POŽARNE DVERE(firewall alebo firewall) Windows nevyvoláva rešpekt. Mierne zmenený z XP na Vista, robí svoju prácu dobre, ale chýba mu ambícia byť najlepším osobným firewallom. Napriek tomu, že firewall systému Windows 7 dostal niekoľko nových funkcií, stále nedostal to, čo som v ňom očakával.
Zavesenie s domácou skupinou
Počas Inštalácia systému Windows 7 navrhuje vytvorenie „domácej skupiny“. Keď je v sieti objavených viac počítačov so systémom Windows 7, budú tiež vyzvaní, aby sa pripojili k skupine. A všetko, čo k tomu potrebujú, je heslo. Na jednom počítači so systémom Windows 7 som však nevidel proces prihlásenia do skupiny iných počítačov, hoci upozornenie na to by nebolo na škodu. Kým sa však k domácej skupine môže pripojiť ktorýkoľvek počítač so systémom Windows 7, počítače so systémom Windows 7 Home Basic a Windows 7 Starter ju nedokážu vytvoriť.
Počítače v rovnakej domácej skupine môžu zdieľať (alebo, ako sa hovorí, „zdieľať“) tlačiarne a špecifické knižnice súborov. V predvolenom nastavení sa zdieľajú knižnice obrázkov, hudby, videí a dokumentov, no používateľ ich môže obmedziť podľa vlastného uváženia. Pomocník v operačnom systéme poskytuje jasné vysvetlenia, ako vylúčiť súbor alebo priečinok zo zdieľania, ako ho nastaviť len na čítanie alebo ako k nemu obmedziť prístup.
Vo svojej domácej sieti môže používateľ zdieľať svoj obsah s inými počítačmi a zariadeniami a dokonca aj s počítačmi bez systému Windows 7 a dokonca aj s inými počítačmi. Microsoft ukázal najmä príklady zdieľania obsahu pre Xbox 360. Spoločnosť však neponúka pripojenie Wii k sieti. Bohužiaľ, spoločnosť nekvalifikovala Wii ako streamovacie mediálne zariadenie.
Takže o koľko bezpečnejšia je domáca sieť v systéme Windows 7? Používatelia, ktorým sa nepodarí zdieľať súbory a priečinky, zvyčajne začnú deaktivovať všetko okolo, vrátane filewallu, antivírusu atď., Čo môže podľa ich názoru tento proces narúšať. Ak zároveň zjednodušíte zdieľanie, môžete sa vyhnúť vypnutiu všetkého okolo.
Ak Vista delí siete na verejné (Public) a súkromné (Private), tak Windows 7 rozdeľuje súkromnú sieť na domácu (Home) a pracovnú (Work). domáca skupina(Domáca skupina) je k dispozícii iba vtedy, keď je vybratá domáca sieť. Avšak aj v pracovnej sieti môže váš počítač stále vidieť a pripojiť sa k iným zariadeniam v nej. Na druhej strane, vo verejnej sieti (napríklad v bezdrôtovej internetovej kaviarni) Windows 7 z dôvodu vašej bezpečnosti blokuje prístup k vám a od vás k iným zariadeniam. Toto je malá, ale pekná príležitosť.
Brána firewall s dvojitým režimom
Vo Windows Vista a XP je správa brány firewall taká jednoduchá, ako jej zapnutie a vypnutie. Zároveň Windows čas 7 ponúka užívateľovi rôzne konfiguračné nastavenia pre súkromné (domáce a pracovné) a verejné siete. Používateľ zároveň nemusí zadávať nastavenia brány firewall, aby mohol pracovať, povedzme, v miestnej kaviarni. Stačí mu vybrať verejnú sieť a samotný firewall použije celú sadu obmedzujúcich parametrov. S najväčšou pravdepodobnosťou používatelia nakonfigurujú verejnú sieť tak, aby blokovala všetky prichádzajúce pripojenia. Vo Vista sa to nedalo urobiť bez toho, aby sa odrezala aj všetka prichádzajúca premávka vlastnú sieť užívateľ.
Niektorí používatelia nechápu, prečo je potrebná brána firewall. Ak UAC funguje, nie je firewall prehnaný? V skutočnosti tieto programy slúžia na veľmi odlišné účely. UAC sleduje programy a ich fungovanie v rámci lokálneho systému. Firewall na druhej strane pozorne sleduje prichádzajúce a odchádzajúce dáta. Ak si tieto dva programy predstavíte ako dvoch hrdinov stojacich chrbtom k sebe a odrážajúcich útoky zombíkov, potom sa dá takmer povedať, že sa nemôžete pokaziť.
Najprv ma to zaujalo nová príležitosť„Daj mi vedieť kedy Brána firewall systému Windows bloky nový program". Nie je to znak toho, že brána Windows Firewall prevzala kontrolu nad programami a stala sa skutočným obojsmerným firewallom?. Zožierala ma túžba túto funkciu zakázať. A v dôsledku toho si brána Windows Firewall nezískala väčší rešpekt, ako mala.
Je tomu už desať rokov, čo ZoneLabs spopularizoval obojsmerný personálny firewall. Jej program ZoneAlarm skrýval všetky porty počítača (čo Windows Firewall dokáže) a tiež umožňoval kontrolovať prístup programov na internet (Windows Firewall to stále nedokáže). Nevyžadujem inteligentné sledovanie správania programu, ako napríklad v Nortone internetová bezpečnosť 2010 a ďalšie balíčky. Dúfam však, že do vydania systému Windows 8 spoločnosť Microsoft stále implementuje desaťročnú funkciu ZoneAlarm do svojho firewallu.
Spoločnosť Microsoft si je dobre vedomá toho, že mnohí používatelia si nainštalujú brány firewall a bezpečnostné balíky tretích strán a jednoducho zakážu bránu Windows Firewall. V minulosti mnohé bezpečnostné programy tretích strán automaticky deaktivovali bránu Windows Firewall, aby sa predišlo konfliktom. V systéme Windows 7 to urobil Microsoft sám. Operačný systém pri inštalácii jemu známeho firewallu vypne svoj vstavaný firewall a hlási, že „nastavenia firewallu sú riadené takým a takým programom od takého a takého výrobcu“.
Či už ho používate alebo nie, brána Windows Firewall je prítomná v každom systéme Windows 7 s hlbokou integráciou operačný systém. Nebolo by teda lepšie, keby bezpečnostné aplikácie tretích strán mohli používať stenu súborov Windows na svoje vlastné účely? Táto myšlienka sa skrýva za programovacím rozhraním nazývaným Windows Filtering Platform. Využijú to však vývojári? Viac o tom v ďalšej časti.
Zabezpečenie Windows 7: Windows Filtering Platform - Windows Filtering Platform
Firewally musia pracovať s Windows 7 na veľmi nízkej úrovni, čo programátori Microsoftu absolútne nenávidia. Niektoré technológie spoločnosti Microsoft, ako napríklad PatchGuard, ktoré sa nachádzajú v 64-bitových vydaniach systému Windows 7 (64-bitový systém Windows 7 má oproti 32-bitovému systému Windows 7 množstvo bezpečnostných výhod), blokujú votrelcov a tiež chránia jadro pred prístupom k nemu. Spoločnosť Microsoft však neposkytuje rovnakú úroveň zabezpečenia ako programy tretích strán. Čo teda robiť?
Riešením tohto problému je Windows Filtering Platform (WFP). Ten podľa Microsoftu umožňuje, aby brány firewall tretích strán boli založené na kľúči Funkcie systému Windows Firewall – umožňuje vám pridať k nim vlastné funkcie a selektívne povoliť alebo zakázať časti brány Windows Firewall. V dôsledku toho si používateľ môže vybrať bránu firewall, ktorá bude koexistovať s bránou Windows Firewall.
Ale ako užitočné je to skutočne pre vývojárov bezpečnostného softvéru? Využijú to? Robil som rozhovory s niekoľkými ľuďmi a dostal som veľa odpovedí.
BitDefender LLC
Manažér vývoja produktov Iulian Costache uviedol, že jeho spoločnosť momentálne prevádzkuje platformu na Windows 7. Narazili však na značné úniky pamäte. Chyba je na strane Microsoftu, čo už potvrdil aj najväčší softvérový gigant. Kedy sa to však vyrieši, Julian nevie. Medzitým ich dočasne vymenili nový vodič WFP na staré TDI.
Check Point Software Technologies Ltd
Mirka Janus, PR manažérka spoločnosti Check Point Software Technologies Ltd, uviedla, že jeho spoločnosť používa WFP od Vista. Platformu používajú aj pod Windowsom 7. Je to dobré, dobre podporované rozhranie, ale akýkoľvek malvér alebo nekompatibilný ovládač môže byť nebezpečný pre bezpečnostný produkt, ktorý sa naň spolieha. ZoneAlarm vždy stavil na dve vrstvy – vrstvy sieťové pripojenia a úroveň šarže. Od systému Vista spoločnosť Microsoft ponúka funkciu WFP ako podporovaný spôsob filtrovania sieťových pripojení. Počnúc Windowsom 7 SP1 by mal Microsoft naučiť WFP povoliť filtrovanie paketov.
„Používanie podporovaných rozhraní API znamená lepšiu stabilitu a menej BSOD. Mnoho ovládačov je možné zaregistrovať a každý vývojár ovládačov sa nemusí starať o kompatibilitu s ostatnými. Ak je niektorý vodič, povedzme, zablokovaný, žiadny iný registrovaný vodič nemôže toto zablokovanie obísť. Na druhej strane sa môže stať problémom nekompatibilný ovládač, ktorý obíde všetky ostatné registrované. Pri zabezpečení siete sa nespoliehame len na WFP.“
F-Secure Corporation
Mikko Hypponen, vedúci výskumník v F-Secure Corporation, uviedol, že z nejakého dôvodu WFP nikdy nezachytila vývojárov bezpečnostného softvéru. Jeho spoločnosť zároveň používala WFP už pomerne dlho a bola s ním spokojná.
Spoločnosť McAfee Inc.
Na druhej strane hlavný architekt McAfee Ahmed Sallam (Ahmed Sallam) povedal, že WFP je výkonnejšie a flexibilnejšie rozhranie na filtrovanie siete ako predchádzajúce rozhranie založené na NDIS. McAfee vo svojich bezpečnostných produktoch vo veľkej miere využíva WFP.
Zároveň, napriek tomu, že WFP má pozitívne vlastnosti, môžu túto platformu využívať aj kyberzločinci. Platforma môže umožniť malvéru vstúpiť do zásobníka sieťovej vrstvy jadro systému Windows. Preto 64-bit Windows ovládačeúroveň jadra musí byť digitálne podpísaná, aby bolo jadro chránené pred načítaním malvér. Digitálne podpisy sa však nevyžadujú na 32-bitových verziách.
Áno, teoreticky sú digitálne podpisy rozumným obranným mechanizmom, no v skutočnosti ich autori malvéru stále môžu získať.
panda bezpečnosť
Hovorca Panda Security Pedro Bustamante povedal, že jeho spoločnosť monitoruje platformu WFP, ale momentálne ju nepoužíva. Spoločnosť sa domnieva, že hlavnými nevýhodami WFP sú po prvé neschopnosť vytvoriť technológiu, ktorá by sa spájala rôzne techniky maximalizovať ochranu. Technológia je zbytočná, ak sa spoločnosť nemôže pozerať na prichádzajúce a odchádzajúce pakety do stroja. Mal by fungovať aj ako senzor pre ďalšie ochranné technológie. Žiadna z týchto funkcií nie je poskytovaná službou WFP. Po druhé, WFP podporujú iba operačné systémy Vista a novšie. Platforma nie je spätne kompatibilná. A do tretice, WFP je celkom nová platforma a spoločnosť radšej stavia na starších, osvedčenejších technológiách.
Spoločnosť Symantec Corp.
Riaditeľ manažmentu spotrebných produktov spoločnosti Symantec Dan Nadir uviedol, že WFP sa zatiaľ v ich produktoch nepoužíva kvôli relatívnej novosti. Postupom času však spoločnosť plánuje migrovať do nej, pretože. staré rozhrania, na ktoré sa teraz spoliehajú, nebudú schopné poskytovať plnú funkčnosť, ktorú vyžadujú. WFP považujú za dobrú platformu, pretože bol špeciálne navrhnutý tak, aby poskytoval interoperabilitu medzi rôznymi softvérmi tretích strán. V zásade by platforma mala mať v budúcnosti ešte menej problémov s kompatibilitou. WFP je tiež dobrý, pretože je integrovaný s Microsoft Network Diagnostic Framework. Toto je mimoriadne užitočné ako výrazne uľahčuje vyhľadávanie konkrétnych programov, ktoré sú prekážkou sieťová prevádzka. Napokon, WFP by mala viesť k zlepšeniu výkonu a stability operačného systému, ako napr platforma sa vyhýba emulácii a konfliktom ovládačov alebo problémom so stabilitou.
Na druhej strane však podľa Nadira môže WFP vytvárať určité problémy, ktoré existujú v akejkoľvek štruktúre – vývojári spoliehajúci sa na WFP nedokážu odstrániť zraniteľnosti v rámci samotného WFP, ani nemôžu rozšíriť špecifické funkcie, ktoré WFP ponúka. Tiež, ak sa veľa programov spolieha na WFP, tvorcovia malvéru by sa teoreticky mohli pokúsiť zaútočiť na samotný WFP.
Spoločnosť TrendMicro Inc.
Riaditeľ výskumu v Trend Micro Inc. Dale Liao povedal, že najväčšou výhodou platformy je kompatibilita s operačným systémom. Teraz je tiež užitočný štandardný firewall. Teraz sa teda môžu sústrediť na to, čo je pre používateľa skutočne dôležité. Zlé na WFP je, že keď sa v platforme nájde chyba, spoločnosť musí počkať, kým ju Microsoft opraví.
WFP: Záver
Výsledkom je, že väčšina vývojárov bezpečnostného softvéru, s ktorými som hovoril, už WFP používa. Pravda, niektoré súbežne s inými technológiami. Páči sa im interoperabilita, páči sa im zdokumentovaný a oficiálny charakter platformy a tiež predpokladaná stabilita jej fungovania. S inou, negatívna stránka, ak sa všetci vývojári začnú spoliehať na WFP, potom sa táto platforma môže stať potenciálne zraniteľným miestom pre každého. A pri oprave sa budú musieť spoľahnúť na Microsoft. Platforma navyše zatiaľ neponúka filtrovanie na úrovni paketov.
Veľkou nevýhodou WFP je aj to, že nie je dostupná vo Windows XP. Preto vývojári, ktorí chcú podporovať XP, budú musieť spustiť dva paralelné projekty. Ako však XP odchádza z trhu, myslím si, že WFP sa stane medzi vývojármi populárnejším.
Snap-in Management Console (MMC) OS Windows Vista™ je sieťový protokolovací firewall pre pracovné stanice, ktorý filtruje prichádzajúce a odchádzajúce pripojenia podľa nastavení, ktoré ste nakonfigurovali. Teraz môžete nakonfigurovať nastavenia brány firewall a Protokol IPsec s jedným nástrojom. Tento článok popisuje, ako funguje brána Windows Firewall v režime brány Windows Firewall. zvýšená bezpečnosť, typické problémy a spôsoby ich riešenia.
Ako funguje brána Windows Firewall s pokročilým zabezpečením
Brána firewall systému Windows v režime vylepšeného zabezpečenia ide o firewall na zaznamenávanie stavu siete pre pracovné stanice. Na rozdiel od brán firewall pre smerovače, ktoré sú nasadené na bráne medzi vašou lokálnou sieťou a internetom, je brána Windows Firewall navrhnutá tak, aby fungovala na jednotlivých počítačoch. Sleduje len premávku pracovná stanica: Prevádzka prichádzajúca na IP adresu tohto počítača a odchádzajúca prevádzka do samotného počítača. Brána firewall systému Windows s pokročilým zabezpečením vykonáva tieto základné operácie:
Prichádzajúci paket sa kontroluje a porovnáva so zoznamom povolenej prevádzky. Ak sa paket zhoduje s niektorou z hodnôt v zozname, brána Windows Firewall odovzdá paket TCP/IP na ďalšie spracovanie. Ak sa paket nezhoduje so žiadnou z hodnôt v zozname, brána Windows Firewall paket zablokuje a ak je povolené protokolovanie, vytvorí záznam v súbore denníka.
Zoznam povolenej návštevnosti sa vytvára dvoma spôsobmi:
Keď pripojenie riadené bránou Windows Firewall s pokročilým zabezpečením odošle paket, brána firewall vytvorí v zozname hodnotu, ktorá umožní spätnú prevádzku. Príslušná prichádzajúca premávka bude vyžadovať dodatočné povolenie.
Keď vytvoríte pravidlo povolenia brány firewall systému Windows s rozšíreným zabezpečením, premávka, pre ktorú je pravidlo vytvorené, bude povolená na počítači s bránou Windows Firewall. Tento počítač bude akceptovať explicitne povolenú prichádzajúcu komunikáciu, keď bude fungovať ako server, klientsky počítač alebo sieťový uzol typu peer-to-peer.
Prvým krokom pri riešení problémov s bránou Windows Firewall je skontrolovať, ktorý profil je aktívny. Windows Firewall s pokročilým zabezpečením je aplikácia, ktorá monitoruje vaše sieťové prostredie. Profil brány Windows Firewall sa zmení, keď sa zmení sieťové prostredie. Profil je súbor nastavení a pravidiel, ktoré sa uplatňujú v závislosti od sieťového prostredia a prevádzky sieťové pripojenia.
Firewall rozlišuje tri typy sieťových prostredí: doménové, verejné a súkromné siete. Doména je sieťové prostredie, kde pripojenia overuje radič domény. V predvolenom nastavení sa všetky ostatné typy sieťových pripojení považujú za verejné siete. Po objavení nového Pripojenia systému Windows Vista vyzve používateľa, aby uviedol, či túto sieť súkromné alebo verejné. Všeobecný profil je určený na použitie na verejných miestach, ako sú letiská alebo kaviarne. Súkromný profil je určený na použitie doma alebo v kancelárii a v zabezpečenej sieti. Ak chcete definovať sieť ako súkromnú, používateľ musí mať príslušné oprávnenia správcu.
Hoci počítač môže byť súčasne pripojený k sieťam iný typ, môže byť aktívny iba jeden profil. Výber aktívneho profilu závisí od nasledujúcich dôvodov:
Ak všetky rozhrania používajú autentifikáciu radiča domény, použije sa profil domény.
Ak je aspoň jedno z rozhraní pripojené k súkromnej sieti a všetky ostatné sú pripojené k doméne alebo privátnym sieťam, použije sa súkromný profil.
Vo všetkých ostatných prípadoch sa používa všeobecný profil.
Ak chcete určiť aktívny profil, kliknite na uzol Pozorovanie v momente Brána firewall systému Windows s pokročilým zabezpečením. Nad textom Stav brány firewall bude indikovať, ktorý profil je aktívny. Ak je napríklad aktívny profil domény, nadpis sa zobrazí v hornej časti Profil domény je aktívny.
Pomocou profilov môže brána Windows Firewall automaticky povoliť prichádzajúce prenosy pre špeciálne nástroje na správu počítača, keď je počítač v doméne, a blokovať rovnaký prenos, keď je počítač pripojený k verejnej alebo súkromnej sieti. Určenie typu sieťového prostredia teda zabezpečuje ochranu vášho lokálna sieť bez ohrozenia bezpečnosti mobilných používateľov.
Bežné problémy pri spustení brány Windows Firewall s pokročilým zabezpečením
Toto sú hlavné problémy, ktoré sa vyskytujú pri spustení brány Windows Firewall s pokročilým zabezpečením:
V prípade zablokovania prenosu by ste mali najprv skontrolovať, či je povolená brána firewall a ktorý profil je aktívny. Ak je niektorá z aplikácií zablokovaná, uistite sa, že v momente Brána firewall systému Windows s pokročilým zabezpečením existuje aktívne pravidlo povolenia pre aktuálny profil. Ak chcete overiť, či existuje pravidlo povolenia, dvakrát kliknite na uzol Pozorovanie a potom vyberte sekciu POŽARNE DVERE. Ak neexistujú žiadne aktívne pravidlá povolenia pre tento program, prejdite do uzla a vytvorte nové pravidlo pre tento program. Vytvorte pravidlo pre program alebo službu alebo zadajte skupinu pravidiel, ktorá sa vzťahuje na túto funkciu, a uistite sa, že sú povolené všetky pravidlá v tejto skupine.
Ak chcete skontrolovať, či pravidlo povolenia nie je prepísané pravidlom blokovania, postupujte takto:
V strome nástrojov Brána firewall systému Windows s pokročilým zabezpečením kliknite na uzol Pozorovanie a potom vyberte sekciu POŽARNE DVERE.
Pozrite si zoznam všetkých aktívnych miestnych a skupinové pravidlá. Pravidlá odmietnutia prepíšu pravidlá povolenia, aj keď sú presnejšie definované.
Skupinová politika bráni uplatňovaniu miestnych pravidiel
Ak je brána Windows Firewall s pokročilým zabezpečením nakonfigurovaná pomocou skupinovej politiky, správca môže určiť, či sa použijú pravidlá brány firewall alebo pravidlá zabezpečenia pripojenia vytvorené lokálnymi správcami. To dáva zmysel, ak existujú nakonfigurované pravidlá lokálnej brány firewall alebo pravidlá zabezpečenia pripojenia, ktoré nie sú v príslušnej sekcii nastavení.
Ak chcete zistiť, prečo v sekcii Monitorovanie chýbajú pravidlá miestnej brány firewall alebo pravidlá zabezpečenia pripojenia, postupujte takto:
v momente Brána firewall systému Windows s pokročilým zabezpečením, kliknite na odkaz Vlastnosti brány Windows Firewall.
Vyberte kartu aktívneho profilu.
V kapitole možnosti, stlač tlačidlo Naladiť.
Ak platia miestne pravidlá, oddiel Pravidlá kombinovania bude aktívny.
Pravidlá vyžadujúce zabezpečené pripojenie môžu blokovať prenos
Pri vytváraní pravidla brány firewall pre prichádzajúcu alebo odchádzajúce prenosy je jednou z možností možnosť . Ak je vybratá danú funkciu, musíte mať príslušné pravidlo zabezpečenia pripojenia alebo samostatnú politiku IPSec, ktorá definuje, aká prevádzka je bezpečná. V opačnom prípade je táto premávka zablokovaná.
Ak chcete skontrolovať, či jedno alebo viac pravidiel aplikácie vyžaduje zabezpečené pripojenie, postupujte takto:
V strome nástrojov Brána firewall systému Windows s pokročilým zabezpečením sekcia kliknutia Pravidlá pre prichádzajúce spojenia. Vyberte pravidlo, ktoré chcete skontrolovať, a kliknite na odkaz Vlastnosti v rámci konzoly.
Vyberte kartu Sú bežné a skontrolujte, či je vybratá hodnota prepínača Povoliť iba zabezpečené pripojenia.
Ak je pre pravidlo zadaný parameter Povoliť iba zabezpečené pripojenia, rozbaľte sekciu Pozorovanie v strome modulov a vyberte sekciu. Uistite sa, že prevádzka definovaná v pravidle brány firewall má príslušné pravidlá zabezpečenia pripojenia.
POZOR:
Ak máte aktívnu politiku IPSec, uistite sa, že táto politika chráni požadovaný prenos. Nevytvárajte pravidlá zabezpečenia pripojenia, aby ste predišli konfliktu medzi politikou IPSec a pravidlami zabezpečenia pripojenia.
Nie je možné povoliť odchádzajúce pripojenia
V strome nástrojov Brána firewall systému Windows s pokročilým zabezpečením Vyberte sekciu Pozorovanie. Vyberte kartu aktívneho profilu a pod Stav brány firewall skontrolujte, či sú povolené odchádzajúce pripojenia, ktoré nezodpovedajú pravidlu povolenia.
V kapitole Pozorovanie Vyberte sekciu POŽARNE DVERE aby ste sa uistili, že požadované odchádzajúce pripojenia nie sú uvedené v pravidlách odmietnutia.
Zmiešané pravidlá môžu blokovať premávku
Nastavenia brány firewall a IPSec môžete nakonfigurovať pomocou rôzne rozhrania OS Windows.
Vytváranie politík na viacerých miestach môže viesť ku konfliktom a blokovaniu premávky. K dispozícii sú nasledujúce body nastavenia:
Brána firewall systému Windows s pokročilým zabezpečením. Táto politika sa konfiguruje pomocou príslušného modulu snap-in lokálne alebo ako súčasť skupinovej politiky. Táto zásada riadi nastavenia brány firewall a protokolu IPSec na počítačoch so systémom Windows Vista.
Šablóna na správu brány Windows Firewall. Táto politika sa konfiguruje pomocou Editora objektov skupinovej politiky v sekcii. Toto rozhranie obsahuje nastavenia brány firewall systému Windows, ktoré boli k dispozícii pred systémom Windows Vista a je určené na konfiguráciu objektu GPO, ktorý spravuje predchádzajúce verzie Windows. Aj keď tieto nastavenia možno použiť pre spustené počítače Ovládanie Windows Vista, odporúča sa namiesto toho použiť politiku Brána firewall systému Windows s pokročilým zabezpečením pretože poskytuje väčšiu flexibilitu a bezpečnosť. Upozorňujeme, že niektoré nastavenia profilu domény sú zdieľané medzi šablónou na správu brány Windows Firewall a politikou brány Windows Firewall. Brána firewall systému Windows s pokročilým zabezpečením, takže tu môžete vidieť nastavenia nakonfigurované v profile domény pomocou modulu snap-in Brána firewall systému Windows s pokročilým zabezpečením.
Zásady IPSec. Táto politika sa konfiguruje pomocou lokálneho modulu snap-in Správa politiky IPSec alebo Editor objektov politiky skupiny v časti Konfigurácia počítača\Nastavenia systému Windows\Nastavenia zabezpečenia\Zásady zabezpečenia IP na lokálnom počítači. Táto zásada definuje nastavenia IPSec, ktoré môžu používať predchádzajúce verzie systému Windows aj Windows Vista. Nemali by sa používať súčasne na tom istom počítači túto politiku a pravidlá zabezpečenia pripojenia definované v politike Brána firewall systému Windows s pokročilým zabezpečením.
Ak chcete zobraziť všetky tieto možnosti v príslušných moduloch snap-in, vytvorte si vlastný modul snap-in riadiacej konzoly a pridajte doň moduly Brána firewall systému Windows s pokročilým zabezpečením, A Zabezpečenie IP.
Ak chcete vytvoriť svoj vlastný modul snap-in konzoly na správu, postupujte takto:
Kliknite na tlačidlo Štart, prejdite do ponuky Všetky programy, potom v ponuke Štandardné a vyberte položku Bežať.
V textovom poli OTVORENÉ ENTER.
ďalej.
Na jedálnom lístku Konzola vyberte .
Uvedené Dostupné moduly snap-in vyberte snímku Brána firewall systému Windows s pokročilým zabezpečením a stlačte tlačidlo Pridať.
Kliknite na tlačidlo OK.
Opakujte kroky 1 až 6 a pridajte snímky Kontrola skupinové pravidlá A Monitor zabezpečenia IP.
Ak chcete skontrolovať, ktoré politiky sú aktívne v aktívnom profile, použite nasledujúci postup:
Ak chcete skontrolovať, ktoré zásady sa uplatňujú, postupujte takto:
IN príkazový riadok zadajte mmc a stlačte kláves ENTER.
Ak sa zobrazí dialógové okno Kontrola používateľských kont, potvrďte požadovanú akciu a kliknite ďalej.
Na jedálnom lístku Konzola vybrať položku Pridajte alebo odstráňte snímku.
Uvedené Dostupné moduly snap-in vyberte snímku Správa zásad skupiny a stlačte tlačidlo Pridať.
Kliknite na tlačidlo OK.
Rozbaľte uzol v strome (zvyčajne strom lesa, kde je tento počítač) a dvakrát kliknite na sekciu na table podrobností konzoly.
Vyberte hodnotu prepínača Zobraziť nastavenia pravidiel pre z hodnôt súčasný užívateľ alebo iného užívateľa. Ak nechcete zobrazovať nastavenia politiky pre používateľov, ale iba nastavenia politiky pre počítač, vyberte hodnotu prepínača Nezobrazovať pravidlá používateľa (zobraziť iba pravidlá počítača) a dvakrát kliknite na tlačidlo Ďalej.
Kliknite na tlačidlo Pripravený. Sprievodca výsledkami skupinovej politiky vygeneruje správu na table podrobností konzoly. Prehľad obsahuje karty Zhrnutie, možnosti A Politické udalosti.
Ak chcete overiť, že nedochádza ku konfliktu s bezpečnostnými politikami IP, po vygenerovaní správy vyberte položku možnosti a otvorte Computer Configuration\Windows Settings\Security Settings\IP Security Settings v adresárovej službe Active Directory. Ak chýba posledná časť, nie je nastavená žiadna bezpečnostná politika IP. V opačnom prípade sa zobrazí názov a popis politiky, ako aj GPO, ku ktorému patrí. Ak súčasne s pravidlami zabezpečenia pripojenia používate politiku zabezpečenia IP a bránu Windows Firewall s rozšíreným zabezpečením, tieto zásady môžu byť v konflikte. Odporúča sa používať iba jednu z týchto zásad. Najlepším riešením je použiť zásady zabezpečenia IP spolu s bránou Windows Firewall s pravidlami pokročilého zabezpečenia pre prichádzajúcu alebo odchádzajúce prenosy. Ak sú nastavenia nakonfigurované na rôznych miestach a nie sú navzájom konzistentné, môže dôjsť ku konfliktom politík, ktoré sa ťažko riešia.
Môžu tiež nastať konflikty medzi politikami definovanými v miestnych GPO a skriptami nakonfigurovanými IT oddelením. Skontrolujte všetky zásady zabezpečenia IP pomocou programu IP Security Monitor alebo zadaním nasledujúceho príkazu do príkazového riadka:
Ak chcete zobraziť nastavenia definované v šablóne na správu brány Windows Firewall, rozbaľte sekciu Konfigurácia počítača\Šablóny pre správu\Sieť\Sieťové pripojenia\Brána firewall systému Windows.
Ak chcete zobraziť najnovšie udalosti súvisiace s aktuálnou politikou, prejdite na kartu politické udalosti v tej istej konzole.
Ak chcete zobraziť politiku používanú bránou Windows Firewall s pokročilým zabezpečením, otvorte modul snap-in na diagnostikovanom počítači a skontrolujte nastavenia v časti Pozorovanie.
Ak chcete zobraziť šablóny pre správu, otvorte modul snap-in Skupinové pravidlá a v sekcii Výsledky skupinovej politiky Zistite, či existujú nastavenia zdedené zo skupinovej politiky, ktoré môžu spôsobiť odmietnutie prenosu.
Ak chcete zobraziť zásady zabezpečenia IP, otvorte modul Sledovanie zabezpečenia IP. Vyberte v strome lokálny počítač. V rozsahu konzoly vyberte prepojenie Aktívna politika, Základný režim alebo Rýchly režim. Skontrolujte konkurenčné pravidlá, ktoré by mohli viesť k zablokovaniu prenosu.
V kapitole Pozorovanie zaklapnúť Brána firewall systému Windows s pokročilým zabezpečením Môžete zobraziť existujúce pravidlá miestnej a skupinovej politiky. Na získanie Ďalšie informácie pozrite si časť " Použitie funkcie hodiniek v snap-in Brána firewall systému Windows s pokročilým zabezpečením » tohto dokumentu.
Ak chcete zastaviť agenta politiky IPSec, postupujte takto:
Kliknite na tlačidlo Štart a vyberte sekciu Ovládací panel.
Kliknite na ikonu Systém a jeho údržba a vyberte sekciu Administrácia.
Dvakrát kliknite na ikonu Služby. ďalej.
Nájdite službu v zozname Agent politiky IPSec
Ak služba IPSec Agent je spustený, kliknite naň pravým tlačidlom myši a vyberte položku ponuky Stop. Môžete tiež zastaviť službu IPSec Agent z príkazového riadku pomocou príkazu
Politika siete peer-to-peer môže spôsobiť odmietnutie prevádzky
Pre pripojenia pomocou protokolu IPSec musia mať oba počítače kompatibilné zásady zabezpečenia IP. Tieto zásady je možné definovať pomocou modulu Windows Firewall – pravidlá zabezpečenia pripojenia IP bezpečnosť alebo iného poskytovateľa zabezpečenia IP.
Ak chcete skontrolovať nastavenia politiky zabezpečenia IP v sieti typu peer-to-peer, postupujte takto:
Kliknite na sekciu Základný režim, na paneli podrobností konzoly vyberte pripojenie, ktoré chcete otestovať, a potom kliknite na prepojenie Vlastnosti v rámci konzoly. Skontrolujte vlastnosti pripojenia pre oba uzly, aby ste sa uistili, že sú kompatibilné.
Opakujte krok 2.1 pre sekciu Rýchly režim. Skontrolujte vlastnosti pripojenia pre oba uzly, aby ste sa uistili, že sú kompatibilné.
v momente Brána firewall systému Windows s pokročilým zabezpečením vyberte uzol Pozorovanie A Pravidlá zabezpečenia pripojenia aby ste sa uistili, že obaja hostitelia v sieti majú nakonfigurovanú bezpečnostnú politiku IP.
Ak jeden z počítačov v sieti peer-to-peer beží skôr Verzie systému Windows ako Windows Vista, zaistite, aby aspoň jedna zo sád šifry v natívnom režime a jedna zo sád šifry pre rýchly režim používala algoritmy podporované oboma hostiteľmi.
Ak používate overenie Kerberos verzie 5, uistite sa, že hostiteľ je v rovnakej alebo dôveryhodnej doméne.
Ak používate certifikáty, uistite sa, že sú začiarknuté požadované políčka. Vyžadujú sa certifikáty, ktoré používajú Internet Key Exchange (IKE) IPSec Key Exchange digitálny podpis. Certifikáty, ktoré používajú Authenticated Internet Protocol (AuthIP), vyžadujú autentifikáciu klienta (v závislosti od typu autentifikácie servera). Ďalšie informácie o certifikátoch AuthIP nájdete v článku Overená IP v systéme Windows Vista AuthIP v systéme Windows Vista na webovej lokalite spoločnosti Microsoft.
Nedá sa nakonfigurovať brána Windows Firewall s pokročilým zabezpečením
Nastavenia brány firewall systému Windows s rozšíreným zabezpečením sú sivé v nasledujúcich prípadoch:
Počítač je pripojený k sieti s centralizované riadenie a správca siete používa skupinové politiky na konfiguráciu brány Windows Firewall s nastaveniami rozšíreného zabezpečenia. V tomto prípade v hornej časti patentky Brána firewall systému Windows s pokročilým zabezpečením Zobrazí sa správa „Niektoré nastavenia sú riadené zásadami skupiny“. Správca siete nakonfiguruje politiku, čím vám zabráni zmeniť nastavenia brány Windows Firewall.
Počítač so systémom Windows Vista nie je pripojený k centrálne spravovanej sieti, ale nastavenia brány Windows Firewall sú určené politikou miestnej skupiny.
Ak chcete zmeniť nastavenia brány Windows Firewall s rozšíreným zabezpečením pomocou politiky miestnej skupiny, použite Politika miestneho počítača. Ak chcete otvoriť tento modul, zadajte do príkazového riadka príkaz secpol. Ak sa zobrazí dialógové okno Kontrola používateľských kont, potvrďte požadovanú akciu a kliknite ďalej. Prejdite do časti Konfigurácia počítača\Nastavenia systému Windows\Nastavenia zabezpečenia\Brána firewall systému Windows s rozšíreným zabezpečením a nakonfigurujte nastavenia politiky brány firewall systému Windows s rozšíreným zabezpečením.
Počítač neodpovedá na požiadavky ping
Hlavným spôsobom testovania konektivity medzi počítačmi je použitie pomôcky Ping na testovanie konektivity na konkrétnu IP adresu. Počas pingu sa odošle ICMP echo správa (známa aj ako ICMP echo request) a ako odpoveď je vyžiadaná ICMP echo odpoveď. Brána firewall systému Windows štandardne odmieta prichádzajúce správy s odozvou protokolu ICMP, takže počítač nemôže odoslať odozvu protokolu ICMP.
Povolenie prichádzajúcich ICMP echo správ umožní ostatným počítačom pingovať váš počítač. Na druhej strane to ponechá počítač zraniteľný voči útokom pomocou ICMP echo správ. V prípade potreby sa však odporúča dočasne povoliť prichádzajúce ozveny ICMP a potom ich zakázať.
Ak chcete povoliť správy s odozvou ICMP, vytvorte nové prichádzajúce pravidlá, ktoré povolia pakety žiadostí o odozvu ICMPv4 a ICMPv6.
Ak chcete povoliť žiadosti o odozvu ICMPv4 a ICMPv6, postupujte takto:
V strome nástrojov Brána firewall systému Windows s pokročilým zabezpečením vyberte uzol Pravidlá pre prichádzajúce spojenia a kliknite na odkaz nové pravidlo v rozsahu konzoly.
Prispôsobiteľné a stlačte tlačidlo Ďalej.
Zadajte hodnotu prepínača Všetky programy a stlačte tlačidlo Ďalej.
Pokles typ protokolu vyberte hodnotu ICMPv4.
Kliknite na tlačidlo Naladiť pre položku Parametre protokolu ICMP.
Nastavte prepínač na Určité typy ICMP, začiarknite políčko žiadosť o echo, stlač tlačidlo OK a stlačte tlačidlo Ďalej.
Vo fáze výberu miestnych a vzdialených adries IP zodpovedajúcich toto pravidlo, nastavte prepínače na hodnoty Akákoľvek IP adresa alebo Zadané adresy IP. Ak zvolíte hodnotu Zadané adresy IP, zadajte požadované adresy IP, kliknite na tlačidlo Pridať a stlačte tlačidlo Ďalej.
Zadajte hodnotu prepínača Povoliť pripojenie a stlačte tlačidlo Ďalej.
Vo fáze výberu profilu začiarknite jeden alebo viac profilov (profil domény, súkromný alebo verejný profil), v ktorých chcete použiť toto pravidlo, a kliknite na tlačidlo Ďalej.
V teréne názov zadajte názov pravidla a do poľa Popis je voliteľný popis. Kliknite na tlačidlo Pripravený.
Vyššie uvedené kroky zopakujte pre protokol ICMPv6, pričom vyberte v kroku typ protokolu rozbaľovacia hodnota ICMPv6 namiesto ICMPv4.
Ak máte aktívne pravidlá zabezpečenia pripojenia, dočasné vylúčenie ICMP z požiadaviek IPsec môže pomôcť vyriešiť problémy. Ak to chcete urobiť, otvorte ho Brána firewall systému Windows s pokročilým zabezpečením dialógové okno Vlastnosti, prejdite na kartu Nastavenia IPSec a nastavte hodnotu v rozbaľovacom zozname Áno pre parameter Vylúčiť ICMP z IPSec.
Poznámka
Nastavenia brány Windows Firewall môžu meniť iba správcovia a sieťoví operátori.
Nie je možné zdieľať súbory a tlačiarne
Ak nemôžete dostať všeobecný prístup k súborom a tlačiarňam v počítači s aktívnou bránou Windows Firewall, skontrolujte, či sú povolené všetky pravidlá skupiny Prístup k súborom a tlačiarňam Brána firewall systému Windows s pokročilým zabezpečením vyberte uzol Pravidlá pre prichádzajúce spojenia Prístup k súborom a tlačiarňam Povoliť pravidlo v rámci konzoly.
Pozor:
Dôrazne sa odporúča, aby ste nepovoľovali zdieľanie súborov a tlačiarní na počítačoch, ktoré sú priamo pripojené na internet, pretože útočníci sa môžu pokúsiť získať prístup k zdieľané súbory a poškodiť vás poškodením vašich osobných súborov.
Nemožno vzdialene spravovať bránu Windows Firewall
Ak nemôžete vzdialene spravovať počítač s aktívnou bránou Windows Firewall, skontrolujte, či sú povolené všetky pravidlá v predvolenej nakonfigurovanej skupine Diaľkové ovládanie brány Windows Firewall aktívny profil. v momente Brána firewall systému Windows s pokročilým zabezpečením vyberte uzol Pravidlá pre prichádzajúce spojenia a prejdite zoznamom pravidiel do skupiny Diaľkové ovládanie. Uistite sa, že sú tieto pravidlá povolené. Vyberte každé zo zakázaných pravidiel a kliknite na tlačidlo Povoliť pravidlo v rámci konzoly. Okrem toho skontrolujte, či je povolená služba IPSec Policy Agent. Táto služba je potrebná pre diaľkové ovládanie Brána firewall systému Windows.
Ak chcete overiť, či je spustený agent politiky IPSec, postupujte takto:
Kliknite na tlačidlo Štart a vyberte sekciu Ovládací panel.
Kliknite na ikonu Systém a jeho údržba a vyberte sekciu Administrácia.
Dvakrát kliknite na ikonu Služby.
Ak sa zobrazí dialógové okno Kontrola používateľských kont, zadajte požadované poverenia pre používateľa s príslušnými povoleniami a potom kliknite na ďalej.
Nájdite službu v zozname Agent politiky IPSec a uistite sa, že má stav „Spustený“.
Ak služba IPSec Agent zastavené, kliknite naň pravým tlačidlom myši a vyberte obsahové menu odsek Bežať. Môžete tiež spustiť službu IPSec Agent z príkazového riadku pomocou príkazu agenta politiky net start.
Poznámka
Predvolená služba Agent politiky IPSec spustený. Táto služba by mal fungovať, pokiaľ nebol manuálne zastavený.
Poradcovia pri riešení problémov s bránou Windows Firewall
Táto časť popisuje nástroje a metódy používané pri riešení typické problémy. Táto sekcia pozostáva z nasledujúcich podsekcií:
Používanie funkcií monitorovania v bráne Windows Firewall s pokročilým zabezpečením
Prvým krokom pri riešení problémov s bránou Windows Firewall je zobrazenie aktuálnych pravidiel. Funkcia Pozorovanie umožňuje zobraziť pravidlá používané na základe miestnych a skupinových zásad. Ak chcete zobraziť aktuálne pravidlá prichádzajúcej a odchádzajúcej premávky v strome modulov Brána firewall systému Windows s pokročilým zabezpečením Vyberte sekciu Pozorovanie a potom vyberte sekciu POŽARNE DVERE. V tejto sekcii si môžete pozrieť aj aktuálne pravidlá bezpečnosti pripojenia A Priradenia zabezpečenia (základný a rýchly režim).
Povolenie a používanie bezpečnostného auditu pomocou nástroja príkazového riadka auditpol
V predvolenom nastavení sú možnosti auditu vypnuté. Na ich konfiguráciu použite nástroj príkazového riadka auditpol.exe, ktorý zmení nastavenia politiky auditu na lokálnom počítači. auditpol je možné použiť na povolenie alebo zakázanie zobrazenia rôznych kategórií udalostí a ich ďalšie prezeranie v module snap-in Prehliadač udalostí.
Ak chcete zobraziť zoznam podkategórií, ktoré sú zahrnuté v danej kategórii (napríklad v kategórii Zmena politiky), do príkazového riadka zadajte:
auditpol.exe /list /category:"Zmeniť politiku"
Ak chcete povoliť zobrazenie kategórie alebo podkategórie, zadajte do príkazového riadka nasledovné:
/Podkategória:" NameCategory"
Ak chcete zobraziť zoznam kategórií podporovaných programom auditpol, do príkazového riadka zadajte:
Ak chcete napríklad nastaviť politiky auditu pre kategóriu a jej podkategóriu, zadajte nasledujúci príkaz:
auditpol.exe /set /category:"Zmena politiky" /subcategory:"Zmena politiky na úrovni pravidiel MPSSVC" /success:enable /failure:enable
Zmena zásad
Zmena politiky na úrovni pravidiel MPSSVC
Zmena politiky platformy filtrovania
Zadajte výstup
Základný režim IPsec
Rýchly režim IPsec
Pokročilý režim IPsec
systém
IPSec ovládač
Ďalšie systémové udalosti
Prístup k objektom
Odhodenie paketu filtračnou platformou
Pripojenie filtračnej platformy
Aby sa zmeny v politike auditu zabezpečenia prejavili, musíte reštartovať lokálny počítač alebo vynútiť manuálnu aktualizáciu politiky. Ak chcete vynútiť obnovenie politiky, do príkazového riadka zadajte:
secedit/refreshpolicy<название_политики>
Po dokončení diagnostiky môžete zakázať auditovanie udalostí nahradením parametra enable parametrom disable vo vyššie uvedených príkazoch a opätovným spustením príkazov.
Zobrazenie udalostí auditu zabezpečenia v denníku udalostí
Po povolení auditovania použite modul Zobrazovač udalostí na zobrazenie udalostí auditu v protokole udalostí zabezpečenia.
Ak chcete otvoriť modul Zobrazovač udalostí v priečinku Nástroje na správu, postupujte takto:
Kliknite na tlačidlo Štart.
Vyberte sekciu Ovládací panel. Kliknite na ikonu Systém a jeho údržba a vyberte sekciu Administrácia.
Dvakrát kliknite na ikonu Prehliadač udalostí.
Ak chcete pridať modul Zobrazovač udalostí do konzoly MMC, postupujte takto:
Kliknite na tlačidlo Štart, prejdite do ponuky Všetky programy, potom v ponuke Štandardné a vyberte položku Bežať.
V textovom poli OTVORENÉ zadajte mmc a stlačte kláves ENTER.
Ak sa zobrazí dialógové okno Kontrola používateľských kont, potvrďte požadovanú akciu a kliknite ďalej.
Na jedálnom lístku Konzola vybrať položku Pridajte alebo odstráňte snímku.
Uvedené Dostupné moduly snap-in vyberte snímku Prehliadač udalostí a stlačte tlačidlo Pridať.
Kliknite na tlačidlo OK.
Pred zatvorením modulu snap-in uložte konzolu pre budúce použitie.
v momente Prehliadač udalostí rozbaliť sekciu Denníky systému Windows a vyberte uzol Bezpečnosť. Udalosti bezpečnostného auditu si môžete pozrieť v pracovnom priestore konzoly. Všetky udalosti sa zobrazujú v hornej časti pracovného priestoru konzoly. Kliknutím na udalosť v hornej časti pracovnej plochy konzoly ju zobrazíte detailné informácie v spodnej časti panelu. Na karte Sú bežné popis udalostí je umiestnený vo forme zrozumiteľného textu. Na karte Podrobnosti k dispozícii nasledujúce možnosti zobrazenie udalosti: Prehľadná prezentácia A XML režim.
Nastavenie protokolu brány firewall pre profil
Pred zobrazením denníkov brány firewall musíte nakonfigurovať bránu Windows Firewall s rozšíreným zabezpečením na generovanie súborov denníkov.
Ak chcete nakonfigurovať protokolovanie pre bránu Windows Firewall s profilom rozšíreného zabezpečenia, postupujte takto:
V strome nástrojov Brána firewall systému Windows s pokročilým zabezpečením Vyberte sekciu Brána firewall systému Windows s pokročilým zabezpečením a stlačte tlačidlo Vlastnosti v rámci konzoly.
Vyberte kartu profilu, pre ktorú chcete nakonfigurovať protokolovanie (profil domény, súkromný profil alebo verejný profil), a potom kliknite na tlačidlo Naladiť V kapitole Ťažba dreva.
Zadajte názov a umiestnenie súboru denníka.
Uveďte maximálna veľkosť log súbor (od 1 do 32767 kilobajtov)
Pokles Zaznamenať zmeškané pakety zadajte hodnotu Áno.
Pokles Zaznamenajte úspešné pripojenia zadajte hodnotu Áno a potom kliknite na tlačidlo OK.
Zobrazenie protokolových súborov brány firewall
Otvorte súbor, ktorý ste zadali počas predchádzajúceho postupu „Konfigurácia protokolu brány firewall pre profil“. Ak chcete získať prístup k protokolu brány firewall, musíte mať práva lokálneho správcu.
Súbor denníka môžete zobraziť pomocou programu Poznámkový blok alebo ľubovoľného textového editora.
Analýza protokolových súborov brány firewall
Zaprotokolované informácie sú uvedené v nasledujúcej tabuľke. Niektoré údaje sú špecifikované len pre určité protokoly (príznaky TCP, typ a kód ICMP atď.) a niektoré údaje sú špecifikované iba pre zahodené pakety (veľkosť).
|
Lúka |
Popis |
Príklad |
|
Zobrazuje rok, mesiac a deň, kedy bola udalosť zaznamenaná. Dátum sa zapisuje vo formáte RRRR-MM-DD, kde RRRR je rok, MM je mesiac a DD je deň. |
||
|
Zobrazuje hodinu, minútu a sekundu, kedy bola udalosť zaznamenaná. Čas sa zapisuje vo formáte HH:MM:SS, kde HH je hodina v 24-hodinovom formáte, MM je minúta a SS je sekunda. |
||
|
Akcia |
Označuje akciu vykonanú bránou firewall. Existujú nasledujúce akcie: OPEN, CLOSE, DROP a INFO-EVENTS-LOST. Akcia INFO-EVENTS-LOST indikuje, že sa vyskytla viac ako jedna udalosť, ale nebola zaznamenaná. |
|
|
Protokol |
Zobrazuje protokol použitý na pripojenie. Tento záznam môže byť aj počet paketov, ktoré nepoužívajú TCP, UDP alebo ICMP. |
|
|
Zobrazuje IP adresu odosielajúceho počítača. |
||
|
Zobrazuje IP adresu cieľového počítača. |
||
|
Zobrazuje číslo zdrojového portu odosielajúceho počítača. Hodnota zdrojového portu je zapísaná ako celé číslo od 1 do 65535. Platná hodnota zdrojového portu sa zobrazuje len pre protokoly TCP a UDP. Pre ostatné protokoly sa ako zdrojový port zapisuje "-". |
||
|
Zobrazuje číslo portu cieľového počítača. Hodnota cieľového portu sa zapíše ako celé číslo od 1 do 65535. Platná hodnota cieľového portu sa zobrazí len pre protokoly TCP a UDP. Pre ostatné protokoly sa ako cieľový port zapíše „-“. |
||
|
Zobrazuje veľkosť paketu v bajtoch. |
||
|
Zobrazuje ovládacie príznaky protokolu TCP, ktoré sa nachádzajú v hlavičke TCP paketu IP.
Ack. Významné pole potvrdenia Fin.Žiadne ďalšie údaje od odosielateľa Psh. push funkcia Rst. Obnovte pripojenie Vlajka sa označuje prvým veľkým písmenom jej názvu. Napríklad vlajka Fin označené ako F. |
||
|
Zobrazuje číslo fronty TCP v pakete. |
||
|
Zobrazuje číslo potvrdenia TCP v pakete. |
||
|
Zobrazuje veľkosť okna paketu TCP v bajtoch. |
||
|
Typ v správe ICMP. |
||
|
Zobrazuje číslo predstavujúce pole kód v správe ICMP. |
||
|
Zobrazuje informácie na základe vykonanej akcie. Napríklad pre akciu INFO-UDALOSTI-STRATY je to hodnota dané pole označuje počet udalostí, ktoré sa vyskytli, ale neboli zaznamenané v čase, ktorý uplynul od predchádzajúceho výskytu udalosti tohto typu. |
Poznámka
V poliach v aktuálnom zázname, ktoré neobsahujú žiadne informácie, sa používa spojovník (-).
Vytváranie textových súborov netstat a tasklist
Môžete vytvoriť dva vlastné protokolové súbory, jeden na prezeranie sieťových štatistík (zoznam všetkých načúvacích portov) a druhý na prezeranie zoznamov úloh služieb a aplikácií. Zoznam úloh obsahuje ID procesu (identifikátor procesu, PID) pre udalosti obsiahnuté v súbore sieťových štatistík. Postup vytvorenia týchto dvoch súborov je popísaný nižšie.
Na tvorenie textové súboryštatistiky siete a zoznam úloh robia nasledovné:
Na príkazovom riadku napíšte netstat -ano > netstat.txt a stlačte kláves ENTER.
Na príkazovom riadku napíšte zoznam úloh > zoznam úloh.txt a stlačte kláves ENTER. Ak chcete vytvoriť textový súbor so zoznamom služieb, zadajte zoznam úloh /svc > zoznam úloh.txt.
Otvorte súbory tasklist.txt a netstat.txt.
Nájdite ID procesu, ktorý diagnostikujete v súbore tasklist.txt a porovnajte ho s hodnotou obsiahnutou v súbore netstat.txt. Zaznamenajte si použité protokoly.
Príklad vydávania súborov Tasklist.txt a Netstat.txt
netstat.txt
Proto Local Address Cudzia adresa Štát PID
TCP 0.0.0.0:XXX 0.0.0.0:0 POČÚVANIE 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 POČÚVANIE 322
Tasklist.txt
Názov obrázku PID Názov relácie Session# Použitie pamäte
==================== ======== ================ =========== ============
svchost.exe 122 Služby 0 7 172 K
XzzRpc.exe 322 Services 0 5,104 K
Poznámka
Skutočné adresy IP sa zmenili na „X“ a služba RPC na „z“.
Uistite sa, že sú spustené základné služby
Musia byť spustené nasledujúce služby:
Základná filtračná služba
Klient skupinovej politiky
Kľúčové moduly IPsec pre internetovú výmenu kľúčov a overenú IP
Pomocná služba IP
Služba IPSec Policy Agent Service
Služba určovania polohy v sieti
Služba zoznamu sietí
Brána firewall systému Windows
Ak chcete otvoriť modul Služby a overiť, či sú spustené požadované služby, postupujte takto:
Kliknite na tlačidlo Štart a vyberte sekciu Ovládací panel.
Kliknite na ikonu Systém a jeho údržba a vyberte sekciu Administrácia.
Dvakrát kliknite na ikonu Služby.
Ak sa zobrazí dialógové okno Kontrola používateľských kont, zadajte požadované poverenia pre používateľa s príslušnými povoleniami a potom kliknite na ďalej.
Uistite sa, že sú spustené služby uvedené vyššie. Ak jedna alebo viac služieb nie je spustených, kliknite pravým tlačidlom myši na názov služby v zozname a vyberte príkaz Bežať.
Ďalší spôsob riešenia problémov
Ako poslednú možnosť môžete obnoviť predvolené nastavenia brány Windows Firewall. Obnovením predvolených nastavení sa stratia všetky nastavenia vykonané od inštalácie systému Windows Vista. To môže spôsobiť, že niektoré programy prestanú fungovať. Okrem toho, ak spravujete počítač na diaľku, spojenie s ním sa stratí.
Pred obnovením predvolených nastavení sa uistite, že ste uložili aktuálnu konfiguráciu brány firewall. V prípade potreby vám to umožní obnoviť nastavenia.
Kroky na uloženie konfigurácie brány firewall a obnovenie predvolených nastavení sú popísané nižšie.
Ak chcete uložiť aktuálnu konfiguráciu brány firewall, postupujte takto:
v momente Brána firewall systému Windows s pokročilým zabezpečením kliknite na odkaz Exportná politika v rámci konzoly.
Ak chcete obnoviť predvolené nastavenia brány firewall, postupujte takto:
v momente Brána firewall systému Windows s pokročilým zabezpečením kliknite na odkaz Obnoviť predvolené nastavenia v rámci konzoly.
Po zobrazení výzvy bránou Windows Firewall s pokročilým zabezpečením kliknite na Áno obnoviť predvolené hodnoty.
Záver
Existuje mnoho spôsobov, ako diagnostikovať a vyriešiť problémy s bránou Windows Firewall s pokročilým zabezpečením. Medzi nimi:
Použitie funkcie Pozorovanie zobraziť aktivitu brány firewall, pravidlá zabezpečenia pripojenia a priradenia zabezpečenia.
Analyzujte udalosti bezpečnostného auditu súvisiace s bránou Windows Firewall.
Vytváranie textových súborov zoznam úloh A netstat pre porovnávaciu analýzu.
Počnúc servermi 2008 a Vista bol mechanizmus WFP zabudovaný do systému Windows,
čo je súbor API a systémových služieb. Vďaka tomu sa to stalo možným
zakázať a povoliť pripojenia, spravovať jednotlivé balíky. Títo
inovácie boli určené na zjednodušenie života vývojárov rôznych
ochranu Zmeny v architektúre siete ovplyvnili režim jadra aj
a časti systému v užívateľskom režime. V prvom prípade sa exportujú potrebné funkcie
fwpkclnt.sys, v druhom - fwpuclnt.dll (písmená "k" a "u" v názvoch knižníc
znamená jadro a používateľa). V tomto článku si povieme niečo o použití
WFP na zachytávanie a filtrovanie prevádzky a po oboznámení sa so zákl
S definíciami a možnosťami WFP si napíšeme vlastný jednoduchý filter.
Základné pojmy
Skôr ako začneme kódovať, musíme sa bezpodmienečne oboznámiť s terminológiou
Microsoft - a pre pochopenie článku to bude užitočné a ďalšia literatúra
bude sa to lahsie citat :) Tak, poďme.
Klasifikácia- proces určovania, čo robiť s balíkom.
Z možných akcií: povoliť, zablokovať alebo vyvolať výzvu.
Popisky je súbor funkcií vo vodiči, ktoré vykonávajú kontrolu
balíkov. Majú špeciálnu funkciu, ktorá vykonáva klasifikáciu paketov. Toto
funkcia môže urobiť nasledovné rozhodnutie:
- povoliť (FWP_ACTION_PERMIT);
- block(FWP_ACTION_BLOCK);
- pokračovať v spracovaní;
- požiadať o ďalšie údaje;
- ukončiť spojenie.
Filtre- pravidlá určujúce, kedy volať
ten alebo onen popisok. Jeden ovládač môže mať viacero popisov a
vývojom callout drivera sa budeme zaoberať v tomto článku. Mimochodom, farby
existujú aj vstavané, napríklad NAT-callout.
vrstva je funkcia, pomocou ktorej sa kombinujú rôzne filtre (alebo,
ako sa hovorí v MSDN, "kontajner").
Po pravde, dokumentácia od Microsoftu vyzerá dosť nejasne
nemôžete sa pozrieť na príklady vo WDK. Preto, ak sa zrazu rozhodnete niečo vyvinúť
Vážne, určite by ste si ich mali pozrieť. No teraz je to hladké
prejdime k praxi. Pre úspešnú kompiláciu a testy budete potrebovať WDK (Windows
Driver Kit), VmWare, virtuálny prístroj s nainštalovaným systémom Vista a ladiacim programom WinDbg.
Čo sa týka WDK, osobne mám nainštalovanú verziu 7600.16385.0 - je tam všetko
potrebné knižnice (keďže budeme vyvíjať ovládač, potrebujeme len
fwpkclnt.lib a ntoskrnl.lib) a príklady WFP. Odkazy na celok
Nástroje už boli niekoľkokrát citované, takže sa nebudeme opakovať.
Kódovanie
Na inicializáciu popisu som napísal funkciu BlInitialize. Všeobecný algoritmus
vytvorenie popisu a pridanie filtra je takéto:
- FWPMENGINEOPEN0 vykonáva otvorenie zasadnutia;
- FWPMTRANSACTIONBEGIN0- spustenie prevádzky s WFP;
- FWPSCALLOUTREGISTER0- vytvorenie nového popisu;
- FWPMCALLOUTADD0- pridanie objektu popisku do systému;
- FWPMFILTERADD0- pridanie nového filtra (filtrov);
- FWPMTRANSACTIONCOMMIT0- uloženie zmien (pridané
filtre).
Všimnite si, že funkcie končia na 0. V systéme Windows 7 niektoré z nich
funkcie sa zmenili, napríklad sa objavil FwpsCalloutRegister1 (keď
uložený FwpsCalloutRegister0). Líšia sa v argumentoch a v dôsledku toho
prototypy klasifikačných funkcií, ale pre nás je to teraz jedno - 0-funkcie
univerzálny.
FwpmEngineOpen0 a FwpmTransactionBegin0 nás zvlášť nezaujímajú – sú to
prípravná fáza. Zábava začína pri funkcii
FwpsCalloutRegister0:
Prototyp FwpsCalloutRegister0
NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__v const FWPS_CALLOUT0 *popis,
__out_opt UINT32 *caloutId
);
Už som povedal, že popis je súbor funkcií, teraz je čas
hovoriť o tom podrobnejšie. Štruktúra FWPS_CALLOUT0 obsahuje ukazovatele na tri
funkcie - klasifikačná (classifyFn) a dve oznamovacie (asi
pridanie/odstránenie filtra (notifyFn) a zatvorenie spracovávaného streamu (flowDeleteFn)).
Prvé dve funkcie sú povinné, posledná je potrebná iba vtedy
chcete monitorovať samotné pakety, nielen pripojenia. Aj v štruktúre
obsahuje jedinečný identifikátor, callout GUID (calloutKey).
registračný kód výzvy
FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// klasifikačná funkcia
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// funkcia oznamujúca pridanie/odstránenie filtra
// vytvorte nový popis
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);
WINAPI DWORD FwpmCalloutAdd0(
__v HANDLE engineHandle,
__v const FWPM_CALLOUT0 *popis,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_(
calloutKey GUID;
FWPM_DISPLAY_DATA0 displayData; // popis popisu
príznaky UINT32;
GUID *kľúč poskytovateľa;
FWP_BYTE_BLOB providerData;
použiteľné GUID vrstvy;
UINT32 calloutId;
) FWPM_CALLOUT0;
V štruktúre FWPM_CALLOUT0 nás zaujíma pole applyLayer - unique
identifikátor úrovne, do ktorej je pridaný popis. V našom prípade toto
FWPM_LAYER_ALE_AUTH_CONNECT_V4. „v4“ v názve identifikátora znamená verziu
Protokol Ipv4, existuje aj FWPM_LAYER_ALE_AUTH_CONNECT_V6 pre Ipv6. Berúc do úvahy
s nízkou prevalenciou Ipv6 v súčasnosti, budeme pracovať len s
ipv4. CONNECT v názve znamená, že riadime iba inštaláciu
spojenie, o prichádzajúcich a odchádzajúcich paketoch na túto adresu nemôže byť ani reči! Vôbec
existuje veľa úrovní okrem tej, ktorú sme použili - sú deklarované v hlavičkovom súbore
fwpmk.h z WDK.
Pridanie objektu popisku do systému
// názov popisu
displayData.name = L"Blocker Callout";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// popis popisu
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);
Takže po úspešnom pridaní popisku do systému ho musíte vytvoriť
filter, to znamená určiť, v ktorých prípadoch sa bude volať náš popis, a to
- jeho klasifikačná funkcia. Nový filter je vytvorený funkciou FwpmFilterAdd0,
ktorému sa odovzdá štruktúra FWPM_FILTER0 ako argument.
FWPM_FILTER0 obsahuje jednu alebo viac štruktúr FWPM_FILTER_CONDITION0 (ich
číslo je určené poľom numFilterConditions). Pole layerKey je vyplnené identifikátorom GUID
vrstva (vrstva), ku ktorej sa chceme pripojiť. V tomto prípade špecifikujeme
FWPM_LAYER_ALE_AUTH_CONNECT_V4.
Teraz sa pozrime bližšie na plnenie FWPM_FILTER_CONDITION0. Po prvé, v
pole fieldKey musí byť explicitne špecifikované, čo chceme ovládať - port, adresa,
aplikáciu alebo niečo iné. V tomto prípade WPM_CONDITION_IP_REMOTE_ADDRESS
hovorí systému, že máme záujem o IP adresu. Určuje hodnota fieldKey
aký typ hodnôt bude zahrnutý v štruktúre FWP_CONDITION_VALUE
FWPM_FILTER_CONDITION0. V tomto prípade obsahuje adresu ipv4. Poďme
ďalej. Pole matchType určuje, ako sa bude porovnávať.
hodnoty v FWP_CONDITION_VALUE s tým, čo prišlo cez sieť. Tu je veľa možností:
môžete zadať FWP_MATCH_EQUAL, čo bude znamenať úplnú zhodu s podmienkou a
môžete - FWP_MATCH_NOT_EQUAL, to znamená, že v skutočnosti môžeme pridať toto
teda filtrovanie výnimky (adresa, ktorej pripojenie nie je sledované).
Existujú aj možnosti FWP_MATCH_GREATER, FWP_MATCH_LESS a ďalšie (pozri enum
FWP_MATCH_TYPE). V tomto prípade máme FWP_MATCH_EQUAL.
Veľmi som sa neobťažoval a napísal som blokovaciu podmienku
jednu zvolenú IP adresu. V prípade, že sa niektorá aplikácia pokúsi
nadviazať spojenie s vybranou adresou, zavolá sa klasifikátor
našu funkciu popisovania. Kód, ktorý zhŕňa to, čo bolo povedané, je možné vidieť na
Pozrite si bočný panel „Pridanie filtra do systému“.
Pridanie filtra do systému
filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Popis blokovania";
filter.displayData.description = L"Popis blokovania";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *caloutKey;
filter.filterCondition = filterConditions;
// jedna podmienka filtra
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // automatická váha.
// pridajte filter na vzdialenú adresu
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// pridať filter
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);
Vo všeobecnosti môže byť samozrejme veľa podmienok filtrovania. Napríklad môžete
zadajte blokovanie pripojení ku konkrétnemu vzdialenému alebo lokálnemu portu (FWPM_CONDITION_IP_REMOTE_PORT
a FWPM_CONDITION_IP_LOCAL_PORT). Dokáže zachytiť všetky balíky
špecifický protokol alebo špecifickú aplikáciu. A to nie je všetko! Môcť,
napríklad blokovať návštevnosť konkrétneho používateľa. Vo všeobecnosti je kde
túlať sa.
Vráťme sa však k filtru. Klasifikačná funkcia je v našom prípade jednoduchá
zablokuje pripojenie na zadanú adresu (BLOCKED_IP_ADDRESS) a vráti sa
FWP_ACTION_BLOCK:
Náš klasifikačný funkčný kód
void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* vMetaValues,
VOID* paket, IN const FWPS_FILTER* filter,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// vyplňte štruktúru FWPS_CLASIFY_OUT0
if(classifyOut)( // blokovanie balíka
classifyOut->actionType =
FWP_ACTION_BLOCK;
// pri blokovaní balíka potrebujete
resetovať FWPS_RIGHT_ACTION_WRITE
classifyOut->práva&=~FWPS_RIGHT_ACTION_WRITE;
}
}
V praxi môže klasifikačná funkcia nastaviť aj FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE atď.
A nakoniec, pri vykladaní ovládača musíte odstrániť všetky nainštalované
callouts (hádajte, čo sa stane, ak sa systém pokúsi zavolať callout
vyložený vodič? Správne, BSOD). Existuje na to funkcia
FwpsCalloutUnregisterById. Ako parameter sa odovzdá 32-bitový parameter.
identifikátor výzvy vrátený funkciou FwpsCalloutRegister.
Dokončenie výzvy
NTSTATUS BlUninitialize()(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);
}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
návrat ns;
}
Ako vidíte, programovanie filtra WFP nie je až taká náročná úloha, pretože
MS nám poskytol veľmi praktické API. Mimochodom, v našom prípade sme nastavili
filter v ovládači, ale dá sa to urobiť aj z usermodu! Napríklad ukážka z wdk
msnmntr (monitor návštevnosti programu MSN Messenger) to robí – umožňuje vám to nie
preťaženie časti filtra v režime jadra.
Váš GUID
Ak chcete zaregistrovať popis, potrebuje jedinečný identifikátor. Za účelom
získajte svoj GUID (globálne jedinečný identifikátor), použite zahrnutý guidgen.exe
V vizuálne štúdio. Nástroj sa nachádza v (VS_Path)\Common7\Tools. Pravdepodobnosť kolízie
veľmi malý, pretože GUID má dĺžku 128 bitov a k dispozícii je 2^128
identifikátory.
Ladenie filtra
Na odladenie palivového dreva je vhodné použiť balík Windbg + VmWare. Na to potrebujete
nakonfigurovať hosťovský systém (v podobe ktorého Vista pôsobí) aj debugger
windbg. Ak by WinXP musel upraviť boot.ini na vzdialené ladenie, tak
pre Vista+ existuje konzola bcdedit. Ako obvykle, musíte povoliť ladenie:
BCDedit /dbgsettings SÉRIOVÉ DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ON (alebo BCDedit /set debug ON)
Teraz je všetko pripravené! Spustíme dávkový súbor s nasledujúcim textom:
začať windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0
a pozrite si výstup ladenia v okne windbg (pozri obrázok).
Záver
Ako vidíte, rozsah WFP je dosť široký. Vy rozhodnete ako
aplikuj tieto poznatky - pre zlo alebo pre dobro 🙂
Načítava...