Особенности Firewall в Windows 7 / Хабр
В этом году Windows XP исполняется 10 лет. Возраст встроенного в ОС firewall можно считать по разному. Сейчас уже, наверное, далеко не каждый вспомнит, что в исходной версии Windows XP прообраз нынешнего брандмауэра назывался Internet Connection Firewall (ICF), имел весьма ограниченный функционал и настраивался вручную в свойствах конкретного сетевого интерфейса. Тем не менее, уже тогда один из самых частых вопросов, который мы получали от корпоративных заказчиков, звучал примерно так: «Почему вы не включили ICF по умолчанию?». Забавно, да?
Собственно Windows Firewall появился с выходом SP2 для Windows XP, содержал ряд существенных улучшений по сравнению с ICF и был включен в ОС по умолчанию. Последний факт первое время частенько приводил к неработоспособности многих устаревших приложений, необходимости задания в Windows дополнительных настроек и, естественно, критике в адрес MS. А сколько было написано по поводу отсутствия исходящей фильтрации… Но уже прогремели Nimda, Slammer, Blaster, другие приятные слуху названия, и для многих было очевидно, что наличие встроенного брандмауэра является далеко не лишним.
Vista и Windows Server 2008 привнесли еще большие изменения в Windows Firewall: фактически появилась новая платформа фильтрации, на основе которой работал firewall и могли создаваться сторонние решения, с настройками брандмауэра были объединены политики IPsec, таки появилась фильтрация исходящего трафика.
В рамках этого поста я хотел бы остановиться на особенностях Windows Firewall в «семерке» и R2. Эти особенности, конечно, уже перечислены в различных статьях на том же TechNet, но, как правило, настолько кратко, что суть усовершенствований может ускользнуть и остаться недооцененной.
Несколько активных профилей
Первая и главная, как мне кажется, особенность firewall в Windows 7 заключается в том, что несколько профилей могут быть активными одновременно.
Напомню, начиная с Windows Vista, встроенный firewall поддерживает три профиля – domain, private и public (в XP их было два – domain и standard). Каждый профиль представляет собой набор применяемых firewall-ом правил.
Всякий раз, когда компьютер подключается к сети, ОС пытается идентифицировать эту сеть и применить соответствующий профиль. В частности, если в сети доступен контроллер домена, которому принадлежит данный компьютер, автоматически применяется доменный профиль. Если же в новой сети, к которой компьютер подключился, контроллер домена отсутствует, применяется наиболее ограничивающий public-профиль. При этом перед пользователем возникает окно, в котором можно явным образом выбрать профиль для данной сети (см. рис. 1).
Рис. 1
Служба Network Location Awareness (NLA) сохраняет информацию о сети в специальной базе данных. Когда в следующий раз компьютер подключится к этой сети, и NLA успешно ее идентифицирует на основе сохраненной в базе информации, firewall автоматически применит соответствующий профиль.
Это порождает определенные проблемы. Например, в доменном профиле администратор разрешил входящие подключения для некоторого бизнес-приложения (Microsoft Office Groove, как вариант). Пользователь работает на ноутбуке в доменной сети и использует это бизнес-приложение. Предположим, пользователь перемещается в переговорную комнату, из которой доступна некоторая публичная WiFi-сеть, скажем, офиса соседнего этажа или оператора мобильной связи. WiFi-адаптер ноутбука автоматически подключается к этой публичной сети, и для нее должен быть применен профиль public. В подобной ситуации, когда адаптеры “смотрят” в разные сети, Vista всегда применяет наиболее ограничивающий профиль, то есть public, в котором, в свою очередь, все входящие подключения запрещены. Как следствие, наше бизнес-приложение перестает корректно работать.
Другой пример – VPN. Все тот же пользователь со своего ноутбука пытается получить доступ к корпоративным ресурсам, но уже из дома. Он устанавливает VPN-подключение, и перед ним вся корпоративная сеть.
Однако поскольку для VPN-подключения используется, например, private-профиль, настройки доменного профиля firewall-а не применяются, и бизнес-приложение опять не работает так, как надо. Все это создает определенную головную боль для ИТ-отдела компании.
Windows 7 поддерживает такие же три профиля firewall. Однако сразу несколько профилей одновременно могут быть активными. Каждый сетевой адаптер использует наиболее подходящий профиль для той сети, к которой он подключен (см. рис.2).
Рис. 2
Стало быть, после подключения из Интернет-кафе с помощью VPN к корпоративной сети, ко всему трафику, следующему через VPN-туннель, применяется доменный профиль, в то время как весь остальной трафик защищен профилем public.
Дальше перечислены менее существенные, но весьма полезные изменения, на которые стоит обратить внимание.
Настройка исключений для нескольких профилей
Есть несколько усовершенствований в интерфейсе аплета Windows Firewall в панели управления.
Раньше, при настройке исключений, то есть указании, какому приложению разрешено работать через firewall, настройки сохранялись в текущем (активном в настоящий момент) профиле. В Windows 7 можно явным образом выбрать один или несколько профилей, на которые распространяется данное исключение (см. рис. 3).
Рис. 3
Подобная возможность есть и при появлении оповещения о том, что некоторое приложение пытается работать через firewall (см. рис. 4).
Рис. 4
Подчеркну, что речь идет именно об аплете Windows Firewall. Если создавать правило с помощью Windows Firewall with Advanced Security, то и в Vista, и в Windows 7 создаваемое правило можно сразу же распространить на несколько профилей.
Включение/выключение firewall для профилей
В Windows 7 можно довольно легко включить или выключить firewall, а также оповещения о блокировании приложений для конкретного профиля или профилей (см. рис. 5).
Рис. 5
Дополнительные ссылки
С помощью дополнительных ссылок из аплета Windows Firewall в “семерке” можно быстро перейти к консоли Windows Firewall with Advanced Security, настройкам по умолчанию или к инструменту разрешения проблем.
Рис. 6
Исключения для пользователей и компьютеров
При создании правил в Windows Vista можно было задействовать IPSec и указать, что соединения разрешены для конкретных пользователей и/или компьютеров. В Windows 7 плюс к этому можно задавать исключения для пользователей и/или компьютеров (см. рис. 7).
Рис. 7
Диапазоны портов
Последняя деталь, которую хотелось бы отметить, возможность в правилах указывать теперь диапазоны портов. В Vista можно было указывать конкретные номера портов, разделяя их запятой (см. рис. 8).
Рис. 8
Добавлю также, что для разработчиков третьих фирм доступен обновленный по сравнению с предыдущими версиями API, позволяющий, с одной стороны, добавлять свой функционал, с другой, задействовать только нужные возможности встроенного firewall. Например, разработчик может реализовать свои политики управления firewall, но при этом опираться на встроенные политики IPsec.
Однако следует помнить, что если вы выключаете Windows Firewall не через API, а штатными средствами Windows (панель управления, netsh), то выключаются и все политики IPsec. Последнее приводит к отключению, например, DirectAccess на клиенте.
Еще одна особенность связана с возможность настройки фильтров для virtual account и Service SID. Оба этих механизма подробно рассмотрены здесь.
Итак, Windows Firewall эволюционирует вместе с операционной системой, отвечая на не менее активно совершенствующиеся угрозы безопасности.
Не претендуя на звание мощного специализированного брандмауэра, Windows Firewall при этом доступен «из коробки», эффективно управляется через групповые политики, либо скриптами и выполняет свою главную задачу – дополнительная защита рабочей станции / сервера от внешнего нежелательного сетевого воздействия. Мне кажется, справляется с этой задачей очень неплохо. Почему бы не использовать?
Рекомендации по настройке брандмауэра Защитник Windows
Защитник Windows Брандмауэр в режиме повышенной безопасности обеспечивает двусторонняя фильтрацию сетевого трафика на основе узла и блокирует несанкционированный сетевой трафик, поступающий на локальное устройство или из него.
Настройка брандмауэра Windows на основе следующих рекомендаций поможет оптимизировать защиту устройств в сети. Эти рекомендации охватывают широкий спектр развертываний, включая домашние сети и корпоративные настольные или серверные системы.
Чтобы открыть брандмауэр Windows, перейдите в меню Пуск , выберите Выполнить, введите WF.msc, а затем нажмите кнопку ОК. См. также раздел Открытие брандмауэра Windows.
Сохранить параметры по умолчанию
При первом открытии брандмауэра Защитник Windows вы увидите параметры по умолчанию, применимые к локальному компьютеру. На панели Обзор отображаются параметры безопасности для каждого типа сети, к которой может подключаться устройство.
Рис. 1. Брандмауэр Защитник Windows
- Профиль домена: используется для сетей, в которых есть система проверки подлинности учетной записи на контроллере домена Active Directory.
- Частный профиль: предназначен и лучше всего используется в частных сетях, таких как домашняя сеть.
- Общедоступный профиль: разработан с учетом более высокого уровня безопасности для общедоступных сетей, таких как Wi-Fi горячие точки, кафе, аэропорты, отели или магазины
Чтобы просмотреть подробные параметры для каждого профиля, щелкните правой кнопкой мыши узел Защитник Windows Брандмауэр в режиме повышенной безопасности в левой области и выберите Свойства.
По возможности сохраняйте параметры по умолчанию в брандмауэре Защитник Windows. Эти параметры предназначены для защиты устройства для использования в большинстве сетевых сценариев. Одним из ключевых примеров является поведение блока по умолчанию для входящих подключений.
Рис. 2. Параметры входящего и исходящего трафика по умолчанию
Важно.
Чтобы обеспечить максимальную безопасность, не изменяйте параметр блокировать по умолчанию для входящих подключений.
Дополнительные сведения о настройке основных параметров брандмауэра см.
Общие сведения о приоритете правил для входящих правил
Во многих случаях следующим шагом для администраторов будет настройка этих профилей с помощью правил (иногда называемых фильтрами), чтобы они могли работать с пользовательскими приложениями или другими типами программного обеспечения. Например, администратор или пользователь может добавить правило для размещения программы, открыть порт или протокол или разрешить предопределенный тип трафика.
Эту задачу добавления правил можно выполнить, щелкнув правой кнопкой мыши правила для входящего трафика или Правила для исходящего трафика и выбрав Создать правило. Интерфейс для добавления нового правила выглядит следующим образом:
Рис. 3. Мастер создания правил
Примечание.
В этой статье не рассматривается пошаговая настройка правил. Общие рекомендации по созданию политики см. в руководстве по развертыванию брандмауэра Windows в режиме повышенной безопасности .
Во многих случаях для работы приложений в сети требуется разрешение определенных типов входящего трафика. Администраторы должны помнить о следующем поведении приоритета правил, разрешая эти входящие исключения.
- Явно определенные правила разрешений будут иметь приоритет над параметром блока по умолчанию.
- Явные правила блокировки будут иметь приоритет над любыми конфликтующими правилами разрешения.
- Более конкретные правила будут иметь приоритет над менее конкретными правилами, за исключением случаев, когда существуют явные блочные правила, как упоминалось в 2. (Например, если параметры правила 1 включают диапазон IP-адресов, а параметры правила 2 включают один IP-адрес узла, правило 2 будет иметь приоритет.)
Из-за значений 1 и 2 важно убедиться, что при разработке набора политик вы убедитесь, что нет других явных правил блокировки, которые могли бы случайно перекрываться, тем самым предотвращая поток трафика, который вы хотите разрешить.
Общие рекомендации по обеспечению безопасности при создании правил для входящего трафика должны быть как можно более конкретными. Однако если необходимо создать новые правила, использующие порты или IP-адреса, рассмотрите возможность использования последовательных диапазонов или подсетей вместо отдельных адресов или портов, где это возможно. Такой подход позволяет избежать создания нескольких фильтров под капотом, снизить сложность и избежать снижения производительности.
Примечание.
Брандмауэр Защитник Windows не поддерживает традиционное взвешение правил, назначаемое администратором. Эффективный набор политик с ожидаемым поведением можно создать, учитывая несколько, согласованных и логических правил, описанных выше.
Создание правил для новых приложений перед первым запуском
Правила разрешения для входящего трафика
При первой установке сетевые приложения и службы выполняют вызов прослушивания, указывая сведения о протоколе или порту, необходимые для правильной работы. Так как в брандмауэре Защитник Windows есть действие блокировки по умолчанию, необходимо создать правила для входящих исключений, чтобы разрешить этот трафик. Обычно приложение или установщик приложений добавляют это правило брандмауэра. В противном случае пользователю (или администратору брандмауэра от имени пользователя) необходимо вручную создать правило.
Если нет активных правил разрешений, определенных приложением или администратором, диалоговое окно предложит пользователю разрешить или заблокировать пакеты приложения при первом запуске приложения или попытке взаимодействовать по сети.
Если у пользователя есть разрешения администратора, будет предложено. Если они отвечают нет или отменяют запрос, будут созданы правила блокировки. Обычно создаются два правила, по одному для трафика TCP и UDP.
Если пользователь не является локальным администратором, он не будет запрашиваться. В большинстве случаев будут созданы блочные правила.
В любом из описанных выше сценариев после добавления этих правил они должны быть удалены, чтобы снова создать запрос. В противном случае трафик будет по-прежнему заблокирован.
Примечание.
Параметры брандмауэра по умолчанию предназначены для обеспечения безопасности. Если разрешить все входящие подключения по умолчанию, сеть будет ознакомиться с различными угрозами. Поэтому создание исключений для входящих подключений из стороннего программного обеспечения должно определяться доверенными разработчиками приложений, пользователем или администратором от имени пользователя.
Известные проблемы с автоматическим созданием правил
При разработке набора политик брандмауэра для сети рекомендуется настроить правила разрешений для любых сетевых приложений, развернутых на узле. Наличие этих правил до того, как пользователь впервые запустит приложение, поможет обеспечить беспроблемную работу.
Отсутствие этих промежуточных правил не обязательно означает, что в конечном итоге приложение не сможет взаимодействовать по сети. Однако поведение, связанное с автоматическим созданием правил приложений во время выполнения, требует взаимодействия с пользователем и прав администратора. Если ожидается, что устройство будет использоваться пользователями без прав администратора, следует следовать рекомендациям и предоставить эти правила перед первым запуском приложения, чтобы избежать непредвиденных проблем с сетью.
Чтобы определить, почему некоторые приложения заблокированы для обмена данными в сети, проверьте наличие следующих экземпляров:
- Пользователь с достаточными привилегиями получает уведомление о запросе о том, что приложению необходимо внести изменения в политику брандмауэра. Не полностью понимая запрос, пользователь отменяет или отклоняет запрос.
- У пользователя отсутствуют достаточные привилегии, поэтому ей не предлагается разрешить приложению вносить соответствующие изменения в политику.
- Локальное слияние политик отключено, что не позволяет приложению или сетевой службе создавать локальные правила.
Создание правил приложения во время выполнения также может быть запрещено администраторами с помощью приложения «Параметры» или групповая политика.
Рис. 4. Диалоговое окно для разрешения доступа
См. также контрольный список: создание правил брандмауэра для входящего трафика.
Установка правил слияния локальных политик и приложений
Можно развернуть правила брандмауэра:
- Локально с помощью оснастки брандмауэра (WF.msc)
- Локально с помощью PowerShell
- Удаленное использование групповая политика, если устройство является членом имени Active Directory, System Center Configuration Manager или Intune (с помощью присоединения к рабочему месту)
Параметры слияния правил управляют способом объединения правил из разных источников политик. Администраторы могут настраивать различные варианты поведения слияния для доменных, частных и общедоступных профилей.
Параметры слияния правил разрешают или запрещают локальным администраторам создавать собственные правила брандмауэра в дополнение к правилам, полученным из групповая политика.
Рис. 5. Параметр слияния правил
Совет
В поставщике службы конфигурации брандмауэра эквивалентным параметром является AllowLocalPolicyMerge. Этот параметр можно найти в каждом соответствующем узле профиля, DomainProfile, PrivateProfile и PublicProfile.
Если слияние локальных политик отключено, для любого приложения, которому требуется входящее подключение, требуется централизованное развертывание правил.
Администраторы могут отключить LocalPolicyMerge в средах с высоким уровнем безопасности, чтобы обеспечить более строгий контроль над конечными точками. Этот параметр может повлиять на некоторые приложения и службы, которые автоматически создают локальную политику брандмауэра после установки, как описано выше. Чтобы эти типы приложений и служб работали, администраторы должны централизованно отправлять правила с помощью групповой политики (GP), мобильного Управление устройствами (MDM) или обоих (для гибридных сред или сред совместного управления).
Брандмауэр CSP и CSP политики также имеют параметры, которые могут повлиять на слияние правил.
Рекомендуется выводить список и регистрировать такие приложения, включая сетевые порты, используемые для обмена данными. Как правило, на веб-сайте приложения можно найти порты, которые должны быть открыты для данной службы. Для более сложных развертываний или развертываний клиентских приложений может потребоваться более тщательный анализ с помощью средств сбора сетевых пакетов.
Как правило, для обеспечения максимальной безопасности администраторы должны отправлять исключения брандмауэра только для приложений и служб, которые настроены на законные цели.
Примечание.
Использование шаблонов с подстановочными знаками, таких как C:*\teams.exe , не поддерживается в правилах приложений. В настоящее время поддерживаются только правила, созданные с использованием полного пути к приложениям.
Узнайте, как использовать режим «экранирования вверх» для активных атак
Важной функцией брандмауэра, которая может использоваться для устранения ущерба во время активной атаки, является режим «экранирования вверх». Это неофициальный термин, обозначающий простой метод, который администратор брандмауэра может использовать для временного повышения безопасности перед лицом активной атаки.
Экранирования можно достичь, установив флажок Блокировать все входящие подключения, в том числе в списке разрешенных приложений , который находится в приложении «Параметры Windows» или в файле прежних версийfirewall.cpl.
Рис. 6. Параметры Windows App/Безопасность Windows/Firewall Protection/Network Type
Рис. 7. Устаревшая firewall.cpl
По умолчанию брандмауэр Защитник Windows блокирует все, если не создано правило исключения. Этот параметр переопределяет исключения.
Например, функция удаленного рабочего стола автоматически создает правила брандмауэра при включении. Однако при наличии активного эксплойта с использованием нескольких портов и служб на узле можно вместо отключения отдельных правил использовать режим экранирования для блокировки всех входящих подключений, переопределяя предыдущие исключения, включая правила для удаленного рабочего стола. Правила удаленного рабочего стола остаются неизменными, но удаленный доступ не будет работать до тех пор, пока активированы экраны.
После завершения аварийной ситуации снимите флажок, чтобы восстановить обычный сетевой трафик.
Создание правил для исходящего трафика
Ниже приведены несколько общих рекомендаций по настройке правил для исходящего трафика.
- Конфигурация по умолчанию заблокирована для правил исходящего трафика может рассматриваться для некоторых сред с высоким уровнем безопасности. Однако конфигурацию правила для входящего трафика никогда не следует изменять таким образом, чтобы разрешить трафик по умолчанию.
- Рекомендуется разрешить исходящий трафик по умолчанию для большинства развертываний, чтобы упростить развертывание приложений, если только предприятие не предпочитает строгие средства управления безопасностью, чем простоту использования.
- В средах с высоким уровнем безопасности администратор или администраторы должны выполнять инвентаризацию всех корпоративных приложений и регистрировать их в журнале. Записи должны указывать, требуется ли для используемого приложения сетевое подключение. Администраторам потребуется создать новые правила, относящиеся к каждому приложению, которому требуется сетевое подключение, и отправить эти правила централизованно с помощью групповой политики (GP), мобильного Управление устройствами (MDM) или обоих (для гибридных сред или сред совместного управления).
Задачи, связанные с созданием правил для исходящего трафика, см. в разделе Контрольный список. Создание правил брандмауэра для исходящего трафика.
Документирование изменений
При создании правила для входящего или исходящего трафика следует указать сведения о самом приложении, используемом диапазоне портов и важные заметки, такие как дата создания. Правила должны быть хорошо документированы для удобства проверки как вами, так и другими администраторами. Мы настоятельно рекомендуем уделить время, чтобы упростить работу по проверке правил брандмауэра на более позднем этапе. И никогда не создавайте ненужные дыры в брандмауэре.
Включение или отключение брандмауэра Microsoft Defender
Microsoft Defender Windows 11 Windows 10 Больше…Меньше
Важно, чтобы брандмауэр Microsoft Defender был включен, даже если у вас уже есть другой брандмауэр. Это помогает защитить вас от несанкционированного доступа.
Чтобы включить или отключить брандмауэр Microsoft Defender:
Выберите Start , затем откройте Settings . До 9 лет0011 Конфиденциальность и безопасность , выберите Безопасность Windows > Брандмауэр и защита сети . Откройте настройки безопасности Windows
.Выберите профиль сети: Доменная сеть , Частная сеть или Публичная сеть .
Под Брандмауэр Microsoft Defender , переключите настройку на On . Если ваше устройство подключено к сети, настройки сетевой политики могут помешать вам выполнить эти действия. Для получения дополнительной информации обратитесь к администратору.
Чтобы выключить, переключите настройку на Off . Отключение брандмауэра Microsoft Defender может сделать ваше устройство (и сеть, если она у вас есть) более уязвимой для несанкционированного доступа. Если вам нужно использовать приложение, которое заблокировано, вы можете разрешить его использование через брандмауэр вместо того, чтобы отключать брандмауэр.
Нажмите кнопку Пуск > Настройки > Обновление и безопасность > Безопасность Windows , а затем Брандмауэр и защита сети . Откройте настройки безопасности Windows
.Выберите профиль сети: Доменная сеть , Частная сеть или Общедоступная сеть .
В разделе Брандмауэр Microsoft Defender измените параметр на On . Если ваше устройство подключено к сети, настройки сетевой политики могут помешать вам выполнить эти действия. Для получения дополнительной информации обратитесь к администратору.
Чтобы выключить, переключите настройку на Выкл. . Отключение брандмауэра Microsoft Defender может сделать ваше устройство (и сеть, если она у вас есть) более уязвимой для несанкционированного доступа. Если вам нужно использовать приложение, которое заблокировано, вы можете разрешить его использование через брандмауэр вместо того, чтобы отключать брандмауэр.
Примечание: Если вы получаете ошибки или если параметр не включается, вы можете воспользоваться средством устранения неполадок и повторить попытку.
Что такое брандмауэр?
Разрешить программу через брандмауэр Windows 7 [инструкция]
Похоже, что большинству готовых программ для Windows 7 во время установки автоматически предоставляется доступ через брандмауэр Windows. В большинстве случаев это нормально. Однако я сталкивался с ситуациями, когда у некоторых программ позже могли возникнуть проблемы с доступом в Интернет.
Отличным примером этого является Удаленный рабочий стол , который по умолчанию не разрешен через брандмауэр Windows. Кроме того, возможность вручную разрешить/заблокировать программу через брандмауэр Windows — отличный способ устранения неполадок в сети.
Как добавить исключение из брандмауэра Windows 7
1. Нажмите Ваша Windows 7 Start ORB и из начала Menu Open Ваша управление 9030104 . В Панели управления измените вид на значки, а затем Нажмите Брандмауэр Windows .
2. На левой панели окна брандмауэра Нажмите Разрешить программу или функцию через брандмауэр Windows .
3. Теперь вы должны открыть диалоговое окно «Разрешенные программы». Чтобы сделать что-либо здесь, вам сначала нужно Нажмите Изменить настройки . Затем прокрутите список вниз, пока не увидите программу, которую вы хотите разрешить. Отметьте поля рядом с вашей программой и те, что находятся в соответствующей сети. Если вы используете компьютер дома или в офисе, Проверьте Домашний/Рабочий (Частный) . Если вы используете компьютер в Starbucks, библиотеке или другом месте для тусовок, проверьте Public.
Нажмите OK , чтобы сохранить изменения. Ваша работа здесь закончена!
Если вашей программы нет в списке, Нажмите Разрешить другую программу и продолжите чтение.
4. Если вашей программы не было в первом списке, вам нужно добавить ее вручную. Нажмите Просмотрите и найдите исполняемый файл вашей программы. Найдя его, Выберите свою программу , а затем Нажмите Типы сетевых расположений .