Куда брандмауэр девает файлы
Читайте как восстановить файлы, удаленные «Защитником Windows», где находится папка с файлами помещенными в Карантин, как настроить исключения для антивируса и Брандмауэра , а также повысить производительность компьютера.
Вступление
Современные персональные компьютерные устройства требуют наличия продвинутого программного обеспечения, в полной мере обеспечивающего их полноценное функционирование и корректное выполнение, поставленных пользователями, задач.
Максимально полно отвечает всем предъявляемым требованиям операционная система «Windows» , созданная корпорацией «Microsoft» . Выпустив первую версию операционной системы в 1985 году, корпорация постоянно работает над ее усовершенствованием. Добавляя новые функции системы, улучшая функциональное управление внутренними службами и совершенствуя пользовательский интерфейс системной оболочки, разработчики операционной системы добились ее необычайной популярности. Операционная система «Windows» с легкостью позволяет пользователям выполнять как обычные действия, так и решать высоко затратные задачи, позволяя устанавливать различное дополнительное программное обеспечение и работать с ним, на своей основе, без малейших задержек и сбоев.
Большую роль в достижении такого положительного результата сыграло постоянное и тесное общение команды создателей с конечными пользователями операционной системы. Благодаря ему, разработчики операционной системы «Windows» смогли мгновенно реагировать на любые системные сбои и неполадки, обнаруженные пользователями при своей работе, и быстро исправлять их.
Результатом такого тесного сотрудничества стал выпуск новейшей версии операционной системы «Windows 10» , включающий в себя все доступные, на сегодняшний момент, корректные обновления системы и новые функции. Система имеет высокую скорость обработки данных, богатый внутренний набор предустановленных приложений, годный для решения любых задач, и дружественный пользовательский интерфейс.
Однако работа над усовершенствованием операционной системы «Windows» не прекращается. Корпорация «Microsoft» внедрила программу предварительного тестирования новинок операционной системы до официального выпуска их в централизованном обновлении. Данная программа называется «Windows 10 Insider Preview» . Она предлагает пользователям опробовать предварительные сборки операционной системы «Windows 10» и продиагностировать ее работоспособность на различных пользовательских устройствах, а также проверить общую устойчивость системы к возникновению ошибок и неполадок.
Одним из последних выпущенных обновлений, доступным по программе предварительной оценки «Windows 10» , на сегодняшний день, является «Windows 10 Redstone 5» . Оно добавляет большое количество самых новых и важных функциональных улучшений операционной системы «Windows» .
Если работоспособность системы подтверждается, и новинки получают широкое одобрение конечных пользователей, то они выпускаются в официальных обновлениях системы, и становятся доступными всем остальным пользователям операционной системы «Windows 10» в мире.
Центр безопасности «Windows Defender»
Одним из наиболее важных аспектов, которому уделили особое внимание в операционной системе «Windows» , является безопасность ее использования и защита от вредоносного воздействия сторонних злонамеренных приложений и программ. За поддержание абсолютного уровня безопасности отвечает приложение «Центр безопасности Защитника Windows» ( «Windows Defender» ). В операционной системе «Windows 10» он стал более мощным и может использоваться как надежная защита от вредоносных программ, а также служить полноценной заменой антивирусного программного обеспечения сторонних производителей на вашем персональном компьютере.
Разработчики операционной системы «Windows 10» несколько изменили «Windows Defender» и включили в приложение защиты некоторые новые технологии и функции. Теперь панель настройки «Защитника Windows» перенесена в новое приложение «Параметры» в «Windows 10» , чтобы все важные элементы управления внутренними настройками операционной системы были собраны в едином месте для удобства пользователей.
Начиная с версии обновления операционной системы «Windows 10 Creators Update 1703» , значок приложения защитника «Windows» в виде щита белого цвета отображается в области уведомлений на «Панели задач» или расположен во всплывающей панели скрытых значков. При нажатии на него система откроет «Центр безопасности Защитник Windows» , чтобы вам было проще просматривать и контролировать выбранные защитные меры, и лучше понимать функции безопасности, которые уже защищают ваше устройство под управлением операционной системы «Windows 10» .
Иногда получается, что при выполнении очередного проекта, я случайно открываю какие-то обстоятельства, которые, вроде, никто не скрывает, можно даже найти документацию, поясняющую суть… Но многие, включая меня, находятся в плену заблуждений, поэтому не ищут ту документацию, полагаясь на совершенно неверную картину мира. У меня уже намечается целый цикл из статей, в которых я просто сообщаю, что всё, оказывается, не так, как многие (включая меня) думали. Была у меня статья про DMA, была статья про производительность шины PCI Express. К этому же циклу можно отнести статью про конфигурационные ПЗУ для ПЛИС Altera.
Сегодня мне хотелось бы рассказать пару слов про работу Windows Firewall, или, как его называют в русифицированной ОС – брандмауэра. В целом, это очень хорошая штука, но в частности… Оказывается, по умолчанию он работает в достаточно интересном режиме. Как говорится: «А пацаны и не знают». Итак, начинаем разбираться, что там к чему.
Введение
Сначала поясню суть задачи, которую я решал. Мне надо было проверить, насколько корректно работает очередная плата с нашим сервисом All Hardware. Но не та, которую я проверял в одной из прошлых статей, а более навороченная, с ПЛИС Xilinx.
Что представляет собой сервис All Hardware. Это сайт, на который пользователь заходит, авторизуется и получает список различных плат, физически размещённых на сервере. Зачем он это делает? Чтобы поработать с платой, не покупая её. Например, посмотреть, подойдёт ли она ему, или просто поупражняться в работе с конкретным контроллером. Платы предоставляют производители, а сервис – даёт сеанс работы с ними, ограниченный по времени. Пользователь выбирает плату из списка и получает три вещи: IP адрес, номер порта и видео с камеры, которая смотрит на эту макетку. На самом деле, там ещё можно через SSH пробрасывать порты, но в них я – не специалист. По моей части – именно адрес, порт и видео.
Дальше пользователь в среде разработки, которая стоит на его локальной машине, должен выбрать удалённый отладчик (для большинства сред это старый добрый GDB, для Кейла – более извратный, но если интересно – про это можно сделать отдельную статью, к фаерволу это не относится). Туда вбиваются выданные IP и порт, после чего можно начинать сеанс удалённой отладки, ориентируясь о происходящем с платой по картинке с камеры и по проброшенным через SSH-портам.
Таким образом, любой желающий может пощупать работу с различными отладочными платами, не покупая их. При этом, как и в случае с Redd, среда разработки и исходные коды размещаются на локальной машине. На сервер уходит только двоичный код. Но по истечении сеанса работы, автоматика стирает ПЗУ, так что следующий пользователь считать код уже не сможет.
Итак, возвращаемся к теме статьи. Каким боком здесь фаервол? Всё просто. Мне предстояло поработать с ПЛИС Xilinx. А их среда разработки совершенно официально обладает функцией WebTalk. Мне совершенно не хотелось, чтобы она сообщала о моих действиях «куда следует», поэтому среда стояла на несетевой машине. Даже если бы очень захотела – руки у неё коротки. Нет физического канала и всё тут! Но концепция сервиса All Hardware такова, что сеть быть должна. Для проверки машину пришлось временно подключать к проводу (на самом деле, отсутствие сети — это скорее привычка, на той машине всё равно ничего интересного нет). Что делать? Наступить на горло своей паранойе? Ну уж нет! Я решил ограничить среде разработки перечень разрешённых адресов, чтобы она могла работать только с localhost и сервером All Hardware. Не знаю, что будет потом, а сейчас у сервера All Hardware IP-адрес один и тот же. Просто от сеанса к сеансу выдаются новые порты. Итак, цель ясна, приступаем к реализации.
Какой фаервол взять?
На Windows XP и Windows 7 я пользовался Outpost Firewall. Это отечественная разработка. Очень надёжная и удобная. Я даже купил себе по акции пожизненную лицензию на три машины. Однажды этот фаервол помог мне выявить трояна, которого не видел ни один антивирус. Когда я сумел взять файл с телом вируса, я скормил его нескольким антивирусам, поставляющимся на LiveCD. Ни один не заметил ничего подозрительного. А фаервол у меня просто был в параноидальном режиме, откуда я и узнал о подозрительной активности программы.
Всё было хорошо, пока производитель этого фаервола не закрылся при странных обстоятельствах. После этого, я сильно загрустил. Настолько загрустил, что на основном моём ноутбуке до сих пор стоит семёрка с Outpost, так как я не стал искать ему замену. Но среда разработки Xilinx хочет десятку! Прекрасно! Значит, пришла пора осваивать работу с фаерволом, встроенным в эту ОС!
Все мы знаем, что когда какая-то программа пытается получить доступ к сети, этот стандартный фаервол спрашивает у нас, разрешить ей работу с сетью или нет. Мы можем запретить сразу, а можем снять галочку разрешения после, об этом в сети имеется масса руководств. Вот эти галочки:
Это знают все. Но какова ценность этих знаний? Я опущу свои мысли, которые одолевали меня при чтении массы однотипных статей «как запретить приложению выход в сеть», не рассказывающих, как его не запретить, а только ограничить. Лучше я покажу свои выводы на специально сделанном для этого примере. Напишем два простейших консольных приложения.
Сервер
Первое приложение будет прикидываться сервером. Оно принимает UDP-пакеты, в которых приходят строки, и отображает их на экране. Для того чтобы мы говорили об одном и том же, вот его исходный текст на С++:
Запускаем эту программу, передав в качестве аргумента номер порта (скажем, 1234) и предсказуемо получаем запрос от фаервола:
Разрешим ему сетевую активность… Пусть он пока ждёт, а мы напишем клиентскую часть в виде другого EXE-шника.
Клиент
Пусть наш клиент шлёт серверу строки с крутящейся палочкой. Вот его текст:
Запускаем, указав адрес сервера и порт, который был у сервера (у меня это 192.168.1.95 и 1234), после чего в серверном окне начинает бежать чуть иная, чем я хотел, но всё же палочка:
Но волнует меня не то, что символ “\r” не возвращает каретку в начало строки, а то, что клиент – это отдельный процесс… Запускаемый из совершенно отдельного файла. А фаервол не запросил у меня разрешения на его сетевую активность. Вместо этого, он разрешил её сам, даже не поставив меня в известность о том, что программа куда-то полезет. Как так?
Немного теории о режимах работы фаервола
По умолчанию, Windows-фаервол разрешает все исходящие соединения, если они не запрещены явно. То есть, к нам не смогут подключиться извне, но если какая-то программа проникла на нашу машину (или мы поставили её добровольно), она вполне может отсылать, что угодно, и никто ей по умолчанию это не запретит!
Собственно, вот соответствующая настройка фаервола:
Разрешено всё, что не запрещено. Приложению можно явно запретить активность. Именно этому посвящено огромное количество статей в Интернете… Но троян заберётся на нашу машину незаметно, мы и не догадаемся, что именно его надо занести в запрещённые приложения. Опять же, это не решает моей задачи, вынесенной во введение статьи. Мне надо оставить доступ к тем адресам, которые я разрешил и запретить все остальные.
Чтобы это сделать, надо перевести фаервол в режим «запрещено всё, что не разрешено» для исходящих соединений. Я вечно путаюсь, как войти в соответствующий пункт меню… Ага, нашёл…
И там сначала выбираем вкладку, соответствующую активному профилю (на моём рисунке это был «Общий профиль», а затем переключаем список выбора «Исходящие подключения» из «Разрешить (по умолчанию)» в «Блокировать».
Всё, мы можем спать спокойно? Увы, нет. Если бы всё было так просто – уверен, компания Microsoft сразу выбирала бы режим «Блокировать» для всех. Жаль, но всё только начинается.
Немного о прикладном мазохизме
Итак. Допустим, вы включили режим блокировки для исходящих… Сразу умерло всё, включая браузеры. В целом, никто не мешает в любой момент вернуть выбор в старое положение и откатиться к исходному варианту. Но давайте посмотрим, что нам вообще даёт новый режим. Мы получаем список правил. И у этих правил можно задать безусловное условие разрешения, а можно задать для приложения список открытых портов и список открытых адресов. Адреса можно задавать группой. Вот окно настройки портов:
Вот окно настройки адресов:
Мало того, никто не мешает открыть порт для любых программ, ограничив список допустимых адресов ему. То есть, мы говорим не «Программе такой-то разрешить доступ к портам таким-то», а «Всем программам, работающим через порт такой-то, разрешить работу, ограничив адреса следующей группой».
Всё замечательно, кроме одного. Если список правил для входящих соединений нам формирует система, то для исходящих всё надо добавлять самому. Как я говорил, у меня умер браузер – мне пришлось добавить его в разрешённые исходящие самостоятельно. Как настраиваются адреса, я не буду описывать, статья не об этом. Статей про настройку правил (с целью блокировки, правда) – пруд пруди. В целом, обычно я находил подходящее правило для входящих, копировал имя файла оттуда, после чего – создавал правило для исходящих, указав тот же файл. Ну, и разрешал активность этой программе.
Когда у меня возникла проблема с подключением к VPN в офисе, я поисследовал список готовых правил и нашёл вот такое (я заранее знал, что у нас VPN подключение идёт по протоколу L2TP):
Правило создано за нас, но не активировано. Я зашёл в его свойства, активировал его, после чего слева в списке появился зелёный шарик с галочкой, а VPN-соединение с офисом заработало.
Но так или иначе, а в целом, работа с таким фаерволом попахивает мазохизмом. Надо иметь железную волю, чтобы не закричать: «А надоело это всё» и не вернуться к старому режиму работы. Я уже почти дошёл до этого состояния (благо опыты с Xilinx для All Hardware уже были завершены), но один мой знакомый подсказал мне красивое решение.
Надстройка над штатным фаерволом
Оказывается, есть официально бесплатная программа Windows Firewall Control.
Она сама по себе ничего не делает, а просто управляет фаерволом, встроенным в Windows, предоставляя очень удобные интерфейсы. Теперь не надо бегать через кучу меню, чтобы что-то настроить. Все настройки удобно и компактно собраны на нескольких вкладках. Расписывать все функции этой программы я не буду. Цель статьи – не описать её, а просто отметить её существование. Дальше – все желающие смогут найти специализированные статьи, зная имя Windows Firewall Control.
Я могу разрешить ему доступ, после чего будет автоматически создано правило, я могу запретить доступ, я могу заблокировать приложение однократно.
Вот я ради интереса нашёл автоматически созданное правило в штатном списке фаервола и ограничил ему список доступных адресов:
В общем, с этим приложением жизнь стала намного проще даже при использовании штатного Windows Firewall. Настолько лучше, что эта машина с Windows 10 осталась в сети, ведь она уже не так беззащитна, как была до того.
Заключение
Штатный Windows Firewall по умолчанию работает в таком режиме, что любая программа может начать отсылать данные, о чём пользователь даже не будет проинформирован. Это никто не скрывает, но не все об этом знают. Можно, конечно, поставить сторонний фаервол, но вполне достаточно перевести штатный Windows Firewall в режим «запрещено всё, что не разрешено». К сожалению, при этом поддержка сетевой работоспособности штатными средствами превращается в ад. Но сторонняя официально бесплатная программа Windows Firewall Control устраняет это неудобство.
Будете ли вы пользоваться связкой из штатного фаервола и этой программы, либо достанете сторонний фаервол, вопрос открытый. Но то, что использовать штатный фаервол в режиме по умолчанию несколько боязно, по-моему, не подлежит сомнению.
Если вы работаете в операционной системе Windows XP или уже перешли на Windows Vista, брандмауэр Windows доступен всем вашим клиентам и обеспечит защиту, которая необходима для улучшения безопасности в пределах организации — даже если ваши мобильные сотрудники находятся за тысячи километров от офиса.
В давние времена, в палеокомпьютерную эру никто не задумывался об установке брандмауэра на каждый отдельный компьютер. Да и зачем? Тогда вряд ли кто-либо слышал об Интернете, никто не знал про TCP/IP, а маршруты протоколов локальный сетей не выходили за пределы здания или за территорию предприятия. Важные данные хранились на мэйнфрейме или файловых серверах — информация, которую люди держали на своих настольных компьютерах, была не особо важной, а собственный вес компьютера обеспечивал немалую степень физической безопасности. Если имелось подключение к Интернету, использовалось несколько преобразователей протоколов и маршрутизатор с фильтрацией пакетов (я имею в виду “брандмауэр”) на границе сети, который, скорее всего, требовал настройки огромного числа правил и исключений.
Современные компьютерные среды значительно отличаются от таких древних. Всё вокруг подключено к Интернету (и использует протокол TCP/IP), а мобильные устройства — просто обыденность. Работодатель обеспечивает вас переносным компьютером не потому, что заботится о вас — он заботится о том, чтобы получить от вас больше пользы. Он хочет, чтобы вы работали всегда, когда у вас появится пять свободных минут и подключение по Wi-Fi. Переносные компьютеры стоят дороже, чем настольные, но это полностью окупается производительностью. Как вы понимаете, именно мобильность делает их столь привлекательными для вас и ваших конкурентов.
Зададимся таким вопросом: какой процент от общего количества времени, в течение которого ваш компьютер включен и подсоединен к какой-либо сети, составляет время подключения к вашей корпоративной сети? Если вы работаете в режиме, похожем на мой, то не больше 20 процентов. Это означает, что только 20 процентов времени мой переносной компьютер находится в безопасности в пределах корпоративной сети корпорации Майкрософт, защищенный от внешних атак механизмами демилитаризованной зоны.Но как же быть с теми 80 процентами времени, когда мой переносной компьютер с различными целями подключается напрямую к Интернету? (А я очень часто подключаюсь к самым опасным сетям в мире: к ЛВС отеля во время конференции по компьютерной безопасности!) Да и при подключении к корпоративной сети — как насчет угроз, исходящих от других компьютеров в этой среде?
Средства безопасности разрабатываются после, а иногда значительно позже, появления угроз. Вирусы были клиентской проблемой, потому что люди широко использовали дискеты, и поэтому первая антивирусная программа появилась на клиентском компьютере. Позже, когда с ростом популярности электронной почты вредоносные программы превратились в сетевых червей, которые распространялись по ней, программы защиты от вредоносного ПО также эволюционировали, и появились шлюзы электронной почты. С развитием Интернета к вредоносным программам добавились трояны, и вслед за этим антивирусное программное обеспечение переместилось на прокси-серверы доступа в Интернет. Это широко известный эволюционный путь, который никто не ставит под сомнение.
А теперь давайте применим ту же логику к брандмауэрам. Для защиты от компьютерных угроз вчерашнего дня брандмауэра на границе сети хватало. Теперь его недостаточно, потому что угрозы многочисленнее, сложнее и все быстрее распространяются. При этом мы еще не касаемся того, что оборудование и способы работы значительно отличаются от используемых в прошлом. Многие компьютеры содержат секретную информацию, хранимую локально, и они могут длительное время находиться далеко от корпоративной сети (то есть за границей сети). Поэтому брандмауэру суждено стать защитным механизмом каждого отдельного клиента. Для клиентов брандмауэры больше не являются необязательными. Не делайте этой ошибки: не пренебрегайте ими. Для защиты компьютера от вашей собственной корпоративной сети и от Интернета клиентские брандмауэры жизненно важны.
Клиентские брандмауэры и “театр безопасности”
Многие люди не знали о том, что первый выпуск Windows® XP содержал клиентский брандмауэр. Это и не удивительно, так как по умолчанию брандмауэр был выключен, а включить его можно было, сделав довольно много щелчков мышью. Брандмауэр просто появился, причем достаточно скрытно, при этом не настаивая на своем использовании и не давая руководств по применению. Но он действительно работал. Если бы вы включили этот брандмауэр, то он защитил бы вас от вирусов Nimda, Slammer, Blaster, Sasser, Zotob и любых других попыток передать непрошенный трафик через порт вашей сети. Понимания важность защиты клиента, разработчики пакета обновления 2 (SP2) для Windows XP включили брандмауэр по умолчанию, создали два профиля (Интернет и корпоративная сеть) и интегрировали его с групповыми политиками.
К сожалению, два фактора замедлили восприятие брандмауэра Windows XP SP2: проблемы с приложениями и “театр безопасности”. Многие боялись, что брандмауэр помешает правильной работе их приложений. Такое, однако, случалось нечасто, что объясняется принципом работы брандмауэра. Он позволял любому исходящему трафику покинуть компьютер, но при этом блокировал весь входящий трафик, который не являлся ответом на некоторый предыдущий исходящий запрос. Единственный случай, когда такая схема нарушала работу клиентского приложения, — если оно создавало прослушивающий сокет и ожидало получения входящих запросов. Брандмауэр Windows XP обеспечивал простые настройки исключений для программ или портов (но, к сожалению, не с помощью групповой политики).
Большим препятствием являлся “театр безопасности”, устраиваемый производителями других клиентских брандмауэров. Некоторые люди полагали, что принципа работы брандмауэра Windows XP, а именно разрешения исходящему трафику беспрепятственно покидать компьютер, для полнофункциональной работы клиентского брандмауэра недостаточно. Аргументом было то, что клиентский брандмауэр должен задерживать весь трафик, входящий и исходящий, до тех пор, пока пользователь не даст явного разрешения.
Давайте разберемся. Здесь возникают два сценария.
- Если вы работаете с правами локального администратора, и ваш компьютер заражен вредоносной программой, то она просто отключит брандмауэр. Вы проиграли.
- Если вы не работаете как локальный администратор, и ваш компьютер заразился вредоносной программой, то эта программа заставит брандмауэр стороннего производителя открыть диалоговое окно, которое содержит иностранный текст (там что-то про порты и IP-адреса) и задает очень серьезный вопрос: “Вы разрешаете это сделать?”. Единственным ответом, конечно, будет “Да, да, да, тупой компьютер, и прекрати меня доставать!” И как только этот диалог исчезнет с экрана, исчезнет и ваша безопасность. Или, что еще чаще случается, вредоносная программа просто внедрится в существующий сеанс программы, действия которой уже одобрены, и вы даже не увидите диалогового окна. Вы опять проиграли.
Что нового в Windows Vista?
Основой для брандмауэра Windows Vista является платформа фильтрации Windows, часть нового сетевого стека. Как и Windows XP, Windows Vista по умолчанию блокирует входящий трафик. В зависимости от того, какой профиль используется на компьютере, применяется несколько стандартных исключений для сетевых служб (о профилях я расскажу далее). При желании можно написать правила, разрешающие входящие подключения. Так же, как и Windows XP, Windows Vista по умолчанию пропускает весь исходящий трафик интерактивных процессов, но ограничивает исходящий трафик служб, который определен в ограничениях служб. И, опять же, можно написать правила для блокировки дополнительных исходящих подключений.
Серьезным отличием Windows Vista от Windows XP является новый интерфейс повышенной безопасности и полная поддержка групповых политик в области настроек и правил (см. рис. 1). Старая панель управления в интерфейсе пользователя осталась практически без изменений, только настройки журнала и протокола ICMP переместились в новый интерфейс. Этот новый интерфейс пользователя, оснастка MMC “Повышенная безопасность”, обеспечивает новые возможности и гибкость. Имеется также новый контекст netsh advfirewall в команде netsh, с помощью которого можно запускать сценарии добавления и удаления правил, настраивать и показывать глобальные и профильные политики и просматривать состояние активности брандмауэра. Для вас, разработчики: файлы FirewallAPI.dll и Netfw.h обеспечивают программное управление всеми параметрами брандмауэра.
Рис. 1 Брандмауэр Windows в режиме повышенной безопасности (Щелкните изображение, чтобы уменьшить его)
Рис. 1 Брандмауэр Windows в режиме повышенной безопасности (Щелкните изображение, чтобы увеличить его)
Управление в оснастке MMC “Повышенная безопасность” осуществляется с помощью мастера. При создании правила вы можете выбрать один из четырех типов: для программы, для порта, предопределенное или пользовательское. Пояснения см. на рис2.
При написании правил можно использовать множество элементов — все они доступны для локальных правил и правил, применяемых с помощью групповой политики. В их число входят: учетные записи и группы пользователей и компьютеров службы Active Directory ® , исходные и конечные IP-адреса, исходные и конечные порты TCP и UDP, номера протоколов IP, программы и службы, типы интерфейсов (проводной, беспроводной или удаленный доступ) и типы и коды ICMP.
Будучи настроенным, брандмауэр обрабатывает правила в следующем порядке.
Ограничения служб Некоторые службы в Windows Vista ограничивают себя для снижения вероятности новой атаки типа Blaster. Одно из ограничений — это список портов, которые необходимы данной службе. Брандмауэр следит за этим и запрещает использование (или указание использовать) данной службой другого порта.
Правила безопасности подключения Оснастка MMC “Повышенная безопасность” наряду с поддержкой брандмауэра отвечает и за работу протокола IPsec. Любые правила, которые включают политики IPsec, выполняются во вторую очередь.
Обход проверки подлинности Это позволяет определенным компьютерам, прошедшим проверку подлинности, обойти другие правила.
Блокирующие правила Эти правила явно блокируют определенный входящий и исходящий трафик.
Разрешающие правила Эти правила явно разрешают определенный входящий и исходящий трафик.
Правила брандмауэра хранятся в реестре, но где именно, я не скажу. Ну. ладно, вы найдете их здесь:
- HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRule
- HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
- HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System
Но только не редактируйте эти правила прямо в реестре. Иначе мы найдем вас, выкрадем вашего домашнего любимца и продадим на eBay! Ну, может, до этого и не дойдет, но единственный поддерживаемый способ редактировать правила — это использовать MMC режима повышенной безопасности.
Сетевые профили
В Windows Vista определено три сетевых профиля: доменный, частный и общий. Если компьютер принадлежит домену, и вход в домен успешно выполнен, автоматически применяется профиль домена — самостоятельно сделать этот выбор вы не можете. Когда компьютер подключен к внутренней сети, в которой нет домена (например к домашней сети или сети в небольшом офисе), вы (или администратор) должны применить частный профиль. Наконец, когда компьютер подключен непосредственно к Интернету, следует применить общий профиль.
Как Windows Vista определяет, куда поместить ваш компьютер? Если происходит изменение сети (получен новый IP-адрес, обнаружен новый шлюз, применяемый по умолчанию, или получен новый интерфейс), служба сетевого расположения (NLA) выявляет это изменение. Она создает сетевой профиль, который включает информацию о существующих интерфейсах, о том, прошел ли компьютер проверку подлинности при подключении к контроллеру домена, MAC-адрес шлюза и т.д., и присваивает этому профилю GUID. Затем NLA уведомляет брандмауэр, и тот применяет соответствующую политику (для каждого из трех существующих профилей определена своя политика).
Если интерфейс новый и компьютер ранее с ним не сталкивался, а служба NLA не выбрала профиль домена, вы увидите диалоговое окно, в котором вас попросят указать тип сети, к которой вы подключаетесь. Как ни странно, вариантов три: домашняя, рабочая и публичная. Вы можете подумать, что “рабочая” означает профиль домена, но на самом деле это не одно и то же. Помните, что профиль домена вы не увидите, так как при подключении компьютера к домену служба NLA выбирает его автоматически. На самом деле оба варианта — “домашняя” и “рабочая” — относятся к частному профилю. Функционально они одинаковы — отличаются только значки. (Примечание. Чтобы выбрать частный профиль, вы должны быть локальным администратором или иметь возможность повысить права до локального администратора.) Как и следовало ожидать, “публичная” относится к общему профилю.
В Windows Vista сетевой профиль применяется ко всем интерфейсам компьютера. Вот краткое описание алгоритма дерева решений службы NLA.
- Исследовать все подключенные сети.
- Имеется ли интерфейс, подключенный к сети, определенной как публичная? Если да, настроить профиль компьютера как общий и выйти.
- Имеется ли интерфейс, подключенный к сети, определенной как частная? Если да, настроить профиль компьютера как частный и выйти.
- Все ли интерфейсы видят контроллер домена и выполнил ли компьютер успешный вход в него? Если да, настроить профиль компьютера как доменный и выйти.
- Иначе настроить профиль компьютера как общий.
Целью является выбор как можно более ограничивающего профиля. Однако здесь есть два очевидных побочных эффекта. Во-первых, если порт Ethernet вашего компьютера подключен к вашей корпоративной сети, а его адаптер беспроводной связи подключен к сети кафе Starbucks этажом ниже, компьютер выберет общий профиль, а не профиль домена. Во-вторых, если ваш компьютер подключен прямо к Интернету (в общем профиле) или подключен к вашей домашней ЛВС (в частном профиле), и вы устанавливаете VPN-подключение к корпоративной сети, ваш компьютер остается в общем или частном профиле.
Что это может означать? Политика брандмауэра для профиля домена включает правила для удаленной поддержки, удаленного администрирования, общего доступа к файлам и принтеру и т.д. Если вы используете эти правила, чтобы удаленно подключиться к клиенту, у вас ничего не получится, если клиент выбрал какой-либо другой профиль. Но не расстраивайтесь — можно написать правила брандмауэра, которые разрешают необходимые вам входящие подключения, а затем применить их только к VPN-подключениям.Теперь можно выполнять администрирование ваших клиентов с помощью VPN, даже если они не используют профиль домена.
Управление исходящими подключениями
Ранее я упоминал, что исходящая защита в клиентских брандмауэрах — не более чем “театр безопасности”. Однако один из видов управления исходящей защитой очень полезен: это административное управление определенными типами трафика, которые вы определенно не хотите разрешать. Брандмауэр Windows Vista уже делает это для ограничений служб. Он позволяет службе использовать необходимые ей порты и блокирует любые другие ее действия. Можно создать дополнительные правила, которые будут разрешать или блокировать определенный трафик в соответствии политикой безопасности вашей организации (см. рис. 3 ).
Рис. 3 Мастер создания правила для нового входящего подключения (Щелкните изображение, чтобы увеличить его)
Но на пути применения такого подхода есть практические ограничения. Например, Windows Live™ Messenger (который вы, возможно, все еще знаете как MSN ® Messenger) имеет множество различных серверов, которые могут использоваться для входа, и их список постоянно меняется. Кроме того, если используемый по умолчанию порт 1863/tcp заблокирован, он переключится на порт 80/tcp. Правило для блокировки подключения Windows Live Messenger к регистрационным серверам будет слишком сложным и подверженным постоянным корректировкам. Я привел этот пример, чтобы проиллюстрировать, что административное управление исходящим трафиком может быть полезным, но оно не заменяет политик ограниченного использования программ, если необходимо соблюдать строгий контроль программного обеспечения, которое пользователям разрешено устанавливать и запускать.
Защитите свой компьютер
Демилитаризованной зоны больше нет. Теперь каждый компьютер должен следить за собственной безопасностью. Как программы защиты от вредоносного программного обеспечения были перенесены с клиентского компьютера на границу, так и брандмауэры должны быть перемещены с границы на клиентов. Вы можете сделать это мгновенно, включив брандмауэр, который у вас уже установлен.
Если вы работаете в операционной системе Windows XP или уже перешли на Windows Vista, брандмауэр Windows доступен всем вашим клиентам и обеспечит защиту, которая необходима для улучшения безопасности в пределах организации — даже если ваши мобильные сотрудники находятся за тысячи километров от офиса.
Общий доступ к файлам является важной функцией для пользователей, которые имеют несколько компьютеров в домашней группе (рабочей группе). Как только он настроен, обмен файлами должен работать без проблем. После включения общего доступа к файлам брандмауэр Защитника Windows должен разрешить этой функции свободно общаться. Однако некоторые пользователи сообщали о проблемах с брандмауэром Windows 10, блокирующим общий доступ к файлам.
У нас есть несколько решений, чтобы предложить ниже, поэтому обязательно ознакомьтесь с ними.
Как разблокировать файлообменник в Windows 10
1. Включить общий доступ к файлам и принтерам
2. Разрешить обмен файлами и принтерами через брандмауэр
- На панели поиска Windows введите Брандмауэр и откройте Брандмауэр Защитника Windows .
- Откройте Разрешить приложение или функцию через брандмауэр Защитника Windows .
- Нажмите Изменить настройки .
- Перейдите к разделу «Общий доступ к файлам и принтерам» и «Общий доступ кфайлам и принтерам» через SMBDirect .
- Обязательно установите флажки «Личное» и « Публичное» рядом с этими записями.
- Сохраните изменения и попробуйте снова поделиться файлами в локальной сети.
3. Включите версии SMB на вашем ПК
Этих шагов должно быть достаточно, чтобы решить проблему с блокировкой общего доступа к файлам в брандмауэре Windows 10. Если у вас есть сторонний брандмауэр в составе антивирусного решения, обязательно отключите его. Кроме того, вы можете внести в белый список сеть и разрешить общий доступ к файлам.
Читайте также: