Як вимкнути платформу фільтрації windows 7. Брандмауер Windows в режимі підвищеної безпеки – діагностика та вирішення проблем

Оснащення консолі управління (MMC) ОС Windows Vista™ – це брандмауер, що реєструє стан мережі, для робочих станцій, що фільтрує вхідні та вихідні з'єднання відповідно до налаштувань. Тепер можна настроювати параметри брандмауера та протоколу IPsec за допомогою одного оснащення. Ця стаття описує роботу брандмауера Windows в режимі підвищеної безпеки, типові проблеми та засоби їх вирішення

Як працює брандмауер Windows у режимі підвищеної безпеки

Брандмауер Windowsу режимі підвищеної безпеки – це брандмауер, що реєструє стан мережі для робочих станцій. На відміну від брандмауерів для маршрутизаторів, які розгортаються на шлюзі між локальною мережею та Інтернетом, брандмауер Windows створений для роботи на окремих комп'ютерах. Він відстежує лише трафік робочої станції: трафік, що надходить на IP-адресу комп'ютера, та вихідний трафік самого комп'ютера. Брандмауер Windows у режимі підвищеної безпеки виконує такі основні операції:

Вхідний пакет перевіряється та порівнюється зі списком дозволеного трафіку. Якщо пакет відповідає одному зі значень списку, Windows брандмауер передає пакет TCP/IP для подальшої обробки. Якщо пакет не відповідає жодному з значень списку, брандмауер Windows блокує пакет, і якщо увімкнено протоколювання, створює запис у файлі журналу.

Список дозволеного трафіку формується двома шляхами:

Коли підключення, контрольоване брандмауером Windows у режимі підвищеної безпеки, відправляє пакет, брандмауер створює значення у списку, що дозволяє прийом трафіку у відповідь. Для відповідного вхідного трафіку потрібен додатковий дозвіл.

Коли Ви створюєте дозвіл брандмауера Windows у режимі підвищеної безпеки, трафік, для якого створено відповідне правило, буде дозволено на комп'ютері з брандмауером Windows. Цей комп'ютер прийматиме явно дозволений вхідний трафік у режимах роботи як сервер, клієнтський комп'ютер або вузл одноранговій мережі.

Першим кроком у вирішенні проблем, пов'язаних із Брандмауером Windows, є перевірка того, який профіль є активним. Брандмауер Windows у режимі підвищеної безпеки є програмою, яка відстежує мережеве оточення. Профіль брандмауера Windows змінюється при зміні мережевого оточення. Профіль являє собою набір налаштувань та правил, який застосовується залежно від мережевого оточення та діючих мережевих підключень.

Брандмауер розрізняє три типи мережевого оточення: домен, публічна та приватна мережі. Доменом є мережеве оточення, в якому підключення проходять автентифікацію на контролері домену. За замовчуванням інші типи мережевих підключень розглядаються як публічні мережі. При виявленні нового підключення Windows Vista пропонує користувачу вказати, чи є дана мережаприватної чи публічної. Загальний профіль призначений для використання у громадських місцях, наприклад, в аеропортах чи кафе. Приватний профіль призначений для використання вдома або в офісі, а також у захищеній мережі. Щоб визначити мережу як приватну, користувач повинен мати відповідні адміністративні повноваження.

Хоча комп'ютер може бути підключений одночасно до мереж різного типу, активним може бути лише один профіль. Вибір активного профілю залежить від таких причин:

Якщо для всіх інтерфейсів використовується автентифікація на контролері домену, використовується профіль домену.

Якщо хоча б один з інтерфейсів підключений до приватної мережі, а решта – до домену або до приватних мереж, використовується приватний профіль.

У решті випадків використовується загальний профіль.

Щоб визначити активний профіль, натисніть вузол Спостереженняв оснащенні Брандмауер Windows у режимі підвищеної безпеки. Над текстом Стан брандмауерабуде вказано, який профіль активний. Наприклад, якщо активний профіль домену, нагорі буде відображено напис Профіль домену активний.

За допомогою профілів брандмауер Windows може автоматично дозволяти вхідний трафік для спеціальних засобів керування комп'ютером, коли комп'ютер знаходиться в домені, і блокувати той самий трафік, коли комп'ютер підключено до публічної або приватної мережі. Таким чином, визначення типу мережевого оточення забезпечує захист вашого локальної мережібез шкоди безпеці мобільних користувачів.

Типові проблеми під час роботи брандмауера Windows у режимі підвищеної безпеки

Нижче наведено основні проблеми, що виникають під час роботи брандмауера Windows у режимі підвищеної безпеки:

Якщо трафік блокується, спочатку слід перевірити, чи активовано брандмауер, і який профіль є активним. Якщо будь-яка програма блокується, переконайтеся, що в оснастці Брандмауер Windows у режимі підвищеної безпекиІснує активне дозвільне правило для поточного профілю. Щоб переконатися в наявності дозволяючого правила, двічі клацніть вузол Спостереження, а потім виберіть розділ Брандмауер. Якщо для цієї програми немає активних правил, перейдіть до вузла і створіть нове правило для цієї програми. Створіть правило для програми або служби, або вкажіть групу правил, яка застосовується до цієї функції, і переконайтеся, що всі правила цієї групи включені.

Для перевірки того, що дозвільне правило не перекривається блокуючим правилом, виконайте такі дії:

У дереві оснащення Брандмауер Windows у режимі підвищеної безпекиклацніть вузол Спостереження, а потім виберіть розділ Брандмауер.

Перегляньте список усіх активних правил локальної та груповий політик. Забороняючі правила перекривають дозвільні правила навіть у разі, якщо останні визначені точніше.

Групова політика перешкоджає застосуванню локальних правил

Якщо брандмауер Windows в режимі підвищеної безпеки налаштовується за допомогою групової політики, адміністратор може вказати, чи використовуватимуться правила брандмауера або правила безпеки підключення, створені локальними адміністраторами. Це має сенс у тому випадку, якщо існують налаштовані локальні правила брандмауера або правила безпеки підключення, які відсутні у відповідному розділі налаштувань.

Щоб дізнатися, чому локальні правила брандмауера або правила безпеки підключення відсутні в розділі «Спостереження», виконайте такі дії:

У оснащенні Брандмауер Windows у режимі підвищеної безпеки, клацніть посилання Властивості брандмауера Windows.

Виберіть вкладку активного профілю.

В розділі Параметри, натисніть кнопку Налаштувати.

Якщо застосовуються локальні правила, розділ Об'єднання правилбуде активним.

Правила, які потребують безпечного підключення, можуть блокувати трафік

При створенні правила брандмауера для вхідного або вихідного трафіку одним із параметрів є . Якщо вибрано дана функція, потрібна наявність відповідного правила безпеки підключення або окремої політики IPSec, яка визначає, який трафік є захищеним. В іншому випадку цей трафік блокується.

Для перевірки того, що одне або кілька правил для програми потребують безпечних підключень, виконайте такі дії:

У дереві оснащення Брандмауер Windows у режимі підвищеної безпекиклацніть розділ Правила для вхідних підключень. Виберіть правило, яке необхідно перевірити і клацніть на посилання Властивостіу сфері дії консолі.

Виберіть вкладку Загальніта перевірте, чи є вибраним значення перемикача Дозволити лише безпечні підключення.

Якщо для правила вказано параметр Дозволити лише безпечні підключення, розгорніть розділ Спостереженняу дереві оснастки та виберіть розділ . Переконайтеся, що для трафіку, визначеного в брандмауері, існують відповідні правила безпеки підключення.

Попередження:

За наявності активної політики IPSec переконайтеся, що ця політика захищає потрібний трафік. Не створюйте правила безпеки підключення, щоб уникнути конфлікту політики IPSec та правил безпеки підключень.

Неможливо дозволити вихідні підключення

У дереві оснащення Брандмауер Windows у режимі підвищеної безпекивиберіть розділ Спостереження. Виберіть вкладку активного профілю та у розділі Стан брандмауераперевірте, що вихідні підключення, що не підпадають під дозвільне правило, дозволені.

В розділі Спостереженнявиберіть розділ Брандмауер, щоб переконатися, що необхідні вихідні підключення не вказані у правилах, що забороняються.

Змішані політики можуть призвести до блокування трафіку

Ви можете налаштовувати брандмауер та параметри IPSec за допомогою різних інтерфейсів Windows.

Створення політик у кількох місцях може призвести до конфліктів та блокування трафіку. Доступні такі точки налаштування:

Брандмауер Windows у режимі підвищеної безпеки. Ця політика налаштовується за допомогою відповідного оснащення локально або як частина групової політики. Ця політика визначає параметри брандмауера та IPSec на комп'ютерах під керуванням Windows Vista.

Адміністративний шаблон брандмауера Windows. Ця політика налаштовується за допомогою редактора об'єктів групової політики у розділі . Цей інтерфейс містить параметри брандмауера Windows, які були доступні до появи Windows Vista, і призначені для налаштування об'єкта групової політики, який керує попередніми версіями Windows. Хоча дані параметри можуть бути використані для комп'ютерів під керуванням Windows Vista, рекомендується використовувати натомість політику Брандмауер Windows у режимі підвищеної безпекиоскільки вона забезпечує велику гнучкість та безпеку. Зверніть увагу на те, що деякі з настройок доменного профілю є спільними для адміністративного шаблону брандмауера Windows та політики Брандмауер Windows у режимі підвищеної безпеки, тому Ви можете побачити тут параметри, налаштовані в доменному профілі за допомогою оснастки Брандмауер Windows у режимі підвищеної безпеки.

Політики IPSec. Ця політика налаштовується за допомогою локального оснащення Управління політиками IPSecабо редактор об'єктів групової політики у розділі Конфігурація комп'ютера\Конфігурація Windows\Параметри безпеки\Політики IP безпеки на локальному комп'ютері . Ця політика визначає параметри IPSec, які можна використовувати як попередніми версіями Windows, і Windows Vista. Не слід застосовувати одночасно на тому самому комп'ютері цю політику та правила безпеки підключення, визначені в політиці Брандмауер Windows у режимі підвищеної безпеки.

Для перегляду всіх цих параметрів у відповідних оснастках створіть власне оснащення консолі керування і додайте до неї оснастки Брандмауер Windows у режимі підвищеної безпеки, і Безпека IP.

Для створення власного оснащення консолі керування виконайте такі дії:

Натисніть кнопку Пуск, перейдіть до меню Усі програми, потім у меню Стандартніта виберіть пункт Виконати.

У текстовому полі Відкрити ENTER.

Продовжити.

В меню КонсольВиберіть .

В списку Доступні оснасткивиберіть оснащення Брандмауер Windows у режимі підвищеної безпекита натисніть кнопку Додати.

Натисніть кнопку ОК.

Повторіть кроки з 1 по 6, щоб додати оснастки Управління груповою політикоюі Монітор IP безпеки.

Для перевірки того, які політики активні в активному профілі, використовуйте таку процедуру:

Щоб перевірити, які політики застосовуються, виконайте такі дії:

В командному рядкувведіть mmc та натисніть клавішу ENTER.

Якщо з'явиться діалогове вікно контролю облікових записів користувачів, підтвердіть виконання запитуваної дії та натисніть кнопку Продовжити.

В меню Консольвиберіть пункт Додати або видалити оснащення.

В списку Доступні оснасткивиберіть оснащення Управління груповою політикоюта натисніть кнопку Додати.

Натисніть кнопку ОК.

Розкрийте вузол у дереві (зазвичай це дерево лісу, в якому знаходиться даний комп'ютер) і двічі клацніть розділ в області консолі.

Виберіть значення перемикача Відображати параметри політики дляіз значень поточного користувача або іншого користувача. Якщо не потрібно відображати параметри політики для користувачів, а лише параметри політики для комп'ютера, виберіть значення перемикача Не відображати політику користувача (перегляд лише політики комп'ютера)та двічі натисніть кнопку Далі.

Натисніть кнопку Готово. Майстер результатів групової політики створить звіт у сфері консолі. Звіт містить вкладки Зведення, Параметриі Події політики.

Щоб перевірити, чи немає конфлікту з політиками IP безпеки, після створення звіту виберіть вкладку Параметрита відкрийте розділ Конфігурація комп'ютера\Конфігурація Windows\ Параметри безпеки\Параметри IP безпеки у службі каталогів Active Directory . Якщо останній розділ відсутній, то політика IP безпеки не задана. Інакше буде відображено назву та опис політики, а також об'єкт групової політики, якому вона належить. При одночасному використанні політики IP безпеки та політики брандмауера Windows у режимі підвищеної безпеки з правилами безпеки підключень можливий конфлікт даних політик. Рекомендується використовувати лише одну з цих політик. Оптимальним рішеннямбуде використання політик IP безпеки разом із правилами брандмауера Windows у режимі підвищеної безпеки для вхідного або вихідного трафіку. Якщо параметри налаштовуються в різних місцях і не узгоджені між собою, можуть виникати складні у вирішенні конфлікти політик.

Також можуть виникати конфлікти між політиками, визначеними у локальних об'єктах групової політики та сценаріями, налаштованими ІТ-відділом. Перевірте всі політики безпеки IP за допомогою програми «Монітор IP безпеки» або введіть наступну команду в командному рядку:

Щоб переглянути параметри, визначені в адміністративному шаблоні брандмауера Windows, відкрийте розділ Конфігурація комп'ютера\Адміністративні шаблони\Мережа\Мережні підключення\Брандмауер Windows.

Для перегляду останніх подій, пов'язаних із поточною політикою, Ви можете перейти на вкладку Policy Eventsу тій же консолі.

Щоб переглянути політику брандмауера Windows у режимі підвищеної безпеки, відкрийте оснастку на комп'ютері, що діагностується, і перегляньте налаштування в розділі Спостереження.

Для перегляду адміністративних шаблонів відкрийте оснастку Групова політиката у розділі Результати групової політикиперегляньте, чи є параметри, що успадковуються від групової політики, які можуть призвести до відхилення трафіку.

Щоб переглянути політику IP безпеки, відкрийте оснащення монітора IP безпеки. Виберіть у дереві локальний комп'ютер. В області дії консолі виберіть посилання Активна політика, Основний режимабо Швидкий режим. Перевірте наявність конкуруючих політик, які можуть призвести до блокування трафіку.

В розділі Спостереженняоснащення Брандмауер Windows у режимі підвищеної безпекиВи можете переглядати існуючі правила як локальної, так і групової політики. Для отримання додаткової інформаціїзверніться до розділу « Використання функції спостереження у оснащенні Брандмауер Windows у режимі підвищеної безпеки » цього документа.

Щоб зупинити агента політики IPSec, виконайте такі дії:

Натисніть кнопку Пускта виберіть розділ Панель управління.

Клацніть піктограму Система та її обслуговуваннята виберіть розділ Адміністрація.

Двічі клацніть піктограму Служби. Продовжити.

Знайдіть у списку службу Агент політики IPSec

Якщо служба Агент IPSecзапущена, клацніть по ній правою кнопкою миші та виберіть в меню пункт Зупинити. Також Ви можете зупинити службу Агент IPSecз командного рядка за допомогою команди

Політика однорангової мережі може призвести до відхилення трафіку

Для підключень, що використовують IPSec, обидва комп'ютери повинні мати сумісні політики безпеки IP. Ці політики можуть визначатися за допомогою правил безпеки підключень брандмауера Windows, оснащення IP безпекаабо іншого постачальника безпеки IP.

Щоб перевірити параметри політики IP безпеки в одноранговій мережі, виконайте такі дії:

У оснащенні Брандмауер Windows у режимі підвищеної безпекивиберіть вузол Спостереженняі Правила безпеки підключення, щоб переконатися, що на обох вузлах мережі налаштована політика безпеки IP.

Якщо один з комп'ютерів в одноранговій мережі працює під керуванням раніше версії Windows, ніж Windows Vista, переконайтеся, що принаймні один із наборів шифрування в основному режимі і один з наборів шифрування в швидкому режимі використовують алгоритми, що підтримуються обома вузлами.

1. Клацніть розділ Основний режим, виберіть з'єднання для перевірки в області відомостей консолі, а потім натисніть посилання Властивостіу сфері дії консолі. Перегляньте властивості підключення для обох вузлів, щоб переконатися в їх сумісності.

   Повторіть крок 2.1 для розділу Швидкий режим. Перегляньте властивості підключення для обох вузлів, щоб переконатися в їх сумісності.

Якщо використовується автентифікація Kerberos 5, переконайтеся, що вузол знаходиться в тому ж чи довіреному домені.

Якщо використовуються сертифікати, перевірте, чи встановлено прапорці. Для сертифікатів, які використовують обмін ключами IPSec в Інтернеті (Internet Key Exchange, IKE), потрібний цифровий підпис. Для сертифікатів, що використовують протокол IP з автентичністю (AuthIP), необхідна автентифікація клієнтів (залежить від типу автентифікації сервера). Для отримання додаткової інформації про сертифікати AuthIP зверніться до статті Протокол IP з автентичністю в Windows Vista AuthIP in Windows Vista на веб-сайті Microsoft.

Неможливо настроїти брандмауер Windows у режимі підвищеної безпеки

Налаштування брандмауера Windows у режимі підвищеної безпеки недоступні (затінені), у таких випадках:

Комп'ютер підключений до мережі з централізованим керуванням, і адміністратор мережі використовує групові політики для налаштування параметрів брандмауера Windows у режимі підвищеної безпеки. В цьому випадку вгорі оснастки Брандмауер Windows у режимі підвищеної безпекиВи побачите повідомлення «Деякі параметри керуються груповою політикою». Ваш адміністратор мережі настроює політику, тим самим позбавляючи Вас можливості змінювати параметри брандмауера Windows.

Комп'ютер під керуванням Windows Vista не підключений до мережі із централізованим керуванням, однак параметри брандмауера Windows визначаються локальною груповою політикою.

Щоб змінити параметри брандмауера Windows у режимі підвищеної безпеки за допомогою локальної групової політики, використовуйте оснастку Політика локального комп'ютера. Щоб відкрити цю оснастку, введіть у командному рядку secpol. Якщо з'явиться діалогове вікно контролю облікових записів користувачів, підтвердіть виконання запитуваної дії та натисніть кнопку Продовжити. Перейдіть до розділу Конфігурація комп'ютера\Конфігурація Windows\Параметри безпеки\Брандмауер Windows у режимі підвищеної безпеки, щоб настроїти параметри політики брандмауера Windows у режимі підвищеної безпеки.

Комп'ютер не відповідає на запити перевірки зв'язку

Основним способом перевірки підключення між комп'ютерами є використання утиліти Ping для перевірки підключення до певної IP-адреси. Під час перевірки зв'язку надсилається ехо-повідомлення ICMP (також відоме як запит ехо ICMP), і у відповідь запитується ехо ICMP. За промовчанням брандмауер Windows відхиляє вхідні ехо-повідомлення ICMP, тому комп'ютер не може надіслати відповідь ехо-ICMP.

Дозвіл вхідних ехо-повідомлень ICMP дозволить іншим комп'ютерам перевірити зв'язок (ping) з Вашим комп'ютером. З іншого боку, це зробить комп'ютер вразливим для атак, що використовують луні ICMP. Тим не менш, рекомендується тимчасово дозволити вхідні ехо-повідомлення ICMP у разі потреби, після чого відключити їх.

Щоб дозволити відлуння повідомлень ICMP, створіть нові правила для вхідного трафіку, які дозволяють пакети запитів ICMPv4 та ICMPv6.

Щоб розв'язати запити ICMPv4 та ICMPv6, виконайте такі дії:

У дереві оснащення Брандмауер Windows у режимі підвищеної безпекивиберіть вузол Правила для вхідних підключеньта клацніть посилання Нове правилоу сфері дій консолі.

Настроюваніта натисніть кнопку Далі.

Вкажіть значення перемикача Усі програмита натисніть кнопку Далі.

У списку, що розкривається Тип протоколувиберіть значення ICMPv4.

Натисніть кнопку Налаштуватидля пункту Параметри ICMP.

Встановіть перемикач у значення Певні типи ICMP, позначте прапорець Відлуння-запит, натисніть кнопку ОКта натисніть кнопку Далі.

На етапі вибору локальних та віддалених IP-адрес, що відповідають даному правилу, встановіть перемикачі на значення Будь-яка IP-адресаабо Вказані IP-адреси. Якщо Ви оберете значення Вказані IP-адреси, вкажіть необхідні IP-адреси, натисніть кнопку Додатита натисніть кнопку Далі.

Вкажіть значення перемикача Дозволити підключеннята натисніть кнопку Далі.

На етапі вибору профілів позначте один або кілька профілів (профіль домену, приватний або загальний профіль), в якому Ви хочете використовувати це правило, та натисніть кнопку Далі.

В полі Ім'явведіть ім'я правила, а в полі Опис- Необов'язковий опис. Натисніть кнопку Готово.

Повторіть наведені вище кроки для ICMPv6, вибравши на етапі Тип протоколузначення випадаючого списку ICMPv6замість ICMPv4.

У разі наявності активних правил безпеки підключень допомогти у вирішенні проблем може тимчасове виключення протоколу ICMP із вимог IPsec. Для цього відкрийте в оснастці Брандмауер Windows у режимі підвищеної безпекидіалогове вікно Властивості, перейдіть на вкладку Параметри IPSecі вкажіть у списку, що розкривається, значення Такдля параметра Виключити ICMP із IPSec.

Примітка

Установки брандмауера Windows можуть змінювати лише адміністратори та оператори мережі.

Неможливо отримати спільний доступ до файлів та принтерів.

Якщо не вдається отримати загальний доступдо файлів і принтерів на комп'ютері з активним брандмауером Windows, переконайтеся, що всі правила групи включені. Доступ до файлів та принтерів Брандмауер Windows у режимі підвищеної безпекивиберіть вузол Правила для вхідних підключень Доступ до файлів та принтерів Включити правилоу сфері дії консолі.

Увага:

Настійно не рекомендується включати спільний доступ до файлів та принтерів на комп'ютерах, підключених до Інтернету безпосередньо, оскільки зловмисники можуть спробувати отримати доступ до спільних файлів та завдати Вам шкоди, пошкодивши Ваші особисті файли.

Неможливо видалене адміністрування брандмауера Windows

Якщо не вдається віддалено адмініструвати комп'ютер з активним брандмауером Windows, переконайтеся, що увімкнено всі правила в налаштованій за промовчанням групі Дистанційне керування Брандмауером Windowsактивного профілю. У оснащенні Брандмауер Windows у режимі підвищеної безпекивиберіть вузол Правила для вхідних підключеньта прокрутіть список правил до групи Віддалене управління. Переконайтеся, що ці правила увімкнені. Виберіть кожне з вимкнених правил та натисніть кнопку Включити правилоу сфері дії консолі. Додатково переконайтеся, що увімкнено службу агента політики IPSec. Ця служба необхідна для дистанційного керуванняБрандмауер Windows.

Щоб перевірити, чи агент IPSec запущено, виконайте такі дії:

Натисніть кнопку Пускта виберіть розділ Панель управління.

Клацніть піктограму Система та її обслуговуваннята виберіть розділ Адміністрація.

Двічі клацніть піктограму Служби.

Якщо з'явиться діалогове вікно контролю облікових записів користувачів, введіть необхідні дані користувача з відповідними повноваженнями та натисніть кнопку Продовжити.

Знайдіть у списку службу Агент політики IPSecта переконайтеся, що вона має статус «Працює».

Якщо служба Агент IPSecзупинено, клацніть по ній правою кнопкою миші та виберіть контекстному менюпункт Запустити. Також Ви можете запустити службу Агент IPSecіз командного рядка за допомогою команди net start policy agent.

Примітка

За замовчуванням служба Агент політики IPSecзапущена. Дана службаповинна працювати, якщо вона не була зупинена вручну.

Засоби виправлення неполадок у роботі брандмауера Windows

У цьому розділі описано засоби та методи, що використовуються при вирішенні типових проблем. Цей розділ складається з наступних підрозділів:

Використання функцій спостереження в оснащенні "Брандмауер Windows у режимі підвищеної безпеки"

Першим кроком у вирішенні проблем, пов'язаних із брандмауером Windows, є перегляд поточних правил. Функція Спостереженнядозволяє переглядати правила, що використовуються на основі локальної та групової політик. Для перегляду поточних правил вхідного та вихідного трафіку у дереві оснащення Брандмауер Windows у режимі підвищеної безпекивиберіть розділ Спостереження, а потім виберіть розділ Брандмауер. У цьому розділі Ви також можете переглянути поточні правила безпеки підключенняі зіставлення безпеки (Основний та Швидкий режими).

Включення та використання аудиту безпеки за допомогою засобу командного рядка auditpol

За замовчуванням параметри аудиту неактивні. Для їх налаштування використовуйте засіб командного рядка auditpol.exe, який змінює налаштування політики аудиту на локальному комп'ютері. Ауditpol можна використовувати для включення або відключення відображення різних категорій подій та їх подальшого перегляду в оснастці Перегляд подій.

Щоб переглянути список категорій, що підтримуються програмою auditpol, введіть у командному рядку:

• Щоб переглянути список підкатегорій, що входять до цієї категорії (наприклад, у категорії Зміна політики), введіть у командному рядку:

  auditpol.exe /list /category:"Зміна політики"

• Щоб увімкнути відображення категорії або підкатегорії, введіть у командному рядку:

  /SubCategory:" Ім'я Категорії"

Наприклад, для того, щоб задати політики аудиту для категорії та її підкатегорії, необхідно ввести таку команду:

auditpol.exe /set /category:"Зміна політики" /subcategory:"Зміна політики на рівні правил MPSSVC" /success:enable /failure:enable

Зміна політики

Зміна політики на рівні правил MPSSVC

Зміна політики платформи фільтрації

Вхід вихід

Основний режим IPsec

Швидкий режим IPsec

Розширений режим IPsec

Система

Драйвер IPSEC

Інші системні події

Доступ до об'єктів

Відкидання пакету платформою фільтрації

Підключення платформи фільтрації

Щоб змінити політику аудиту безпеки, необхідно перезавантажити локальний комп'ютер або примусово оновити політику вручну. Для примусового оновлення політики введіть у командному рядку:

secedit /refreshpolicy<название_политики>

Після завершення діагностики, Ви можете відключити аудит подій, замінивши у наведених вище командах параметр enable на disable і запустивши команди повторно.

Перегляд подій, пов'язаних з аудитом безпеки, у журналі подій

Після увімкнення аудиту, використовуйте оснащення Перегляд подій для перегляду подій аудиту в журналі подій безпеки.

Щоб відкрити вікно «Перегляд подій» у папці «Адміністрування», виконайте такі дії:

1. Натисніть кнопку Пуск.

   Виберіть розділ Панель управління. Клацніть піктограму Система та її обслуговуваннята виберіть розділ Адміністрація.

   Двічі клацніть піктограму Перегляд подій.

Щоб додати оснащення «Перегляд подій» у консоль MMC, виконайте такі дії:

Натисніть кнопку Пуск, перейдіть до меню Усі програми, потім у меню Стандартніта виберіть пункт Виконати.

У текстовому полі Відкритивведіть mmc та натисніть клавішу ENTER.

Якщо з'явиться діалогове вікно контролю облікових записів користувачів, підтвердіть виконання запитуваної дії та натисніть кнопку Продовжити.

В меню Консольвиберіть пункт Додати або видалити оснащення.

В списку Доступні оснасткивиберіть оснащення Перегляд подійта натисніть кнопку Додати.

Натисніть кнопку ОК.

Перед тим, як закрити оснастку, збережіть консоль для подальшого використання.

У оснащенні Перегляд подійрозкрийте розділ Журнали Windows та виберіть вузол Безпека. У робочій області консолі можна переглядати події аудиту безпеки. Усі події відображаються у верхній частині робочої області консолі. Клацніть на подію у верхній частині робочої області консолі для відображення детальної інформаціїунизу панелі. На вкладці Загальнірозміщено опис подій як зрозумілого тексту. На вкладці Деталідоступні такі параметри відображення події: Зрозуміле уявленняі Режим XML.

Настроювання журналу брандмауера для профілю

Перш ніж ви зможете переглядати журнали брандмауера, необхідно налаштувати брандмауер Windows у режимі підвищеної безпеки для створення файлів журналу.

Щоб настроїти журнал для профілю брандмауера Windows у режимі підвищеної безпеки, виконайте такі дії:

У дереві оснащення Брандмауер Windows у режимі підвищеної безпекивиберіть розділ Брандмауер Windows у режимі підвищеної безпекита натисніть кнопку Властивостіу сфері дії консолі.

Виберіть вкладку профілю, для якої потрібно настроїти журнал (профіль домену, приватний або загальний профіль), а потім натисніть кнопку Налаштуватив розділі Ведення журналу.

Вкажіть ім'я та розташування файлу журналу.

Вкажіть максимальний розмір файлу журналу (від 1 до 32767 кілобайт)

У списку, що розкривається Записувати пропущені пакетивкажіть значення Так.

У списку, що розкривається Записувати успішні підключеннявкажіть значення Така потім натисніть кнопку ОК.

Перегляд файлів журналу брандмауера

Відкрийте файл, вказаний Вами під час попередньої процедури «Налаштування журналу брандмауера для профілю». Для доступу до журналу брандмауера Ви повинні мати права локального адміністратора.

Ви можете переглядати файл журналу за допомогою програми Блокнот або будь-якого текстового редактора.

Аналіз файлів журналу брандмауера

Інформація, що реєструється у журналі, наведена у наступній таблиці. Деякі дані вказуються лише для певних протоколів (прапори TCP, тип та код ICMP тощо), а деякі дані вказуються лише для відкинутих пакетів (розмір).

Поле	Опис	Приклад
	Відображає рік, місяць і день, коли було зроблено запис події. Дата записується у форматі РРРР-ММ-ДД, де РРРР – рік, MM – місяць, а ДР – день.
	Відображає годину, хвилину та секунду, в яку було зроблено запис події. Час записується у форматі ЧЧ:ММ:СС, де ЧЧ – година у 24-годинному форматі, ММ – хвилина, а СС – секунда.
Дія	Позначає дію, виконану брандмауером. Існують такі дії: OPEN, CLOSE, DROP та INFO-EVENTS-LOST. Дія INFO-EVENTS-LOST означає, що відбулося кілька подій, але вони не були записані в журнал.
Протокол	Відображає протокол, який використовувався для підключення. Цей запис також може бути числом пакетів, що не використовують протоколи TCP, UDP або ICMP.
	Відображає IP-адресу комп'ютера-відправника.
	Відображає IP-адресу комп'ютера-отримувача.
	Відображає номер порту джерела комп'ютера-відправника. Значення порту джерела записується у формі цілого числа від 1 до 65535. Коректне значення порту джерела відображається лише для протоколів TCP та UDP. Для інших протоколів як порт джерела записується «-».
	Відображає номер порту комп'ютера. Значення порту призначення записується у формі цілого числа від 1 до 65535. Коректне значення порту призначення відображається лише для протоколів TCP та UDP. Для інших протоколів як порт призначення записується «-».
	Відображає розмір пакета у байтах.
	Відображає контрольні прапори протоколу TCP, виявлені в заголовку TCP-пакета. Ack. Acknowledgment field significant (Поле підтвердження) Fin. No more data from sender (немає більше даних для передачі) PSH. Push function (функція проштовхування) Rst. Reset the connection Syn. Synchronize sequence numbers (Синхронізація номерів черги) Urg. Urgent Pointer field significant (Полі термінового покажчика задіяно) Прапор позначається першою великою літерою своєї назви. Наприклад, прапор Finпозначається як F.
	Відображає номер черги TCP у пакеті.
	Відображає номер підтвердження TCP у пакеті.
	Відображає розмір вікна пакета TCP в байтах.
	Типу повідомленні ICMP.
	Відображає число, яке позначає поле Коду повідомленні ICMP.
	Відображає інформацію залежно від дії. Наприклад, для дії INFO-EVENTS-LOST значення даного поляпозначає кількість подій, що відбулися, але не записані в журнал за час, що минув з попередньої появи події даного типу.

Примітка

Дефіс (-) використовується в полях поточного запису, які не містять жодної інформації.

Створення текстових файлів netstat та tasklist

Ви можете створити два файли журналу, що настроюються, один – для перегляду мережевої статистики (список всіх портів, що прослуховуються) та інший – для перегляду списків завдань служб і додатків. Список завдань містить Код процесу (process identifier, PID) для подій, які у файлі мережевої статистики. Нижче описано процедуру створення цих двох файлів.

Для створення текстових файлівмережевої статистики та списку завдань виконайте такі дії:

У командному рядку введіть netstat -ano > netstat.txtта натисніть клавішу ENTER.

У командному рядку введіть tasklist > tasklist.txtта натисніть клавішу ENTER. Якщо потрібно створити текстовий файл зі списком служб, введіть tasklist /svc > tasklist.txt.

Відкрийте файли tasklist.txt та netstat.txt.

Знайдіть у файлі tasklist.txt код процесу, який Ви діагностуєте та порівняйте його зі значенням, що міститься у файлі netstat.txt. Запишіть протоколи, що використовуються.

Приклад видачі файлів Tasklist.txt та Netstat.txt

Netstat.txt
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:XXX 0.0.0.0:0 LISTENING 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 LISTENING 322
Tasklist.txt
Image Name PID Session Name Session# Mem Usage
==================== ======== ================ =========== ============
svchost.exe 122 Services 0 7,172 K
XzzRpc.exe 322 Services 0 5,104 K

Примітка

Реальні IP-адреси змінені на X, а служба RPC – на z.

Переконайтеся, що запущено основні служби

Повинні бути запущені такі служби:

Служба базової фільтрації

Клієнт групової політики

Модулі ключів IPsec для обміну ключами в Інтернеті та протоколу IP з автентичністю

Допоміжна служба IP

Служба агента політики IPSec

Служба мережевого розташування

Служба списку мереж

Брандмауер Windows

Щоб відкрити оснастку «Служби» та перевірити, що необхідні служби запущені, виконайте такі дії:

Натисніть кнопку Пускта виберіть розділ Панель управління.

Клацніть піктограму Система та її обслуговуваннята виберіть розділ Адміністрація.

Двічі клацніть піктограму Служби.

Якщо з'явиться діалогове вікно контролю облікових записів користувачів, введіть необхідні дані користувача з відповідними повноваженнями та натисніть кнопку Продовжити.

Переконайтеся, що служби, наведені вище, запущені. Якщо одна або кілька служб не запущені, клацніть правою кнопкою за назвою служби у списку та виберіть команду Запустити.

Додатковий спосіб вирішення проблем

Як останній засіб Ви можете відновити налаштування брандмауера Windows за промовчанням. Після відновлення налаштувань за замовчуванням будуть втрачені всі налаштування, зроблені після інсталяції Windows Vista. Це може призвести до того, що деякі програми перестануть працювати. Також, якщо Ви керуєте комп'ютером віддалено, підключення до нього буде розірвано.

Перед тим як відновити установки за замовчуванням, переконайтеся, що брандмауер зберігає поточну конфігурацію. Це дозволить відновити Ваші налаштування у разі потреби.

Нижче наведено дії щодо збереження конфігурації брандмауера та відновлення настроювань за замовчуванням.

Щоб зберегти поточну конфігурацію брандмауера, виконайте такі дії:

У оснащенні Брандмауер Windows у режимі підвищеної безпекиклацніть посилання Політика експортуу сфері дії консолі.

Щоб відновити установки брандмауера за замовчуванням, виконайте такі дії:

У оснащенні Брандмауер Windows у режимі підвищеної безпекиклацніть посилання Відновити значення за замовчуванняму сфері дії консолі.

Після отримання запиту брандмауера Windows у режимі підвищеної безпеки натисніть кнопку Такдля відновлення значень за промовчанням.

Висновок

Існує безліч способів діагностики та вирішення проблем, пов'язаних із брандмауером Windows у режимі підвищеної безпеки. В тому числі:

Використання функції Спостереженнядля перегляду дій брандмауера, правил безпеки підключень та зіставлення безпеки.

Аналіз подій аудиту безпеки, пов'язаних із брандмауером Windows.

Створення текстових файлів tasklistі netstatдля порівняльного аналізу

Починаючи з Server 2008 та Vista у вінду був вбудований механізм WFP,
представляє собою набір API та системних сервісів. За допомогою нього стало можна
забороняти та дозволяти з'єднання, керувати окремими пакетами. Ці
нововведення були призначені для спрощення життя розробників різних
захистів. Внесені до мережевої архітектури зміни торкнулися як kernel-mode, так і
та user-mode частини системи. У першому випадку необхідні функції експортуються
fwpkclnt.sys, у другому - fwpuclnt.dll (літери "k" та "u" у назвах бібліотек
означають kernel та user відповідно). У цій статті ми розповімо про застосування
WFP для перехоплення та фільтрації трафіку, а після ознайомлення з основними
визначеннями та можливостями WFP ми напишемо свій простий фільтр.

Основні поняття

Перед початком кодингу нам необхідно ознайомитися з термінологією
Microsoft - і для розуміння статті буде корисно, і додаткову літературу
читати буде простіше :). Тож поїхали.

Класифікація- Процес визначення того, що потрібно робити з пакетом.
З можливих дій: дозволити, блокувати або викликати callout.

Callouts- це набір функцій у драйвері, які проводять інспекцію
пакетів. Вони мають спеціальну функцію, яка виконує класифікацію пакетів. Ця
функція може прийняти таке рішення:

• дозволити (FWP_ACTION_PERMIT);
• блокувати (FWP_ACTION_BLOCK);
• продовжити обробку;
• запитати більше даних;
• перервати з'єднання.

Фільтри (Filters)- правила, що вказують, у яких випадках викликається
той чи інший callout. Один драйвер може мати кілька callout'ів, а
розробкою драйвера з callout'ом ми і займемося у цій статті. До речі, колаути
є й убудовані, наприклад, NAT-callout.

Layer- це ознака, за якою об'єднуються різні фільтри (або,
як кажуть у MSDN, "контейнер").

Правду кажучи, документація від Microsoft, виглядає досить каламутно, поки
не заглянеш у приклади WDK. Тому якщо раптом надумаєш розробляти щось
серйозне, треба обов'язково з ними ознайомитись. Ну що ж, тепер плавно
перейдемо до практики. Для успішної компіляції та тестів тобі знадобиться WDK (Windows
Driver Kit), VmWare, віртуальна машинаіз встановленою Вісткою та відладчик WinDbg.
Що стосується WDK, то у мене особисто встановлена ​​версія 7600.16385.0 – там є все
необхідні ліби (оскільки ми розроблятимемо драйвер, нам потрібні тільки
fwpkclnt.lib та ntoskrnl.lib) та приклади використання WFP. Посилання на весь
інструментарій вже неодноразово наводилися, тому не будемо повторюватися.

Coding

Для ініціалізації callout'у я написав функцію BlInitialize. Загальний алгоритм
створення callout та додавання фільтра такий:

1. FWPMENGINEOPEN0здійснює відкриття сеансу;
2. FWPMTRANSACTIONBEGIN0- Початок операції з WFP;
3. FWPSCALLOUTREGISTER0- Створення нового callout;
4. FWPMCALLOUTADD0- додавання об'єкта callout'у до системи;
5. FWPMFILTERADD0- Додавання нового фільтра(ів);
6. FWPMTRANSACTIONCOMMIT0- Збереження змін (доданих
   фільтрів).

Зверніть увагу, що функції закінчуються на 0. У Windows 7 деякі з цих
функцій були змінені, наприклад, з'явилася FwpsCalloutRegister1 (при
збереженою FwpsCalloutRegister0). Відрізняються вони аргументами і, як наслідок,
прототипами класифікуючих функцій, але для нас це зараз не має значення - 0-функції
Універсальні.

FwpmEngineOpen0 і FwpmTransactionBegin0 не дуже нам цікаві - це
підготовчий етап. Найцікавіше починається з функції
FwpsCalloutRegister0:

Прототип FwpsCalloutRegister0

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *callout,
__out_opt UINT32 *calloutId
);

Я вже казав, що callout - це набір функцій, тепер настав час
розповісти про це докладніше. Структура FWPS_CALLOUT0 містить вказівники на три
функції - класифікуючу (classifyFn) і дві повідомлення (про
додаванні/видаленні фільтра (notifyFn) та закритті оброблюваного потоку (flowDeleteFn)).
Перші дві функції є обов'язковими, остання потрібна лише у випадку, якщо
ти хочеш моніторити самі пакети, а не лише з'єднання. Також у структурі
міститься унікальний ідентифікатор, GUID колауту (calloutKey).

Код реєстрації

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn=BlClassify;
// класифікуюча функція
sCallout.notifyFn=(FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// функція, що повідомляє про додавання/видалення фільтра
// створюємо новий колаут
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

DWORD WINAPI FwpmCalloutAdd0(
__in HANDLE engineHandle,
__in const FWPM_CALLOUT0 *callout,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_ (
GUID calloutKey;
FWPM_DISPLAY_DATA0 displayData; // опис callout
UINT32 flags;
GUID *providerKey;
FWP_BYTE_BLOB providerData;
GUID applicableLayer;
UINT32 calloutId;
) FWPM_CALLOUT0;

У структурі FWPM_CALLOUT0 нам цікаво поле applicableLayer - унікальний
ідентифікатор рівня, який додається callout. У нашому випадку це
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" у назві ідентифікатора означає версію
протоколу IPv4, є також FWPM_LAYER_ALE_AUTH_CONNECT_V6 для IPv6. Враховуючи
малу поширеність Ipv6 на даний момент, працювати ми будемо тільки з
IPv4. CONNECT у назві означає, що ми контролюємо лише установку
з'єднання, про вхідні та вихідні на цю адресу пакети не йдеться! Взагалі
рівнів, крім використаного нами, багато - вони оголошені у заголовному файлі
fwpmk.h з WDK.

Додавання об'єкта-callout до системи

// Назва callout
displayData.name = L"Blocker Callout";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// опис callout
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Отже, після того, як callout успішно доданий до системи, потрібно створити
фільтр, тобто вказати, у яких випадках буде викликатись наш callout, а саме
- Його класифікуюча функція. Новий фільтр створюється функцією FwpmFilterAdd0,
якою як аргумент передається структура FWPM_FILTER0.

У FWPM_FILTER0 є одна або кілька структур FWPM_FILTER_CONDITION0 (їх
Число визначається полем numFilterConditions). Поле layerKey заповнюється GUID'ом
рівня (layer), якого ми хочемо приєднатися. В даному випадку вказуємо
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Докладніше розглянемо заповнення FWPM_FILTER_CONDITION0. По-перше, в
поле fieldKey потрібно явно вказати, що ми хочемо контролювати - порт, адреса,
програму або щось ще. В даному випадку WPM_CONDITION_IP_REMOTE_ADDRESS
вказує системі, що нас цікавить IP-адреса. Значення поляKey визначає,
значення якого типу будуть у структурі FWP_CONDITION_VALUE, що входить до
FWPM_FILTER_CONDITION0. В даному випадку в ній міститься ipv4-адреса. Йдемо
далі. Поле matchType визначає, яким чином буде проводитись порівняння
значення у FWP_CONDITION_VALUE з тим, що надійшло через мережу. Тут варіантів багато:
можна вказати FWP_MATCH_EQUAL, що означатиме повну відповідність умові, а
можна - FWP_MATCH_NOT_EQUAL, тобто фактично ми можемо додати таким
чином виключення фільтрації (адреса, з'єднання з яким не відстежується).
Ще є варіанти FWP_MATCH_GREATER, FWP_MATCH_LESS та інші (див. енум
FWP_MATCH_TYPE). В даному випадку ми маємо FWP_MATCH_EQUAL.

Я не став сильно морочитися і просто написав умову блокування
однієї обраної IP-адреси. У випадку, коли якась програма спробує
встановити з'єднання з обраною адресою, буде викликано класифікуючу
функція нашого callout'а. Код, що узагальнює сказане, ти можеш подивитись
врізці "Додавання фільтра до системи".

Додавання фільтра до системи

filter.flags=FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker Callout";
filter.displayData.description = L"Blocker Callout";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// одна умова фільтрації
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type=FWP_EMPTY; // auto-weight.
// додаємо фільтр на віддалену адресу
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// Додаємо фільтр
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);

Взагалі, звичайно, фільтруючих умов може бути багато. Наприклад, можна
вказати блокування з'єднань з певним віддаленим або локальним портом (FWPM_CONDITION_IP_REMOTE_PORT
та FWPM_CONDITION_IP_LOCAL_PORT відповідно). Можна виловлювати всі пакети
певного протоколу або певної програми. І це ще не все! Можна, можливо,
наприклад, заблокувати трафік певного користувача. Загалом, є де
розгулятися.

Втім, повернемося до фільтра. Класифікуюча функція у нашому випадку просто
блокує з'єднання із зазначеною адресою (BLOCKED_IP_ADDRESS), повертаючи
FWP_ACTION_BLOCK:

Код нашої classify-функції

void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* inMetaValues,
VOID* packet,IN const FWPS_FILTER* filter,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// заповнюємо структуру FWPS_CLASSIFY_OUT0
if(classifyOut)( // блокуємо пакет
classifyOut->actionType =
FWP_ACTION_BLOCK;
// При блокуванні пакета потрібно
скидати FWPS_RIGHT_ACTION_WRITE
classifyOut->rights&=~FWPS_RIGHT_ACTION_WRITE;
}
}

На практиці функція класифікації може також встановити FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE та ін.

І насамкінець при вивантаженні драйвера потрібно видалити всі встановлені
callout'и (вгадай, що буде, якщо система спробує викликати callout
вивантаженого драйвера? Правильно, BSOD). Для цього існує функція
FwpsCalloutUnregisterById. Як параметр їй передається 32-бітний
ідентифікатор callout'а, повернутий функцією FwpsCalloutRegister.

Завершення роботи callout’а

NTSTATUS BlUninitialize()(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
return ns;
}

Як бачиш, програмування WFP-фільтра - не таке складне завдання, оскільки
MS надали нам дуже зручний API. До речі, у нашому випадку ми встановлювали
фільтр у драйвері, але це можна робити і з юзермода! Наприклад, семпл із wdk
msnmntr (монітор трафіку MSN Messenger-а) так і надходить - це дозволяє не
перевантажувати kernel-mode частину фільтра.

Свій GUID

Для реєстрації callout йому потрібний унікальний ідентифікатор. Для того щоб
отримати свій GUID (Globally Unique Identifier), використовуй guidgen.exe, що входить
в Visual Studio. Лежить тулза в (VS_Path) Common7 Tools. Ймовірність колізії
дуже мала, оскільки довжина GUID становить 128 біт, і всього доступно 2^128
ідентифікаторів.

Налагодження фільтра

Для налагодження дров зручно використовувати в'язку Windbg+VmWare. Для цього потрібно
налаштувати як гостьову систему (у вигляді якої виступає Vista), так і відладчик
WinDbg. Якщо WinXP для віддаленого налагодження потрібно було редагувати boot.ini, то
для Vista+ є консольна утиліта bcdedit. Як завжди, потрібно включити налагодження:

BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ON (або BCDedit /set debug ON)

Тепер все готове! Запускаємо батник з наведеним нижче текстом:

start windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

і бачимо налагоджувальний висновок у вікні windbg (див. малюнок).

Висновок

Як бачиш, сфера застосування WFP досить широка. Тобі вирішувати, як
застосувати ці знання - на зло чи на благо 🙂

Міжмережевий екран (брандмауер або файрвол) Windows не викликає поваги. Злегка змінившись при переході з XP на Vista, він не погано справляється зі своїм простим завданням, проте йому не вистачає амбіцій, щоб стати найкращим персональним файрволлом. Втім, незважаючи на те, що файрвол Windows 7 отримав кілька нових можливостей, все-таки він не отримав того, що я очікував у ньому побачити.

Зависання з Домашньою групою

Під час установки Windows 7 пропонує створити “домашню групу”. У міру виявлення в мережі інших комп'ютерів з Windows 7 їм також пропонується приєднатися до групи. І все, що їм для цього треба – це пароль до неї. Однак, маючи один комп'ютер під Windows 7, я не бачив процесу входу в групу інших комп'ютерів, хоча повідомлення про це не завадить. Втім, якщо будь-який комп'ютер з Windows 7 може приєднатися до домашньої групи, комп'ютери під Windows 7 Home Basic і Windows 7 Starter не можуть створити її.

Комп'ютери в одній і тій же домашній групі можуть спільно використовувати (або, як то кажуть "розшарувати") принтери та специфічні бібліотеки файлів. За замовчуванням, розшаруються бібліотеки малюнків, музики, відео та документів, однак користувач може обмежити їх на власний розсуд. Допомога в операційній системі дає зрозумілі пояснення тому, як виключити файл або папку з розшарування, або як зробити їх доступними лише для читання або як обмежити доступ до них.

У своїй домашньої мережікористувач може розшарувати свій контент і для інших комп'ютерів і пристроїв, і навіть для комп'ютерів не під Windows 7 і навіть не для комп'ютерів зовсім. Microsoft показувала приклади, як можна розшарити контент для Xbox 360. Втім, компанія не пропонує підключити до мережі Wii. На жаль, Wii компанія не кваліфікувала, як пристрій потокового медіа.

Отже, наскільки домашня мережа в Windows 7 безпечніша? Зазвичай користувачі, які зазнали невдачі з розшаруванням файлів і папок, починають відключати все навколо, включаючи файлвол, антивірус і т.п., що, на їхню думку, може заважати цьому процесу. У той же час, якщо зробити розшарування простим, то відключення навколо можна і уникнути.

Якщо Vista поділяє мережі на публічні (Public) та приватні (Private), то Windows 7 поділяє приватну мережу на домашню (Home) та робочу (Work). Домашня група(HomeGroup) доступна лише при виборі домашньої мережі. Однак і в робочій мережі ваш комп'ютер може бачити і підключатися до інших пристроїв в ній. У свою чергу в публічній мережі (на зразок бездротової в інтернет-кафе), Windows 7 блокує доступ до вас і від вас до інших пристроїв для вашої безпеки. Це невелика, але приємна нагода.

Дворежимний файрволл

У Vista і XP керування файрволом зводиться до його простого увімкнення та вимкнення. У той же час Windows 7 пропонує користувачеві різні конфігурації налаштувань для приватних (домашніх та робітників) та публічних мереж. При цьому користувачеві не треба входити в налаштування файрволла, щоб попрацювати, скажімо, у локальному кафе. Йому достатньо вибрати публічну мережу, і файрволл сам застосує весь набір параметрів, що обмежують. Найімовірніше, користувачі налаштують публічну мережу блокування всіх вхідних з'єднань. У Vista цього не можна було зробити без обрізання всього вхідного трафіку в власної мережікористувача.

Деякі користувачі не розуміють, навіщо потрібен файрвол. Якщо працює UAC, чи не файрволл є надмірністю? Насправді, ці програми мають абсолютно різні цілі. UAC стежить за програмами та їхньою роботою всередині локальної системи. Файрволл ж уважно вдивляється у вхідні та вихідні дані. Якщо уявити ці дві програми, як двох героїв, що стоять спина до спини і відбивають атаки зомбі, то, можна сказати, майже не помилишся.

У перший момент мене зацікавила нова можливість“Повідомляй мені, коли Windows Firewall блокує нову програму”. Чи це не є ознакою того, що Windows Firewall отримав управління над програмами і став дійсним двостороннім файрволлом? Мене з'їдало бажання вимкнути цю можливість. І в результаті Windows Firewall не отримав більшої пошани, ніж мав.

Пройшло вже десять років з того часу, як компанія ZoneLabs популяризувала двосторонній персональний файрволл. Її програма ZoneAlarm приховувала всі порти комп'ютера (що вміє і Windows Firewall) та також дозволяла керувати доступом програм в Інтернет (цього Windows Firewall не вміє досі). Я не вимагаю інтелектуального моніторингу поведінки програм, як, наприклад, Norton Internet Security 2010 та в інших пакетах. Але я сподіваюся, що до виходу Windows 8 Microsoft все-таки впровадить у свій файрволл набір можливостей десятирічної ZoneAlarm.

Microsoft чудово знає, що багато користувачів встановлюють сторонні файрволли та пакети безпеки та просто відключають Windows Firewall. У минулому багато програм безпеки третіх фірм автоматично відключали Windows Firewall, щоб уникнути конфліктів. У Windows 7 Microsoft зробила це сама. При встановленні відомого їй файрволла операційна система відключає свій вбудований файрволл і повідомляє, що "налаштування файрволла управляються такою-то програмою від такого виробника".

Чи будете ви його використовувати чи ні, Windows Firewall присутній в кожній Windows 7, володіючи при цьому ґрунтовною інтеграцією з операційною системою. Так чи не буде краще, якщо програми безпеки третіх фірм зможуть використовувати файлвол Windows у своїх цілях? Ця ідея лежить за інтерфейсом програмування, названим платформою фільтрації Windows – Windows Filtering Platform. Але чи користуватимуться нею розробники? Про це у наступній частині.

Безпека Windows 7: Платформа фільтрації Windows - Windows Filtering Platform

Файрволли повинні працювати з Windows 7 на дуже низькому рівні, що абсолютно ненавидять програмісти Microsoft. Деякі технології Microsoft, на зразок PatchGuard, присутні в 64-х бітних виданнях Windows 7 (64-х бітні Windows 7 мають низку переваг у безпеці над 32-х бітними Windows 7), блокують зловмисників і також захищають ядро ​​від доступу до нього. Проте Microsoft не надає такого рівня безпеки, як у програм третіх осіб. То що ж робити?

Вирішенням цієї проблеми є платформа фільтрації Windows – Windows Filtering Platform (WFP). Остання, за словами Microsoft, дозволяє засновувати файрволли третіх фірм на ключових можливостях Windows Firewall - дозволяє додавати в них можливості, що настроюються і вибірково включати і відключати частини Windows Firewall. В результаті користувач може вибирати собі файрвол, який співіснуватиме з Windows Firewall.

Але наскільки це справді корисно для розробників програм безпеки? Чи стануть вони цим скористатися? Я опитав кілька людей і отримав багато відповідей.

BitDefender LLC

Менеджер з розробки продуктів Іуліан Костаче (Iulian Costache) заявив, що його компанія зараз використовує цю платформу в Windows 7. Проте вони зіштовхнулися зі значними витоками пам'яті. Помилка знаходиться на боці Microsoft, що найбільший програмний гігант підтвердив. Тим не менш, Іуліан не знає, коли вона буде вирішена. Поки що вони тимчасово замінили новий драйвер WFP на старий TDI.

Check Point Software Technologies Ltd

Менеджер зв'язків із громадськістю в Check Point Software Technologies Ltd Мірка Янус (Mirka Janus) заявив, що його компанія почала використовувати WFP ще з Vista. Також вони використовують платформу і під Windows 7. Це хороший інтерфейс, що підтримується, але будь-яка шкідлива програма або несумісний драйвер можуть бути небезпечними для продукту безпеки, що спирається на нього. ZoneAlarm завжди спирався на два шари – шари мережевих з'єднаньта пакетного рівня. Починаючи з Vista, Microsoft запропонувала WFP як спосіб фільтрації мережевих з'єднань, що підтримується. Починаючи з Windows 7 SP1, Microsoft повинна навчити WFP увімкнення пакетної фільтрації.

“Використання підтримуваних API означає покращену стабільність та зменшене число BSOD. Багато драйверів можуть реєструватися і кожному розробнику драйверів не треба турбуватися про сумісність з іншими. Якщо будь-який драйвер, скажімо, блокований, жоден інший зареєстрований не може обминути це блокування. З іншого боку, несумісний драйвер може стати проблемою, обійшовши інші зареєстровані. Ми не спираємось на лише WFP для мережевої безпеки”.

F-Secure Corporation

Старший дослідник у F-Secure Corporation Мікко Хіппонен (Mikko Hypponen) заявив, що з якоїсь причини WFP ніколи не ставав популярним серед розробників програм безпеки. Водночас його компанія досить довго використала WFP, і була від цього щаслива.

McAfee, Inc.

У свою чергу провідний архітектор McAfee Ахмед Салам (Ahmed Sallam) заявив, що WFP є потужнішим і гнучкішим інтерфейсом мережевої фільтрації, ніж попередній інтерфейс, що базується на NDIS. McAfee активно використовує WFP у своїх продуктах безпеки.

У той же час, незважаючи на те, що WFP має позитивні можливості, перевагами платформи можуть скористатися і кіберзлочинці. Платформа може дозволити шкідливій програмі увійти в мережевий стек рівня ядра Windows. Тому 64-х бітні драйвера Windowsрівня ядра повинні мати цифрові підписи, щоб захистити ядро ​​від завантаження в нього шкідливих програм. Проте цифрові підписи не є обов'язковими на 32-х бітних версіях.

Так, теоретично цифрові підписи є розумним захисним механізмом, але насправді автори шкідливих програм все-таки можуть придбати собі та їх.

Panda Security

Представник Panda Security Педро Бустаманте (Pedro Bustamante) сказав, що його компанія стежить за платформою WFP, але її не використовує. Основними недоліками WFP компанія вважає, по-перше, відсутність можливості створити технологію, яка б комбінувала різні технікидля максимізації захисту. Технологія марна, якщо компанія не може подивитися у вхідні та вихідні пакети в машину. Також вона має бути датчиком для інших технологій захисту. Жодна з цих можливостей не надає WFP. По-друге, WFP підтримується лише Vista та новішими операційними системами. Зворотної сумісності платформа не має. І, по-третє, WFP є досить новою платформою, а компанія вважає за краще спиратися на більш старі та перевірені технології.

Symantec Corp.

Директор з менеджменту споживчих продуктів у Symantec Ден Надір (Dan Nadir) заявив, що WFP поки не використовується в їхніх продуктах через відносну новизну. Проте згодом компанія планує мігрувати її у, т.к. Старі інтерфейси, на які вони спираються зараз, не зможуть надати всю повноту необхідної функціональності. WFP вважають гарною платформою, т.к. вона була спеціально розроблена задля забезпечення функціональної сумісності між безліччю програм третіх фірм. У принципі, у майбутньому проблем сумісності у платформи має бути ще менше. WFP також добре тому, що інтегрована з Microsoft Network Diagnostic Framework. Це дуже корисно, т.к. значно полегшує пошук специфічних програм, що є перешкодою для мережевого трафіку. І, нарешті, WFP має призвести до покращення продуктивності та стабільності операційної системи, т.к. платформа уникає емуляції та проблем із конфліктами або стабільністю драйверів.

Втім, з іншого боку, на думку Надира, WFP може створювати певні проблеми, що існують у будь-якій структурі – розробники, що спираються на WFP, не можуть закрити вразливості всередині самої WFP, як не можуть розширити специфічні можливості, запропоновані WFP. Також якщо багато програм спиратимуться на WFP, то творці шкідливих програм теоретично можуть спробувати атакувати саму WFP.

Trend Micro Inc.

Директор з досліджень у Trend Micro Inc. Далі Льао (Dale Liao) сказав, що найбільшою перевагою платформи є сумісність із операційною системою. Також стандартний файрвол зараз став корисним. Тому тепер вони можуть сфокусуватися на дійсно значущі можливості користувача. Погано ж у WFP те, що при виявленні в платформі помилки, компанії доводиться чекати на її виправлення від Microsoft.

WFP: Висновок

В результаті, більшість опитаних мною розробників програм безпеки вже використовує WFP. Щоправда, дехто паралельно з іншими технологіями. Їм подобається функціональна сумісність, подобається документованість та офіційність платформи і також передбачувана стабільність її роботи. З іншою, негативної сторониЯкщо всі розробники будуть спиратися на WFP, то платформа потенційно може стати для всіх вразливою точкою. І для її виправлення їм доведеться спиратися на Microsoft. Крім того, платформа поки що не пропонує фільтрації рівня пакетів.

Великим недоліком WFP також те, що її немає в Windows XP. Тому розробникам, які хочуть підтримувати XP, доведеться вести два паралельні проекти. Втім, у міру того, як XP йтиме з ринку, я думаю, WFP стане більш популярною серед розробників.