Брандмауэр windows в режиме повышенной безопасности локальный компьютер

В предыдущем руководстве вы узнали принципы работы брандмауэра Windows 11 / 10 и способы его использования. На этот раз мы погрузимся в настройки режима повышенной безопасности. В данной статье вы узнаете о режиме повышенной безопасности в брандмауэре Windows 11 / 10, что такое специальная

Использование брандмауэра Windows 10 в режиме повышенной безопасности

В предыдущем руководстве вы узнали принципы работы брандмауэра Windows 11 / 10 и способы его использования. На этот раз мы погрузимся в настройки режима повышенной безопасности.

В данной статье вы узнаете о режиме повышенной безопасности в брандмауэре Windows 11 / 10, что такое специальная оснастка управления, и как вы можете использовать ее для лучшего контроля сетевого доступа.

Что такое режим повышенной безопасности?

Это оснастка управления для брандмауэра, из которой вы можете управлять всеми его настройкам, правилами и исключениями.

Для получения доступа к расширенным настройкам вам нужно открыть брандмауэр, как показано в ранее опубликованной статье, а затем нажать на ссылку «Дополнительные параметры» в левом столбце.

Брандмауэр Windows 10. Дополнительные параметры

Брандмауэр Windows теперь открыт в режиме повышенной безопасности. Эта оснастка выглядит сначала непонятной, и не без оснований. Здесь сохраняются и редактируются все правила на продвинутом уровне. То, что мы видели в предыдущей статье, это был лишь ограниченный, но удобный вид для пользователя.

Брандмауэр Windows 10. Режим повышенной безопасности

Общие сведения о профилях и типах трафика

Профили

Microsoft рекомендует активировать все профили и позволить API-интерфейсу установленному в системе, выбрать, какой из них использовать.

Профиль домена: используются для компьютеров, подключенных к сети, содержащей доменные контроллеры, к которым принадлежат сетевые компьютеры. Этот профиль не используется для домашних ПК. Когда компьютер успешно зарегистрирован в домене, он автоматически использует данный профиль.

Частный профиль: предназначен для домашних или офисных сетей, которые не подключены напрямую к Интернету, но находится за каким-то устройством безопасности, таким как маршрутизатор или другой аппаратный брандмауэр.

Общий профиль: обычно используется, когда компьютер подключен к публичной сети (Интернет или публичная точка доступа Wi-Fi), например в кафе, гостинице или по кабельному соединению дома. По умолчанию будут заблокированы все входящие подключения, которые не входят в список разрешенных.

Типы трафика

Входящий — это трафик поступающий из сети или Интернета на компьютер или другое устройство. Например, если вы загружаете файл через uTorrent, скачивание этого файла фильтруется входящим правилом.

Исходящий — трафик, который исходит от вашего компьютера в сеть или Интернет. Например, ваш запрос на загрузку веб-сайта в браузере — это исходящий трафик, и он фильтруется через исходящее правило.

Правила безопасности подключений — общие правила, которые используются для защиты трафика между двумя конкретными компьютерами и используется в очень контролируемых средах с особыми требованиями безопасности. В отличие от входящих и исходящих, применяющихся только к вашему компьютеру или устройству, правила безопасности подключения требуют, чтобы оба компьютера, участвующие в соединении и применяли одни и те же правила.

Все они могут быть настроены специфическим образом для определенных компьютеров, учетных записей пользователей, программ, приложений, служб, портов, протоколов или сетевых адаптеров.

Вы можете просматривать правила определенного типа, выбрав соответствующую категорию в столбце слева.

Правила для входящих подключений

Здесь увидите множество правил входящего и исходящего трафика. Некоторые из них будут иметь зеленую галочку рядом с их именем, в то время как другие будут показаны серым цветом. Зеленая галочка означает что они используются. Те, у которых установлен серый флажок, отключены, и не используются.

Правила брандмауэра Windows имеют следующие параметры, которые можно редактировать:

  • Имя — имя просматриваемого правила.
  • Группа — описывает приложение или функцию Windows, к которой принадлежит это правило. Например, правила, относящиеся к определенному приложению или программе, будут иметь имя приложения / программы в качестве группы. Правила, относящиеся к одной и той же сетевой функции, например «Общий доступ к файлам и принтерам», будут иметь название группы, к которой они относятся.
  • Профиль — сетевое местоположение / профиль, к которому применяется правило: домен частный или публичный (для сетей компании с сетевыми доменами).
  • Включено — сообщает вам, включено ли правило и применяется ли брандмауэром.
  • Действие — действие может «Разрешить» или «Блокировать» в зависимости от того, что должно делать правило.
  • Частота — указывает, переопределяет ли это правило существующее правило блока. По умолчанию все правила должны иметь значение «Нет» для этого параметра.
  • Программа — настольная программа, к которой применяется правило.
  • Локальный адрес — указывает, применяется ли правило только тогда, когда ваш компьютер имеет определенный IP-адрес или нет.
  • Удаленный адрес — указывает, применяется ли правило только при подключении устройств с определенными IP-адресами.
  • Протокол — разделяет сетевые протоколы, для которых применяется правило.
  • Локальный порт — указывает, применяется ли правило для соединений, сделанных на определенных локальных портах, или нет.
  • Удаленный порт — указывает, применяется ли правило для соединений, сделанных на определенных удаленных портах, или нет.
  • Авторизованные пользователи — учетные записи пользователей, для которых применяется правило (только для входящих правил).
  • Разрешенные компьютеры — компьютеры, для которых применяется правило.
  • Авторизованные локальные субъекты — учетные записи пользователей, для которых применяется правило (только для исходящих правил).
  • Локальный пользователь-владелец — учетная запись пользователя, установленная как владелец / создатель правила.
  • Пакет приложения — относится только к приложениям из Microsoft Store, и отображает имя пакета приложения, к которому применяется правило.

Что можно отслеживать в брандмауэре Windows в режиме повышенной безопасности

Под тремя типами правил, вы найдете раздел с названием «Наблюдение» и если развернуть его, то можно просмотреть активные правила брандмауэра, правила безопасности активных соединений и сопоставления безопасности.

Наблюдение

Сопоставления безопасности — это информация о безопасном зашифрованном канале на локальном компьютере или устройстве, информация может использоваться для будущего сетевого трафика на конкретном удаленном компьютере или устройстве. Здесь вы можете посмотреть, какие одноранговые узлы подключены к вашему компьютеру и какой пакет защиты использовался Windows для формирования сопоставлений безопасности.

Как управлять существующими правилами

Помните, лучше отключить правило, чем его удалить. Тогда будет очень легко все восстановить, просто повторно включив отключенные правила.

Для отключения правила, нужно отметить его и нажать соответствующую кнопку в правом меню.

Отключить правило

Кроме того, можно просто щелкнуть правой кнопкой мыши по правилу и «Отключить».

Отключить правило через контекстное меню

Если необходимо отредактировать правило, сделайте это в столбце справа зайдя в «Свойства» или через контекстное меню вызванное правым щелчком мыши.

Все параметры, упомянутые ранее в нашей инструкции, могут быть изменены в окне «Свойства» для конкретного правила.

Свойства

Когда изменения внесены, не забудьте нажать «ОК», для их применения.

Как создать исходящее правило

Создание правил в режим повышенной безопасности гораздо проще, чем вы думаете. Чтобы продемонстрировать это, давайте создадим исходящее правило, которое блокирует доступ к сети и Интернет для приложения Skype, только когда вы подключены к ненадежным общедоступным сетям.

Для этого перейдите в «Правила для исходящего подключения» и нажмите «Создать правило» в столбце справа.

Создать правило

Откроется «Мастер создания правила для нового исходящего подключения», где вы создадите новое правило всего за пару шагов. Во-первых, вас попросят выбрать тип правила, которое вы хотите создать.

Ваш выбор:

  • Для программ — правило управляющее конкретной программой
  • Для порта — правило управляющее подключениями для порта TCP или UDP.
  • Предопределенные — правило, контролирующее подключения, выполняемые определенной службой или функцией Windows.
  • Настраиваемые — настраиваемое правило, которое может блокировать все программы и порты или определенную комбинацию.

В нашем случае выбираем «Для программ» и нажимаем «Далее».

Мастер создания правила для нового исходящего подключения

Вам предлагается выбрать все программы или определенную программу.

Выбираем исполняемый файл программы, которую хотим заблокировать — Skype.exe и переходим «Далее».

Выбираем исполняемый файл программы

Затем указываем действие, которое необходимо предпринять:

  • Разрешить подключение — включает как защищенные IPSec, так и соединения без защиты.
  • Разрешить безопасное подключение — включает только подключения с проверкой подлинности с помощью IPSec. Вы можете указать тип аутентификации и шифрования, которые вы хотите применить, нажав «Настроить».
  • Блокировать подключение — блокирует соединение, независимо от того, является ли оно безопасным или нет.

Выбираем «Блокировать подключение» и нажимаем «Далее».

Блокировать подключение

Теперь вас попросят выбрать, для каких профилей применяется правило:

  • Доменный — применяется при подключении компьютера к домену своей организации.
  • Частный — применяется, когда компьютер подключен к частной сети, например домашней или рабочей.
  • Публичный — применяется если компьютер подключен к ненадежной общественной сети.

В нашем руководстве мы выбрали «Публичный», потому что хотели заблокировать доступ только тогда, когда компьютер подключен к общественной сети.

Когда выбор сделан, нажмите «Далее».

Выбор профиля

Введите имя, и описание для вновь созданного правила. Напишите подробно, чтобы потом было легче понять.

Нажмите «Готово».

Укажите имя и описание данного правила

Как создать входящее правило

Перейдите к «Правилам для входящих подключений» и нажмите «Создать правило» в столбце справа.

Создать правило для входящих подключений

Запустится «Мастер создания правила для нового входящего подключения».

Создадим правило, которое блокирует весь входящий трафик, созданный с использованием протокола TCP на порте 30770. На первом этапе мы выбрали «Для порта».

Мастер создания правила для нового входящего подключения

Выбрали протокол и порт, для которого применяется правило. Выбор протоколов идет между — TCP и UDP. Если вам нужно правило, применяемое к обоим протоколам, придется создать два правила: по одному для каждого.

У нас есть выбор, заблокировать все порты или только выбранные. Мы выбрали «Определенные локальные порты» и ввели «30770»

Протоколы и порты

Отметим «Блокировать подключение» и проследуем «Далее».

Блокировать подключение

Теперь необходимо сделать выбор профилей, для которых применяется правило. Поскольку мы блокируем весь TCP-трафик на порте 30770, выбираем все три профиля и продолжаем.

Укажите профили, к которым применяется это правило

Вводим имя и описание для вновь созданного правила, нажимаем «Готово».

Укажите имя и описание данного правила

Правило создано и теперь используется.

Как восстановить параметры по умолчанию

Если вы намудрили с правилами и все стало работать неправильно, можно легко отменить все настройки и восстановить брандмауэр Windows по умолчанию. Не забывайте, это можно сделать только из под учетной записи администратора.

Для этого, откройте брандмауэр Windows и в левом столбце, нажмите по ссылке «Восстановить значения по умолчанию».

Восстановить значения по умолчанию

Нажмите на кнопку «Восстановить значения по умолчанию».

Восстановление параметров по умолчанию

Подтвердите, восстановление нажав на «Да».

Подтверждение восстановления значений по умолчанию

Параметры будут сброшены до значений по умолчанию. Теперь вы можете заняться настройкой с нуля и решить возникшие проблемы.

брандмауэр windows в режиме повышенной безопасности

Кроме обычного Брандмауэра в операционной системе имеется дополнительный Брандмауэр — Брандмауэр Windows в режиме повышенной безопасности. По сути это одно и то же лицо. Их различие только в том, что первый предоставляет пользователю довольно небольшие возможности по настройке правил Брандмауэра. Но этих возможностей с лихвой хватит на основную толпу пользователей, большая часть которых в глаза не видели этот самый Брандмауэр Windows. Например, чтобы добавить программу в исключение Брандмауэра, отлично подойдет и функционал обычного Брандмауэра. Но, а для более изощренных пользователей, которым нужны более гибкие настройки правил Брандмауэра, и был создан Брандмауэр Windows в режиме повышенной безопасности.

Как открыть Брандмауэр Windows в режиме повышенной безопасности

Для этого Вы можете воспользоваться одним из нескольких способов. Я опишу три из них:

  1. Тупо забить в поиск название данного инструмента.
  2. Пройти по пути Панель управленияСистема и безопасностьБрандмауэр Windows и нажать на кнопку Дополнительные параметры.
  3. Открыть консоль MMC и добавить туда необходимый инструмент. После чего запустить его оттуда.

Так же многие задают вопрос «Как отключить Брандмауэр в режиме повышенной безопасности». Так вот, как я уже говорил, эти два инструмента одно и то же лицо, различается только их функционал. Поэтому правильно будет задать такой вопрос «Как отключить Брандмауэр Windows». А для этого в окне Брандмауэр Windows Вам понадобиться кнопка Включение или отключение Брандмауэра Windows.

Возможности Брандмауэра Windows в режиме повышенной безопасности

Брандмауэр Windows в режиме повышенной безопасности позволяет создавать следующие правила:

  1. Отдельно настраивать правила как для входящего, так и для исходящего трафика.
  2. Создавать правила Брандмауэра на основе различных протоколов и портов.
  3. Настраивать правила обмена данными с сетью для служб. Напомню, Брандмауэр Windows позволяет настраивать правила только для приложений.
  4. Созданные правила могут относиться только к определенным IP-адресам в сети.
  5. Есть возможность пропуска только авторизованного трафика.
  6. Настраивать правила безопасности соединения.

Как создать правило Брандмауэра на основе входящего или исходящего трафика?

Чтобы создать правило Брандмауэра только для входящего, либо только для исходящего трафика, Вам необходимо открыть Брандмауэр Windows в режиме повышенной безопасности. В открывшемся окне, в дереве консоли Вы увидите несколько узлов. Нужные нам узлы носят имена Правила для входящих подключений и Правила для исходящего подключения, соответственно. При нажатии правой кнопкой мыши на одну из данных узлов, появится контекстное меню. Нас будет интересовать первая команда с именем Создать правило. После нажатия данной кнопки Вы перейдете в окно создания правила, которое должны создать сами, исходя из Ваших желаний. Тут Вас попросят уточнить тип привязки создаваемого правила, среди которых:

  • Для программы
  • Для порта
  • Предопределенные
  • Настраиваемые
Создание правила для программы(приложения)

Вы можете разрешить или запретить обмен данными через сеть для определенного приложения, если доберетесь до окна, на котором мы остановились в предыдущем абзаце. После чего Вам нужно выбрать пункт Для программы. В следующем окне Вы должны выбрать либо все программы, либо какое-то определенное.

Создание правила Брандмауэра для порта

Процесс создания правила для порта идентичен процессу создания правила для приложения. Различие только в том, что в данном случае нужно выбрать второй пункт с именем Для порта. Данное правило позволяет открывать или закрывать работу какого-нибудь порта для протокола TCP или UDP. Поэтому, в следующем окне Вам нужно выбрать протокол и порт, для которого Вы собираетесь создавать правило.

Активация предопределенных правил Брандмауэра Windows

В Windows уже по умолчанию созданы несколько десятков правил, которые довольно часто могут применяться как самим пользователем, так и операционной системой. Чтобы увидеть и активировать данные правила, Вы должны выбрать третий пункт — Предопределенные. Данные правила не активированы по умолчанию, но они могут быть активированы в любой момент. Эти правила пригодятся тогда, когда пользователь захочет воспользоваться какой-нибудь функцией Windows, например, создать домашнюю группу или воспользоваться технологией BranchCache. Чтобы активировать данные функции, пользователю придется выполнить некоторые действия(описание которых не входит в данную статью). При настройке данных функций, операционная система отдаст сигнал Брандмауэру Windows, что, мол, необходимо активировать пакет предопределенных правил. Что и произойдет. В случае же сбоя, либо по личной инициативе, пользователь может сделать это вручную.

Настраиваемые правила Брандмауэра

Ну и наконец-то самые изощренные правила: настраиваемые. Пункт именно с таким именем нужно выбрать чтобы получить возможность настроить правило для определенного приложения, которое будет использовать определенный порт, и ограничить применение данного правила определенными IP-адресами. То есть у пользователя будет самый полный доступ к созданию правил, чем и славится Брандмауэр Windows в режиме повышенной безопасности.

Разрешение или запрет подключений и выбор типов сетей

Перечисленные выше четыре способа создания и привязки правила Брандмауэра не заканчиваются на том месте, где я их описал. После действий, которые будут выполнены для каждого из описанных методов, необходимо выбрать дополнительные две настройки:

  1. Разрешить или запретить обмен данными для выбранного типа правила.
  2. Выбрать типы сетей(общественная, домашняя или сеть предприятия), для которых будут действовать выбранные правила.

В первом окне Вам нужно либо разрешить трафик полностью, либо разрешить только безопасный трафик, либо полностью запретить трафик. Во втором и последнем окне Вам нужно расставить галочки напротив трех типов сетей. Наличие галочки напротив сети будет означать то, что данное правило будет применяться в данном типе сетей.

Вот такой расчудесный функционал предоставляет своим пользователям операционная система Windows в виде не менее прекрасного инструмента Брандмауэр Windows в режиме повышенной безопасности.

Брандмауэр Windows в режиме повышенной безопасностиНе все знают, что встроенный фаервол или брандмауэр Windows позволяет создавать расширенные правила сетевых подключений для достаточно мощной защиты. Вы можете создавать правила доступа к Интернету для программ, белые списки, ограничивать трафик для определенных портов и IP адресов, не устанавливая сторонних программ-фаерволов для этого.

Стандартный интерфейс брандмауэра позволяет настроить основные правила для публичных и частных сетей. Дополнительно к этому, вы можете настроить расширенные варианты правил, включив интерфейс брандмауэра в режиме повышенной безопасности — эта функция доступна в Windows 10,  8 (8.1) и Windows 7. См. также: Как запретить программе доступ в Интернет.

Есть несколько способов перейти к расширенному варианту. Самый простой из них — зайти в Панель управления, выбрать пункт «Брандмауэр Windows», а затем, в меню слева кликнуть по пункту «Дополнительные параметры».

Вход в расширенные настройки брандмауэра

Настройка сетевых профилей в брандмауэре

Профили брандмаэура Windows

Брандмауэр Windows использует три различных сетевых профиля:

  • Профиль домена — для компьютера, подключенного к домену.
  • Частный профиль — используется для подключений к частной сети, например, рабочей или домашней.
  • Общий профиль — используется для сетевых подключений к публичной сети (Интернет, публичная точка доступа Wi-Fi).

При первом подключении к сети, Windows предлагает вам выбор: общественная сеть или частная. Для различных сетей может использоваться разный профиль: то есть, при подключении вашего ноутбука к Wi-Fi в кафе может использоваться общий профиль, а на работе — частный или профиль домена.

Настройки сетевых профилей брандмауэра

Для настройки профилей, нажмите «Свойства брандмауэра Windows». В открывшемся диалоговом окне вы можете настроить базовые правила для каждого из профилей, а также задать сетевые подключения, для которых будет использован тот или иной из них. Отмечу, что если вы заблокируете исходящие подключения, то при блокировке вы не увидите каких-либо уведомлений брандмауэра.

Создание правил для входящих и исходящих подключений

Создание правил в режиме повышенной безопасности

Для того, чтобы создать новое правило входящего или исходящего сетевого подключения в брандмауэре, выберите соответствующий пункт в списке слева и кликните по нему правой кнопкой мыши, после чего выберите пункт «Создать правило».

Выбор типа правила брандмауэра

Откроется мастер создания новых правил, которые делятся на следующие типы:

  • Для программы — позволяет запретить или разрешить доступ к сети конкретной программе.
  • Для порта — запрет или разрешение для порта, диапазона портов или протокола.
  • Предопределенные — использование предопределенного правила, включенного в Windows.
  • Настраиваемые — гибкая настройка комбинации блокировки или разрешений по программе, порту или IP-адресу.

Указываем программу

В качестве примера попробуем создать правило для программы, например, для браузера Google Chrome. После выбора пункта «Для программы» в мастере потребуется указать путь к браузеру (имеется также возможность создать правило для всех программ без исключения).

Разрешение или блокировка соединения

Следующим шагом требуется указать, следует ли разрешить подключение, разрешить только безопасное подключение или блокировать его.

Выбор сетевых профилей для правила

Предпоследний пункт — указать для каких из трех сетевых профилей будет применено данное правило. После этого также следует задать имя правила и его описание при необходимости, и нажать «Готово». Правила вступают в силу немедленно после создания и появляются в списке. При желании, вы можете в любой момент удалить, изменить или временно отключить созданное правило.

Отключение или удаление правил брандмауэра

Для более тонкой настройки доступа, вы можете выбрать настраиваемые правила, которые можно применить в следующих случаях (просто несколько примеров):

  • Нужно запретить всем программам подключаться к определенному IP или порту, использовать конкретный протокол.
  • Требуется задать список адресов, к которым разрешено подключаться, запретив все остальные.
  • Настроить правила для служб Windows.

Настройка конкретных правил происходит практически тем же образом, что был описан выше и, в целом, не представляет особой сложности, хотя и требует некоторого понимания того, что именно делается.

Брандмауэр Windows в режиме повышенной безопасности позволяет также настраивать правила безопасности подключения, связанные с проверкой подлинности, однако рядовому пользователю эти возможности не потребуются.

Описание⚓︎

Режим повышенной безопасности — это оснастка управления для брандмауэра, из которой вы можете управлять всеми его настройками, правилами и исключениями. Для получения доступа к расширенным настройкам вам нужно открыть брандмауэр, а затем нажать на Дополнительные параметры в левом столбце

7_02.jpg

Брандмауэр Windows теперь открыт в режиме повышенной безопасности. Эта оснастка выглядит сначала непонятной, и не без оснований. Здесь сохраняются и редактируются все правила на продвинутом уровне

7_01.jpg

Общие сведения о профилях и типах трафика⚓︎

Профили⚓︎

Info

Microsoft рекомендует активировать все профили и позволить API-интерфейсу установленному в системе, выбрать, какой из них использовать

Профиль домена

Для компьютеров, подключенных к сети, содержащей доменные контроллеры, к которым принадлежат сетевые компьютеры. Этот профиль не используется для домашних ПК. Когда компьютер успешно зарегистрирован в домене, он автоматически использует данный профиль

Частный профиль

Предназначен для домашних или офисных сетей, которые не подключены напрямую к Интернету, но находится за каким-то устройством безопасности, таким как маршрутизатор или другой аппаратный брандмауэр

Общий профиль

Обычно используется, когда компьютер подключен к публичной сети (Интернет или публичная точка доступа Wi-Fi), например в кафе, гостинице или по кабельному соединению дома. По умолчанию будут заблокированы все входящие подключения, которые не входят в список разрешенных.

Типы трафика⚓︎

Входящий

Трафик поступающий из сети или Интернета на компьютер или другое устройство. Например, если вы загружаете файл через uTorrent, скачивание этого файла фильтруется входящим правилом

Исходящий

Общие правила, которые используются для защиты трафика между двумя конкретными компьютерами и используется в очень контролируемых средах с особыми требованиями безопасности. В отличие от входящих и исходящих, применяющихся только к вашему компьютеру или устройству, правила безопасности подключения требуют, чтобы оба компьютера, участвующие в соединении и применяли одни и те же правила

Правила безопасности подключений

Все они могут быть настроены специфическим образом для определенных компьютеров, учетных записей пользователей, программ, приложений, служб, портов, протоколов или сетевых адаптеров

Info

Вы можете просматривать правила определенного типа, выбрав соответствующую категорию в столбце слева

7_03.jpg

Здесь увидите множество правил входящего и исходящего трафика. Некоторые из них будут иметь зеленую галочку рядом с их именем, в то время как другие будут показаны серым цветом. Зеленая галочка означает что они используются. Те, у которых установлен серый флажок, отключены, и не используются

Правила брандмауэра Windows имеют следующие параметры, которые можно редактировать:

  • Имя — имя просматриваемого правила
  • Группа — описывает приложение или функцию Windows, к которой принадлежит это правило. Например, правила, относящиеся к определенному приложению или программе, будут иметь имя приложения / программы в качестве группы Правила, относящиеся к одной и той же сетевой функции, например «Общий доступ к файлам и принтерам», будут иметь название группы, к которой они относятся
  • Профиль — сетевое местоположение / профиль, к которому применяется правило: домен частный или публичный (для сетей компании с сетевыми доменами)
  • Включено — сообщает вам, включено ли правило и применяется ли брандмауэром
  • Действие — действие может «Разрешить» или «Блокировать» в зависимости от того, что должно делать правило
  • Частота — указывает, переопределяет ли это правило существующее правило блока. По умолчанию все правила должны иметь значение «Нет» для этого параметра
  • Программа — настольная программа, к которой применяется правило
  • Локальный адрес — указывает, применяется ли правило только тогда, когда ваш компьютер имеет определенный IP-адрес или нет
  • Удаленный адрес — указывает, применяется ли правило только при подключении устройств с определенными IP-адресами.
  • Протокол — разделяет сетевые протоколы, для которых применяется правило
  • Локальный порт — указывает, применяется ли правило для соединений, сделанных на определенных локальных портах, или нет
  • Удаленный порт — указывает, применяется ли правило для соединений, сделанных на определенных удаленных портах, или нет
  • Авторизованные пользователи — учетные записи пользователей, для которых применяется правило (только для входящих правил)
  • Разрешенные компьютеры — компьютеры, для которых применяется правило
  • Авторизованные локальные субъекты — учетные записи пользователей, для которых применяется правило (только для исходящих правил)
  • Локальный пользователь-владелец — учетная запись пользователя, установленная как владелец / создатель правила
  • Пакет приложения — относится только к приложениям из Microsoft Store, и отображает имя пакета приложения, к которому применяется правило

Что можно отслеживать в брандмауэре Windows в режиме повышенной безопасности⚓︎

Под тремя типами правил, вы найдете раздел с названием наблюдение и если развернуть его, то можно просмотреть активные правила брандмауэра, правила безопасности активных соединений и сопоставления безопасности

7_04.jpg

Сопоставления безопасности — это информация о безопасном зашифрованном канале на локальном компьютере или устройстве, информация может использоваться для будущего сетевого трафика на конкретном удаленном компьютере или устройстве. Здесь вы можете посмотреть, какие одноранговые узлы подключены к вашему компьютеру и какой пакет защиты использовался Windows для формирования сопоставлений безопасности

Как управлять существующими правилами⚓︎

Помните, лучше отключить правило, чем его удалить. Тогда будет очень легко все восстановить, просто повторно включив отключенные правила

Для отключения правила, нужно отметить его и нажать соответствующую кнопку в правом меню

7_05.jpg

Кроме того, можно просто щелкнуть правой кнопкой мыши по правилу и отключить

7_06.jpg

Если необходимо отредактировать правило, сделайте это в столбце справа зайдя в свойства или через контекстное меню вызванное правым щелчком мыши

Все параметры, упомянутые ранее в нашей инструкции, могут быть изменены в окне свойства для конкретного правила

7_07.jpg

Когда изменения внесены, не забудьте нажать ОК, для их применения

Как создать исходящее правило⚓︎

Создание правил в режим повышенной безопасности гораздо проще, чем вы думаете. Чтобы продемонстрировать это, давайте создадим исходящее правило, которое блокирует автоматическое обновление Microsoft Edge в публичных сетях, т.е. только когда вы подключены к ненадежным общедоступным сетям

Для этого перейдите в Правила для исходящего подключения и нажмите Создать правило в столбце справа

7_08.jpg

Откроется Мастер создания правила для нового исходящего подключения, где вы создадите новое правило всего за пару шагов. Во-первых, вас попросят выбрать тип правила, которое вы хотите создать

Ваш выбор:

  • Для программ — правило управляющее конкретной программой
  • Для порта — правило управляющее подключениями для порта TCP или UDP
  • Предопределенные — правило, контролирующее подключения, выполняемые определенной службой или функцией Windows
  • Настраиваемые — настраиваемое правило, которое может блокировать все программы и порты или определенную комбинацию

В нашем случае выбираем для программ и нажимаем далее

7_09.jpg

Вам предлагается выбрать все программы или определенную программу

Выбираем исполняемый файл программы, которую хотим заблокировать — Microsoft Edge Update и переходим далее

7_10.jpg

Затем указываем действие, которое необходимо предпринять:

  • Разрешить подключение — включает как защищенные IPSec, так и соединения без защиты
  • Разрешить безопасное подключение — включает только подключения с проверкой подлинности с помощью IPSec. Вы можете указать тип аутентификации и шифрования, которые вы хотите применить, нажав Настроить
  • Блокировать подключение — блокирует соединение, независимо от того, является ли оно безопасным или нет

Выбираем блокировать подключение и нажимаем далее

7_11.jpg

Теперь вас попросят выбрать, для каких профилей применяется правило:

  • Доменный — применяется при подключении компьютера к домену своей организации
  • Частный — применяется, когда компьютер подключен к частной сети, например домашней или рабочей
  • Публичный — применяется если компьютер подключен к ненадежной общественной сети

Мы выбрали публичный, потому что хотели заблокировать доступ только тогда, когда компьютер подключен к общественной сети

Когда выбор сделан, нажмите далее

7_12.jpg

Введите имя, и описание для вновь созданного правила. Напишите подробно, чтобы потом было легче понять

Нажмите готово

Как создать входящее правило⚓︎

Перейдите к Правилам для входящих подключений и нажмите «Создать правило» в столбце справа

Запустится Мастер создания правила для нового входящего подключения

Создадим правило, которое блокирует весь входящий трафик, созданный с использованием протокола TCP на порте 30770 На первом этапе мы выбрали Для порта

7_13.jpg

Выбрали протокол и порт, для которого применяется правило. Выбор протоколов идет между — TCP и UDP. Если вам нужно правило, применяемое к обоим протоколам, придется создать два правила: по одному для каждого

У нас есть выбор, заблокировать все порты или только выбранные. Мы выбрали Определенные локальные порты и ввели 30770

7_14.jpg

Отметим Блокировать подключение и проследуем Далее

7_15.jpg

Теперь необходимо сделать выбор профилей, для которых применяется правило. Поскольку мы блокируем весь TCP-трафик на порте 30770, выбираем все три профиля и продолжаем

7_16.jpg

Вводим имя и описание для вновь созданного правила, нажимаем Готово

7_17.jpg

Правило создано и теперь используется

Как восстановить параметры по умолчанию⚓︎

Если вы намудрили с правилами и все стало работать неправильно, можно легко отменить все настройки и восстановить брандмауэр Windows по умолчанию. Не забывайте, это можно сделать только из под учетной записи администратора

7_18.jpg

  1. Для этого, откройте брандмауэр Windows и в левом столбце, нажмите по ссылке Восстановить значения по умолчанию
  2. Нажмите на кнопку Восстановить значения по умолчанию
  3. Подтвердите, восстановление нажав на Да

Параметры будут сброшены до значений по умолчанию

Теперь вы можете заняться настройкой с нуля и решить возникшие проблемы


Последнее обновление: 2021-01-22
Созданный: 2021-01-16

  • 21.08.2021
  • 3 196
  • 0
  • 5
  • 5
  • 0

Брандмауэр (Firewall) Windows

  • Содержание статьи
    • Описание
    • Традиционный интерфейс брандмауэра
    • Брандмауэр Windows в режиме повышенной безопасности
    • Добавить комментарий

Описание

Одним из усовершенствований новой ОС от Microsoft является встроенный брандмауэр. Персональный брандмауэр, впервые появившийся в составе Windows XP (исходное название Internet Connection Firewall было впоследствии изменено на Windows Firewall), вызывал немало нареканий. Несмотря на возможности настройки с помощью Group Policy Object (GPO) и командной строки, его реализация контроля сетевого трафика была явно недостаточной для обеспечения приемлемого уровня безопасности. Сам же факт применения инструмента, не обеспечивающего адекватной защиты, мог вызвать у пользователя ложное чувство отсутствия угроз. Одним из самых серьезных недостатков брандмауэра являлись контроль только входящего трафика и невозможность создания гибких правил фильтрации. Посмотрим, что изменилось в брандмауэре.

Начать необходимо с того, что брандмауэр теперь имеет два интерфейса, с помощью которых его можно настраивать – обычный и расширенный.

Традиционный интерфейс брандмауэра

Обычный метод конфигурирования брандмауэра в Vista выглядит практически так же, как и в XP. Для входа в этот режим нажимаем кнопку Пуск, идем в Панель управления, далее – Безопасность, Брандмауэр Windows.

В этом окне отображаются основные сведения – состояние брандмауэра, способ оповещений, используемое текущее сетевое размещение (напомним, что Vista делит сети на три категории – домашняя, рабочая и публичная; в соответствии с ними устанавливаются режимы безопасности). Для изменения настроек брандмауэра, необходимо щелкнуть ссылку Изменить параметры. Откроется окно диалога, ничем не отличающееся от аналогичного в Windows XP.

Переключатели позволяют включать или отключать брандмауэр, а флажок Блокировать все входящие подключения позволяет сделать компьютер полностью «невидимым» в небезопасной – например, публичной – сети. При установке этого флажка будут заблокированы также все разрешенные правилами подключения.

Для конфигурирования брандмауэра в обычном режиме необходимо перейти на вкладку Исключения. Она содержит типичный список служб, для которых можно задействовать или отменить правила исключений. Для того, чтобы сетевой трафик какой-либо программы или службы не блокировался брандмауэром, необходимо установить соответствующий флажок. Кнопка Свойства позволяет посмотреть описание выбранной службы или порта. Вы можете включить или выключить режим оповещений о блокировании трафика, установив флажок Уведомлять, когда брандмауэр блокирует новую программу.

Если программа или порт, для которых необходимо настроить исключение, отсутствует в стандартном списке, их можно добавить вручную, нажав соответствующую кнопку внизу окна. Если ранее добавленная пользователем программа более не нужна, ее можно выделить, и удалить из списка при помощи одноименной кнопки. При добавлении программы необходимо будет указать ее расположение, нажав кнопку Обзор.

При добавлении в список исключений порта укажите его описательное имя (чтобы потом проще было вспомнить, для чего он был открыт), введите его номер и укажите тип протокола – TCP или UDP.

При добавлении как программ, так и портов, дополнительно можно более детально указать область, для которой будет действовать исключение. Для этого нажмите кнопку Изменить область, расположенную внизу окна. В открывшемся диалоге выберите необходимый параметр.

Если необходимо, чтобы программа или служба могла использоваться всеми, включая компьютеры, находящиеся в Интернете, выберите переключатель Любой компьютер. Если трафик к службе надо сделать доступным лишь компьютерам своей сети, выберите Только локальная сеть. Третий параметр – самый гибкий и позволяет указывать произвольный диапазон IP-адресов или подсетей в виде списка, причем как в версии IPv4, так и IPv6. Элементы списка разделяются запятыми.

Последняя вкладка – Дополнительно – позволяет указать, на каких сетевых интерфейсах, доступных системе, будут действовать заданные правила фильтрации сетевого трафика.

Нажатие кнопки По умолчанию производит сброс всех настроек к первоначальному состоянию. При ее нажатии система предупредит, что это может привести к неработоспособности тех программ, для которых пользователем устанавливались особые параметры.

Если вы ранее конфигурировали брандмауэр в Windows XP, то, вероятно уже заметили, что все вышеописанные настройки не являются новыми. Так в чем же заключается усовершенствование брандмауэра из состава Vista? Почему разработчики из Microsoft называют его улучшенным? Чтобы ознакомится с нововведениями, необходимо запустить

Брандмауэр Windows в режиме повышенной безопасности

Для входа в этот режим необходимо запустить интерфейс брандмауэра как оснастку консоли MMC (заметим, что использование оснастки позволяет управлять настройкой брандмауэра на удаленной станции). Сделать это можно через панель управления – нажав Пуск, выбрать Панель управления, переключиться в режим отображения Классический вид, перейти в раздел Администрирование и щелкнуть ссылку Брандмауэр Windows в режиме повышенной безопасности.

Также можно воспользоваться самой консолью MMC. Для этого нажмите Пуск, выберите Все программы, затем Стандартные и выберите команду Выполнить. Наберите mmc и нажмите Ввод. В окне Консоль управления Microsoft выберите команду ФайлДобавить или удалить оснастку. В окне диалога Добавление или удаление оснастки укажите Брандмауэр Windows в режиме повышенной безопасности и нажмите кнопку Добавить.

Далее укажите Локальный компьютер, нажмите ОК, затем кнопку Готово. Откроется консоль с оснасткой Брандмауэр Windows в режиме повышенной безопасности.

Вот теперь действительно можно увидеть много нового! Слева расположена древовидная структура наподобие папок в Проводнике, в которой сгруппированы элементы консоли. Это собственно брандмауэр, разделы, позволяющие настраивать правила для входящих и исходящих подключений, правила настройки IPSec, и элементы, позволяющие наблюдать за работой брандмауэра. В центральном окне детально выводятся элементы выбранного раздела. Справа находится панель Действия, позволяющая производить настройку выбранного параметра. Для начала знакомства с консолью щелкнем первую строку в правом окне — Брандмауэр Windows в режиме повышенной безопасности. Окно консоли должно стать таким:

Для общего конфигурирования брандмауэра щелкните в панели действий ссылку Свойства. Откроется одноименное окно, на котором отображаются 3 вкладки с общими параметрами брандмауэра для разных профилей сетевого окружения (Общий, Частный, Домен) и вкладка общих настроек IPSec.

Вкладки, отвечающие за профили, настройки которых абсолютно идентичны друг другу. В них можно включить или полностью отключить брандмауэр, выбрав параметр Состояние брандмауэра. Отдельно настраиваются фильтры для входящих и исходящих подключений. Переключатель для входящего трафика имеет три положения – Блокировать (значение по умолчанию, брандмауэр блокирует входящие подключения, явно не разрешенные заданными правилами), Блокировать все подключения (весь входящий трафик будет запрещен, независимо от правил) и Разрешить (разрешены любые входящие подключения, кроме явно запрещенных заданными правилами). Для переключателя исходящих подключений предусмотрено лишь два положения – либо Разрешить (значение по умолчанию, разрешены все входящие подключения, кроме явно запрещенных правилами), либо Блокировать (блокируются все исходящие подключения, для которых нет явно разрешающих заданных правил). Как видите, изначально брандмауэр пропускает исходящие подключения, которые явно не запрещены.

Кнопка Настроить в разделе Параметры позволяет указать дополнительные возможности брандмауэра. К ним отнесены уведомления о блокировании, разрешение на получение ответа от других компьютеров при рассылке широковещательных (или многоадресных) пакетов, и параметры объединения правил.

Объединение локальных правил означает, что помимо правил, заданных действующей групповой политикой, локальные администраторы этого компьютера смогут создавать и применять собственные (локальные) правила брандмауэра и IPSec. Если эти параметры отключить, локальные администраторы все равно смогут создавать правила, однако применяться они не будут.

Для изменения настроек ведения журналов брандмауэра нажмите кнопку Настроить в разделе Ведение журнала.

Вы можете указать расположение файла, в котором будет вестись журнал, задать его максимальный размер, и указать типы событий, которые будут в нем фиксироваться. Стандартные настройки не ведут записи пропущенных пакетов и успешных подключений во избежание «разбухания» файла журнала.

Теперь заглянем на вкладку IPSec.

На этой вкладке можно указать не требовать соответствия правилам IPSec для пакетов протокола ICMP (Internet Control Message Protocol). Протокол ICMP используется для передачи сообщений об ошибках, возникших во время передачи данных и выполнения некоторых сервисных функций для диагностики состояния сети (например, утилиты ping и traceroute используют ICMP-сообщения). Собственно настройки IPSec «скрываются» за кнопкой Настроить.

Здесь можно подробно задать способы обмена ключами, защиты данных и методы проверки подлинности, переведя соответствующие переключатели в положение Дополнительно и нажав кнопку Настроить. Параметры, установленные по умолчанию можно посмотреть во встроенной справочной системе, нажав ссылку внизу окна.

Рассмотрение способов использования IPSec для защиты трафика мы здесь не будем ввиду обширности этой темы, и, пожалуй, ограничимся лишь показом возможностей настроек для этого протокола.

Давайте перейдем к собственно правилам брандмауэра – как их можно создавать, редактировать и применять. Вернемся в главное окно консоли и выберем раздел Правила для входящих подключений.

Окно, находящееся в центре, содержит список правил. Те правила, которые применяются брандмауэром, отмечены зеленым значком. Определенные, но неактивные – серым. Для включения или отключения определенного правила необходимо щелкнуть на нем правой кнопкой мыши и выбрать соответствующую команду из открывшегося меню.

Список предопределенных правил довольно внушителен. Это может облегчить использование стандартных правил простым их включением или отключением. Стоит учесть, что некоторые свойства предопределенных правил изменить невозможно – они «жестко» прописаны. Так как каждое предопределенное правило отвечает за довольно узкий диапазон (порт, адрес или программу, версию транспортного протокола), а например, для конфигурирования одной службы может потребоваться достаточное количество правил, они объединены в группы. Процесс создания нового правила реализован в виде мастера, выполняемого в несколько шагов. Рассмотрим создание нового правила для входящих подключений. На панели действий щелкните ссылку Новое правило. На первом шаге предлагается определить тип правила.

В зависимости от типа правила будет меняться и количество шагов мастера, необходимых мастеру для создания правила. Список этих шагов отображается слева. Правила для программ позволяют управлять подключениями конкретных программ. Необходимо будет указать лишь исполняемый файл программы. Это полезно, когда заранее неизвестны тип порта или протокола для разрешения доступа. Правило для порта позволяет управлять доступом через конкретный порт. Потребуется указать номер порта (возможно задание нескольких портов в одном правиле) и тип протокола – TCP или UDP. Тип Предопределенные правила содержит список распространенных служб и программ, работающих под управлением Windows. Выглядеть он может примерно так:

Последний тип правил – Настраиваемые. Используется обычно тогда, когда необходимо настроить все параметры вручную или для фильтрации подключений, не подпадающих под другие типы правил. Поскольку этот тип имеет наиболее широкие настройки, на нем и остановимся поподробнее. Итак, устанавливаем переключатель на тип Настраиваемые и нажимаем кнопку Далее. На первом шаге потребуется указать, будет применяться правило ко всем программам, или только к определенному приложению.

Если создаем правило для программы, указываем расположение исполняемого файла, нажав кнопку Обзор. Дополнительно можно указать службы, к которым будет запрашиваться подключение. Для этого нажмите кнопку Настроить.

Можно указать все системные службы или указать одну из них. При написании краткого имени будьте внимательны – если система не обнаружит службу с таким именем, правило будет проигнорировано. Также следует учесть, что указать можно одновременно и конкретную программу, и службу. В этом случае правило будет выполняться лишь при соблюдении обоих условий.

На следующем шаге необходимо задать порты и тип протокола.

Для начала указываем тип протокола, выбрав его из списка. Список этот довольно большой, но вы можете обратиться к встроенной справочной системе, в которой приведены краткие описания и номера протоколов. Для этого достаточно щелкнуть по ссылке Подробнее о протоколах и портах.

При выборе типа протокола TCP или UDP становятся доступными поля, позволяющие указать номера портов на локальной и удаленной системе. Можно указать список портов, разделив их запятыми. При выборе типа протокола ICMPv4 или ICMPv6 становится доступной кнопка Настроить, открывающая окно с настройками параметров для ICMP-сообщений.

На следующем шаге задается область локальных и удаленных IP-адресов, к которым будет применяться правило. Также здесь можно указать сетевые интерфейсы, на которых это правило будет действовать.

Для добавления области IP-адресов установите переключатель в положение Указанные IP-адреса и нажмите кнопку Добавить.

Доступны следующие варианты:

  • один IP-адрес или подсеть (в формате IPv4 или IPv6)
  • сквозной диапазон адресов (то есть все адреса, начиная с первого заданного и заканчивая последним заданным адресом; формат — IPv4 или IPv6, но должен быть одинаков для начального и конечного значения)
  • компьютеры с определенной ролью (основной шлюз, серверы WINS, DHCP, DNS, или компьютеры локальной подсети)

Далее предстоит определить действие, которое будет выполнять брандмауэр в случае совпадения условий правила. Типы действий задаются переключателями.

Подключение можно разрешить, запретить или разрешить его лишь в том случае, если оно защищено с использованием параметров безопасности IPSec. При выборе Разрешить безопасное подключение добавится еще один шаг, на котором необходимо будет указать компьютеры и пользователей, которым будут разрешены такие подключения.

Предпоследний шаг – указание сетевого профиля, в котором будет применяться данное правило. Установите или снимите соответствующие флажки напротив названий профилей.

На последнем шаге мастер предложит ввести имя для правила и дать его краткое описание. После нажатия кнопки Готово созданное правило появится в списке. Параметры созданного правила можно редактировать. Для этого щелкните его название в списке правой кнопкой мыши и выберите команду Свойства. Откроется окно свойств, в котором параметры сгруппированы на нескольких вкладках.

Настройка правил для исходящих подключений аналогична вышеописанному процессу.

Еще одним нововведением в брандмауэре является его тесная интеграция с технологией IPSec, позволяющей устанавливать защищенные безопасные соединения между узлами. Вы можете добавить правила для таких соединений, щелкнув в правой панели консоли строку Правила безопасности подключения. В отличие от правил брандмауэра, «отслеживающих» подключения на локальной системе, они позволяют проверить подлинность обоих компьютеров до начала их взаимодействия и обеспечить защиту передаваемых данных.

Для контроля работы брандмауэра, просмотра применяемых правил и сопоставлений безопасности перейдите в раздел Наблюдение.

Наборы правил (политики) можно экспортировать и импортировать. Для этого в левой панели выберите раздел Брандмауэр Windows и выберите соответствующую ссылку в панели действий.

Как видите, функциональность брандмауэра в Vista действительно стала значительно шире предыдущих версий. И все было бы замечательно, если бы не было нескольких «но». Самое главное из них – ярко контрастирующие интерфейсы брандмауэра. Или предельно просто — на уровне включить/выключить, или огромный список настроек и правил, грамотно настроить которые под силу лишь тем, кто точно знает, что именно требуется от конкретной настройки. Отсюда же вытекает следующая проблема – контроль исходящих подключений. Вроде бы он есть, и его можно настроить, но… Рядовой пользователь вряд ли сможет запустить брандмауэр в режиме повышенной безопасности, попросту не найдя способов это сделать, да и, собственно, даже не подозревая о существовании такого режима. При этом разработчик заявляет о том, что в новой версии брандмауэра контроль за исходящими подключениями есть! Но, как мы указывали выше, изначально брандмауэр разрешает все незапрещенные исходящие подключения.

Для иллюстрации такой ситуации давайте проведем простой эксперимент. Зайдем на Yandex, скачаем предлагаемую там свежую версию браузера FireFox и установим его в системе. Для чистоты эксперимента (на всякий случай) скидываем все установки брандмауэра в исходные.

Убедимся, перейдя на вкладку Исключения свойств брандмауэра, что правил, разрешающих FireFox’у исходящие подключения в списке нет. Все, что нам осталось сделать – это запустить Firefox.

Вот такой вот фокус! Несмотря на все заявления о контроле исходящего трафика, только что установленная в системе программа свободно послала запрос веб-серверу и получила от него необходимые данные.

То есть для обычных, рядовых пользователей опять получается – вроде бы защита и есть, а на самом деле — нет.

Like this post? Please share to your friends:
  • Брандмауэр windows в режиме повышенной безопасности как отключить виндовс 7
  • Брандмауэр windows в режиме повышенной безопасности 2012
  • Брандмауэр windows блокирует доступ к интернету как отключить
  • Брандмауэр windows блокирует доступ к интернету как исправить
  • Брандмауэр windows 10 что это такое