Počínaje serverem 2008 a Vista byl mechanismus WFP zabudován do systému Windows,
což je sada rozhraní API a systémových služeb. S jeho pomocí to bylo možné
zakázat a povolit připojení, spravovat jednotlivé pakety. Tyto
inovace měly za cíl zjednodušit život vývojářům různých
ochrana Změny provedené v síťové architektuře ovlivnily jak režim jádra, tak i
a části systému v uživatelském režimu. V prvním případě se exportují potřebné funkce
fwpkclnt.sys, ve druhém - fwpuclnt.dll (písmena "k" a "u" v názvech knihoven
znamená jádro a uživatele). V tomto článku budeme hovořit o aplikaci
WFP pro zachycování a filtrování provozu a po seznámení se zákl
S využitím definic a možností WFP napíšeme vlastní jednoduchý filtr.

Základní pojmy

Než se pustíme do kódování, je naprosto nezbytné, abychom se seznámili s terminologií
Microsoft - a další literatura se bude hodit pro pochopení článku
Bude se to lépe číst :). Tak pojďme.

Klasifikace- proces určování, co dělat s balíkem.
Z možné akce: povolení, blokování nebo popis.

Popisky je soubor funkcí v ovladači, které provádějí kontrolu
balíčky. Mají speciální funkci, která provádí klasifikaci paketů. Tento
funkce může rozhodnout o následujícím:

• povolit(FWP_ACTION_PERMIT);
• block(FWP_ACTION_BLOCK);
• pokračovat ve zpracování;
• požadovat více údajů;
• ukončit připojení.

Filtry- pravidla udávající, v jakých případech se nazývá
ten či onen popisek. Jeden ovladač může mít několik popisků a
V tomto článku vyvineme ovladač s popisem. Mimochodem, colautas
Existují také vestavěné, například NAT-calout.

Vrstva- to je znak, kterým se kombinují různé filtry (nebo,
jak se říká v MSDN, "kontejner").

Abych řekl pravdu, dokumentace od Microsoftu zatím vypadá dost nejasně
nemůžete se podívat na příklady ve WDK. Pokud se tedy náhle rozhodnete něco vyvinout
vážně, určitě se s nimi musíte seznámit. No, už je to hladké
Pojďme k praxi. Pro úspěšnou kompilaci a testy budete potřebovat WDK (Windows
Driver Kit), VmWare, virtuální stroj s nainstalovanou Vistou a ladicím programem WinDbg.
Co se týče WDK, osobně mám nainstalovanou verzi 7600.16385.0 - je tam vše
potřebné knihovny (protože budeme vyvíjet ovladač, potřebujeme pouze
fwpkclnt.lib a ntoskrnl.lib) a příklady použití WFP. Odkazy na všechny
Nástroje již byly prezentovány několikrát, takže je nebudeme opakovat.

Kódování

Pro inicializaci popisku jsem napsal funkci BlInitialize. Obecný algoritmus
vytvoření popisku a přidání filtru je takto:

1. FWPMENGINEOPEN0 otevře relaci;
2. FWPMTRANSACTIONBEGIN0- zahájení provozu s WFP;
3. FWPSCALLOUTREGISTER0- vytvoření nového popisku;
4. FWPMCALLOUTADD0- přidání objektu popisku do systému;
5. FWPMFILTERADD0- přidání nového filtru(ů);
6. FWPMTRANSACTIONCOMMIT0- uložení změn (doplněno
   filtry).

Všimněte si, že funkce končí 0. Ve Windows 7 některé z nich
funkce byly změněny, například se objevil FwpsCalloutRegister1 (s
uloženo FwpsCalloutRegister0). Liší se v argumentech a v důsledku toho
prototypy klasifikačních funkcí, ale pro nás to nyní není důležité - 0-funkce
univerzální.

FwpmEngineOpen0 a FwpmTransactionBegin0 pro nás nejsou nijak zvlášť zajímavé - jsou to
přípravná fáze. Zábava začíná funkcí
FwpsCalloutRegister0:

Prototyp FwpsCalloutRegister0

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__v const FWPS_CALLOUT0 *popisek,
__out_opt UINT32 *caloutId
);

Již jsem řekl, že callout je soubor funkcí, nyní je čas
řekněte nám o tom více. Struktura FWPS_CALLOUT0 obsahuje ukazatele na tři
funkce - klasifikační (classifyFn) a dvě oznamovací (asi
přidání/odebrání filtru (notifyFn) a uzavření zpracovaného toku (flowDeleteFn)).
První dvě funkce jsou povinné, poslední je potřeba pouze v případě
chcete sledovat samotné pakety, nejen připojení. I ve struktuře
obsahuje jedinečný identifikátor, callout GUID (calloutKey).

Registrační kód popisku

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// klasifikační funkce
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// funkce oznamující přidání/odebrání filtru
// vytvořit nový popisek
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

DWORD WINAPI FwpmCalloutAdd0(
__v HANDLE engineHandle,
__v const FWPM_CALLOUT0 *popis,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_ (
GUID calloutKey;
FWPM_DISPLAY_DATA0 displayData; // popis popisku
příznaky UINT32;
GUID *Key poskytovatele;
FWP_BYTE_BLOB providerData;
GUID použitelnéLayer;
UINT32 calloutId;
) FWPM_CALLOUT0;

Ve struktuře FWPM_CALLOUT0 nás zajímá pole applyLayer - unique
ID úrovně, do které je popisek přidán. V našem případě ano
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" v názvu identifikátoru znamená verzi
Protokol Ipv4, existuje také FWPM_LAYER_ALE_AUTH_CONNECT_V6 pro Ipv6. S ohledem na
nízká prevalence IPv6 in v současné době, budeme pracovat pouze s
IPv4. CONNECT v názvu znamená, že ovládáme pouze instalaci
spojení, není řeč o paketech přicházejících nebo odchozích na tuto adresu! Vůbec
Existuje mnoho úrovní kromě té, kterou jsme použili - jsou deklarovány v záhlaví souboru
fwpmk.h z WDK.

Přidání objektu popisku do systému

// název popisku
displayData.name = L"Blocker Callout";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// popis popisku
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Takže po úspěšném přidání popisku do systému musíte vytvořit
filtr, to znamená, označte, v jakých případech bude naše popiska volána, jmenovitě
- jeho klasifikační funkce. Nový filtr je vytvořen funkcí FwpmFilterAdd0,
který předá strukturu FWPM_FILTER0 jako argument.

FWPM_FILTER0 má jednu nebo více struktur FWPM_FILTER_CONDITION0 (jejich
číslo je určeno polem numFilterConditions). Pole layerKey je vyplněno identifikátorem GUID
vrstvu, ke které se chceme připojit. V tomto případě uvádíme
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Nyní se podívejme blíže na plnění FWPM_FILTER_CONDITION0. Za prvé, v
fieldKey musí být explicitně specifikováno, co chceme ovládat – port, adresa,
aplikace nebo něco jiného. V tomto případě WPM_CONDITION_IP_REMOTE_ADDRESS
signalizuje systému, že nás zajímá IP adresa. Hodnota fieldKey určuje, zda
jaký typ hodnot bude obsažen ve struktuře FWP_CONDITION_VALUE
FWPM_FILTER_CONDITION0. V tomto případě obsahuje adresu ipv4. Pojďme
dále. Pole matchType určuje, jak bude provedeno srovnání
hodnoty v FWP_CONDITION_VALUE s tím, co přišlo přes síť. Zde je mnoho možností:
můžete zadat FWP_MATCH_EQUAL, což bude znamenat plnou shodu s podmínkou, a
můžete - FWP_MATCH_NOT_EQUAL, to znamená, že ve skutečnosti můžeme přidat toto
tedy vyloučeno filtrování (adresa, ke které není sledováno připojení).
Existují také možnosti FWP_MATCH_GREATER, FWP_MATCH_LESS a další (viz výčet
FWP_MATCH_TYPE). V tomto případě máme FWP_MATCH_EQUAL.

Příliš jsem se neobtěžoval a napsal jsem pouze podmínku blokování
jednu vybranou IP adresu. V případě, že se některá aplikace pokusí
navázat spojení na vybranou adresu, bude zavolán klasifikátor
naše popisovací funkce. Můžete se podívat na kód shrnující to, co bylo řečeno
Viz postranní panel „Přidání filtru do systému“.

Přidání filtru do systému

filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker Callout";
filter.displayData.description = L"Blocker Callout";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// jedna podmínka filtru
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // automatická váha.
// přidat filtr ke vzdálené adrese
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// přidat filtr
status = FwpmFilterAdd(gEngineHandle, &filtr, NULL, NULL);

Obecně může samozřejmě existovat mnoho podmínek filtrování. Například můžete
určit blokování připojení ke konkrétnímu vzdálenému nebo místnímu portu (FWPM_CONDITION_IP_REMOTE_PORT
a FWPM_CONDITION_IP_LOCAL_PORT). Všechny balíčky můžete chytit
konkrétní protokol popř konkrétní aplikaci. A to není vše! Umět,
například blokovat provoz konkrétního uživatele. Obecně platí, že je kde
jít na procházku.

Vraťme se však k filtru. Klasifikační funkce v našem případě je jednoduchá
zablokuje připojení na zadanou adresu (BLOCKED_IP_ADDRESS) a vrátí se
FWP_ACTION_BLOCK:

Kód naší klasifikační funkce

void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* vMetaValues,
VOID* paket, IN const FWPS_FILTER* filtr,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// vyplňte strukturu FWPS_CLASIFY_OUT0
if(classifyOut)( // zablokování paketu
classifyOut->actionType =
FWP_ACTION_BLOCK;
// při blokování balíčku, který potřebujete
resetovat FWPS_RIGHT_ACTION_WRITE
classifyOut->práva&=~FWPS_RIGHT_ACTION_WRITE;
}
}

V praxi může klasifikační funkce také nastavit FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE atd.

A nakonec, při vyjímání ovladače, musíte odstranit všechny nainstalované
callouts (hádejte, co se stane, když se systém pokusí zavolat callout
vyložený řidič? Správně, BSOD). Existuje na to funkce
FwpsCalloutUnregisterById. Jako parametr je předán 32bitový
identifikátor callout vrácený funkcí FwpsCalloutRegister.

Ukončení popisku

NTSTATUS BlUninitialize())(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
návrat ns;
}

Jak vidíte, programování filtru WFP není tak obtížný úkol
MS nám poskytl velmi pohodlné API. Mimochodem, v našem případě jsme nainstalovali
filtr v ovladači, ale to lze také provést z usermod! Například vzorek z wdk
msnmntr (monitor provozu MSN Messenger) dělá právě to - to vám umožňuje ne
přetížit část filtru v režimu jádra.

Váš GUID

K registraci popisku potřebuje jedinečný identifikátor. V následujících situacích
získejte svůj GUID (globálně jedinečný identifikátor), použijte guidgen.exe, který je součástí
ve Visual Studiu. Nástroj se nachází v (VS_Path)\Common7\Tools. Pravděpodobnost kolize
je velmi malý, protože délka GUID je 128 bitů a celkem je k dispozici 2^128
identifikátory.

Ladění filtru

K odladění palivového dřeva je vhodné použít kombinaci Windbg+VmWare. K tomu potřebujete
nakonfigurovat jak hostující systém (což je Vista), tak ladicí program
WinDbg. Pokud jste ve WinXP museli upravit boot.ini pro vzdálené ladění, pak
pro Vista+ ano konzolový nástroj bcdedit. Jako obvykle musíte povolit ladění:

BCDedit /dbgsettings SÉRIOVÝ DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ON (nebo BCDedit /set debug ON)

Nyní je vše připraveno! Spustíme dávkový soubor s následujícím textem:

start windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

a podívejte se na výstup ladění v okně windbg (viz obrázek).

Závěr

Jak vidíte, rozsah WFP je poměrně široký. Je jen na vás, jak se rozhodnete
aplikuj tyto znalosti - pro zlo nebo pro dobro :)

Modul snap-in konzoly OS Management Console (MMC). Windows Vista™ je stavový firewall pro pracovní stanice, který filtruje příchozí a odchozí připojení podle zadaných nastavení. Nyní můžete konfigurovat nastavení brány firewall a IPsec pomocí jednoho modulu snap-in. Tento článek popisuje, jak funguje brána Windows Firewall s pokročilým zabezpečením, běžné problémy a řešení.

Jak funguje brána Windows Firewall s pokročilým zabezpečením

Brána firewall systému Windows v režimu rozšířeného zabezpečení je to brána firewall, která zaznamenává stav sítě pro pracovní stanice. Na rozdíl od směrovačů firewall, které jsou nasazeny na bráně mezi vaší místní sítí a Internetem, je brána Windows Firewall navržena tak, aby běžela na jednotlivých počítačích. Sleduje pouze provoz pracovní stanice: provoz přicházející na IP adresu tohoto počítače a provoz odcházející ze samotného počítače. Brána firewall systému Windows s pokročilým zabezpečením provádí následující základní operace:

Příchozí paket je zkontrolován a porovnán se seznamem povoleného provozu. Pokud paket odpovídá jedné z hodnot seznamu, brána Windows Firewall předá paket TCP/IP k dalšímu zpracování. Pokud paket neodpovídá žádné z hodnot v seznamu, brána Windows Firewall paket zablokuje a pokud je povoleno protokolování, vytvoří záznam v souboru protokolu.

Seznam povoleného provozu se tvoří dvěma způsoby:

Když připojení řízené bránou Windows Firewall s pokročilým zabezpečením odešle paket, brána firewall vytvoří v seznamu hodnotu, která umožní přijetí zpětného provozu. Relevantní příchozí provoz bude vyžadovat další povolení.

Když vytvoříte pravidlo povolení pro bránu Windows Firewall s pokročilým zabezpečením, bude provoz, pro který jste pravidlo vytvořili, povolen v počítači se spuštěnou bránou Windows Firewall. Tento počítač bude přijímat explicitně povolený příchozí provoz, pokud bude fungovat jako server, klientský počítač nebo hostitel sítě typu peer-to-peer.

Prvním krokem k vyřešení problémů s bránou Windows Firewall je zkontrolovat, který profil je aktivní. Brána firewall systému Windows s pokročilým zabezpečením je aplikace, která monitoruje vaše síťové prostředí. Profil brány Windows Firewall se mění podle toho, jak se mění vaše síťové prostředí. Profil je sada nastavení a pravidel, která se aplikují v závislosti na síťovém prostředí a proudu síťová připojení.

Firewall rozlišuje tři typy síťových prostředí: doménové, veřejné a privátní sítě. Doména je síťové prostředí, ve kterém jsou připojení ověřována řadičem domény. Ve výchozím nastavení jsou všechny ostatní typy síťových připojení považovány za veřejné sítě. Když se objeví nový Připojení Windows Vista vyzve uživatele, aby uvedl, zda tuto síť soukromé nebo veřejné. Obecný profil je určen pro použití na veřejných místech, jako jsou letiště nebo kavárny. Soukromý profil je určen pro použití doma nebo v kanceláři a také v zabezpečené síti. Chcete-li definovat síť jako soukromou, musí mít uživatel příslušná oprávnění správce.

Přestože počítač může být připojen k sítím současně odlišné typy, může být aktivní pouze jeden profil. Volba aktivního profilu závisí na následujících důvodech:

Pokud všechna rozhraní používají ověřování řadiče domény, použije se profil domény.

Pokud je alespoň jedno z rozhraní připojeno k privátní síti a všechna ostatní jsou připojena k doméně nebo privátním sítím, použije se privátní profil.

Ve všech ostatních případech se použije obecný profil.

Chcete-li zjistit aktivní profil, klikněte na uzel Pozorování v mžiku Brána firewall systému Windows s pokročilým zabezpečením. Nad textem Stav brány firewall bude indikovat, který profil je aktivní. Pokud je například aktivní profil domény, zobrazí se nahoře Profil domény je aktivní.

Pomocí profilů může brána Windows Firewall automaticky povolit příchozí provoz speciální prostředky ovládat počítač, když je počítač v doméně, a blokovat stejný provoz, když je počítač připojen k veřejné nebo privátní síti. Určení typu síťového prostředí tedy chrání vaše lokální síť aniž by byla ohrožena bezpečnost mobilních uživatelů.

Běžné problémy při spuštění brány Windows Firewall s pokročilým zabezpečením

Níže jsou uvedeny hlavní problémy, ke kterým dochází, když je spuštěna brána Windows Firewall s pokročilým zabezpečením:

V případě, že je komunikace blokována, měli byste nejprve zkontrolovat, zda je aktivován firewall a jaký profil je aktivní. Pokud je některá z aplikací blokována, ujistěte se, že modul snap-in Brána firewall systému Windows s pokročilým zabezpečením Pro aktuální profil existuje aktivní pravidlo povolení. Chcete-li ověřit, že povolovací pravidlo existuje, poklepejte na uzel Pozorování a poté vyberte sekci Firewall. Pokud pro tento program neexistují žádná aktivní povolovací pravidla, přejděte na web a vytvořte pro tento program nové pravidlo. Vytvořte pravidlo pro program nebo službu nebo zadejte skupinu pravidel, která se vztahuje na tuto funkci, a ujistěte se, že jsou povolena všechna pravidla v této skupině.

Chcete-li zkontrolovat, zda se povolovací pravidlo nepřekrývá s pravidlem blokování, spusťte následující akce:

Ve stromu snap Brána firewall systému Windows s pokročilým zabezpečením klepněte na uzel Pozorování a poté vyberte sekci Firewall.

Zobrazit seznam všech aktivních místních a skupinová politika. Zakazující pravidla mají přednost před povolovacími pravidly, i když jsou přesněji definována.

Zásady skupiny brání použití místních pravidel

Pokud je brána Windows Firewall s pokročilým zabezpečením nakonfigurována pomocí zásad skupiny, může váš správce určit, zda budou použita pravidla brány firewall nebo pravidla zabezpečení připojení vytvořená místními správci. To dává smysl, pokud jsou nakonfigurovány místní pravidla firewall nebo pravidla zabezpečení připojení, která nejsou v odpovídající části nastavení.

Chcete-li zjistit, proč v části Monitorování chybí místní pravidla brány firewall nebo pravidla zabezpečení připojení, postupujte takto:

Ve snímku Brána firewall systému Windows s pokročilým zabezpečením, klikněte na odkaz Vlastnosti brány Windows Firewall.

Vyberte kartu aktivního profilu.

V kapitole Možnosti, zmáčknout tlačítko Naladit.

Pokud platí místní pravidla, oddíl Kombinace pravidel bude aktivní.

Pravidla, která vyžadují zabezpečená připojení, mohou blokovat provoz

Při vytváření pravidla brány firewall pro příchozí nebo odchozí komunikaci je jedním z parametrů . Pokud je vybráno tuto funkci, musíte mít příslušné pravidlo zabezpečení připojení nebo samostatnou zásadu IPSec, která určuje, jaký provoz je bezpečný. V opačném případě je tento provoz zablokován.

Chcete-li ověřit, že jedno nebo více pravidel aplikace vyžaduje zabezpečená připojení, postupujte takto:

Ve stromu snap Brána firewall systému Windows s pokročilým zabezpečením klikací sekce Pravidla pro příchozí spojení. Vyberte pravidlo, které chcete zkontrolovat, a klikněte na odkaz Vlastnosti v rozsahu konzole.

Vyberte kartu Jsou běžné a zkontrolujte, zda je vybrána hodnota přepínače Povolit pouze zabezpečená připojení.

Pokud je pravidlo určeno parametrem Povolit pouze zabezpečená připojení, rozbalte sekci Pozorování ve stromu modulů snap-in a vyberte sekci. Ujistěte se, že provoz definovaný v pravidle brány firewall má vhodná pravidla zabezpečení připojení.

Varování:

Pokud máte aktivní zásadu IPSec, ujistěte se, že tato zásada chrání potřebný provoz. Nevytvářejte pravidla zabezpečení připojení, abyste předešli konfliktu zásad IPSec a pravidel zabezpečení připojení.

Nelze povolit odchozí připojení

Ve stromu snap Brána firewall systému Windows s pokročilým zabezpečením Vyberte sekci Pozorování. Vyberte kartu aktivního profilu a v sekci Stav brány firewall zkontrolujte, zda jsou povolena odchozí připojení, která nespadají pod povolovací pravidlo.

V kapitole Pozorování Vyberte sekci Firewall aby bylo zajištěno, že požadovaná odchozí spojení nebudou specifikována v pravidlech odmítnutí.

Smíšené zásady mohou vést k blokování provozu

Nastavení brány firewall a IPSec můžete konfigurovat pomocí různých rozhraní systému Windows.

Vytváření zásad na více místech může vést ke konfliktům a blokování provozu. K dispozici jsou následující body nastavení:

Brána firewall systému Windows s pokročilým zabezpečením. Tato zásada se konfiguruje pomocí příslušného modulu snap-in místně nebo jako součást zásad skupiny. Tato zásada definuje nastavení brány firewall a IPSec v počítačích se systémem Windows Vista.

Šablona pro správu brány Windows Firewall. Tato zásada se konfiguruje pomocí Editoru objektů zásad skupiny v části. Toto rozhraní obsahuje nastavení brány Windows Firewall, která byla k dispozici dříve vznik Windows Vista a je navržen tak, aby konfiguroval GPO, který řídí předchozí verze Okna. I když tyto parametry lze použít pro spuštěné počítače Ovládání Windows Vista, doporučuje se místo toho použít zásadu Brána firewall systému Windows s pokročilým zabezpečením, protože poskytuje větší flexibilitu a bezpečnost. Upozorňujeme, že některá nastavení profilu domény jsou společná pro šablonu a zásady pro správu brány firewall systému Windows Brána firewall systému Windows s pokročilým zabezpečením, takže zde můžete vidět parametry nakonfigurované v profilu domény pomocí modulu snap-in Brána firewall systému Windows s pokročilým zabezpečením.

Zásady IPSec. Tato zásada se konfiguruje pomocí místního modulu snap-in Správa zásad IPSec nebo Editor objektů zásad skupiny v části Konfigurace počítače\Konfigurace systému Windows\Nastavení zabezpečení\Zásady zabezpečení IP v části „Místní počítač“. Tato zásada definuje nastavení IPSec, které mohou používat předchozí verze systému Windows i Windows Vista. Tato zásada a pravidla zabezpečení připojení definovaná v zásadě by neměla být aplikována současně na stejném počítači Brána firewall systému Windows s pokročilým zabezpečením.

Chcete-li zobrazit všechny tyto možnosti v příslušných modulech snap-in, vytvořte si vlastní modul snap-in konzoly pro správu a přidejte do něj moduly snap-in. Brána firewall systému Windows s pokročilým zabezpečením, A Zabezpečení IP.

Chcete-li vytvořit vlastní modul snap-in konzoly pro správu, postupujte takto:

Klepněte na tlačítko Start, přejděte do nabídky Všechny programy, poté do menu Standard a vyberte Vykonat.

V textovém poli OTEVŘENO ENTER.

Pokračovat.

V nabídce Řídicí panel vybrat předmět.

Na seznamu Dostupné příslušenství vybrat vybavení Brána firewall systému Windows s pokročilým zabezpečením a stiskněte tlačítko Přidat.

Klepněte na tlačítko OK.

Opakujte kroky 1 až 6 pro přidání snapů Řízení skupinová politika A Monitor zabezpečení IP.

Chcete-li zkontrolovat, které zásady jsou aktivní v aktivním profilu, použijte následující postup:

Chcete-li zkontrolovat, které zásady jsou použity, postupujte takto:

V příkazový řádek zadejte mmc a stiskněte klávesu ENTER.

Pokud se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte požadovanou akci a klikněte Pokračovat.

V nabídce Řídicí panel vybrat předmět Přidejte nebo odeberte modul snap-in.

Na seznamu Dostupné příslušenství vybrat vybavení Správa zásad skupiny a stiskněte tlačítko Přidat.

Klepněte na tlačítko OK.

Rozbalte uzel ve stromu (obvykle strom lesa, ve kterém se nachází) tento počítač) a dvakrát klikněte na sekci v podokně podrobností konzoly.

Vyberte hodnotu přepínače Zobrazit nastavení zásad pro z hodnot současný uživatel nebo jiný uživatel. Pokud nechcete zobrazovat nastavení zásad pro uživatele, ale pouze nastavení zásad pro počítač, vyberte přepínač Nezobrazovat zásady uživatele (zobrazit pouze zásady počítače) a dvakrát stiskněte tlačítko Dále.

Klepněte na tlačítko Připraveno. Průvodce výsledky zásad skupiny vygeneruje zprávu v podokně podrobností konzoly. Přehled obsahuje karty souhrn, Možnosti A Politické události.

Chcete-li ověřit, že nedochází ke konfliktu se zásadami zabezpečení IP, vyberte po vygenerování zprávy kartu Možnosti a otevřete Konfigurace počítače\Konfigurace systému Windows\Nastavení zabezpečení\Nastavení zabezpečení IP v adresářové službě Active Directory. Pokud chybí poslední část, nebyla nastavena zásada zabezpečení IP. Jinak se zobrazí název a popis zásady a GPO, ke kterému patří. Pokud používáte zásadu zabezpečení IP a zásadu Windows Firewall s pokročilým zabezpečením současně s pravidly zabezpečení připojení, mohou tyto zásady kolidovat. Doporučuje se používat pouze jednu z těchto zásad. Optimálním řešením je použití zásad zabezpečení IP ve spojení s bránou Windows Firewall s pravidly pokročilého zabezpečení pro příchozí nebo odchozí provoz. Pokud jsou parametry nakonfigurovány na různých místech a nejsou vzájemně konzistentní, může dojít ke konfliktům zásad, které se obtížně řeší.

Může také docházet ke konfliktům mezi zásadami definovanými v místních objektech zásad skupiny a skripty nakonfigurovanými oddělením IT. Zkontrolujte všechny zásady zabezpečení IP pomocí programu IP Security Monitor nebo zadáním následujícího příkazu na příkazovém řádku:

Chcete-li zobrazit nastavení definovaná v šabloně pro správu brány Windows Firewall, rozbalte část Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows.

Chcete-li zobrazit nejnovější události související s aktuální politikou, přejděte na kartu Události zásad ve stejné konzoli.

Chcete-li zobrazit zásady používané bránou Windows Firewall s pokročilým zabezpečením, otevřete modul snap-in v počítači, který diagnostikujete, a zkontrolujte nastavení v části Pozorování.

Chcete-li zobrazit šablony pro správu, otevřete modul snap-in Zásady skupiny a v sekci Výsledky zásad skupiny Zkontrolujte, zda existují nastavení zděděná ze zásad skupiny, která mohou způsobit odmítnutí provozu.

Chcete-li zobrazit zásady zabezpečení IP, otevřete modul snap-in Monitor zabezpečení IP. Vyberte ve stromu místní počítač. V rozsahu konzoly vyberte odkaz Aktivní politika, Základní režim nebo Rychlý mód . Zkontrolujte konkurenční zásady, které mohou vést k zablokování provozu.

V kapitole Pozorování lanoví Brána firewall systému Windows s pokročilým zabezpečením Můžete zobrazit existující pravidla pro místní i skupinové zásady. Pro získání dodatečné informace viz sekce " Použití funkce hodinek v modulu snap-in Brána firewall systému Windows s pokročilým zabezpečením » tohoto dokumentu.

Chcete-li zastavit agenta zásad IPSec, postupujte takto:

Klepněte na tlačítko Start a vyberte sekci Kontrolní panel.

Klepněte na ikonu Systém a jeho údržba a vyberte sekci Správa.

Poklepejte na ikonu Služby. Pokračovat.

Najděte službu v seznamu Agent zásad IPSec

Pokud služba Agent IPSec běží, klikněte na něj pravým tlačítkem a vyberte položku nabídky Stop. Službu můžete také zastavit Agent IPSec z příkazového řádku pomocí příkazu

Zásada peer-to-peer může způsobit odmítnutí provozu

Pro připojení využívající protokol IPSec musí mít oba počítače kompatibilní zásady zabezpečení IP. Tyto zásady lze definovat pomocí modulu snap-in Pravidla zabezpečení připojení brány firewall systému Windows IP zabezpečení nebo jiného poskytovatele zabezpečení IP.

Chcete-li zkontrolovat nastavení zásad zabezpečení IP v síti peer-to-peer, postupujte takto:

Ve snímku Brána firewall systému Windows s pokročilým zabezpečením vybrat uzel Pozorování A Pravidla zabezpečení připojení abyste se ujistili, že je na obou síťových uzlech nakonfigurována politika zabezpečení IP.

Pokud jeden z počítačů v síti peer-to-peer běží na starším Verze Windows než Windows Vista, ujistěte se, že alespoň jedna ze šifrovacích sad nativního režimu a jedna ze šifrovacích sad rychlého režimu používá algoritmy, které jsou podporovány oběma uzly.

1. Klikněte na sekci Základní režim, v podokně podrobností konzoly vyberte připojení, které chcete otestovat, a klikněte na odkaz Vlastnosti v rozsahu konzole. Zkontrolujte vlastnosti připojení pro oba uzly a ujistěte se, že jsou kompatibilní.

   Opakujte krok 2.1 pro oddíl Rychlý mód. Zkontrolujte vlastnosti připojení pro oba uzly a ujistěte se, že jsou kompatibilní.

Pokud používáte ověřování Kerberos verze 5, ujistěte se, že hostitel je ve stejné nebo důvěryhodné doméně.

Pokud používáte certifikáty, ujistěte se, že jsou zaškrtnuta požadovaná políčka. Certifikáty, které používají Internet Key Exchange (IKE) IPSec, vyžadují digitální podpis. Certifikáty, které používají Authenticated Internet Protocol (AuthIP), vyžadují ověření klienta (v závislosti na typu ověřování serveru). Další informace o certifikátech AuthIP naleznete v článku IP autentizace v systému Windows Vista AuthIP ve Windows Vista na webu společnosti Microsoft.

Bránu firewall systému Windows s pokročilým zabezpečením nelze nakonfigurovat

Nastavení brány firewall systému Windows s pokročilým zabezpečením jsou šedé (zašedlé) v následujících případech:

Počítač je připojen k centrálně spravované síti a správce sítě používá zásady skupiny ke konfiguraci brány Windows Firewall s nastavením pokročilého zabezpečení. V tomto případě v horní části patentky Brána firewall systému Windows s pokročilým zabezpečením Zobrazí se zpráva „Některá nastavení jsou řízena zásadami skupiny“. Správce sítě nakonfiguruje zásady, čímž vám zabrání ve změně nastavení brány Windows Firewall.

Počítač se systémem Windows Vista není připojen k centrálně spravované síti, ale nastavení brány Windows Firewall je určeno místními zásadami skupiny.

Chcete-li změnit nastavení brány Windows Firewall s pokročilým zabezpečením pomocí místních zásad skupiny, použijte modul snap-in Zásady místního počítače. Chcete-li otevřít tento modul snap-in, zadejte na příkazovém řádku příkaz secpol. Pokud se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte požadovanou akci a klikněte Pokračovat. Přejděte do části Konfigurace počítače\Konfigurace systému Windows\Nastavení zabezpečení\Brána firewall systému Windows s pokročilým zabezpečením a nakonfigurujte bránu firewall systému Windows s nastavením zásad pokročilého zabezpečení.

Počítač nereaguje na požadavky ping

Hlavním způsobem, jak otestovat spojení mezi počítači, je otestovat připojení pomocí nástroje Ping konkrétní IP adresu. Během pingu je odeslána ICMP echo zpráva (známá také jako ICMP echo request) a na oplátku je požadována ICMP echo odpověď. Brána Windows Firewall ve výchozím nastavení odmítá příchozí zprávy s ozvěnou ICMP, takže počítač nemůže odeslat ozvěnu ICMP.

Povolením příchozích ICMP echo zpráv umožníte ostatním počítačům pingnout váš počítač. Na druhou stranu tím bude počítač zranitelný vůči útokům pomocí ICMP echo zpráv. Je však doporučeno v případě potřeby dočasně povolit příchozí ICMP echo zprávy a poté je zakázat.

Chcete-li povolit zprávy ICMP echo, vytvořte nová příchozí pravidla, která povolí pakety požadavků ICMPv4 a ICMPv6.

Chcete-li vyřešit požadavky na echo ICMPv4 a ICMPv6, postupujte takto:

Ve stromu snap Brána firewall systému Windows s pokročilým zabezpečením vybrat uzel Pravidla pro příchozí spojení a klikněte na odkaz Nové pravidlo v akční oblasti konzoly.

Přizpůsobitelné a stiskněte tlačítko Dále.

Zadejte hodnotu přepínače Všechny programy a stiskněte tlačítko Dále.

V rozevíracím seznamu Typ protokolu vyberte hodnotu ICMPv4.

Klepněte na tlačítko Naladit pro položku Parametry protokolu ICMP.

Nastavte přepínač na Určité typy ICMP, zaškrtněte políčko Žádost o echo, zmáčknout tlačítko OK a stiskněte tlačítko Dále.

Ve fázi výběru lokálních a vzdálených IP adres odpovídajících tomuto pravidlu nastavte přepínače na hodnoty Jakákoli IP adresa nebo Zadané IP adresy. Pokud vyberete hodnotu Zadané IP adresy, zadejte požadované IP adresy, klikněte na tlačítko Přidat a stiskněte tlačítko Dále.

Zadejte hodnotu přepínače Povolit připojení a stiskněte tlačítko Dále.

Ve fázi výběru profilu vyberte jeden nebo více profilů (profil domény, soukromý nebo veřejný profil), ve kterých chcete toto pravidlo použít, a klikněte na tlačítko Dále.

V terénu název zadejte název pravidla a do pole Popis– volitelný popis. Klepněte na tlačítko Připraveno.

Opakujte výše uvedené kroky pro protokol ICMPv6 a vyberte Typ protokolu rozevírací hodnota ICMPv6 namísto ICMPv4.

Pokud máte aktivní pravidla zabezpečení připojení, dočasné vyloučení ICMP z požadavků IPsec může pomoci vyřešit problémy. Chcete-li to provést, otevřete v snap Brána firewall systému Windows s pokročilým zabezpečením dialogové okno Vlastnosti, přejděte na kartu Nastavení IPSec a zadejte hodnotu v rozevíracím seznamu Ano pro parametr Vyloučit ICMP z IPSec.

Poznámka

Nastavení brány Windows Firewall mohou měnit pouze správci a provozovatelé sítí.

Nelze sdílet soubory a tiskárny

Pokud se nemůžete dostat obecný přístup k souborům a tiskárnám v počítači s aktivní bránou Windows Firewall, ujistěte se, že jsou povolena všechna pravidla skupiny Přístup k souborům a tiskárnám Brána firewall systému Windows s pokročilým zabezpečením vybrat uzel Pravidla pro příchozí spojení Přístup k souborům a tiskárnám Povolit pravidlo v rozsahu konzole.

Pozornost:

Důrazně se doporučuje nepovolovat sdílení souborů a tiskáren na počítačích, které jsou přímo připojeny k Internetu, protože útočníci se mohou pokusit získat přístup k sdílené soubory a způsobit vám škodu poškozením vašich osobních souborů.

Bránu firewall systému Windows nelze spravovat vzdáleně

Pokud nemůžete vzdáleně spravovat počítač s aktivní bránou Windows Firewall, ujistěte se, že jsou povolena všechna pravidla ve výchozí skupině Vzdálená správa brány firewall systému Windows aktivní profil. Ve snímku Brána firewall systému Windows s pokročilým zabezpečením vybrat uzel Pravidla pro příchozí spojení a posuňte seznam pravidel do skupiny Dálkové ovládání. Ujistěte se, že jsou tato pravidla povolena. Vyberte každé ze zakázaných pravidel a klikněte na tlačítko Povolit pravidlo v rozsahu konzole. Dále se ujistěte, že je povolena služba IPSec Policy Agent. Tato služba je vyžadována pro dálkové ovládání Brána firewall systému Windows.

Chcete-li ověřit, zda je spuštěn agent zásad IPSec, postupujte takto:

Klepněte na tlačítko Start a vyberte sekci Kontrolní panel.

Klepněte na ikonu Systém a jeho údržba a vyberte sekci Správa.

Poklepejte na ikonu Služby.

Pokud se zobrazí dialogové okno Řízení uživatelských účtů, zadejte požadované informace o uživateli s příslušnými oprávněními a klikněte Pokračovat.

Najděte službu v seznamu Agent zásad IPSec a ujistěte se, že má stav „Spuštěno“.

Pokud služba Agent IPSec zastaveno, klikněte na něj pravým tlačítkem a vyberte v kontextová nabídka odstavec Zahájení. Službu můžete také spustit Agent IPSec z příkazového řádku pomocí příkazu net start policy agent.

Poznámka

Výchozí služba Agent zásad IPSec spuštěna. Tato služba by měla být spuštěna, pokud nebyla ručně zastavena.

Poradce při potížích s bránou Windows Firewall

Tato část popisuje nástroje a techniky, které lze použít k řešení běžných problémů. Tato sekce se skládá z následujících podsekcí:

Používejte funkce sledování v bráně Windows Firewall s pokročilým zabezpečením

Prvním krokem k vyřešení problémů s bránou Windows Firewall je prostudovat si aktuální pravidla. Funkce Pozorování umožňuje zobrazit pravidla používaná na základě místních a skupinových zásad. Chcete-li zobrazit aktuální příchozí a odchozí pravidla ve stromu modulů snap-in Brána firewall systému Windows s pokročilým zabezpečením Vyberte sekci Pozorování a poté vyberte sekci Firewall. V této sekci můžete také zobrazit aktuální pravidla zabezpečení připojení A bezpečnostní přidružení (hlavní a rychlý režim).

Povolte a používejte auditování zabezpečení pomocí nástroje příkazového řádku auditpol

Ve výchozím nastavení jsou možnosti auditu zakázány. Chcete-li je nakonfigurovat, použijte nástroj příkazového řádku auditpol.exe, který změní nastavení zásad auditu v místním počítači. Auditpol lze použít k povolení nebo zakázání zobrazení různých kategorií událostí a jejich pozdějšímu zobrazení v modulu snap-in Prohlížeč událostí.

Chcete-li zobrazit seznam kategorií podporovaných auditpolem, zadejte do příkazového řádku:

• Chcete-li zobrazit seznam podkategorií, které jsou zahrnuty v dané kategorii (například kategorie Změna zásad), zadejte na příkazový řádek:

  auditpol.exe /list /category:"Změny zásad"

• Chcete-li povolit zobrazení kategorie nebo podkategorie, zadejte na příkazovém řádku:

  /Podkategorie:" NameCategory"

Chcete-li například nastavit zásady auditu pro kategorii a její podkategorii, zadejte následující příkaz:

auditpol.exe /set /category:"Změna zásad" /subcategory:"Změna zásad na úrovni pravidla MPSSVC" /success:enable /failure:enable

Změna zásad

Změna zásad na úrovni pravidel MPSSVC

Změna zásad filtrovací platformy

Zadejte výstup

Základní režim IPsec

Rychlý režim IPsec

Rozšířený režim IPsec

Systém

Ovladač IPSEC

Další systémové události

Přístup k objektům

Zahazování paketů pomocí filtrovací platformy

Připojení filtrační platformy

Aby se změny zásad auditu zabezpečení projevily, musíte restartovat místní počítač nebo vynutit ruční aktualizaci zásad. Chcete-li vynutit aktualizaci zásad, zadejte do příkazového řádku:

secedit/refresh policy<название_политики>

Po dokončení diagnostiky můžete zakázat monitorování událostí nahrazením parametru enable ve výše uvedených příkazech příkazem disable a spuštěním příkazů znovu.

Zobrazte události auditu zabezpečení v protokolu událostí

Po povolení auditování použijte Prohlížeč událostí k zobrazení událostí auditu v protokolu událostí zabezpečení.

Chcete-li otevřít Prohlížeč událostí ve složce Nástroje pro správu, postupujte takto:

1. Klepněte na tlačítko Start.

   Vyberte sekci Kontrolní panel. Klepněte na ikonu Systém a jeho údržba a vyberte sekci Správa.

   Poklepejte na ikonu Prohlížeč událostí.

Chcete-li přidat modul snap-in Prohlížeč událostí konzole MMC Následuj tyto kroky:

Klepněte na tlačítko Start, přejděte do nabídky Všechny programy, poté do menu Standard a vyberte Vykonat.

V textovém poli OTEVŘENO zadejte mmc a stiskněte klávesu ENTER.

Pokud se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte požadovanou akci a klikněte Pokračovat.

V nabídce Řídicí panel vybrat předmět Přidejte nebo odeberte modul snap-in.

Na seznamu Dostupné příslušenství vybrat vybavení Prohlížeč událostí a stiskněte tlačítko Přidat.

Klepněte na tlačítko OK.

Před zavřením modulu snap-in uložte konzolu pro budoucí použití.

Ve snímku Prohlížeč událostí rozbalte sekci Protokoly systému Windows a vyberte uzel Bezpečnost. V pracovní oblasti konzoly můžete zobrazit události auditu zabezpečení. Všechny události jsou zobrazeny v horní části pracovní oblasti konzoly. Klikněte na událost v horní části pracovní oblasti konzoly, kterou chcete zobrazit detailní informace ve spodní části panelu. Na kartě Jsou běžné Nechybí popis událostí ve formě srozumitelného textu. Na kartě Podrobnosti K dispozici jsou následující možnosti zobrazení událostí: Přehledná prezentace A XML režim.

Konfigurace protokolu brány firewall pro profil

Než budete moci zobrazit protokoly brány firewall, musíte nakonfigurovat bránu firewall systému Windows s pokročilým zabezpečením pro generování souborů protokolu.

Chcete-li nakonfigurovat protokolování pro bránu Windows Firewall s profilem pokročilého zabezpečení, postupujte takto:

Ve stromu snap Brána firewall systému Windows s pokročilým zabezpečením Vyberte sekci Brána firewall systému Windows s pokročilým zabezpečením a stiskněte tlačítko Vlastnosti v rozsahu konzole.

Vyberte kartu profilu, pro kterou chcete konfigurovat protokolování (profil domény, soukromý profil nebo veřejný profil), a potom klepněte na tlačítko Naladit V kapitole Protokolování.

Zadejte název a umístění souboru protokolu.

Upřesněte maximální velikost log soubor (od 1 do 32767 kB)

V rozevíracím seznamu Zaznamenat chybějící pakety zadejte hodnotu Ano.

V rozevíracím seznamu Zaznamenejte úspěšná připojení zadejte hodnotu Ano a potom klepněte na tlačítko OK.

Zobrazení souborů protokolu brány firewall

Otevřete soubor, který jste zadali během předchozího postupu „Konfigurace protokolu brány firewall pro profil“. Pro přístup k protokolu brány firewall musíte mít práva místního správce.

Soubor protokolu můžete zobrazit pomocí programu Poznámkový blok nebo libovolného textového editoru.

Analýza souborů protokolu brány firewall

Informace zaznamenané v protokolu jsou uvedeny v následující tabulce. Některá data jsou specifikována pouze pro určité protokoly (TCP příznaky, typ a kód ICMP atd.) a některá data jsou specifikována pouze pro zahozené pakety (velikost).

Poznámka

Pomlčka (-) se používá v polích aktuálního záznamu, která neobsahují žádné informace.

Vytváření textových souborů netstat a tasklist

Můžete vytvořit dva vlastní soubory protokolu, jeden pro zobrazení statistik sítě (seznam všech naslouchacích portů) a druhý pro zobrazení seznamů úkolů služeb a aplikací. Seznam úloh obsahuje identifikátor procesu (PID) pro události obsažené v souboru statistik sítě. Postup vytvoření těchto dvou souborů je popsán níže.

Pro tvoření textové soubory statistiky sítě a seznam úkolů, postupujte takto:

Na příkazovém řádku zadejte netstat -ano > netstat.txt a stiskněte klávesu ENTER.

Na příkazovém řádku zadejte tasklist > tasklist.txt a stiskněte klávesu ENTER. Pokud potřebujete vytvořit textový soubor se seznamem služeb, zadejte tasklist /svc > tasklist.txt.

Otevřete soubory tasklist.txt a netstat.txt.

Najděte kód procesu, který diagnostikujete, v souboru tasklist.txt a porovnejte jej s hodnotou obsaženou v souboru netstat.txt. Zaznamenejte si použité protokoly.

Příklad vydávání souborů Tasklist.txt a Netstat.txt

Netstat.txt
Proto Místní adresa Cizí adresa PID státu
TCP 0.0.0.0:XXX 0.0.0.0:0 POSLECH 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 POSLECH 322
Tasklist.txt
Název obrázku PID Název relace Session# Použití paměti
==================== ======== ================ =========== ============
svchost.exe 122 Služby 0 7 172 K
XzzRpc.exe 322 Services 0 5 104 K

Poznámka

Skutečné IP adresy se změní na "X" a služba RPC se změní na "z".

Ujistěte se, že základní služby běží

Musí být spuštěny následující služby:

Základní filtrační služba

Klient zásad skupiny

Klíčové moduly IPsec pro internetovou výměnu klíčů a IP autentizaci

Doplňková služba IP

Služba agenta zásad IPSec

Služba určování polohy v síti

Služba seznamu sítí

Brána firewall systému Windows

Chcete-li otevřít modul snap-in Služby a ověřit, zda jsou spuštěny požadované služby, postupujte takto:

Klepněte na tlačítko Start a vyberte sekci Kontrolní panel.

Klepněte na ikonu Systém a jeho údržba a vyberte sekci Správa.

Poklepejte na ikonu Služby.

Pokud se zobrazí dialogové okno Řízení uživatelských účtů, zadejte požadované informace o uživateli s příslušnými oprávněními a klikněte Pokračovat.

Ujistěte se, že jsou spuštěny výše uvedené služby. Pokud jedna nebo více služeb neběží, klikněte pravým tlačítkem na název služby v seznamu a vyberte Zahájení.

Další způsob řešení problémů

Tak jako poslední možnost Můžete obnovit výchozí nastavení brány Windows Firewall. Obnovením výchozího nastavení ztratíte všechna nastavení provedená po instalaci systému Windows Vista. To může způsobit, že některé programy přestanou fungovat. Také pokud počítač ovládáte na dálku, spojení s ním se ztratí.

Před obnovením výchozího nastavení se ujistěte, že jste uložili aktuální konfiguraci brány firewall. To vám umožní v případě potřeby obnovit vaše nastavení.

Níže jsou uvedeny kroky k uložení konfigurace brány firewall a obnovení výchozího nastavení.

Chcete-li uložit aktuální konfiguraci brány firewall, postupujte takto:

Ve snímku Brána firewall systému Windows s pokročilým zabezpečením klikněte na odkaz Exportní politika v rozsahu konzole.

Chcete-li obnovit výchozí nastavení brány firewall, postupujte takto:

Ve snímku Brána firewall systému Windows s pokročilým zabezpečením klikněte na odkaz Obnovit výchozí nastavení v rozsahu konzole.

Po zobrazení výzvy brány firewall systému Windows s pokročilým zabezpečením klepněte na tlačítko Ano pro obnovení výchozích hodnot.

Závěr

Existuje mnoho způsobů, jak diagnostikovat a řešit problémy s bránou Windows Firewall s pokročilým zabezpečením. Mezi nimi:

Pomocí funkce Pozorování pro zobrazení akcí brány firewall, pravidel zabezpečení připojení a přidružení zabezpečení.

Analyzujte události auditu zabezpečení související s bránou Windows Firewall.

Vytváření textových souborů seznam úkolů A netstat pro srovnávací analýzu.

Firewall Windows (firewall nebo firewall) nevzbuzuje respekt. Lehce změněn z XP na Vistu, svou jednoduchou práci dělá dobře, ale postrádá ambice být nejlepším osobním firewallem. Navzdory skutečnosti, že firewall systému Windows 7 obdržel několik nových funkcí, stále nedostal to, co jsem očekával, že v něm uvidím.

Setkání s domácí skupinou

Během Instalace Windows 7 navrhuje vytvoření „domovské skupiny“. Když jsou v síti objeveny další počítače se systémem Windows 7, jsou také vyzvány, aby se připojily ke skupině. A jediné, co k tomu potřebují, je heslo. Nicméně, když jsem měl jeden počítač se systémem Windows 7, neviděl jsem proces přihlášení do skupiny jiných počítačů, i když upozornění na to by neuškodilo. Avšak zatímco jakýkoli počítač se systémem Windows 7 se může připojit k domácí skupině, počítače se systémem Windows 7 Home Basic a Windows 7 Starter ji vytvořit nemohou.

Počítače ve stejné domácí skupině mohou sdílet (nebo, jak se říká, „sdílet“) tiskárny a konkrétní knihovny souborů. Ve výchozím nastavení jsou sdíleny knihovny obrázků, hudby, videí a dokumentů, ale uživatel je může omezit podle vlastního uvážení. Nápověda v operačním systému poskytuje jasné vysvětlení, jak vyloučit soubor nebo složku ze sdílení, jak je nastavit pouze pro čtení nebo jak k nim omezit přístup.

V jeho domácí síť uživatel může sdílet svůj obsah s jinými počítači a zařízeními a dokonce i s počítači, na kterých není spuštěn Windows 7, a dokonce i s jinými počítači. Konkrétně Microsoft ukázal příklady, jak můžete sdílet obsah na Xboxu 360. Připojení Wii k síti ale firma nenabízí. Bohužel, společnost nekvalifikovala Wii jako zařízení pro streamování médií.

O kolik bezpečnější je tedy vaše domácí síť ve Windows 7? Uživatelé, kteří nesdílejí soubory a složky, obvykle začnou deaktivovat vše kolem sebe, včetně filewallu, antiviru atd., což podle jejich názoru může tento proces narušovat. Zároveň, pokud sdílení zjednodušíte, můžete se vyhnout vypnutí všeho kolem vás.

Pokud Vista rozděluje sítě na veřejné (Public) a soukromé (Private), pak Windows 7 rozděluje privátní síť na domácí (Home) a pracovní (Work). Domácí skupina(Domácí skupina) je k dispozici pouze při výběru domácí sítě. I v pracovní síti však váš počítač stále vidí a připojuje se k jiným zařízením v ní. Na druhé straně ve veřejné síti (jako je bezdrátová v internetové kavárně) Windows 7 z důvodu vaší bezpečnosti blokuje přístup k vám a od vás k jiným zařízením. Je to malá, ale pěkná příležitost.

Dvourežimový firewall

Ve Windows Vista a XP je správa brány firewall tak jednoduchá, jako její zapínání a vypínání. Zároveň Windows čas 7 nabízí uživateli různá nastavení konfigurace pro soukromé (domácí a pracovní) a veřejné sítě. Zároveň uživatel nemusí zadávat nastavení firewallu, aby mohl pracovat řekněme v místní kavárně. Stačí mu vybrat veřejnou síť a samotný firewall použije celou sadu omezujících parametrů. Uživatelé s největší pravděpodobností nakonfigurují veřejnou síť tak, aby blokovala všechna příchozí připojení. Ve Windows Vista to nešlo udělat bez toho, aniž by došlo k přerušení veškerého příchozího provozu ve vlastní síti uživatele.

Někteří uživatelé nechápou, proč je potřeba firewall. Pokud UAC funguje, není firewall přehnaný? Ve skutečnosti mají tyto programy úplně jiné cíle. UAC monitoruje programy a jejich provoz v rámci lokálního systému. Firewall pozorně sleduje příchozí a odchozí data. Pokud si tyto dva programy představíte jako dva hrdiny stojící zády k sobě a odrážející útoky zombie, pak by se dalo říci, že těžko můžete udělat chybu.

Nejprve mě to zaujalo novou příležitost„Oznamte mi, kdy Brána firewall systému Windows bloky nový program" Je to známka toho, že brána Windows Firewall získala kontrolu nad programy a stala se skutečnou obousměrnou bránou firewall? Pohltila mě touha tuto funkci zakázat. A dovnitř výsledek Windows Firewall nezískal větší respekt, než měl.

Je tomu deset let, co ZoneLabs popularizoval obousměrný personální firewall. Její program ZoneAlarm skrýval všechny porty počítače (což Windows Firewall umí) a také umožňoval ovládat přístup programů k internetu (což Windows Firewall stále neumí). Nevyžaduji inteligentní sledování chování programu jako v Nortonu internetová bezpečnost 2010 a v dalších balíčcích. Doufám ale, že Microsoft do vydání Windows 8 přesto zavede do svého firewallu sadu schopností deset let starého ZoneAlarm.

Microsoft si je dobře vědom toho, že mnoho uživatelů instaluje brány firewall a bezpečnostní balíčky třetích stran a jednoduše deaktivuje bránu Windows Firewall. V minulosti mnoho bezpečnostních programů třetích stran automaticky deaktivovalo bránu Windows Firewall, aby se zabránilo konfliktům. Ve Windows 7 to udělal Microsoft sám. Při instalaci jemu známého firewallu operační systém deaktivuje svůj vestavěný firewall a hlásí, že „nastavení firewallu řídí ten a ten program od toho a toho výrobce“.

Bez ohledu na to, zda ji používáte nebo ne, brána Windows Firewall je přítomna v každém systému Windows 7 s pevnou integrací operační systém. Nebylo by tedy lepší, kdyby bezpečnostní aplikace třetích stran mohly používat filewall Windows pro své vlastní účely? To je myšlenka za programovacím rozhraním nazvaným Windows Filtering Platform. Ale použijí to vývojáři? Více o tom v příštím díle.

Zabezpečení systému Windows 7: Platforma filtrování systému Windows

Firewally musí fungovat s Windows 7 na velmi nízké úrovni, což programátoři Microsoftu naprosto nenávidí. Některé technologie Microsoftu, jako je PatchGuard, přítomné v 64bitových edicích Windows 7 (64bitové Windows 7 mají oproti 32bitovým Windows 7 řadu bezpečnostních výhod), blokují útočníky a také chrání jádro před přístupem k němu. Společnost Microsoft přesto neposkytuje stejnou úroveň zabezpečení jako programy třetích stran. Tak co dělat?

Řešením tohoto problému je Windows Filtering Platform (WFP). Poslední, podle podle Microsoftu, umožňuje, aby brány firewall třetích stran byly založeny na klíči Možnosti Windows Firewall – umožňuje k nim přidat vlastní funkce a selektivně povolit a zakázat části brány Windows Firewall. V důsledku toho si uživatel může vybrat bránu firewall, která bude koexistovat s bránou Windows Firewall.

Ale jak užitečné je to skutečně pro vývojáře zabezpečení? Využijí to? Zeptal jsem se několika lidí a dostal jsem spoustu odpovědí.

BitDefender LLC

Manažer vývoje produktů Iulian Costache uvedl, že jeho společnost v současné době používá tuto platformu ve Windows 7. Narazili však na značné úniky paměti. Chyba je na straně Microsoftu, což největší softwarový gigant již potvrdil. Kdy se to ale vyřeší, Julian neví. Mezitím je dočasně vyměnili nový řidič WFP na starém TDI.

Check Point Software Technologies Ltd

PR manažerka Check Point Software Technologies Ltd Mirka Janus uvedla, že jeho společnost používá WFP od Visty. Platformu používají také pod Windows 7. Je to dobré podporované rozhraní, ale jakýkoli malware nebo nekompatibilní ovladač by mohl být nebezpečný pro bezpečnostní produkt, který na něj spoléhá. ZoneAlarm vždy sázel na dvě vrstvy – vrstvy síťová připojení a úroveň balíčku. Počínaje Vistou Microsoft nabídl WFP jako podporovaný způsob filtrování síťových připojení. Počínaje Windows 7 SP1 musí společnost Microsoft naučit funkci WFP, aby umožňovala filtrování paketů.

„Používání podporovaných rozhraní API znamená lepší stabilitu a méně BSOD. Registrovat lze mnoho ovladačů a každý vývojář ovladačů se nemusí starat o kompatibilitu s ostatními. Pokud je některý ovladač, řekněme, zablokován, žádný jiný registrovaný ovladač nemůže toto blokování obejít. Na druhou stranu se může stát problémem nekompatibilní ovladač, který obejde všechny ostatní registrované. Při zabezpečení sítě se nespoléháme pouze na WFP.“

F-Secure Corporation

Vedoucí výzkumný pracovník společnosti F-Secure Corporation Mikko Hypponen uvedl, že z nějakého důvodu se WFP nikdy nestal populární mezi vývojáři bezpečnostního softwaru. Jeho společnost přitom WFP používala poměrně dlouho a byla s ním spokojená.

Společnost McAfee, Inc.

Vedoucí architekt McAfee Ahmed Sallam zase řekl, že WFP je výkonnější a flexibilnější rozhraní pro filtrování sítě než předchozí rozhraní založené na NDIS. McAfee aktivně používá WFP ve svých bezpečnostních produktech.

Navzdory skutečnosti, že WFP má pozitivní schopnosti, mohou kyberzločinci také využít výhod platformy. Platforma by mohla umožnit malwaru vstoupit do síťového zásobníku vrstvy jádra Windows. Proto 64bit Ovladače pro Windowsúroveň jádra musí mít digitální podpisy chránit jádro před načtením do něj malware. Digitální podpisy však nejsou vyžadovány u 32bitových verzí.

Ano, teoreticky jsou digitální podpisy rozumným bezpečnostním mechanismem, ale ve skutečnosti je mohou autoři malwaru stále získat pro sebe.

Panda Security

Mluvčí Panda Security Pedro Bustamante uvedl, že jeho společnost platformu WFP monitoruje, ale v současnosti ji nepoužívá. Společnost považuje za hlavní nevýhody WFP za prvé neschopnost vytvořit technologii, která by kombinovala různé techniky pro maximalizaci ochrany. Technologie je k ničemu, pokud se společnost nemůže dívat na pakety, které přicházejí a vycházejí ze stroje. Měl by fungovat i jako senzor pro další bezpečnostní technologie. Žádnou z těchto funkcí neposkytuje služba WFP. Za druhé, WFP podporují pouze operační systémy Vista a novější. Platforma není zpětně kompatibilní. A do třetice, WFP je docela nová platforma a společnost raději sází na starší a osvědčené technologie.

Společnost Symantec Corp.

Dan Nadir, ředitel správy spotřebitelských produktů ve společnosti Symantec, uvedl, že WFP zatím není v jejich produktech používán kvůli jeho relativní novosti. Postupem času však na něj společnost plánuje migrovat, protože... stará rozhraní, na která v současné době spoléhají, nebudou schopna poskytnout plnou funkčnost, kterou vyžadují. Považují WFP za dobrou platformu, protože... byl speciálně navržen tak, aby poskytoval interoperabilitu mezi různými programy třetích stran. Platforma by v zásadě měla mít v budoucnu ještě méně problémů s kompatibilitou. WFP je také skvělé, protože je integrováno s Microsoft Network Diagnostic Framework. To je velmi užitečné, protože... výrazně usnadňuje vyhledávání konkrétních programů, které jsou překážkou síťový provoz. A konečně, WFP by mělo vést ke zlepšení výkonu a stability operačního systému, protože... Platforma se vyhýbá emulaci a problémům s konflikty ovladačů nebo stabilitou.

Na druhou stranu však podle Nadira může WFP vytvářet určité problémy, které existují v jakékoli struktuře – vývojáři spoléhající na WFP nemohou uzavřít zranitelnosti v rámci samotného WFP, ani nemohou rozšířit specifické schopnosti, které WFP nabízí. Také, pokud mnoho programů spoléhá na WFP, tvůrci malwaru by se teoreticky mohli pokusit napadnout samotné WFP.

Společnost Trend Micro Inc.

Ředitel výzkumu ve společnosti Trend Micro Inc. Dale Liao uvedl, že největší výhodou platformy je její kompatibilita s operačním systémem. Nyní se také stal užitečným standardní firewall. Nyní se tedy mohou soustředit na to, co je pro uživatele skutečně důležité. Špatná věc na WFP je, že když je v platformě objevena chyba, společnost musí čekat, až ji Microsoft opraví.

WFP: Závěr

Výsledkem je, že většina vývojářů zabezpečení, se kterými jsem hovořil, již WFP používá. Pravda, některé souběžně s jinými technologiemi. Líbí se jim interoperabilita, jako je dokumentace a formálnost platformy, a také vnímaná stabilita jejího provozu. Na druhou stranu, pokud budou všichni vývojáři spoléhat na WFP, pak by se platforma mohla potenciálně stát slabým místem pro všechny. A budou se muset spolehnout na Microsoft, že to opraví. Platforma navíc zatím nenabízí filtrování na úrovni paketů.

Další velkou nevýhodou WFP je, že není k dispozici ve Windows XP. Proto vývojáři, kteří chtějí podporovat XP, budou muset spustit dva paralelní projekty. Nicméně, jak XP opustí trh, myslím, že WFP bude mezi vývojáři populárnější.