSec și regulile de securitate a conexiunii.
Nu se pot permite conexiuni de ieșire
În arborele de instrumente Firewall Windows cu securitate avansată Alegeți o secțiune Observare. Selectați fila profil activ și sub Stare firewall verificați dacă sunt permise conexiunile de ieșire care nu se potrivesc cu regula de permis.
În capitolul Observare Alegeți o secțiune Firewall pentru a vă asigura că conexiunile de ieșire necesare nu sunt listate în regulile de refuzare.
Politicile mixte pot bloca traficul
Puteți configura firewall-ul și setările IPSec folosind diverse interfețe Sistemul de operare Windows.
Crearea de politici în mai multe locuri poate duce la conflicte și blocarea traficului. Sunt disponibile următoarele puncte de setare:
Firewall Windows cu securitate avansată. Această politică este configurată folosind snap-in-ul adecvat la nivel local sau ca parte a unei politici de grup. Această politică controlează paravanul de protecție și setările IPSec pe computerele care rulează Windows Vista.
Șablon administrativ Windows Firewall. Această politică este configurată utilizând Editorul de obiecte de politică de grup din secțiunea. Această interfață conține setări Windows Firewall care erau disponibile înainte de Windows Vista și este destinată configurarii GPO-ului care gestionează Versiunile anterioare Windows. Deși aceste setări pot fi utilizate pentru computerele care rulează Control Windows Vista, este recomandat să utilizați politica în schimb Firewall Windows cu securitate avansată deoarece oferă mai multă flexibilitate și securitate. Rețineți că unele dintre setările profilului de domeniu sunt partajate între șablonul administrativ Windows Firewall și politica Windows Firewall. Firewall Windows cu securitate avansată, așa că puteți vedea aici setările configurate în profilul de domeniu folosind snap-in-ul Firewall Windows cu securitate avansată.
Politicile IPSec. Această politică este configurată folosind snap-in-ul local Managementul politicii IPSec sau Editorul de obiecte de politică de grup din Configurație computer\Setări Windows\Setări de securitate\Politici de securitate IP pe computerul local. Această politică definește setările IPSec care pot fi utilizate de ambele versiuni anterioare de Windows și Windows Vista. Nu aplicați această politică și regulile de securitate a conexiunii definite în politică pe același computer în același timp. Firewall Windows cu securitate avansată.
Pentru a vedea toate aceste opțiuni în snap-in-urile corespunzătoare, creați-vă propriul snap-in Consola de administrare și adăugați-i snap-in-urile Firewall Windows cu securitate avansată, și Securitate IP.
Pentru a vă crea propriul snap-in pentru consolă de management, urmați acești pași:
Faceți clic pe butonul start, accesați meniul Toate programele, apoi în meniu Standardși selectați elementul Alerga.
Într-o casetă de text Deschis INTRODUCE.
Continua.
În meniu Consolă Selectați .
Listată Snap-in-uri disponibile selectați o clipă Firewall Windows cu securitate avansatăși apăsați butonul Adăuga.
Faceți clic pe butonul O.K.
Repetați pașii de la 1 la 6 pentru a adăuga fotografii Control Politica de grup și Monitor de securitate IP.
Pentru a verifica ce politici sunt active în profilul activ, utilizați următoarea procedură:
Pentru a verifica ce politici sunt aplicate, urmați acești pași:
LA Linie de comanda tastați mmc și apăsați tasta INTRODUCE.
Dacă apare o casetă de dialog Control cont utilizator, confirmați acțiunea solicitată și faceți clic Continua.
În meniu Consolă selectați elementul Adăugați sau eliminați o clipă.
Listată Snap-in-uri disponibile selectați o clipă Managementul politicii de grupși apăsați butonul Adăuga.
Faceți clic pe butonul O.K.
Extindeți nodul din copac (de obicei arborele pădurii în care acest calculator) și faceți dublu clic pe secțiunea din panoul de detalii al consolei.
Selectați valoarea comutatorului Afișați setările politicii pentru din valori utilizator curent sau alt utilizator. Dacă nu doriți să afișați setările de politică pentru utilizatori, ci doar setările de politică pentru computer, selectați valoarea butonului radio Nu afișați politica utilizatorului (vezi numai politica computerului)și faceți dublu clic pe butonul Mai departe.
Faceți clic pe butonul Gata. Expertul privind rezultatele politicii de grup generează un raport în panoul de detalii al consolei. Raportul conține file rezumat, Opțiuniși Evenimente politice.
Pentru a verifica dacă nu există niciun conflict cu politicile de securitate IP, după generarea raportului, selectați Opțiuniși deschideți Configurare computer\Setări Windows\Setări de securitate\Setări de securitate IP în serviciul de director Active Directory. Dacă ultima secțiune lipsește, atunci nu a fost setată nicio politică de securitate IP. În caz contrar, vor fi afișate numele și descrierea politicii, precum și GPO-ul căruia îi aparține. Dacă utilizați o politică de securitate IP și o politică Windows Firewall cu securitate avansată în același timp cu regulile de securitate a conexiunii, aceste politici pot intra în conflict. Se recomandă să utilizați doar una dintre aceste politici. Soluția optimă va folosi politicile de securitate IP împreună cu Windows Firewall cu reguli avansate de securitate pentru traficul de intrare sau de ieșire. Dacă setările sunt configurate în locuri diferite și nu sunt consecvente unele cu altele, pot apărea conflicte de politică greu de rezolvat.
De asemenea, pot exista conflicte între politicile definite în GPO-urile locale și scripturile configurate de departamentul IT. Verificați toate politicile de securitate IP utilizând programul IP Security Monitor sau tastând următoarea comandă la un prompt de comandă:
Pentru a vedea setările definite în șablonul administrativ Windows Firewall, extindeți secțiunea Configurare computer\Șabloane administrative\Rețea\Conexiuni de rețea\Paravan de protecție Windows.
Pentru a vedea cele mai recente evenimente legate de politica actuală, puteți accesa fila evenimente politiceîn aceeași consolă.
Pentru a vedea politica folosită de Windows Firewall cu Advanced Security, deschideți snap-in-ul pe computerul diagnosticat și examinați setările din Observare.
Pentru a vizualiza șabloanele administrative, deschideți snap-in-ul Politica de grup iar in sectiunea Rezultatele politicii de grup Vedeți dacă există setări moștenite din politica de grup care ar putea cauza respingerea traficului.
Pentru a vedea politicile de securitate IP, deschideți programul de completare IP Security Monitor. Selectați în arbore calculator local. În domeniul consolei, selectați linkul Politică activă, Mod de bază sau Modul rapid. Verificați politicile concurente care ar putea duce la blocarea traficului.
În capitolul Observare snap Firewall Windows cu securitate avansată Puteți vedea regulile existente ale politicii locale și de grup. Pentru obtinerea Informații suplimentare consultați secțiunea " Utilizarea funcției de ceas într-un snap-in Firewall Windows cu securitate avansată » din acest document.
Pentru a opri IPSec Policy Agent, urmați acești pași:
Faceți clic pe butonul startși selectați secțiunea Panou de control.
Faceți clic pe pictograma Sistemul și întreținerea acestuiași selectați secțiunea Administrare.
Faceți dublu clic pe pictogramă Servicii. Continua.
Găsiți un serviciu în listă Agent de politici IPSec
Dacă serviciul agent IPSec rulează, dă clic pe el Click dreapta mouse-ul și selectați din meniu Stop. De asemenea, puteți opri serviciul agent IPSec din linia de comandă folosind comanda
Politica de rețea peer-to-peer poate cauza respingerea traficului
Pentru conexiunile care utilizează IPSec, ambele computere trebuie să aibă politici de securitate IP compatibile. Aceste politici pot fi definite folosind snap-inul Windows Firewall Connection Security Rules Securitate IP sau alt furnizor de securitate IP.
Pentru a verifica setările politicii de securitate IP într-o rețea peer-to-peer, urmați acești pași:
Faceți clic pe secțiune Mod de bază, în panoul de detalii al consolei, selectați conexiunea de testat, apoi faceți clic pe link Proprietățiîn sfera consolei. Examinați proprietățile conexiunii pentru ambele noduri pentru a vă asigura că sunt compatibile.
Repetați pasul 2.1 pentru secțiune Modul rapid. Examinați proprietățile conexiunii pentru ambele noduri pentru a vă asigura că sunt compatibile.
într-o clipă Firewall Windows cu securitate avansată selectați nodul Observareși Reguli de securitate a conexiunii pentru a vă asigura că ambele gazde din rețea au o politică de securitate IP configurată.
Dacă unul dintre computerele din rețeaua peer-to-peer rulează mai devreme versiuni Windows decât Windows Vista, asigurați-vă că cel puțin una dintre suitele de criptare în mod nativ și una dintre suitele de criptare în mod rapid utilizează algoritmi acceptați de ambele gazde.
Dacă utilizați autentificarea Kerberos versiunea 5, asigurați-vă că gazda se află în același domeniu sau de încredere.
Dacă sunt utilizate certificate, asigurați-vă că sunt bifate casetele de selectare necesare. Certificatele care utilizează IPSec Internet Key Exchange (IKE) necesită o semnătură digitală. Certificatele care utilizează protocolul de Internet autentificat (AuthIP) necesită autentificare client (în funcție de tipul de autentificare de server). Pentru mai multe informații despre certificatele AuthIP, consultați articolul IP autentificat în Windows Vista AuthIP în Windows Vista pe site-ul Microsoft.
Imposibil de configurat Windows Firewall cu Advanced Security
Paravanul de protecție Windows cu setări de securitate avansată sunt incolore în următoarele cazuri:
Computerul este conectat la o rețea cu management centralizat, iar un administrator de rețea utilizează politici de grup pentru a configura Windows Firewall cu setări de securitate avansată. În acest caz, în partea de sus a snap-ului Firewall Windows cu securitate avansată Veți vedea mesajul „Unele setări sunt controlate de politica de grup”. Administratorul dvs. de rețea configurează politica, împiedicându-vă astfel să modificați setările Windows Firewall.
Un computer care rulează Windows Vista nu este conectat la o rețea gestionată central, dar setările Windows Firewall sunt determinate de politica de grup local.
Pentru a modifica setările Windows Firewall cu Advanced Security utilizând politica locală de grup, utilizați Politica locală pentru calculatoare. Pentru a deschide acest snap-in, tastați secpol la linia de comandă. Dacă apare o casetă de dialog Control cont utilizator, confirmați acțiunea solicitată și faceți clic Continua. Accesați Configurare computer\Setări Windows\Setări de securitate\Paravan de protecție Windows cu securitate avansată pentru a configura setările politicii Paravan de protecție Windows cu securitate avansată.
Computerul nu răspunde la solicitările ping
Principala modalitate de a testa conectivitatea între computere este să utilizați utilitarul Ping pentru a testa conectivitatea la o anumită adresă IP. În timpul unui ping, este trimis un mesaj ecou ICMP (cunoscut și ca cerere de ecou ICMP) și este solicitat un răspuns ecou ICMP ca răspuns. În mod implicit, Windows Firewall respinge mesajele ecou ICMP primite, astfel încât computerul nu poate trimite un răspuns ecou ICMP.
Permiterea mesajelor eco ICMP primite va permite altor computere să pună ping pe computer. Pe de altă parte, acest lucru va lăsa computerul vulnerabil la atacuri care utilizează mesaje eco ICMP. Cu toate acestea, se recomandă să activați temporar ecourile ICMP de intrare dacă este necesar și apoi să le dezactivați.
Pentru a permite mesajele ecou ICMP, creați reguli noi de intrare pentru a permite pachetele de solicitare ecou ICMPv4 și ICMPv6.
Pentru a permite solicitările ecou ICMPv4 și ICMPv6, urmați acești pași:
În arborele de instrumente Firewall Windows cu securitate avansată selectați nodul Reguli pentru conexiunile de intrareși faceți clic pe link noua regulaîn domeniul consolei.
Personalizatși apăsați butonul Mai departe.
Specificați o valoare pentru butonul radio Toate programeleși apăsați butonul Mai departe.
cădere brusca tip de protocol selectați valoarea ICMPv4.
Faceți clic pe butonul Ton pentru articol Parametrii protocolului ICMP.
Setați butonul radio la Anumite tipuri de ICMP, bifeaza casuta cerere de ecou, apasa butonul O.Kși apăsați butonul Mai departe.
În etapa de selectare a adreselor IP locale și la distanță care se potrivesc cu această regulă, setați butoanele radio la Orice adresă IP sau Adresele IP specificate. Dacă alegeți valoarea Adresele IP specificate, specificați adresele IP necesare, faceți clic pe butonul Adăugași apăsați butonul Mai departe.
Specificați o valoare pentru butonul radio Permite conectareași apăsați butonul Mai departe.
În etapa de selecție a profilului, bifați unul sau mai multe profiluri (profil de domeniu, profil privat sau public) în care doriți să utilizați această regulă și faceți clic pe butonul Mai departe.
În câmp Nume introduceți numele regulii și în câmp Descriere este o descriere opțională. Faceți clic pe butonul Gata.
Repetați pașii de mai sus pentru protocolul ICMPv6, alegând în pas tip de protocol valoarea drop-down ICMPv6în loc de ICMPv4.
Dacă aveți reguli active de securitate a conexiunii, excluderea temporară a ICMP din cerințele IPsec poate ajuta la rezolvarea problemelor. Pentru a face acest lucru, deschideți rapid Firewall Windows cu securitate avansată fereastra de dialog Proprietăți, accesați fila setări IPSecși setați valoarea în lista derulantă da pentru parametru Excludeți ICMP din IPSec.
Notă
Setările Windows Firewall pot fi modificate numai de administratori și operatorii de rețea.
Nu se pot partaja fișiere și imprimante
Dacă nu poți obține acces general la fișiere și imprimante de pe un computer cu un paravan de protecție Windows activ, asigurați-vă că toate regulile de grup sunt activate Acces la fișiere și imprimante Firewall Windows cu securitate avansată selectați nodul Reguli pentru conexiunile de intrare Acces la fișiere și imprimante Activați regulaîn sfera consolei.
Atenţie:
Este foarte recomandat să nu activați partajarea fișierelor și a imprimantei pe computere care sunt conectate direct la Internet, deoarece atacatorii pot încerca să obțină acces la fișiere partajateși să vă facă rău prin deteriorarea fișierelor dvs. personale.
Imposibil de administrat de la distanță Windows Firewall
Dacă nu puteți administra de la distanță un computer cu Windows Firewall activ, asigurați-vă că toate regulile din grupul configurat implicit sunt activate Control de la distanță al paravanului de protecție Windows profil activ. într-o clipă Firewall Windows cu securitate avansată selectați nodul Reguli pentru conexiunile de intrareși derulați lista de reguli la grup Telecomandă. Asigurați-vă că aceste reguli sunt activate. Selectați fiecare dintre regulile dezactivate și faceți clic pe butonul Activați regulaîn sfera consolei. În plus, verificați dacă serviciul IPSec Policy Agent este activat. Acest serviciu este necesar pentru telecomandă Windows Firewall.
Pentru a verifica dacă IPSec Policy Agent rulează, urmați acești pași:
Faceți clic pe butonul startși selectați secțiunea Panou de control.
Faceți clic pe pictograma Sistemul și întreținerea acestuiași selectați secțiunea Administrare.
Faceți dublu clic pe pictogramă Servicii.
Dacă apare o casetă de dialog Control cont utilizator, introduceți acreditările necesare pentru un utilizator cu permisiunile corespunzătoare, apoi faceți clic pe Continua.
Găsiți un serviciu în listă Agent de politici IPSecși asigurați-vă că are starea „Running”.
Dacă serviciul agent IPSec oprit, faceți clic dreapta pe el și selectați meniul contextual paragraf Alerga. De asemenea, puteți începe serviciul agent IPSec din linia de comandă utilizând comanda net start policy agent.
Notă
Serviciu implicit Agent de politici IPSec lansat. Acest serviciu ar trebui să ruleze dacă nu a fost oprit manual.
Instrumente de depanare Windows Firewall
Această secțiune descrie instrumentele și metodele utilizate pentru rezolvarea problemelor comune. Această secțiune constă din următoarele subsecțiuni:
Utilizarea funcțiilor de monitorizare în Windows Firewall cu Advanced Security
Primul pas în rezolvarea problemelor cu Windows Firewall este să vizualizați regulile actuale. Funcţie Observare vă permite să vizualizați regulile utilizate pe baza politicilor locale și de grup. Pentru a vizualiza regulile curente de trafic de intrare și de ieșire în arborele snap-in Firewall Windows cu securitate avansată Alegeți o secțiune Observare, apoi selectați o secțiune Firewall. În această secțiune puteți vizualiza și curentul regulile de securitate a conexiuniiși Asocieri de securitate (moduri de bază și rapidă).
Activarea și utilizarea auditului de securitate cu instrumentul de linie de comandă auditpol
În mod implicit, opțiunile de audit sunt dezactivate. Pentru a le configura, utilizați instrumentul de linie de comandă auditpol.exe, care modifică setările politicii de audit pe computerul local. auditpol poate fi folosit pentru a activa sau dezactiva afișarea diferitelor categorii de evenimente și vizualizarea lor ulterioară în snap-in Vizualizator de eveniment.
Pentru a vizualiza o listă de subcategorii care sunt incluse într-o anumită categorie (de exemplu, în categoria de modificare a politicii), la promptul de comandă, tastați:
auditpol.exe /list /category:„Schimbați politica”
Pentru a activa afișarea unei categorii sau subcategorii, introduceți următoarele în linia de comandă:
/SubCategorie:" NumeCategorie"
Pentru a vizualiza o listă de categorii acceptate de programul auditpol, la promptul de comandă, tastați:
De exemplu, pentru a seta politici de audit pentru o categorie și subcategoria acesteia, introduceți următoarea comandă:
auditpol.exe /set /category:"Schimbați politica" /subcategory:"Schimbați politica la nivel de regulă MPSSVC" /success:enable /failure:enable
Schimbarea politicii
Schimbarea politicii la nivel de regulă MPSSVC
Modificarea politicii platformei de filtrare
Intrați în ieșire
Modul de bază IPsec
Mod rapid IPsec
Mod IPsec avansat
Sistem
driver IPSec
Alte evenimente de sistem
Accesul la obiecte
Aruncarea unui pachet de către platforma de filtrare
Conectarea platformei de filtrare
Pentru ca modificările aduse politicii de audit de securitate să aibă efect, trebuie să reporniți computerul local sau să forțați o actualizare manuală a politicii. Pentru a forța o reîmprospătare a politicii, la promptul de comandă, tastați:
secedit /refreshpolicy<название_политики>
După finalizarea diagnosticării, puteți dezactiva auditarea evenimentelor înlocuind parametrul de activare cu dezactivare în comenzile de mai sus și rulând comenzile din nou.
Vizualizarea evenimentelor de audit de securitate în jurnalul de evenimente
După ce activați auditarea, utilizați programul de completare Event Viewer pentru a vedea evenimentele de audit în jurnalul de evenimente de securitate.
Pentru a deschide snap-in Vizualizator de evenimente în folderul Instrumente administrative, urmați acești pași:
Faceți clic pe butonul start.
Alegeți o secțiune Panou de control. Faceți clic pe pictograma Sistemul și întreținerea acestuiași selectați secțiunea Administrare.
Faceți dublu clic pe pictogramă Vizualizator de eveniment.
Pentru a adăuga elementul de completare Vizualizator de evenimente la MMC, urmați acești pași:
Faceți clic pe butonul start, accesați meniul Toate programele, apoi în meniu Standardși selectați elementul Alerga.
Într-o casetă de text Deschis tastați mmc și apăsați tasta INTRODUCE.
Dacă apare o casetă de dialog Control cont utilizator, confirmați acțiunea solicitată și faceți clic Continua.
În meniu Consolă selectați elementul Adăugați sau eliminați o clipă.
Listată Snap-in-uri disponibile selectați o clipă Vizualizator de evenimentși apăsați butonul Adăuga.
Faceți clic pe butonul O.K.
Înainte de a închide snap-in-ul, salvați consola pentru utilizare ulterioară.
într-o clipă Vizualizator de eveniment extinde secțiunea Jurnalele Windows și selectați nodul Siguranță. Puteți vizualiza evenimentele de audit de securitate în spațiul de lucru din consolă. Toate evenimentele sunt afișate în partea de sus a spațiului de lucru al consolei. Faceți clic pe evenimentul din partea de sus a spațiului de lucru al consolei pentru a fi afișat informatii detaliateîn partea de jos a panoului. Pe fila General descrierea evenimentelor este plasată sub forma unui text inteligibil. Pe fila Detalii disponibil următorii parametri afișare eveniment: Prezentare clarăși Modul XML.
Setarea jurnalului de firewall pentru un profil
Înainte de a putea vizualiza jurnalele de firewall, trebuie să configurați Windows Firewall cu Advanced Security pentru a genera fișiere de jurnal.
Pentru a configura înregistrarea pentru un paravan de protecție Windows cu profil de securitate avansată, urmați acești pași:
În arborele de instrumente Firewall Windows cu securitate avansată Alegeți o secțiune Firewall Windows cu securitate avansatăși apăsați butonul Proprietățiîn sfera consolei.
Selectați fila de profil pentru care doriți să configurați înregistrarea (profil de domeniu, profil privat sau profil public), apoi faceți clic pe butonul TonÎn capitolul Logare.
Specificați un nume și o locație pentru fișierul jurnal.
Specifica dimensiune maximă fișier jurnal (de la 1 la 32767 kiloocteți)
cădere brusca Înregistrați pachetele pierdute introduceți o valoare da.
cădere brusca Înregistrați conexiunile reușite introduceți o valoare dași apoi faceți clic pe butonul O.K.
Vizualizarea fișierelor jurnal de firewall
Deschideți fișierul pe care l-ați specificat în timpul procedurii anterioare, „Configurarea jurnalului de firewall pentru un profil”. Pentru a accesa jurnalul de firewall, trebuie să aveți drepturi de administrator local.
Puteți vizualiza fișierul jurnal cu Notepad sau orice editor de text.
Analizarea fișierelor jurnal de firewall
Informațiile înregistrate sunt afișate în tabelul următor. Unele date sunt specificate numai pentru anumite protocoale (steaguri TCP, tip și cod ICMP etc.), iar unele date sunt specificate numai pentru pachetele abandonate (dimensiune).
|
Camp |
Descriere |
Exemplu |
|
Afișează anul, luna și ziua în care a fost înregistrat evenimentul. Data este scrisă în formatul AAAA-LL-ZZ, unde AAAA este anul, MM este luna și ZZ este ziua. |
||
|
Afișează ora, minutul și secunda la care a fost înregistrat evenimentul. Ora este scrisă în formatul HH:MM:SS, unde HH este ora în format de 24 de ore, MM este minutul și SS este al doilea. |
||
|
Acțiune |
Indică o acțiune întreprinsă de firewall. Există următoarele acțiuni: OPEN, CLOSE, DROP și INFO-EVENTS-LOST. Acțiunea INFO-EVENTS-LOST indică faptul că au avut loc mai multe evenimente, dar nu au fost înregistrate. |
|
|
Protocol |
Afișează protocolul utilizat pentru conexiune. Această intrare poate fi, de asemenea, numărul de pachete care nu utilizează TCP, UDP sau ICMP. |
|
|
Afișează adresa IP a computerului expeditor. |
||
|
Afișează adresa IP a computerului de destinație. |
||
|
Afișează numărul portului sursă al computerului expeditor. Valoarea portului sursă este scrisă ca un număr întreg de la 1 la 65535. O valoare validă a portului sursă este afișată numai pentru protocoalele TCP și UDP. Pentru alte protocoale, „-” este scris ca port sursă. |
||
|
Afișează numărul portului computerului de destinație. Valoarea portului de destinație este scrisă ca un număr întreg de la 1 la 65535. O valoare a portului de destinație validă este afișată numai pentru protocoalele TCP și UDP. Pentru alte protocoale, „-” este scris ca port de destinație. |
||
|
Afișează dimensiunea pachetului în octeți. |
||
|
Afișează steaguri de control al protocolului TCP găsite în antetul TCP al unui pachet IP.
Ack. Câmp de recunoaștere semnificativ Fin. Nu mai sunt date de la expeditor Psh. funcția push Rst. Resetați conexiunea Steagul este notat cu prima literă majusculă a numelui său. De exemplu, steagul Fin notat ca F. |
||
|
Afișează numărul cozii TCP din pachet. |
||
|
Afișează numărul de confirmare TCP din pachet. |
||
|
Afișează dimensiunea ferestrei pachetului TCP în octeți. |
||
|
Tip deîntr-un mesaj ICMP. |
||
|
Afișează un număr care reprezintă câmpul Codulîntr-un mesaj ICMP. |
||
|
Afișează informații pe baza acțiunii întreprinse. De exemplu, pentru acțiunea INFO-EVENMENTS-LOST, valoarea câmp dat indică numărul de evenimente care au avut loc dar nu au fost înregistrate în timpul scurs de la apariția anterioară a unui eveniment de acest tip. |
Notă
O cratimă (-) este utilizată în câmpurile din înregistrarea curentă care nu conțin nicio informație.
Crearea fișierelor text netstat și tasklist
Puteți crea două fișiere jurnal personalizate, unul pentru vizualizarea statisticilor rețelei (o listă cu toate porturile de ascultare) și altul pentru vizualizarea listelor de activități de serviciu și aplicație. Lista de activități conține ID-ul procesului (identificatorul procesului, PID) pentru evenimentele conținute în fișierul de statistici de rețea. Procedura pentru crearea acestor două fișiere este descrisă mai jos.
Pentru a crea fișiere text statisticile rețelei și lista de activități fac următoarele:
În linia de comandă, tastați netstat -ano > netstat.txtși apăsați tasta INTRODUCE.
În linia de comandă, tastați tasklist > tasklist.txtși apăsați tasta INTRODUCE. Dacă doriți să creați un fișier text cu o listă de servicii, tastați tasklist /svc > tasklist.txt.
Deschideți fișierele tasklist.txt și netstat.txt.
Găsiți ID-ul procesului pe care îl diagnosticați în fișierul tasklist.txt și comparați-l cu valoarea conținută în fișierul netstat.txt. Înregistrați protocoalele utilizate.
Un exemplu de emitere a fișierelor Tasklist.txt și Netstat.txt
netstat.txt
Proto Adresă locală Adresă străină PID de stat
TCP 0.0.0.0:XXX 0.0.0.0:0 ASCULTARE 122
TCP 0.0.0.0:XXXX 0.0.0.0:0 ASCULTARE 322
Tasklist.txt
Nume imagine PID Nume sesiune Nr. sesiune Utilizare mem
==================== ======== ================ =========== ============
svchost.exe 122 Servicii 0 7.172 K
XzzRpc.exe 322 Servicii 0 5.104 K
Notă
Adresele IP reale au fost schimbate în „X” și serviciul RPC în „z”.
Asigurați-vă că funcționează serviciile esențiale
Următoarele servicii trebuie să funcționeze:
Serviciu de filtrare de bază
Client politică de grup
Module de chei IPsec pentru schimbul de chei pe Internet și IP autentificat
Serviciul IP Helper
Serviciul agent de politici IPSec
Serviciul de localizare în rețea
Serviciul Listă de rețele
Windows Firewall
Pentru a deschide snap-in-ul Servicii și a verifica dacă serviciile necesare rulează, urmați acești pași:
Faceți clic pe butonul startși selectați secțiunea Panou de control.
Faceți clic pe pictograma Sistemul și întreținerea acestuiași selectați secțiunea Administrare.
Faceți dublu clic pe pictogramă Servicii.
Dacă apare o casetă de dialog Control cont utilizator, introduceți acreditările necesare pentru un utilizator cu permisiunile corespunzătoare, apoi faceți clic pe Continua.
Asigurați-vă că funcționează serviciile enumerate mai sus. Dacă unul sau mai multe servicii nu rulează, faceți clic dreapta pe numele serviciului din listă și selectați comanda Alerga.
O modalitate suplimentară de a rezolva probleme
Ca ultimă soluție, puteți restabili setările implicite pentru Windows Firewall. Restabilirea setărilor implicite va pierde toate setările făcute de când a fost instalat Windows Vista. Acest lucru poate face ca unele programe să nu mai funcționeze. De asemenea, dacă gestionați computerul de la distanță, conexiunea la acesta se va pierde.
Înainte de a restabili setările implicite, asigurați-vă că salvați configurația curentă a firewall-ului. Acest lucru vă va permite să vă restabiliți setările dacă este necesar.
Pașii pentru salvarea configurației firewall și restabilirea setărilor implicite sunt descriși mai jos.
Pentru a salva configurația curentă a paravanului de protecție, procedați în felul următor:
într-o clipă Firewall Windows cu securitate avansată dă click pe link Politica de exportîn sfera consolei.
Pentru a restabili setările implicite pentru firewall, procedați în felul următor:
într-o clipă Firewall Windows cu securitate avansată dă click pe link Restabiliti setarile de bazaîn sfera consolei.
Când vi se solicită Windows Firewall cu securitate avansată, faceți clic da pentru a restabili valorile implicite.
Concluzie
Există multe modalități de a diagnostica și rezolva problemele cu Windows Firewall cu Advanced Security. Printre ei:
Utilizarea funcției Observare pentru a vedea activitatea firewall-ului, regulile de securitate a conexiunii și asocierile de securitate.
Analizați evenimentele de audit de securitate legate de Windows Firewall.
Crearea de fișiere text lista de sarciniși netstat pentru analiza comparativă.
Începând cu Server 2008 și Vista, mecanismul WFP a fost integrat în Windows,
care este un set de servicii API și de sistem. Cu ea, a devenit posibil
interzice și permite conexiuni, gestionează pachete individuale. Aceste
inovațiile au fost menite să simplifice viața dezvoltatorilor de diverse
protecţie Modificările aduse arhitecturii rețelei au afectat atât modul kernel, cât și
și părți ale sistemului în modul utilizator. În primul caz, funcțiile necesare sunt exportate
fwpkclnt.sys, în al doilea - fwpuclnt.dll (literele „k” și „u” în numele bibliotecilor
reprezintă kernel și, respectiv, utilizator). În acest articol, vom vorbi despre utilizare
WFP pentru interceptarea și filtrarea traficului și după familiarizarea cu elementele de bază
Cu definițiile și capacitățile WFP, vom scrie propriul nostru filtru simplu.
Noțiuni de bază
Înainte de a începe codificarea, trebuie neapărat să ne familiarizăm cu terminologia
Microsoft - și pentru înțelegerea articolului va fi util și literatură suplimentară
va fi mai usor de citit :) Deci să mergem.
Clasificare- procesul de stabilire a ce să facă cu pachetul.
Dintre acțiunile posibile: permiteți, blocați sau apelați o înștiințare.
Înștiințări este un set de funcții în șofer care efectuează inspecția
pachete. Au o funcție specială care realizează clasificarea pachetelor. Acest
funcția poate lua următoarea decizie:
- permit(FWP_ACTION_PERMIT);
- bloc (FWP_ACTION_BLOCK);
- continua prelucrarea;
- solicita mai multe date;
- întrerupeți conexiunea.
Filtre- reguli care specifică când să sune
cutare sau cutare înștiințare. Un șofer poate avea mai multe înștiințări și
ne vom ocupa de dezvoltarea unui driver de înștiințări în acest articol. Apropo, colouri
există și cele încorporate, de exemplu, NAT-callout.
strat este o caracteristică prin care diferite filtre sunt combinate (sau,
după cum se spune în MSDN, „container”).
Într-adevăr, documentația de la Microsoft pare destul de tulbure, totuși
nu poți să te uiți la exemplele din WDK. Prin urmare, dacă te hotărăști brusc să dezvolți ceva
Serios, cu siguranță ar trebui să le verificați. Ei bine, acum e lin
să trecem la practică. Pentru o compilare și teste de succes, veți avea nevoie de WDK (Windows
Kit de drivere), VmWare, mașină virtuală cu Vista instalată și depanatorul WinDbg.
În ceea ce privește WDK, personal am instalată versiunea 7600.16385.0 - totul este acolo
bibliotecile necesare (deoarece vom dezvolta un driver, avem nevoie doar de
fwpkclnt.lib și ntoskrnl.lib) și exemple WFP. Legături către întreg
Instrumentele au fost deja citate de mai multe ori, așa că nu ne vom repeta.
Codificare
Pentru a inițializa înștiințarea, am scris funcția BlInitialize. Algoritm general
crearea unui înștiințare și adăugarea unui filtru este astfel:
- FWPMENGINEOPEN0 efectuează deschiderea ședinței;
- FWPMTRANSACTIONBEGIN0- începerea funcționării cu PAM;
- FWPSCALLOUTREGISTER0- crearea unui nou înștiințare;
- FWPMCALLOUTADD0- adăugarea unui obiect de referință la sistem;
- FWPMFILTERADD0- adăugarea unui nou filtru(i);
- FWPMTRANSACTIONCOMMIT0- salvarea modificărilor (adăugat
filtre).
Rețineți că funcțiile se termină cu 0. În Windows 7, unele dintre acestea
funcțiile au fost modificate, de exemplu, a apărut FwpsCalloutRegister1 (când
salvat FwpsCalloutRegister0). Ele diferă în argumente și, ca urmare,
prototipuri de funcții de clasificare, dar pentru noi nu contează acum - 0-funcții
universal.
FwpmEngineOpen0 și FwpmTransactionBegin0 nu prezintă un interes deosebit pentru noi - acestea sunt
etapa pregătitoare. Distracția începe cu funcția
FwpsCalloutRegister0:
FwpsCalloutRegister0 Prototip
NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *calout,
__out_opt UINT32 *calloutId
);
Am spus deja că callout este un set de funcții, acum este timpul
vorbiți despre asta mai detaliat. Structura FWPS_CALLOUT0 conține pointeri către trei
funcții - clasificare (classifyFn) și două de notificare (aproximativ
adăugarea/eliminarea unui filtru (notifyFn) și închiderea fluxului în curs de procesare (flowDeleteFn)).
Primele două funcții sunt obligatorii, ultima este necesară doar dacă
doriți să monitorizați pachetele în sine, nu doar conexiunile. De asemenea, în structură
conține un identificator unic, callout GUID (calloutKey).
codul de înregistrare a înștiințării
FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// functie de clasificare
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// funcția de notificare despre adăugarea/eliminarea unui filtru
// creează un nou înștiințare
stare = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);
WINAPI DWORD FwpmCalloutAdd0(
__în motor HANDLEHandle,
__in const FWPM_CALLOUT0 *calout,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_(
calloutKey GUID;
FWPM_DISPLAY_DATA0 displayData; // descrierea înștiințării
steaguri UINT32;
GUID *providerKey;
FWP_BYTE_BLOB providerData;
aplicabil Layer GUID;
UINT32 calloutId;
) FWPM_CALLOUT0;
În structura FWPM_CALLOUT0, ne interesează câmpul aplicabilLayer - unic
identificatorul nivelului la care este adăugat înștiințarea. În cazul nostru, asta
FWPM_LAYER_ALE_AUTH_CONNECT_V4. „v4” în numele identificatorului înseamnă versiunea
Protocolul Ipv4, există și FWPM_LAYER_ALE_AUTH_CONNECT_V6 pentru Ipv6. Luand in considerare
prevalență scăzută a Ipv6 în acest moment, vom lucra numai cu
ipv4. CONNECT în nume înseamnă că controlăm doar instalarea
conexiune, nu se pune problema pachetelor de intrare și de ieșire la această adresă! În general
există multe niveluri în afară de cel pe care l-am folosit - sunt declarate în fișierul antet
fwpmk.h de la WDK.
Adăugarea unui obiect de înștiințare în sistem
// nume înștiințare
displayData.name = L"Blocker Callout";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// descrierea înștiințării
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
stare = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);
Deci, după ce înștiințarea este adăugată cu succes în sistem, trebuie să creați
filtru, adică să specificați în ce cazuri va fi apelat callout-ul nostru, și anume
- funcţia sa de clasificare. Noul filtru este creat de funcția FwpmFilterAdd0,
căruia i se trece structura FWPM_FILTER0 ca argument.
FWPM_FILTER0 conține una sau mai multe structuri FWPM_FILTER_CONDITION0 (ale lor
numărul este determinat de câmpul numFilterConditions). Câmpul layerKey este completat cu un GUID
stratul (stratul) la care vrem să ne alăturăm. În acest caz, precizăm
FWPM_LAYER_ALE_AUTH_CONNECT_V4.
Acum să aruncăm o privire mai atentă la completarea FWPM_FILTER_CONDITION0. Primul in
câmpul fieldKey trebuie să fie specificat în mod explicit ceea ce dorim să controlăm - port, adresă,
aplicație sau altceva. În acest caz, WPM_CONDITION_IP_REMOTE_ADDRESS
spune sistemului că suntem interesați de o adresă IP. Valoarea fieldKey determină
în ce tip de valori vor fi incluse în structura FWP_CONDITION_VALUE
FWPM_FILTER_CONDITION0. În acest caz, conține o adresă ipv4. Sa mergem
mai departe. Câmpul matchType determină modul în care va fi făcută comparația.
valorile în FWP_CONDITION_VALUE cu ceea ce a venit prin rețea. Există multe opțiuni aici:
puteți specifica FWP_MATCH_EQUAL, ceea ce va însemna potrivire completă cu condiția și
poți - FWP_MATCH_NOT_EQUAL, adică, de fapt, putem adăuga asta
astfel filtrarea excepției (adresă, conexiune la care nu este urmărită).
Există, de asemenea, opțiunile FWP_MATCH_GREATER, FWP_MATCH_LESS și altele (vezi enumerarea
FWP_MATCH_TYPE). În acest caz, avem FWP_MATCH_EQUAL.
Nu m-am deranjat prea mult și am scris doar o condiție de blocare
o adresă IP selectată. În cazul în care o aplicație încearcă
stabiliți o conexiune cu adresa selectată, va fi apelat un clasificator
funcția noastră de înștiințări. Codul care rezumă ceea ce s-a spus poate fi văzut la
Consultați bara laterală „Adăugarea unui filtru la sistem”.
Adăugarea unui filtru la sistem
filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker Callout";
filter.displayData.description = L"Anunț de blocare";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterCondition;
// o condiție de filtru
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // greutate automată.
// adaugă un filtru la adresa de la distanță
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// adaugă filtrul
stare = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);
În general, desigur, pot exista multe condiții de filtrare. De exemplu, poți
specificați blocarea conexiunilor la un anumit port la distanță sau local (FWPM_CONDITION_IP_REMOTE_PORT
și, respectiv, FWPM_CONDITION_IP_LOCAL_PORT). Poate prinde toate pachetele
protocol specific sau aplicație specifică. Și asta nu este tot! Poate sa,
de exemplu, blocați traficul unui anumit utilizator. În general, există unde
călători.
Cu toate acestea, înapoi la filtru. Funcția de clasificare în cazul nostru este simplă
blochează conexiunea la adresa specificată (BLOCKED_IP_ADDRESS), revenind
FWP_ACTION_BLOCK:
Codul funcției noastre de clasificare
void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* înMetaValues,
VOID* pachet,IN const FWPS_FILTER* filtru,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// completează structura FWPS_CLASSIFY_OUT0
if(classifyOut)( // blochează pachetul
classifyOut->actionType =
FWP_ACTION_BLOCK;
// când blocați un pachet, aveți nevoie
resetați FWPS_RIGHT_ACTION_WRITE
classifyOut->drepturi&=~FWPS_RIGHT_ACTION_WRITE;
}
}
În practică, funcția de clasificare poate seta și FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE etc.
Și, în sfârșit, atunci când descărcați driverul, trebuie să eliminați toate instalatele
înștiințări (ghiciți ce se întâmplă dacă sistemul încearcă să apeleze înștiințări
șofer descărcat? Așa este, BSOD). Există o funcție pentru asta
FwpsCalloutUnregisterById. I se trece un parametru pe 32 de biți ca parametru.
identificatorul callout returnat de funcția FwpsCalloutRegister.
Finalizarea înștiințării
NTSTATUS BlUninitialize()(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);
}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
returnare ns;
}
După cum puteți vedea, programarea filtrului WFP nu este o sarcină atât de dificilă, deoarece
MS ne-a oferit un API foarte util. Apropo, în cazul nostru am stabilit
filtru în driver, dar se poate face și din usermod! De exemplu, o mostră de la wdk
msnmntr (monitorul de trafic MSN Messenger) face exact asta - vă permite să nu
supraîncărcați partea din modul kernel a filtrului.
GUID-ul dvs
Pentru a înregistra o înștiințare, are nevoie de un identificator unic. La
obțineți-vă GUID (identificatorul unic global), utilizați guidgen.exe inclus
în Studio vizual. Instrumentul se află în (VS_Path)\Common7\Tools. Probabilitatea de coliziune
foarte mic, deoarece GUID-ul are 128 de biți și sunt 2^128 disponibili
identificatori.
Depanarea filtrului
Pentru depanarea lemnului de foc, este convenabil să utilizați pachetul Windbg + VmWare. Pentru asta ai nevoie
configurați atât sistemul oaspete (sub forma căruia acționează Vista) cât și depanatorul
windbg. Dacă WinXP a trebuit să editeze boot.ini pentru depanare la distanță, atunci
pentru Vista+ există utilitarul consolei bcdedit. Ca de obicei, trebuie să activați depanarea:
BCDedit /dbgsettings DEBUGPORT SERIAL:1 BAUDRATE:115200 BCDedit /debug
ON (sau BCDedit /set debug ON)
Acum totul este gata! Lansăm un fișier batch cu următorul text:
start windbg -b -k com:pipe,port=\\.\pipe\com_1,reset=0
și vedeți rezultatul de depanare în fereastra windbg (vezi imaginea).
Concluzie
După cum puteți vedea, domeniul de aplicare al PAM este destul de larg. Tu decizi cum
aplicați aceste cunoștințe - pentru rău sau pentru bine 🙂
Firewall (firewall sau firewall) Windows nu impune respect. Puțin schimbat de la XP la Vista, își face treaba bine, dar îi lipsește ambiția de a fi cel mai bun firewall personal. Cu toate acestea, în ciuda faptului că firewall-ul Windows 7 a primit câteva funcții noi, tot nu a obținut ceea ce mă așteptam să văd în el.
Suspendare cu HomeGroup
Pe parcursul Instalare Windows 7 sugerează crearea unui „grup de acasă”. Pe măsură ce mai multe computere cu Windows 7 sunt descoperite în rețea, li se solicită, de asemenea, să se alăture grupului. Și tot ce au nevoie pentru asta este o parolă. Cu toate acestea, cu un computer care rulează Windows 7, nu am văzut procesul de conectare la un grup de alte computere, deși o notificare despre acest lucru nu ar strica. Cu toate acestea, în timp ce orice computer cu Windows 7 se poate alătura unui grup de domiciliu, computerele Windows 7 Home Basic și Windows 7 Starter nu pot crea unul.
Calculatoarele din același grup de domiciliu pot partaja (sau, după cum se spune, „partajează”) imprimante și biblioteci de fișiere specifice. În mod implicit, bibliotecile de imagini, muzică, videoclipuri și documente sunt partajate, dar utilizatorul le poate limita la discreția sa. Ajutorul din sistemul de operare oferă explicații clare despre cum să excludeți un fișier sau un folder de la partajare sau cum să îl faceți doar pentru citire sau cum să restricționați accesul la el.
În a lui rețeaua de acasă utilizatorul își poate partaja conținutul altor computere și dispozitive și chiar și computerelor care nu sunt Windows 7 și chiar altor computere care nu sunt. În special, Microsoft a arătat exemple despre cum să partajați conținut pentru Xbox 360. Cu toate acestea, compania nu oferă conectarea Wii la rețea. Din păcate, compania nu a calificat Wii ca dispozitiv media de streaming.
Deci, cât de mult mai sigură este rețeaua de acasă în Windows 7? De obicei, utilizatorii care nu reușesc să partajeze fișiere și foldere încep să dezactiveze totul în jur, inclusiv paravanul de fișiere, antivirusul etc., care, în opinia lor, pot interfera cu acest proces. În același timp, dacă faci partajarea simplă, atunci închiderea tuturor lucrurilor din jur poate fi evitată.
Dacă Vista împarte rețelele în publice (Publice) și private (Private), atunci Windows 7 împarte rețeaua privată în acasă (Acasă) și serviciu (La muncă). grupul de acasă(HomeGroup) este disponibil numai când este selectată rețeaua de domiciliu. Cu toate acestea, chiar și într-o rețea de lucru, computerul poate vedea și se poate conecta la alte dispozitive de pe acesta. La rândul său, într-o rețea publică (cum ar fi un internet cafe wireless), Windows 7 blochează accesul la tine și de la tine la alte dispozitive, pentru siguranța ta. Aceasta este o oportunitate mică, dar frumoasă.
Firewall cu mod dublu
În Vista și XP, gestionarea paravanului de protecție este la fel de simplă ca și pornirea și dezactivarea acestuia. La acelasi Ora Windows 7 oferă utilizatorului diferite setări de configurare pentru rețelele private (acasă și serviciu) și publice. În același timp, utilizatorul nu trebuie să introducă setările firewall-ului pentru a lucra, să zicem, într-o cafenea locală. Este suficient ca el să aleagă retea publica, iar firewall-ul însuși va aplica întregul set de parametri limitatori. Cel mai probabil, utilizatorii vor configura rețeaua publică pentru a bloca toate conexiunile de intrare. În Vista, acest lucru nu s-ar putea face fără a întrerupe tot traficul de intrare propria retea utilizator.
Unii utilizatori nu înțeleg de ce este nevoie de un firewall. Dacă UAC funcționează, un firewall nu este exagerat? De fapt, aceste programe servesc unor scopuri foarte diferite. UAC ține evidența programelor și a funcționării acestora în sistemul local. Firewall-ul, pe de altă parte, urmărește îndeaproape datele de intrare și de ieșire. Dacă vă imaginați aceste două programe ca doi eroi stând spate în spate și respingând atacurile zombie, atunci aproape că puteți spune că nu puteți greși.
La început am fost intrigat noua oportunitate„Anunțați-mă când Windows Firewall se blochează program nou". Nu este acesta un semn că Windows Firewall a preluat controlul asupra programelor și a devenit un adevărat firewall bidirecțional?. Am fost devorat de dorința de a dezactiva această funcție. Și, ca urmare, Windows Firewall nu a primit mai mult respect decât a avut.
Au trecut zece ani de când ZoneLabs a popularizat firewall-ul personal cu două sensuri. Programul ei ZoneAlarm a ascuns toate porturile computerelor (ceea ce Windows Firewall poate face) și, de asemenea, vă permitea să controlați accesul programelor la Internet (Windows Firewall încă nu poate face acest lucru). Nu am nevoie de monitorizare inteligentă a comportamentului programului, ca, de exemplu, în Norton securitatea internetului 2010 și alte pachete. Dar sper că până la lansarea Windows 8, Microsoft va implementa în continuare o caracteristică ZoneAlarm veche de un deceniu setată în firewall-ul său.
Microsoft știe foarte bine că mulți utilizatori instalează firewall-uri și pachete de securitate de la terți și pur și simplu dezactivează Windows Firewall. În trecut, multe programe de securitate terță parte au dezactivat automat Windows Firewall pentru a evita conflictele. În Windows 7, Microsoft a făcut-o singur. Când instalează un firewall cunoscut de acesta, sistemul de operare își dezactivează firewall-ul încorporat și raportează că „setările firewall-ului sunt controlate de un astfel de program de la un astfel de producător”.
Indiferent dacă îl utilizați sau nu, Windows Firewall este prezent în fiecare Windows 7, cu o integrare profundă cu sistem de operare. Deci, nu ar fi mai bine dacă aplicațiile de securitate ale terților ar putea folosi paravanul de fișiere Windows în propriile lor scopuri? Această idee se află în spatele unei interfețe de programare numită Windows Filtering Platform. Dar îl vor folosi dezvoltatorii? Mai multe despre asta în secțiunea următoare.
Securitate Windows 7: Platformă de filtrare Windows - Platformă de filtrare Windows
Firewall-urile trebuie să funcționeze cu Windows 7 la un nivel foarte scăzut, lucru pe care programatorii Microsoft îl urăsc absolut. Unele tehnologii Microsoft, cum ar fi PatchGuard, găsite în edițiile pe 64 de biți ale Windows 7 (Windows 7 pe 64 de biți are o serie de avantaje de securitate față de Windows 7 pe 32 de biți), blochează intrușii și, de asemenea, protejează nucleul de accesarea acestuia. Totuși, Microsoft nu oferă același nivel de securitate ca programele terțe. Deci ce să fac?
Soluția la această problemă este Windows Filtering Platform (WFP). Acesta din urmă, conform Microsoft, permite firewall-urilor terțe părți să se bazeze pe caracteristicile de bază ale Windows Firewall - permițându-le să adauge caracteristici personalizate și să activeze sau să dezactiveze selectiv părți ale Windows Firewall. Ca rezultat, utilizatorul poate alege un firewall care va coexista cu Windows Firewall.
Dar cât de util este acest lucru cu adevărat pentru dezvoltatorii de software de securitate? O vor folosi? Am intervievat mai multe persoane și am primit o mulțime de răspunsuri.
BitDefender LLC
Managerul de dezvoltare a produselor, Iulian Costache, a declarat că compania sa rulează în prezent platforma pe Windows 7. Cu toate acestea, au întâlnit pierderi semnificative de memorie. Bug-ul este de partea Microsoft, așa cum a confirmat deja cel mai mare gigant de software. Cu toate acestea, Julian nu știe când se va rezolva. Între timp, s-au înlocuit temporar șofer nou PAM la vechiul TDI.
Check Point Software Technologies Ltd
Mirka Janus, manager de PR la Check Point Software Technologies Ltd, a declarat că compania sa folosește WFP încă de la Vista. Ei folosesc platforma și sub Windows 7. Este o interfață bună, bine susținută, dar orice malware sau driver incompatibil poate fi periculos pentru un produs de securitate care se bazează pe el. ZoneAlarm s-a bazat întotdeauna pe două straturi - straturi conexiuni de reteași nivelul lotului. Începând cu Vista, Microsoft a oferit WFP ca modalitate acceptată de filtrare a conexiunilor de rețea. Începând cu Windows 7 SP1, Microsoft ar trebui să învețe WFP să activeze filtrarea pachetelor.
„Folosirea API-urilor acceptate înseamnă o stabilitate îmbunătățită și mai puține BSOD. Multe drivere pot fi înregistrate și fiecare dezvoltator de drivere nu trebuie să-și facă griji cu privire la compatibilitatea cu alții. Dacă vreun șofer este, de exemplu, blocat, niciun alt șofer înregistrat nu poate ocoli această blocare. Pe de altă parte, un șofer incompatibil poate deveni o problemă, ocolind toate celelalte înregistrate. Nu ne bazăm doar pe WFP pentru securitatea rețelei.”
F-Secure Corporation
Mikko Hypponen, cercetător senior la F-Secure Corporation, a declarat că, dintr-un anumit motiv, WFP nu a prins niciodată dezvoltatorii de software de securitate. În același timp, compania sa folosea WFP de ceva timp și era mulțumită de el.
McAfee Inc.
La rândul său, arhitectul principal McAfee Ahmed Sallam (Ahmed Sallam) a spus că WFP este o interfață de filtrare a rețelei mai puternică și mai flexibilă decât interfața anterioară bazată pe NDIS. McAfee folosește pe scară largă WFP în produsele sale de securitate.
În același timp, în ciuda faptului că WFP are caracteristici pozitive, infractorii cibernetici pot profita și de platformă. Platforma poate permite programelor malware să intre în stiva stratului de rețea Nucleul Windows. Prin urmare, pe 64 de biți Drivere Windows nivelul nucleului trebuie să aibă semnături digitale pentru a proteja nucleul de a fi încărcat în el malware. Cu toate acestea, semnăturile digitale nu sunt necesare pentru versiunile pe 32 de biți.
Da, în teorie, semnăturile digitale sunt un mecanism de apărare rezonabil, dar, în realitate, autorii de malware le pot achiziționa în continuare.
securitate panda
Purtătorul de cuvânt al Panda Security, Pedro Bustamante, a declarat că compania sa monitorizează platforma WFP, dar nu o folosește în prezent. Compania consideră că principalele dezavantaje ale WFP sunt, în primul rând, incapacitatea de a crea o tehnologie care să combine diverse tehnici pentru a maximiza protecția. Tehnologia este inutilă dacă compania nu se poate uita la pachetele de intrare și de ieșire către mașină. De asemenea, ar trebui să acționeze ca un senzor pentru alte tehnologii de protecție. Niciuna dintre aceste caracteristici nu este furnizată de PAM. În al doilea rând, WFP este acceptat doar de Vista și de sistemele de operare mai noi. Platforma nu este compatibilă invers. Și în al treilea rând, WFP este o platformă destul de nouă, iar compania preferă să se bazeze pe tehnologii mai vechi, mai consacrate.
Symantec Corp.
Directorul Symantec pentru managementul produselor de larg consum, Dan Nadir, a spus că WFP nu este încă folosit în produsele lor din cauza noutății sale relative. Cu toate acestea, în timp, compania plănuiește să migreze la acesta, deoarece. vechile interfețe pe care se bazează acum nu vor putea oferi funcționalitatea completă de care au nevoie. Ei consideră WFP o platformă bună pentru că a fost conceput special pentru a oferi interoperabilitate între o varietate de software terță parte. În principiu, platforma ar trebui să aibă și mai puține probleme de compatibilitate în viitor. WFP este, de asemenea, bun pentru că este integrat cu Cadrul de diagnosticare a rețelei Microsoft. Acest lucru este extrem de util ca facilitează foarte mult căutarea unor programe specifice care constituie un obstacol pentru trafic de rețea. În cele din urmă, WFP ar trebui să conducă la îmbunătățiri ale performanței și stabilității sistemului de operare, așa cum platforma evită emularea și conflictul șoferului sau problemele de stabilitate.
Cu toate acestea, pe de altă parte, potrivit lui Nadir, WFP poate crea anumite probleme care există în orice structură - dezvoltatorii care se bazează pe WFP nu pot închide vulnerabilitățile în cadrul WFP în sine și nici nu pot extinde caracteristicile specifice oferite de WFP. De asemenea, dacă multe programe se bazează pe WFP, atunci creatorii de programe malware ar putea încerca teoretic să atace WFP în sine.
TrendMicro Inc.
Director de cercetare la Trend Micro Inc. Dale Liao a spus că cel mai mare avantaj al platformei este compatibilitatea cu sistemul de operare. De asemenea, firewall-ul standard este acum util. Așa că acum se pot concentra pe ceea ce contează cu adevărat pentru utilizator. Lucrul rău la WFP este că atunci când se găsește o eroare în platformă, compania trebuie să aștepte ca Microsoft să o repare.
PAM: Concluzie
Drept urmare, majoritatea dezvoltatorilor de software de securitate pe care i-am intervievat folosesc deja WFP. Adevărat, unele în paralel cu alte tehnologii. Le place interoperabilitatea, le place natura documentată și oficială a platformei și, de asemenea, presupusa stabilitate a funcționării acesteia. Cu altul, latura negativă, dacă toți dezvoltatorii încep să se bazeze pe WFP, atunci platforma poate deveni un punct vulnerabil pentru toată lumea. Și vor trebui să se bazeze pe Microsoft pentru a o repara. În plus, platforma nu oferă încă filtrare la nivel de pachet.
Marele dezavantaj al WFP este, de asemenea, că nu este disponibil în Windows XP. Prin urmare, dezvoltatorii care doresc să susțină XP vor trebui să ruleze două proiecte paralele. Cu toate acestea, pe măsură ce XP iese de pe piață, cred că WFP va deveni mai popular în rândul dezvoltatorilor.
Se încarcă...