В вашей системе обнаружен брандмауэр windows xp sp2 властелин колец

Не удается запустить службу брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2)

Важно. Эта статья содержит сведения об изменении реестра. Перед изменением реестра необходимо создать его резервную копию. Убедитесь в том, что знаете, как восстановить реестр в случае возникновения проблемы. Дополнительные сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:

256986 Описание реестра Microsoft Windows (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Проблема

После установки пакета обновления 2 (SP2) для Windows XP не удается запустить службу брандмауэра Windows. В частности, могут возникать следующие неполадки:

пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) не отображается в списке Службы панели управления;

пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) отображается в списке Службы, но не удается запустить службу;

при попытке доступа к параметрам брандмауэра Windows выводится следующее сообщение об ошибке:

Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows.

Причина

Проблема возникает из-за отсутствия или повреждения файла SharedAccess.reg. Файл SharedAccess.reg представляет службу брандмауэра Windows.

Примечание. Служба брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2) заменяет службу брандмауэра подключения к Интернету в более ранних версиях Windows XP.

Решение

Для решения этой проблемы воспользуйтесь одним из приведенных ниже способов.

Способ 1. Вызов функции «Setup API InstallHinfSection» для установки брандмауэра Windows

Чтобы установить брандмауэр Windows, выполните следующие действия:

Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.

Введите следующую команду в командной строке и нажмите клавишу ВВОД:

Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%infnetrass.inf

Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.

В командной строке введите следующую команду и нажмите клавишу ВВОД:

Netsh firewall reset

В меню Пуск выберите пункт Выполнить, введите команду firewall.cpl и нажмите клавишу ВВОД. В диалоговом окне Брандмауэр Windows выберите вариант Включить (рекомендуется) и нажмите кнопку ОК.

Способ 2. Добавление записи брандмауэра Windows в реестр

Внимание! При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут привести к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует разрешения этих проблем. Ответственность за изменение реестра несет пользователь.

Чтобы добавить запись брандмауэра Windows в реестр, выполните следующие действия:

Скопируйте следующий текст в Блокнот и сохраните файл под именем Sharedaccess.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess]
«DependOnGroup»=hex(7):00,00
«DependOnService»=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,
6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
«Description»=»Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса.»
«DisplayName»=»Брандмауэр Windows/Общий доступ к Интернету (ICS)»
«ErrorControl»=dword:00000001
«ImagePath»=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
«ObjectName»=»LocalSystem»
«Start»=dword:00000000
«Type»=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParameters]
«ServiceDll»=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,
69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,
00

Дважды щелкните файл Sharedaccess.reg для внесения его содержимого в реестр и создания записи брандмауэра Windows.

Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.

В командной строке введите следующую команду и нажмите клавишу ВВОД:

Netsh firewall reset

Выберите в меню Пуск пункт Выполнить, введите команду firewall.cpl и нажмите кнопку ОК.

Настройте необходимые параметры брандмауэра Windows.

Если эти способы не устраняют проблему, переустановите систему Windows XP с пакетом обновления 2 (SP2).

Дополнительная информация

Для проверки запуска службы брандмауэра Windows выполните следующие действия:

Выберите в меню Пуск пункт Выполнить, введите команду services.msc и нажмите кнопку ОК.

В списке служб выберите пункт Брандмауэр Windows/Общий доступ к Интернету (ICS). Убедитесь в том, что служба имеет состояние Работает.

Для получения сведений об использовании окна «Службы» выберите пункт Справка в меню Действие.

Статус

Данное поведение является подтвержденной ошибкой продуктов Майкрософт, перечисленных в разделе «Информация в данной статье применима к».

Ссылки

Дополнительные сведения об использовании брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2) см. в следующей статье базы знаний Майкрософт:

875357 Устранение неполадок, связанных с параметрами брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

892199 Не удается запустить службу брандмауэра Windows на компьютере под управлением Windows XP с пакетом обновления 2 (SP2) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)Дополнительные сведения об устранении неполадок брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2) см. на веб-узле Майкрософт по следующему адресу:

Источник

Отключаем брандмауэр в ОС Windows XP

Довольно часто в различных инструкциях пользователи могут столкнуться с тем, что там потребуют отключить стандартный брандмауэр. Однако, как это сделать не везде расписано. Именно поэтому сегодня мы расскажем о том, как же все-таки это можно сделать без вреда для самой операционной системы.

Варианты отключения брандмауэра в Windows XP

Отключить брандмауэр Windows XP можно двумя способами: во-первых, это отключить его с помощью настроек самой системы и во-вторых, это принудительно остановить работу соответствующей службы. Рассмотрим оба способа более подробно.

Способ 1: Отключение брандмауэра

Данный способ является наиболее простым и безопасным. Нужные нам настройки находятся в окне «Брандмауэр Windows». Для того, чтобы туда попасть выполняем следующие действия:

Если вы используете классический вид панели инструментов, то перейти к окну брандмауэра можно сразу, кликнув два раза левой кнопкой мышки по соответствующему апплету.

Отключив таким образом брандмауэр, следует помнить, что сама служба все же остается активной. Если же вам требуется полностью остановить службу, тогда воспользуйтесь вторым способ.

Способ 2: Принудительное отключение службы

Еще один вариант завершить работу брандмауэра – это остановить службу. Для этого действия потребуются права администратора. Собственно, для того, чтобы завершить работу службы, первым делом надо перейти в список служб операционной системы, для чего необходимо:

Как открыть «Панель управления», было рассмотрено в предыдущем способе.

Если вы используете классический вид Панели инструментов, то «Администрирование» доступно сразу. Для этого кликаем два раза левой кнопкой мышки по соответствующему значку, а затем выполняем действие пункта 3.

На этом все, служба брандмауэра остановлена, а значит и сам брандмауэр выключен.

Заключение

Таким образом, благодаря возможностям операционной системы Windows XP, у пользователей есть выбор, как отключить брандмауэр. И теперь, если в какой-либо инструкции вы столкнулись с тем, что необходимо его отключить, вы можете использовать один из рассмотренных способов.

Источник

The Battle for Middle-earth II не запускается на Windows 7/8/10: как исправить?

The Lord of the Rings: The Battle for Middle-earth II – это невероятная стратегия в реальном времени, основанная на книгах и фильмах по вселенной Властелина Колец. Вышла данная игра еще в 2006 году на ПК-платформе, но остается популярной и по сей день.

Однако, многие игроки столкнулись с довольно неприятной проблемой: они не могут запустить игру на операционных системах Windows 7/8/10. Порой игра совсем не подает признаков жизни, а порой она может вылетать на Рабочий стол с ошибкой, сообщающей о прекращении работы программы.

В нашей статье мы попробуем помочь вам в решении этой неприятной проблемы, чтобы вы наконец-то смогли нормально поиграть в The Battle for Middle-earth II на современных системах Windows.

Как запустить The Battle for Middle-earth II на Windows 7/8/10?

Метод №1 Запуск игры через совместимость с Windows Vista Service pack 2 и Windows 7

Первым нашим методом станет запуск игры через режим совместимости с более старой операционной системой. Нет, не с Windows XP или даже Windows 95, а с Windows Vista. Причем со вторым сервисным пакетом.

Итак, найдите в папке игры ее исполнительный файл, нажмите на него правой кнопкой мыши и перейдите в «Свойства». Перейдите во вкладку «Совместимость». Из ниспадающего меню совместимости выберите «Windows Vista Service pack 2» и примените изменения.

Теперь снова попробуйте запустить The Battle for Middle-earth II. Ну как, есть какие-то сдвиги с игрой? Если нет, то можете также выставить совместимость с Windows 7, так как порой помогает этот режим.

Метод №2 Создание конфигурационного файла

Если первый метод не помог, то второй уж точно решит проблему The Battle for Middle-earth II с вылетами и тотальным отказом запускаться. Пользователи уже поняли, почему данная игра не запускается у некоторых игроков: разрешение дисплея.

Все дело в том, что данная игра не разработана для работы под высокими разрешениями, например, HD или FullHD. Как только вы пытаетесь запустить игру с ее стандартными настройками, то происходит конфликт между ней и вашим разрешением.

Лечиться данная проблема с помощью создания особого конфигурационного файла, в котором будут содержаться необходимые настройки для игры, чтобы та запустилась на современных компьютерах с их большими мониторами. Итак, сделайте следующее:

Источник

Встроенный файрвол (брандмауэр) Windows XP Service Pack 2

В Windows XP появился встроенный файрвол, который должен был защищать подключения к сети компьютера от несанкционированного доступа и заражения некоторыми типами вирусов. По умолчанию встроенный файрвол был отключен и это послужило одной из причин того, что вирусные эпидемии поражали компьютеры с Windows XP, не смотря на то, что операционная система имела инструмент, который должен был предотвратить заражение. Microsoft отреагировала на это обстоятельство, выпустив новый пакет исправлений для Windows XP, который, в том числе, обновлял встроенный файрвол, предоставляя в распоряжение пользователя новую функциональность, и включал файрвол для всех соединений с сетью. Теперь у пользователя есть возможность настроить файрвол под свои нужды и корректировать его поведение при попытках выхода в сеть программного обеспечения. Можно так же задавать исключения из правил, предоставляя возможность определенному программному обеспечению получать доступ в сеть, минуя запрещающие правила файрвола. По умолчанию, файрвол включен для всех соединений с сетью, но по желанию пользователя, для некоторых соединений он может быть отключен. Если на компьютере используется файрвол стороннего производителя, то встроенный файрвол должен быть отключен.

К оглавлению Установка Service Pack 2 для Windows XP

Service Pack 2 для Windows XP доступен для загрузки на сайте Microsoft. Если планируется установить пакет исправлений только на одной машине, то имеет смысл воспользоваться сайтом Windows Update, при помощи которого операционная система будет проверена на отсутствие важных исправлений, и будут загружены только необходимые из них. Это позволит уменьшить объем скачиваемой информации и сэкономит время установки обновлений.

Если сервис–пак планируется устанавливать на несколько компьютеров, то имеет смысл загрузить его полную версию.

Доступ к настройкам файрвола (брандмауэра) Windows XP Service Pack 2 можно получить при помощи Пуск – Панель управления – брандмауэр Windows. Пример окна с настройками файрвола показан на рисунке ниже.

В этом окне можно включить или выключить файрвол для всех соединений с сетью. Пункт Не разрешать исключения активизирует режим работы файрвола, при котором файрвол не выводит на экран оповещений о блокировке и отключает список исключений, который можно задать на следующей вкладке окна управления файрволом.

Файрвол разрешает входящие подключения для приложений, перечисленных в этом списке, если они отмечены флажком. Можно разрешить входящие подключения на определенный локальный порт, создав соответствующее правило. На следующей вкладке окна настроек файрвола собраны дополнительные настройки.

В этом окне можно отключить файрвол для определенного подключения или настроить дополнительные параметры фильтрации для каждого из подключений при помощи кнопки Параметры. В этом же окне настраивается журнал работы файрвола, задаются параметры фильтрации протокола ICMP. При помощи кнопки По умолчанию можно вернуть все настройки файрвола к исходным.

Автоматическое создание исключений для приложений

При запуске на компьютере программы, которая должна прослушивать определенный порт, ожидая подключения к нему из сети, файрвол выведет на экран запрос, пример которого представлен ниже.

Выбор Отложить оптимален, если нет уверенности в том, какое приложение пытается открыть порт, и будет ли система нормально работать после отказа приложению в открытии порта. В принципе, можно заблокировать попытку открытия порта приложением и если выбор будет неверен, то в последствии можно будет исправить автоматически созданное исключение вручную.

Создание исключений для приложений вручную

Если приложение, которое должно принимать входящие подключения из сети, заранее известно, то для него можно создать исключение вручную. Для этого нужно открыть окно настройки файрвола и выбрать вкладку Исключения.

В этом окне в списке программ перечислены те из них, которые установлены на компьютере. Если программа, которой необходимо разрешить принимать входящие подключения, отсутствует в списке, то при помощи кнопки Обзор можно указать путь к ней. После нажатия кнопки OK исключение будет создано и добавлено в список, где будет отмечено флажком, который говорит о том, что данное правило разрешает указанному приложению открывать порты и ожидать подключения из сети. Если необходимо запретить приложению открывать порты, то флажок следует снять.

Создание исключений для портов

Файрвол предоставляет возможность открыть любой порт, разрешив, таким образом, устанавливать соединения из сети с сервисом, работающим на открываемом порту. Чтобы открыть порт нужно в окне исключений нажать кнопку Добавить порт. Пример окна для добавления порта в список исключений показан ниже.

В этом окне необходимо указать протокол и номер порта, подключения к которому из сети файрвол не будет блокировать. В поле имя нужно ввести краткое описание причины по которой порт был открыт, чтобы по прошествии времени ненужное правило можно было легко найти и удалить или исправить.

Изменение адресов, с которых разрешено устанавливать подключения

В этом окне можно задать список адресов, подключения с которых будут пропущены файрволом. Есть возможность указать, что подключения необходимо разрешить как с любого адреса, так и со строго определенных. Также, может быть указана подсеть, в которой находится компьютер под защитой файрвола.

К оглавлению Дополнительные настройки файрвола

Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании

После установки Service Pack 2 в настройках файрвола были отключены все исключения, созданные по умолчанию.

Источник

Решение проблем при работе с брандмауэром Windows в ОС Microsoft Windows XP Service Pack 2

Опубликовано 22 сентября 2004 г.
Переведено 4 июля 2006 г.

Аннотация

Брандмауэр Windows (Windows Firewall), включённый в ОС Microsoft® Windows® XP Service Pack 2 (SP2) вместо брандмауэра подключения к Интернету (Internet Connection Firewall, ICF) из предыдущих версий Windows XP, является узловым брандмауэром, регистрирующим состояние связи. Он обеспечивает безопасность входящего трафика, получаемого как из Интернета, так и от устройств в частной сети. Данная статья описывает принципы работы брандмауэра Windows (Windows Firewall), наиболее распространённые проблемы, возникающие при его использовании, а также набор инструментов, позволяющих устранять эти неполадки. Статья адресована сетевым администраторам и опытным пользователям, знакомым с ОС Windows XP и протоколом TCP/IP.

На этой странице

Обзор брандмауэра Windows (Windows Firewall)

Брандмауэр (сетевой экран) – это защитный барьер между компьютером или сетью и внешним миром. Брандмауэр Windows (Windows Firewall), включённый в ОС Windows XP Service Pack 2 (SP2) представляет собой узловой брандмауэр, регистрирующий состояние связи. Он блокирует входящий трафик, поступающий на компьютер без запроса и не определённый в качестве допустимого (исключённого из фильтрации). Таким образом, Windows Firewall обеспечивает необходимый уровень защиты от злонамеренных пользователей и программ, использующих для атак незапрашиваемый трафик. При этом, за исключением некоторых сообщений протокола межсетевых управляющих сообщений (ICMP), брандмауэр Windows не блокирует исходящий трафик.

В отличие от брандмауэра подключения к Интернету (Internet Connection Firewall, ICF), входящего в состав ОС Windows XP Service Pack 1 или Windows XP без пакетов обновлений, брандмауэр Windows предназначен для использования с любыми сетевыми подключениями, включая общедоступные из Интернета, подключения к локальным офисным и домашним сетям, а также к частным сетям организаций.

Во многих корпоративных сетях, использующих Windows XP SP1 или Windows XP без пакетов обновлений, на внутренних подключениях ICF не задействуется, так как компьютеры в таких сетях не доступны из Интернета напрямую. Брандмауэр, прокси и другие системы безопасности корпоративных сетей обеспечивают некоторый уровень защиты от внешних угроз для компьютеров, входящих в интрасеть. Однако отсутствие узловых брандмауэров, подобных брандмауэру Windows, на подключениях к интрасети делает компьютеры уязвимыми для вредоносных программ, заносимых в закрытую сеть через мобильные компьютеры.

Допустим, сотрудник компании подключает служебный ноутбук к домашней сети, не имеющей достаточного уровня защиты. Поскольку сетевое подключение ноутбука не защищено брандмауэром, ноутбук оказывается заражён вредоносной программой (вирусом или червём), использующей для своего распространения незапрашиваемый трафик. Сотрудник приносит ноутбук обратно в офис и подключает его к интрасети предприятия, эффективно обходя, таким образом, системы безопасности, находящиеся на границе интрасети с Интернетом. Получив доступ к интрасети, вредоносная программа начинает заражать другие компьютеры. Если бы брандмауэр Windows был активирован по умолчанию, ноутбук бы не был инфицирован через домашнюю сеть. Однако даже при подключении заражённого вирусом компьютера к интрасети, входящие в неё компьютеры могли бы отразить атаку вредоносного кода с помощью брандмауэра Windows.

При работе клиентских программ на компьютерах под управлением ОС Windows XP SP2 использование брандмауэра Windows не мешает передаче данных. Доступ к сети, электронная почта, групповая политика, агенты управления, запрашивающие обновления с управляющего сервера – примеры клиентских программ. При их выполнении соединение всегда инициируется клиентским компьютером, и весь трафик, отправляемый с сервера в ответ на запрос, разрешается брандмауэром в качестве запрашиваемого входящего трафика.

В ОС Windows XP SP1 или Windows XP без пакетов обновлений брандмауэр ICF по умолчанию отключен для любых соединений, его активация на подключении к Интернету осуществляется с помощью Мастера настройки сети (Network Setup Wizard) или Мастера подключения к Интернету (Internet Connection Wizard). Возможно включение ICF вручную, путём установки единственного флажка на вкладке Дополнительно в свойствах соединения, где Вы также можете задать исключаемый трафик, определив порты TCP или UDP.

В ОС Windows XP SP2 брандмауэр Windows активирован по умолчанию для всех соединений; исключения для него могут быть заданы с помощью компонента панели управления (Control Panel) Брандмауэр Windows, доступного из нового центра обеспечения безопасности Windows (Security Center). Для получения дополнительной информации, смотрите документ Ручная настройка брандмауэра Windows в ОС Windows XP Service Pack 2 Manually Configuring Windows Firewall in Windows XP Service Pack 2 (EN).

При активации брандмауэра Windows для сетевого подключения, в папке Сетевые подключения (Network Connections) на соответствующем значке появляется изображение замка. Если выбрать такое соединение, в его описании отобразится статус Подключено, Защищено брандмауэром (Enabled, Firewalled). На рисунке ниже приводится пример, в котором брандмауэром Windows защищены все подключения компьютера.

Описание работы брандмауэра Windows

Работа брандмауэра основана на выполнении следующей операции:

Трафик в списке исключений определяется с помощью указания IP-адресов, TCP и UDP портов. Нельзя задать правила для трафика на основании поля протокола IP в заголовке IP.

Список разрешённого трафика наполняется двумя путями:

Например, если на DNS-сервер посылается запрос на сопоставление имени (Name Query Request), брандмауэр Windows создаёт запись о том, что соответствующее сообщение-ответ (Name Query Response), отправленное сервером DNS, может быть передано для дальнейшей обработки по протоколу TCP/IP. Такое функционирование позволяет отнести брандмауэр Windows к брандмауэрам, регистрирующим состояние связи: сохраняется информация о трафике, инициированном компьютером, так что соответствующий ответный входящий трафик разрешается.

Например, если компьютер выступает в роли веб-сервера, Вам следует настроить брандмауэр Windows на исключение из фильтрации веб-трафика, чтобы компьютер мог отвечать на запросы веб-клиентов. Исключения могут быть заданы как для программ (в этом случае порты, открываемые указанной программой, автоматически будут добавляться в список исключений), так и для TCP и UDP портов (которые будут открыты независимо от того, работают использующие их приложения и службы или нет).

Наиболее распространённые проблемы с брандмауэром Windows

При использовании брандмауэра Windows наиболее часто встречаются следующие проблемы:

Невозможно настроить брандмауэр Windows

Если все настройки на вкладках Общие (General), Исключения (Exceptions) и Дополнительно (Advanced) в свойствах брандмауэра оказываются недоступны (отображаются серыми), значит, Вы не являетесь членом локальной группы администраторов (далее в данной статье – администратором компьютера). Настраивать брандмауэр Windows можно, только имея права администратора.

Если недоступными являются некоторые из настроек на вкладках Общие, Исключения и Дополнительно в свойствах брандмауэра, то Ваш компьютер либо:

Обратитесь за дополнительной информацией к сетевому администратору.

Для сброса настроек локальной групповой политики, регулирующих работу брандмауэра Windows, откройте оснастку Политика «Локальный компьютер» (Local Computer Policy) и установите все значения в ветке Конфигурация компьютераАдминистративные шаблоныСетьСетевые подключенияБрандмауэр Windows (Computer ConfigurationAdministrative TemplatesNetworkNetwork ConnectionsWindows Firewall) в папках Профиль домена (Domain Profile) и Стандартный профиль (Standard Profile) как Не задана (Not Configured).

Отсутствие отклика с компьютера при выполнении команды ping

Обычным средством при устранении проблем с соединениями является использование процедуры ping для проверки канала связи до IP-адреса компьютера, с которым Вы устанавливаете соединение. Используя команду ping, Вы посылаете эхо-запрос ICMP и получаете эхо-ответ ICMP. По умолчанию брандмауэр Windows не принимает входящие эхо-запросы ICMP, и компьютер не может отправить эхо-ответ ICMP. Чтобы локально настроить брандмауэр Windows на приём эхо-запросов ICMP, Вам следует активировать настройку Разрешать запрос входящего эха (Allow incoming echo request) в диалоговом окне Параметры ICMP (ICMP), доступном из настроек ICMP на вкладке Дополнительно (Advanced) диалогового окна Брандмауэр Windows. Пример показан на рисунке.

Вы также можете разрешить приём эхо-запросов ICMP для конкретного подключения, перейдя с вкладки Дополнительно (Advanced) в Свойствах (Properties) выбранного подключения в диалоговое окно Брандмауэр Windows (Windows Firewall) (нажав кнопку Параметры (Settings) в разделе Брандмауэр Windows (Windows Firewall)), а оттуда – на вкладку Дополнительно (Advanced) и в диалоговое окно Параметры ICMP (ICMP), нажав кнопку Параметры (Settings) в разделе Протокол ICMP (ICMP).

Если Ваш компьютер входит в домен, Вы также можете задать исключения для ICMP через настройку групповой политики брандмауэра Windows. Для получения дополнительной информации, смотрите документ Применение настроек брандмауэра Windows в ОС Windows XP Service Pack 2 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2(EN).

Примечание. Параметры брандмауэра Windows могут изменять только администраторы компьютера, если это не противоречит настройкам групповой политики для брандмауэра Windows.

Если приём эхо-запросов ICMP разрешен, с Вашего компьютера можно будет получить отклик с помощью команды ping. Однако при этом система станет уязвимой для атак, основанных на использовании эхо-запросов ICMP. Поэтому рекомендуется активировать настройку Разрешать запрос входящего эха (Allow incoming echo request), только когда в этом есть необходимость, и выключать её, если она не нужна.

Игровой, веб- или иной сервер не доступен из Интернета

Если приложение или служба находится в состоянии ожидания незапрашиваемого входящего трафика (например, на сервере, приёмнике или равноправном узле сети), брандмауэр Windows с настройками по умолчанию будет отклонять такой трафик, пока не будут заданы соответствующие исключения. Исключения для приложений, ожидающих незапрашиваемый трафик, задаются следующими способами:

Если приложение не использует вызовы API брандмауэра Windows и при работе пытается прослушивать TCP или UDP порты, брандмауэр Windows с помощью диалогового окна Оповещение системы безопасности Windows (Windows Security Alert) запрашивает администратора компьютера, следует ли добавить приложение в список исключений на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall), при этом заблокировав трафик для всех пользователей (опция Блокировать (Keep blocking)), или добавить приложение в список исключений и разрешить его трафик для всех пользователей (опция Разблокировать (Unblock)), или заблокировать незапрашиваемый трафик в этот раз и повторить запрос при следующем запуске приложения (опция Отложить (Ask Me Later)).

Чтобы узнать путь к приложению, отображаемому в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), наведите курсор мыши на название или описание приложения. Путь будет показан в появившейся подсказке.

Если пользователь не имеет прав администратора компьютера, в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert) отобразится сообщение о том, что трафик блокируется, и будет предложено обратиться за дальнейшей информацией к сетевому администратору.

Работа брандмауэра Windows со службами не настраивается через диалоговое окно Оповещение системы безопасности Windows (Windows Security Alert). Поэтому Вам следует задать исключения для служб вручную:

Задать исключения вручную можно либо с помощью имён приложений, что позволяет брандмауэру Windows автоматически открывать и закрывать все порты, требуемые службе или программе, либо путём определения TCP и UDP портов, которые будут открыты независимо от того, работают использующие их приложения или нет. С точки зрения безопасности и простоты настройки, установка исключений по именам программ является более предпочтительным методом по сравнению с указанием открытых портов.

Чтобы вручную задать исключения для программ, сделайте следующее:

Чтобы вручную задать исключения для портов, сделайте следующее:

Примечание. Задавать исключения на основе IP-протокола нельзя.

Чтобы определить, для каких портов необходимо задавать исключения, обратитесь к документации программы или на сайт её производителя за информацией о настройке брандмауэров для разрешения необходимого трафика. Если Вам не удаётся определить трафик, используемый программой, или программа не работает после задания исключений, смотрите раздел «Общие методы определения и настройки исключений» в данной статье.

Применение исключений для TCP и UDP портов эффективно только при работе с программами, использующими статические порты. Такие программы работают с постоянными, не изменяющимися наборами портов. Однако некоторые программы используют динамические порты, меняющиеся при каждом запуске программы или в процессе её работы. Приложение, принимающее трафик через динамические порты, следует вносить в список исключений для программ, а не портов.

Нет доступа к общим папкам и принтерам

Если на компьютере с работающим брандмауэром Windows нет доступа к общим файлам или принтерам, Вам следует активировать предустановленное исключение для Общего доступа к файлам и принтерам (File and Printer Sharing) на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).

Примечание. На компьютерах, имеющих прямое соединение с Интернетом (на управляемых компьютерах в Стандартном профиле), активация исключения для Общего доступа к файлам и принтерам (File and Printer Sharing) категорически не рекомендуется, так как в этом случае злонамеренные пользователи могут попытаться получить доступ к общим файлам и угрожать безопасности Ваших данных. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Общего доступа к файлам и принтерам только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only) в диалоговом окне Изменение области (Change Scope)).

Не удаётся управлять удалённым компьютером, на котором работает брандмауэр Windows

Если Вам не удаётся осуществлять удалённое управление компьютером, на котором работает брандмауэр Windows, Вам следует активировать предустановленное исключение для Удалённого Помощника (Remote Assistance) на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).

Примечание. Активация исключения для Удалённого Помощника (Remote Assistance) на компьютерах, напрямую подключенных к Интернету (на управляемых компьютерах в Стандартном профиле), крайне нежелательна, так как в этом случае злонамеренные пользователи могут попытаться удалённо контролировать Ваш компьютер. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Удалённого помощника (Remote Assistance) только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only)) в диалоговом окне Изменение области (Change Scope)).

В папке Сетевое окружение не отображаются компьютеры сети

Причина проблемы здесь та же, что и при отсутствии доступа к общим папкам и принтерам. Если в окне Сетевое окружение после включения брандмауэра Windows не видны компьютеры Вашей частной сети, Вам следует активировать предустановленное исключение для Общего доступа к файлам и принтерам (File and Printer Sharing) на вкладке Исключения (Exceptions) в свойствах брандмауэра Windows.

Примечание. Активация исключения для Общего доступа к файлам и принтерам (File and Printer Sharing) на компьютерах, имеющих прямое соединение с Интернетом, категорически не рекомендуется, так как в этом случае злонамеренные пользователи могут попытаться получить доступ к общим файлам и угрожать безопасности Ваших данных. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Общего доступа к файлам и принтерам только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only)) в диалоговом окне Изменение области (Change Scope)).

Удалённый помощник не работает

Для получения информации о настройке брандмауэра для использования Удалённого помощника, обратитесь к Приложению D в Применение настроек брандмауэра Windows в ОС Windows XP Service Pack 2 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (EN).

Как определить, настроен ли брандмауэр Windows с помощью групповой политики

Для компьютеров, принадлежащих домену, конфигурация брандмауэра Windows складывается из локальных настроек, сохраняемых в реестре, и установок групповой политики. При решении проблем часто бывает полезно знать, действуют ли в отношении брандмауэра только локальные настройки или также и установки групповой политики, и, в последнем случае, какой из профилей брандмауэра Windows задействован (Профиль домена или Стандартный профиль). Для определения профиля, который необходимо применить, ОС Windows XP SP2 выполняет проверку параметров сети. Для получения дополнительной информации, смотрите Определение конфигурации сети для применения сетевых настроек групповой политики Network Determination Behavior for Network-Related Group Policy Settings (EN).

Чтобы определить сетевые параметры, выполните команду netsh firewall show state verbose=enable в командной строке. Вот пример первой секции экрана :

Рабочий режим = Enable

Режим исключения = Enable

Режим многоадр./широковещ. ответов = Enable

Режим уведомления = Enable

Версия групповой политики = Нет

Режим удаленного администрирования = Disable

В разделе «Состояние брандмауэра» (“Firewall status”) посмотрите на значения параметров «Профиль» (“Profile”) и «Версия групповой политики» (“Group Policy Version”). В приведённой таблице перечисляются варианты значений этих параметров и их смысл.

Значение параметра «Профиль»	Значение параметра «Версия групповой политики»	Описание
Обычный	Нет	Групповая политика брандмауэра не определена. На компьютере действуют только локальные настройки брандмауэра.
Обычный	Брандмауэр Windows	На компьютере действуют настройки групповой политики брандмауэра.
Domain	Нет	Компьютер подключен к сети, содержащей Ваш домен, но групповая политика брандмауэра не определена.
Domain	Legacy Firewall (ICF)	Применена установка групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network), и групповая политика брандмауэра Windows не определена.
Domain	Брандмауэр Windows	Компьютер подключен к сети, содержащей Ваш домен, и на нём действуют настройки групповой политики брандмауэра Windows.

Примечание. Активация настройки групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network) может отключить брандмауэр Windows (в этом случае параметр «Рабочий режим» (“Operational Mode”) на экране, отображающемся после выполнения команды netsh, принимает значение «Disable»), если при этом не включена настройка групповой политики брандмауэра Windows Защитить все сетевые подключения (Windows Firewall: Protect All Network Connections).

Чтобы определить, было ли исключение для приложения или порта задано в локальных настройках или через групповую политику, просмотрите разделы «Исключения для программ» («Program exceptions») и «Исключения для порта» («Port exceptions») в содержании экрана, выводимого командой netsh firewall show state verbose=enable. Эти разделы отображаются в виде таблиц, содержащих списки исключений. В каждой таблице имеется столбец «Локальная политика» (“Local Policy”). Если выбранному исключению в этом столбце сопоставлено значение «Да», значит, данное исключение было задано через настройки локальной политики. Если это значение «Нет», то исключение было установлено через настройки групповой политики.

Ниже приведён пример фрагмента раздела экрана «Исключения для порта», выводимого командой netsh firewall show state verbose=enable

Примечание. Некоторые строки кода перенесены для удобства чтения.

Исключения для порта:

Порт Протокол Лок. политика Режим Имя / Тип службы

137 UDP Да Enable Служба имени NetBIOS / Общий доступ к файлам и принтерам

138 UDP Да Enable Служба датаграмм NetBIOS / Общий доступ к файлам и принтерам

139 TCP Да Enable Служба сеанса NetBIOS / Общий доступ к файлам и принтерам

445 TCP Да Enable SMB поверх TCP / Общий доступ к файлам и принтерам

3389 TCP Нет Enable Дистанционное управление рабочим столом / Дистанционное управление рабочим столом

В этом примере все исключения для портов, кроме заданного для дистанционного управления рабочим столом, определены через настройки локальной политики.

Для получения полного списка настроек брандмауэра Windows, определённых через групповую политику, используйте оснастку Результирующая политика (Resultant Set of Policy, RSOP). Дополнительная информация содержится в разделе Справка и поддержка Windows XP.

Общие методы определения и настройки исключений

Если работа приложения или службы нарушается из-за блокирования брандмауэром Windows незапрашиваемого входящего трафика, то вместо того, чтобы отключать сам брандмауэр Windows, следует задать ему исключения таким образом, чтобы блокируемый трафик был разрешён. Отключение брандмауэра Windows не рекомендуется, так как это сделает Ваш компьютер уязвимым для злоумышленников и вредоносных программ, если Вы при этом не используете сетевой экран от стороннего производителя.

Как описывается в разделе данной статьи «Игровой, веб- или иной сервер не доступен из Интернета», брандмауэр Windows уведомляет пользователя, когда приложения пытаются прослушивать порты. В зависимости от выбранного пользователем варианта ответа в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), приложение либо добавляется в список исключений на вкладке Исключения (Exceptions), при этом трафик блокируется (опция Блокировать (Keep blocking)), либо добавляется в список исключений с разрешением трафика (опция Разблокировать (Unblock)), либо не добавляется в список и блокируется (опция Отложить (Ask Me Later)). Если Вы выбираете вариант Блокировать (Keep Blocking), разрешить трафик для этого приложения в случае необходимости Вы сможете из вкладки Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall). Исключения могут задаваться как приложениями при использовании API брандмауэра Windows, так и вручную.

Службы Windows, в отличие от приложений, не задействуют оповещения брандмауэра Windows для автоматического создания и активации исключений. Исключения для служб Windows задаются либо службой, использующей API брандмауэра Windows, либо ручной настройкой путём указания исключаемых программ или портов. Если служба запускается исполняемым файлом (таким, как *.exe), Вы можете задать исключение для программы. Если служба запускается другой службой, подобной Svchost.exe, Вам следует указать исключаемые порты.

Если требуется задать исключения для портов или сообщений ICMP, используемых какой-либо службой, то для определения нужных TCP или UDP портов, а также сообщений ICMP, обращайтесь к документации данной службы Windows или на соответствующий веб-сайт. Основываясь на документации, укажите необходимые исключения для портов и сообщений ICMP. Если же указания на используемые службой порты и ICMP сообщения в документации отсутствуют, выполните следующую последовательность действий:

Определить номера портов, используемых службой, можно также с помощью аудита, выполнив следующие шаги:

Если можно отследить программу или службу по записям событий Аудита отказов (Failure Audit), используйте содержащуюся в них информацию о TCP или UDP портах для задания исключений. В качестве исключаемых необходимо указать все порты, запрашиваемые программой или службой.

Иногда службы запускаются в составе более ёмких процессов, одновременно задействующих несколько служб, подобных, например, процессу Svchost.exe. В таких случаях используйте команду netstat –abn, чтобы выявить все порты, через которые ведётся прослушивание сети. По списку компонентов, перечисляемых по именам файлов, Вы можете определить порты, запрашиваемые конкретной службой.

Ниже приводится пример использования команды netstat –abn

Имя Локальный адрес Внешний адрес Состояние PID

Источник

Видео

ВВЕДЕНИЕ

В данной статье описаны порты, которые вам необходимо открыть в Брандмауэре Microsoft Windows для того, чтобы играть, либо устанавливать соединение с узлом мультипользовательской игры Microsoft Age of Empires III. Помимо этого, в данной статье описаны преимущества использования архитектуры UPnP, поддерживающий функцию peer-to-peer Plug and Play для сетевых устройств.

В данной статье также перечислены адреса портов, которые должны быть открыты на компьютерах, на которых не запущен Брандмауэр Windows, но вместо этого используются прокси-сервера, маршрутизатор, преобразование сетевых адресов (NAT) или общий доступ к подключению к Интернету.

Дополнительные сведения

Брандмауэр Windows в системе Windows XP

Брандмауэр Windows, ранее известные как брандмауэр подключения Интернета (ICF) — защитный барьер, который контролирует и ограничивает информацию, проходящую между компьютером и сетью или между компьютером и Интернетом. Это обеспечивает линию обороны против тех, кто может попытаться получить доступ к компьютеру из вне брандмауэра Windows без вашего разрешения.

При использовании Windows XP Пакет обновления 2 (SP2), нет необходимости вручную создавать исключения для портов в брандмауэре Windows. Вместо этого можно создать исключения для самой программы. В этом случае когда программа пытается получить доступ к порту, брандмауэр Windows включает доступ к этому порту.

Чтобы создать исключения для программ в Windows XP, выполните следующие действия.

Примечание. Не открывайте порт для программы, которую плохо знаете.

1. Нажмите кнопку Пуск, выберите пункт выполнить, введите команду wscui.cplи нажмите кнопку ОК.

2. Выберите брандмауэр Windows.

3. Перейдите на вкладку Исключения, выберите Добавить программу и нажмите кнопку Обзор.

4. Найдите исполняемый файл для Age of Empires III и нажмите кнопку Открыть. По умолчанию исполняемый файл для Age of Empires III устанавливается в следующем месте:

   C: Program FilesMicrosoft GamesAge из Empires IIIAge3.exe

5. Найдите средство автоматического исправления для Age of Empires III и нажмите кнопку Открыть. По умолчанию автоматическое средство исправления для Age of Empires III устанавливается в следующем месте:

   C: Program FilesMicrosoft GamesAge из Empires IIIAutopatcher.exe

6. Нажмите кнопку ОК.

7. Нажмите кнопку ОК , чтобы закрыть диалоговое окно брандмауэр Windows.

Дополнительные сведения о параметрах брандмауэра Windows щелкните следующий номер статьи базы знаний Майкрософт:

Параметры 875357 Устранение неполадок брандмауэра Windows в Windows XP Пакет обновления 2

Брандмауэр Windows в системе Windows Vista

Чтобы устранить эту проблему, выполните действия в соответствующем разделе.

Компьютер подключен к Интернету

Просмотрите раздел «Разрешить программе устанавливать связь через брандмауэр Windows» на следующем узле Центр справки и поддержки корпорации:

http://windowshelp.microsoft.com/

Компьютер не подключен к Интернету

Просмотрите раздел «Разрешить программе устанавливать связь через брандмауэр Windows» в центре справки и поддержки на жестком диске компьютера, выполните следующие действия:

1. Нажмите кнопку Пуски выберите команду Справка и поддержка.

2. В поле Поиск в справке или в поле Поиск в электронной справке введите Разрешить программе устанавливать связь через брандмауэр Windowsи нажмите кнопку Найти.

3. В списке разделов нажмите кнопку Разрешить программе устанавливать связь через брандмауэр Windows.

4. Щелкните ссылку, наиболее точно описывающий возникшую проблему.

5. Следуйте рекомендациям по устранению возникшей.

Архитектура UPnP

С добавлением возможности устройства Plug and Play для операционной системы стало гораздо проще установить, настроить и добавлять периферийные устройства к компьютеру. UPnP расширяет этой простоты для включения всей сети, позволяя обнаружения и контроля сетевых устройств и служб, таких как принтеры, подключенном к сети, шлюзы Интернета и оборудование бытовой электроники. UPnP — это больше, чем просто расширением модели периферийных устройств Plug and Play. UPnP предназначен для поддержки автоматического обнаружения и настройки сети для различных категорий устройств от многих поставщиков. Используя UPnP устройство можно выполнить следующие действия:

• Динамически подключиться к сети

• Получить IP-адрес

• Передачи возможностей устройства

• Узнайте о возможностях других устройств автоматически

Впоследствии устройства могут взаимодействовать друг с другом. Это делает возможным с UPnP для одноранговых сетей.

Чтобы включить UPnP в Windows XP, выполните следующие действия.

1. Нажмите кнопку Пуск и выберите Панель управления.

2. Щелкните значок Установка и удаление программи нажмите кнопку Добавление и удаление компонентов Windows.

3. В списке компонентов установите флажок Сетевые службы и нажмите кнопку состав.

4. В диалоговом окне Сетевые службы щелкните установите флажок Обнаружение шлюзового устройства Интернета и клиента управления .

5. Установите флажок Пользовательский интерфейс UPnP и нажмите кнопку ОК.

6. Нажмите кнопку Далее, а затем нажмите кнопку Готово.

Чтобы включить UPnP в Windows Vista, следуйте инструкциям в следующей статье Windows: Справка и инструкции.

Чтобы устранить эту проблему, выполните действия в соответствующем разделе.

Компьютер подключен к Интернету

Просмотрите раздел «С помощью Интернета шлюза устройства обнаружения и управления» на следующем узле Центр справки и поддержки корпорации:

http://windowshelp.microsoft.com/

Компьютер не подключен к Интернету

Просмотрите раздел «С помощью Интернета шлюза устройства обнаружения и управления» в центре справки и поддержки на жестком диске компьютера, выполните следующие действия:

1. Нажмите кнопку Пуски выберите команду Справка и поддержка.

2. В поле Поиск в справке или в поле Поиск в электронной справке введите с помощью Обнаружение шлюзового устройства Интернета и элемент управленияи нажмите кнопку Поиск в справке.

3. В списке разделов нажмите кнопку с помощью Обнаружение шлюзового устройства Интернета и управления.

4. Щелкните ссылку, наиболее точно описывающий возникшую проблему.

5. Следуйте рекомендациям по устранению возникшей.

Дополнительные сведения о UPnP посетите следующий веб-узел корпорации Майкрософт:

http://technet.microsoft.com/en-us/library/bb457049.aspxПримечание. Может потребоваться включить UPnP на все оборудование внешний маршрутизатор, возможно, в рамках сети. Чтобы получить инструкции о том, как включить UPnP и убедитесь, что сетевое оборудование поддерживает UPnP, обратитесь к документации, поставляемой вместе с сетевого оборудования.

Дополнительные сведения об архитектуре UPnP щелкните приведенные ниже номера статей базы знаний Майкрософт:

821371 возможности управления клиента и Обнаружение шлюзового устройства Интернета и технологии универсального Plug and Play

886257 как брандмауэр Windows влияет UPnP в Пакет обновления 2 для Windows XP

Порт списки для Age of Empires III

Если брандмауэр Windows не используется, можно открыть порты, используемые игры при настройке сети.

Убедитесь в том, что эти порты открыты, или открыть эти порты, обратитесь к администратору сети или поставщику услуг Интернета (ISP). Если вы являетесь администратором сети, обратитесь к документации, который поставляется с вашей сетевое программное обеспечение, чтобы узнать, как открыть эти порты.

В следующем списке описаны в спецификациях конфигурации порта для игры:

• В список портов для перенаправления должен быть включён TCP-порт 80.

• В список портов для перенаправления должен быть включён TCP-порт 2300.

• Перенаправление портов должна быть включена на UDP-порты, которые находятся в диапазоне от 2300 в 2310 от маршрутизатора к компьютеру, на котором размещается игры.

Перенаправление портов вручную

Используйте перенаправление портов в сети, чтобы вручную настроить игры необходимо сначала загрузить и установить последнюю версию Age of Empires III. Чтобы сделать это, выберите пункт Справка и средств на главном экране игры и нажмите кнопку Обновления игры. Кроме того посетите следующий веб-узел корпорации Майкрософт:

http://www.agecommunity.com/gameUpdates.aspxНастройте на основании как требуется подключиться по сети игры игры. Для этого задайте порт переопределения и переопределить адрес в настройках игры.

Переопределение порта

Переопределение порта позволяют указать порт для использования вместо того чтобы полагаться на UPnP или процесс обнаружения порта игры. Этот порт полезен при наличии нескольких ПК за же NAT и вы хотите использовать перенаправление портов. Чтобы использовать переопределение порта, выполните следующие действия.

1. Откройте папку Мои документыМои GamesAge of Empires 3Startup.

2. Если файл user.cfg отсутствует, создайте его. Для этого выберите в меню Файл, выберите команду Создать, щёлкните Текстовый документи введите user.cfg.

3. Нажмите кнопку Да, чтобы изменить расширение имени файла.

4. Щелкните правой кнопкой мыши файл и выберите Открыть с помощью.

5. В диалоговом окне Открыть с помощью выберите Блокнот и нажмите кнопку ОК.

6. Введите новую строку: OverridePort = [номер порта, указанный]. Например, введите OverridePort = «2301»

7. В меню Файл нажмите кнопку Сохранить.

8. В меню Файл выберите команду Выход.

9. Настройте маршрутизатор для перенаправления порта, указанного в IP-адрес компьютера, который вы используете.

Переопределение адреса

Адрес переопределения позволяют указать внешний IP-адрес для использования вместо того чтобы полагаться на адрес, который возвращается из игры адрес сервера или с LAN, игра использует внутренний IP. Чтобы использовать переопределения адресов, выполните следующие действия.

1. Снова откройте файл user.cfg.

2. Введите новую строку: OverrideAddress = [указать IP-адрес]. Например, введите OverrideAddress = «72.3.199.57».

3. В меню Файл нажмите кнопку Сохранить.

4. В меню Файл выберите команду Выход.

Примечание. Для определения внешнего IP-адреса, посетите один из следующих веб-узлов сторонних.

http://www.whatismyip.com

http://www.knowmyip.com

http://www.formyip.comКорпорация Майкрософт предоставляет контактные данные независимых производителей для поиска технической поддержки. Данная информация может изменяться без предупреждения. Корпорация Майкрософт не гарантирует точность контактных данных независимых производителей.

Встроенный файрвол (брандмауэр) Windows XP Service Pack 2

В Windows XP появился встроенный файрвол, который должен был защищать подключения к сети компьютера от несанкционированного доступа и заражения некоторыми типами вирусов. По умолчанию встроенный файрвол был отключен и это послужило одной из причин того, что вирусные эпидемии поражали компьютеры с Windows XP, не смотря на то, что операционная система имела инструмент, который должен был предотвратить заражение. Microsoft отреагировала на это обстоятельство, выпустив новый пакет исправлений для Windows XP, который, в том числе, обновлял встроенный файрвол, предоставляя в распоряжение пользователя новую функциональность, и включал файрвол для всех соединений с сетью. Теперь у пользователя есть возможность настроить файрвол под свои нужды и корректировать его поведение при попытках выхода в сеть программного обеспечения. Можно так же задавать исключения из правил, предоставляя возможность определенному программному обеспечению получать доступ в сеть, минуя запрещающие правила файрвола. По умолчанию, файрвол включен для всех соединений с сетью, но по желанию пользователя, для некоторых соединений он может быть отключен. Если на компьютере используется файрвол стороннего производителя, то встроенный файрвол должен быть отключен.

К оглавлению Установка Service Pack 2 для Windows XP

Service Pack 2 для Windows XP доступен для загрузки на сайте Microsoft. Если планируется установить пакет исправлений только на одной машине, то имеет смысл воспользоваться сайтом Windows Update, при помощи которого операционная система будет проверена на отсутствие важных исправлений, и будут загружены только необходимые из них. Это позволит уменьшить объем скачиваемой информации и сэкономит время установки обновлений.

Если сервис–пак планируется устанавливать на несколько компьютеров, то имеет смысл загрузить его полную версию.

Доступ к настройкам файрвола (брандмауэра) Windows XP Service Pack 2 можно получить при помощи Пуск – Панель управления – брандмауэр Windows. Пример окна с настройками файрвола показан на рисунке ниже.

В этом окне можно включить или выключить файрвол для всех соединений с сетью. Пункт Не разрешать исключения активизирует режим работы файрвола, при котором файрвол не выводит на экран оповещений о блокировке и отключает список исключений, который можно задать на следующей вкладке окна управления файрволом.

Файрвол разрешает входящие подключения для приложений, перечисленных в этом списке, если они отмечены флажком. Можно разрешить входящие подключения на определенный локальный порт, создав соответствующее правило. На следующей вкладке окна настроек файрвола собраны дополнительные настройки.

В этом окне можно отключить файрвол для определенного подключения или настроить дополнительные параметры фильтрации для каждого из подключений при помощи кнопки Параметры. В этом же окне настраивается журнал работы файрвола, задаются параметры фильтрации протокола ICMP. При помощи кнопки По умолчанию можно вернуть все настройки файрвола к исходным.

Автоматическое создание исключений для приложений

При запуске на компьютере программы, которая должна прослушивать определенный порт, ожидая подключения к нему из сети, файрвол выведет на экран запрос, пример которого представлен ниже.

Выбор Отложить оптимален, если нет уверенности в том, какое приложение пытается открыть порт, и будет ли система нормально работать после отказа приложению в открытии порта. В принципе, можно заблокировать попытку открытия порта приложением и если выбор будет неверен, то в последствии можно будет исправить автоматически созданное исключение вручную.

Создание исключений для приложений вручную

Если приложение, которое должно принимать входящие подключения из сети, заранее известно, то для него можно создать исключение вручную. Для этого нужно открыть окно настройки файрвола и выбрать вкладку Исключения.

В этом окне в списке программ перечислены те из них, которые установлены на компьютере. Если программа, которой необходимо разрешить принимать входящие подключения, отсутствует в списке, то при помощи кнопки Обзор можно указать путь к ней. После нажатия кнопки OK исключение будет создано и добавлено в список, где будет отмечено флажком, который говорит о том, что данное правило разрешает указанному приложению открывать порты и ожидать подключения из сети. Если необходимо запретить приложению открывать порты, то флажок следует снять.

Создание исключений для портов

Файрвол предоставляет возможность открыть любой порт, разрешив, таким образом, устанавливать соединения из сети с сервисом, работающим на открываемом порту. Чтобы открыть порт нужно в окне исключений нажать кнопку Добавить порт. Пример окна для добавления порта в список исключений показан ниже.

В этом окне необходимо указать протокол и номер порта, подключения к которому из сети файрвол не будет блокировать. В поле имя нужно ввести краткое описание причины по которой порт был открыт, чтобы по прошествии времени ненужное правило можно было легко найти и удалить или исправить.

Изменение адресов, с которых разрешено устанавливать подключения

В этом окне можно задать список адресов, подключения с которых будут пропущены файрволом. Есть возможность указать, что подключения необходимо разрешить как с любого адреса, так и со строго определенных. Также, может быть указана подсеть, в которой находится компьютер под защитой файрвола.

К оглавлению Дополнительные настройки файрвола

Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании

После установки Service Pack 2 в настройках файрвола были отключены все исключения, созданные по умолчанию.

Источник

Не удается запустить службу брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2)

Важно. Эта статья содержит сведения об изменении реестра. Перед изменением реестра необходимо создать его резервную копию. Убедитесь в том, что знаете, как восстановить реестр в случае возникновения проблемы. Дополнительные сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:

256986 Описание реестра Microsoft Windows (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Проблема

После установки пакета обновления 2 (SP2) для Windows XP не удается запустить службу брандмауэра Windows. В частности, могут возникать следующие неполадки:

пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) не отображается в списке Службы панели управления;

пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) отображается в списке Службы, но не удается запустить службу;

при попытке доступа к параметрам брандмауэра Windows выводится следующее сообщение об ошибке:

Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows.

Причина

Проблема возникает из-за отсутствия или повреждения файла SharedAccess.reg. Файл SharedAccess.reg представляет службу брандмауэра Windows.

Примечание. Служба брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2) заменяет службу брандмауэра подключения к Интернету в более ранних версиях Windows XP.

Решение

Для решения этой проблемы воспользуйтесь одним из приведенных ниже способов.

Способ 1. Вызов функции «Setup API InstallHinfSection» для установки брандмауэра Windows

Чтобы установить брандмауэр Windows, выполните следующие действия:

Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.

Введите следующую команду в командной строке и нажмите клавишу ВВОД:

Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%infnetrass.inf

Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.

В командной строке введите следующую команду и нажмите клавишу ВВОД:

Netsh firewall reset

В меню Пуск выберите пункт Выполнить, введите команду firewall.cpl и нажмите клавишу ВВОД. В диалоговом окне Брандмауэр Windows выберите вариант Включить (рекомендуется) и нажмите кнопку ОК.

Способ 2. Добавление записи брандмауэра Windows в реестр

Внимание! При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут привести к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует разрешения этих проблем. Ответственность за изменение реестра несет пользователь.

Чтобы добавить запись брандмауэра Windows в реестр, выполните следующие действия:

Скопируйте следующий текст в Блокнот и сохраните файл под именем Sharedaccess.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess]
«DependOnGroup»=hex(7):00,00
«DependOnService»=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,
6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
«Description»=»Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса.»
«DisplayName»=»Брандмауэр Windows/Общий доступ к Интернету (ICS)»
«ErrorControl»=dword:00000001
«ImagePath»=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
«ObjectName»=»LocalSystem»
«Start»=dword:00000000
«Type»=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParameters]
«ServiceDll»=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,
69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,
00

Дважды щелкните файл Sharedaccess.reg для внесения его содержимого в реестр и создания записи брандмауэра Windows.

Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.

В командной строке введите следующую команду и нажмите клавишу ВВОД:

Netsh firewall reset

Выберите в меню Пуск пункт Выполнить, введите команду firewall.cpl и нажмите кнопку ОК.

Настройте необходимые параметры брандмауэра Windows.

Если эти способы не устраняют проблему, переустановите систему Windows XP с пакетом обновления 2 (SP2).

Дополнительная информация

Для проверки запуска службы брандмауэра Windows выполните следующие действия:

Выберите в меню Пуск пункт Выполнить, введите команду services.msc и нажмите кнопку ОК.

В списке служб выберите пункт Брандмауэр Windows/Общий доступ к Интернету (ICS). Убедитесь в том, что служба имеет состояние Работает.

Для получения сведений об использовании окна «Службы» выберите пункт Справка в меню Действие.

Статус

Данное поведение является подтвержденной ошибкой продуктов Майкрософт, перечисленных в разделе «Информация в данной статье применима к».

Ссылки

Дополнительные сведения об использовании брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2) см. в следующей статье базы знаний Майкрософт:

875357 Устранение неполадок, связанных с параметрами брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

892199 Не удается запустить службу брандмауэра Windows на компьютере под управлением Windows XP с пакетом обновления 2 (SP2) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)Дополнительные сведения об устранении неполадок брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2) см. на веб-узле Майкрософт по следующему адресу:

Источник

Решение проблем брандмауэра Windows XP SP2

Данная статья описывает принципы работы Брандмауэра Windows (Windows Firewall), наиболее распространённые проблемы, возникающие при его использовании, а также набор инструментов, позволяющих устранять эти неполадки. Статья адресована сетевым администраторам и опытным пользователям, знакомым с ОС Windows XP и протоколом TCP/IP.

Как определить, настроен ли Брандмауэр Windows с помощью групповой политики

Для компьютеров, принадлежащих домену, конфигурация Брандмауэра Windows складывается из локальных настроек, сохраняемых в реестре, и установок групповой политики. При решении проблем часто бывает полезно знать, действуют ли в отношении Брандмауэра только локальные настройки или также и установки групповой политики, и, в последнем случае, какой из профилей Брандмауэра Windows задействован (Профиль домена или Стандартный профиль). Для определения профиля, который необходимо применить, ОС Windows XP SP2 выполняет проверку параметров сети.

Чтобы определить сетевые параметры, выполните команду netsh firewall show state verbose=enable в командной строке. Вот пример первой секции экрана :

Рабочий режим = Enable

Режим исключения = Enable

Режим многоадр./широковещ. ответов = Enable

Режим уведомления = Enable

Версия групповой политики = Нет

Режим удаленного администрирования = Disable

В разделе «Состояние брандмауэра» (“Firewall status”) посмотрите на значения параметров «Профиль» (“Profile”) и «Версия групповой политики» (“Group Policy Version”). В приведённой таблице перечисляются варианты значений этих параметров и их смысл.

Значение параметра «Профиль»	Значение параметра «Версия групповой политики»	Описание
Обычный	Нет	Групповая политика Брандмауэра не определена. На компьютере действуют только локальные настройки Брандмауэра.
Обычный	Брандмауэр Windows	На компьютере действуют настройки групповой политики Брандмауэра.
Domain	Нет	Компьютер подключен к сети, содержащей Ваш домен, но групповая политика Брандмауэра не определена.
Domain	Legacy Firewall (ICF)	Применена установка групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network), и групповая политика Брандмауэра Windows не определена.
Domain	Брандмауэр Windows	Компьютер подключен к сети, содержащей Ваш домен, и на нём действуют настройки групповой политики Брандмауэра Windows.

Примечание. Активация настройки групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network) может отключить Брандмауэр Windows (в этом случае параметр «Рабочий режим» (“Operational Mode”) на экране, отображающемся после выполнения команды netsh, принимает значение «Disable»), если при этом не включена настройка групповой политики Брандмауэра Windows Защитить все сетевые подключения (Windows Firewall: Protect All Network Connections).

Чтобы определить, было ли исключение для приложения или порта задано в локальных настройках или через групповую политику, просмотрите разделы «Исключения для программ» («Program exceptions») и «Исключения для порта» («Port exceptions») в содержании экрана, выводимого командой netsh firewall show state verbose=enable. Эти разделы отображаются в виде таблиц, содержащих списки исключений. В каждой таблице имеется столбец «Локальная политика» (“Local Policy”). Если выбранному исключению в этом столбце сопоставлено значение «Да», значит, данное исключение было задано через настройки локальной политики. Если это значение «Нет», то исключение было установлено через настройки групповой политики.

Ниже приведён пример фрагмента раздела экрана «Исключения для порта», выводимого командой netsh firewall show state verbose=enable

Примечание. Некоторые строки кода перенесены для удобства чтения.

Исключения для порта:

Порт Протокол Лок. политика Режим Имя / Тип службы

137 UDP Да Enable Служба имени NetBIOS / Общий доступ к файлам и принтерам

138 UDP Да Enable Служба датаграмм NetBIOS / Общий доступ к файлам и принтерам

139 TCP Да Enable Служба сеанса NetBIOS / Общий доступ к файлам и принтерам

445 TCP Да Enable SMB поверх TCP / Общий доступ к файлам и принтерам

3389 TCP Нет Enable Дистанционное управление рабочим столом / Дистанционное управление рабочим столом

В этом примере все исключения для портов, кроме заданного для Дистанционного управления рабочим столом, определены через настройки локальной политики.

Для получения полного списка настроек Брандмауэра Windows, определённых через групповую политику, используйте оснастку Результирующая политика (Resultant Set of Policy (RSOP)). Дополнительная информация содержится в Справке и поддержке Windows XP.

Общие методы определения и настройки исключений

Если работа приложения или службы нарушается из-за блокирования Брандмауэром Windows незапрашиваемого входящего трафика, то вместо того, чтобы отключать сам Брандмауэр Windows, следует задать ему исключения таким образом, чтобы блокируемый трафик был разрешён. Отключение Брандмауэра Windows не рекомендуется, так как это сделает Ваш компьютер уязвимым для злоумышленников и вредоносных программ, если Вы при этом не используете сетевой экран от стороннего производителя.

Как описывается в разделе данной статьи «Игровой, веб- или иной сервер не доступен из Интернета», Брандмауэр Windows уведомляет пользователя, когда приложения пытаются прослушивать порты. В зависимости от выбранного пользователем варианта ответа в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), приложение либо добавляется в список исключений на вкладке Исключения (Exceptions), при этом трафик блокируется (опция Блокировать (Keep blocking)), либо добавляется в список исключений с разрешением трафика (опция Разблокировать (Unblock)), либо не добавляется в список и блокируется (опция Отложить (Ask Me Later)). Если Вы выбираете вариант Блокировать (Keep Blocking), разрешить трафик для этого приложения в случае необходимости Вы сможете из вкладки Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall). Исключения могут задаваться как приложениями при использовании API Брандмауэра Windows, так и вручную.

Службы Windows, в отличие от приложений, не задействуют оповещения Брандмауэра Windows для автоматического создания и активации исключений. Исключения для служб Windows задаются либо службой, использующей API Брандмауэра Windows, либо ручной настройкой путём указания исключаемых программ или портов. Если служба запускается исполняемым файлом (таким, как *.exe), Вы можете задать исключение для программы. Если служба запускается другой службой, подобной Svchost.exe, Вам следует указать исключаемые порты.

Если требуется задать исключения для портов или сообщений ICMP, используемых какой-либо службой, то для определения нужных TCP или UDP портов, а также сообщений ICMP, обращайтесь к документации данной службы Windows или на соответствующий веб-сайт. Основываясь на документации, укажите необходимые исключения для портов и сообщений ICMP. Если же указания на используемые службой порты и ICMP сообщения в документации отсутствуют, выполните следующую последовательность действий:

Определить номера портов, используемых службой, можно также с помощью аудита, выполнив следующие шаги:

Если можно отследить программу или службу по записям событий Аудита отказов (Failure Audit), используйте содержащуюся в них информацию о TCP или UDP портах для задания исключений. В качестве исключаемых необходимо указать все порты, запрашиваемые программой или службой.

Иногда службы запускаются в составе более ёмких процессов, одновременно задействующих несколько служб, подобных, например, процессу Svchost.exe. В таких случаях используйте команду netstat –abn, чтобы выявить все порты, через которые ведётся прослушивание сети. По списку компонентов, перечисляемых по именам файлов, Вы можете определить порты, запрашиваемые конкретной службой.

Ниже приводится пример использования команды netstat –abn

Имя Локальный адрес Внешний адрес Состояние PID

Источник

JA Mero Awesome Metro Joomla! Template

Данная статья описывает принципы работы Брандмауэра Windows &#40-Windows Firewall&#41-, наиболее распространённые проблемы, возникающие при его использовании, а также набор инструментов, позволяющих устранять эти неполадки. Статья адресована сетевым администраторам и опытным пользователям, знакомым с ОС Windows XP и протоколом TCP/IP.

Страницы: 1 234След.

Функциональный комплекс Брандмауэр Windows (Windows Firewall), включённый в ОС Microsoft Windows XP Service Pack 2 (SP2) вместо Брандмауэра подключения к Интернету (Internet Connection Firewall (ICF)) из предыдущих версий Windows XP, является узловым брандмауэром, регистрирующим состояние связи. Он обеспечивает безопасность входящего трафика, получаемого как из Интернета, так и от устройств в частной сети. Данная статья описывает принципы работы Брандмауэра Windows (Windows Firewall), наиболее распространённые проблемы, возникающие при его использовании, а также набор инструментов, позволяющих устранять эти неполадки. Статья адресована сетевым администраторам и опытным пользователям, знакомым с ОС Windows XP и протоколом TCP/IP.

Обзор Брандмауэра Windows (Windows Firewall)

В отличие от Брандмауэра подключения к Интернету (Internet Connection Firewall (ICF)), входящего в состав ОС Windows XP Service Pack 1 (SP1) или Windows XP без пакетов обновлений, Брандмауэр Windows предназначен для использования с любыми сетевыми подключениями, включая общедоступные из Интернета, подключения к локальным офисным и домашним сетям, а также к частным сетям организаций.

Во многих корпоративных сетях, использующих Windows XP SP1 или Windows XP без пакетов обновлений, на внутренних подключениях ICF не задействуется, так как компьютеры в таких сетях не доступны из Интернета напрямую. Брандмауэр, прокси и другие системы безопасности корпоративных сетей обеспечивают некоторый уровень защиты от внешних угроз для компьютеров, входящих в интрасеть. Однако отсутствие узловых брандмауэров, подобных Брандмауэру Windows, на подключениях к интрасети делает компьютеры уязвимыми для вредоносных программ, заносимых в закрытую сеть через мобильные компьютеры.

Допустим, сотрудник компании подключает служебный ноутбук к домашней сети, не имеющей достаточного уровня защиты. Поскольку сетевое подключение ноутбука не защищено брандмауэром, ноутбук оказывается заражён вредоносной программой (вирусом или червём), использующей для своего распространения незапрашиваемый трафик. Сотрудник приносит ноутбук обратно в офис и подключает его к интрасети предприятия, эффективно обходя, таким образом, системы безопасности, находящиеся на границе интрасети с Интернетом. Получив доступ к интрасети, вредоносная программа начинает заражать другие компьютеры. Если бы Брандмауэр Windows был активирован по умолчанию, ноутбук бы не был инфицирован через домашнюю сеть. Однако даже при подключении заражённого вирусом компьютера к интрасети, входящие в неё компьютеры могли бы отразить атаку вредоносного кода с помощью Брандмауэра Windows.

При работе клиентских программ на компьютерах под управлением ОС Windows XP SP2 использование Брандмауэра Windows не мешает передаче данных. Доступ к сети, электронная почта, групповая политика, агенты управления, запрашивающие обновления с управляющего сервера – примеры клиентских программ. При их выполнении соединение всегда инициируется клиентским компьютером, и весь трафик, отправляемый с сервера в ответ на запрос, разрешается брандмауэром в качестве запрашиваемого входящего трафика.

В ОС Windows XP SP1 или Windows XP без пакетов обновлений брандмауэр ICF по умолчанию отключен для любых соединений, его активация на подключении к Интернету осуществляется с помощью Мастера настройки сети (Network Setup Wizard) или Мастера подключения к Интернету (Internet Connection Wizard). Возможно включение ICF вручную, путём установки единственного флажка на вкладке Дополнительно в свойствах соединения, где Вы также можете задать исключаемый трафик, определив порты TCP или UDP.

В ОС Windows XP SP2 Брандмауэр Windows активирован по умолчанию для всех соединений- исключения для него могут быть заданы с помощью компонента Панели управления (Control Panel) Брандмауэр Windows, доступного из нового Центра обеспечения безопасности Windows (Security Center). Для получения дополнительной информации, смотрите Ручная настройка Брандмауэра Windows в ОС Windows XP Service Pack 2 Manually Configuring Windows Firewall in Windows XP Service Pack 2 (EN).

При активации Брандмауэра Windows для сетевого подключения, в папке Сетевые подключения (Network Connections) на соответствующем значке появляется изображение замка. Если выбрать такое соединение, в его описании отобразится статус Подключено (Enabled), Защищено брандмауэром (Firewalled). На рисунке ниже приводится пример, в котором Брандмауэром Windows защищены все подключения компьютера.

Описание работы Брандмауэра Windows

Работа Брандмауэра основана на выполнении следующей операции:

Трафик в списке исключений определяется с помощью указания IP-адресов, TCP и UDP портов. Нельзя задать правила для трафика на основании поля протокола IP в заголовке IP.

Список разрешённого трафика наполняется двумя путями:

Например, если на DNS-сервер посылается запрос на сопоставление имени (Name Query Request), Брандмауэр Windows создаёт запись о том, что соответствующее сообщение-ответ (Name Query Response), отправленное сервером DNS, может быть передано для дальнейшей обработки по протоколу TCP/IP. Такое функционирование позволяет отнести Брандмауэр Windows к брандмауэрам, регистрирующим состояние связи: сохраняется информация о трафике, инициированном компьютером, так что соответствующий ответный входящий трафик разрешается.

Например, если компьютер выступает в роли веб-сервера, Вам следует настроить Брандмауэр Windows на исключение из фильтрации веб-трафика, чтобы компьютер мог отвечать на запросы веб-клиентов. Исключения могут быть заданы как для программ (в этом случае порты, открываемые указанной программой, автоматически будут добавляться в список исключений), так и для TCP и UDP портов (которые будут открыты независимо от того, работают использующие их приложения и службы или нет).

Наиболее распространённые проблемы с Брандмауэром Windows

Невозможно настроить Брандмауэр Windows

Если все настройки на вкладках Общие (General), Исключения (Exceptions) и Дополнительно (Advanced) в свойствах Брандмауэра оказываются недоступны (отображаются серыми), значит, Вы не являетесь членом локальной группы Администраторы (далее в данной статье – администратором компьютера). Настраивать Брандмауэр Windows можно, только имея права администратора.

Если недоступными являются некоторые из настроек на вкладках Общие, Исключения и Дополнительно в свойствах Брандмауэра, то Ваш компьютер либо:

Обратитесь за дополнительной информацией к сетевому администратору.

Для сброса настроек локальной групповой политики, регулирующих работу Брандмауэра Windows, откройте оснастку Политика «Локальный компьютер» (Local Computer Policy) и установите все значения в ветке Конфигурация компьютераАдминистративные шаблоныСетьСетевые подключенияБрандмауэр Windows (Computer ConfigurationAdministrative TemplatesNetworkNetwork ConnectionsWindows Firewall) в папках Профиль домена (Domain Profile) и Стандартный профиль (Standard Profile) как Не задана (Not Configured).

Отсутствие отклика с компьютера при выполнении команды ping

Обычным средством при устранении проблем с соединениями является использование процедуры ping для проверки канала связи до IP-адреса компьютера, с которым Вы устанавливаете соединение. Используя команду ping, Вы посылаете эхо-запрос ICMP и получаете эхо-ответ ICMP. По умолчанию Брандмауэр Windows не принимает входящие эхо-запросы ICMP, и компьютер не может отправить эхо-ответ ICMP. Чтобы локально настроить Брандмауэр Windows на приём эхо-запросов ICMP, Вам следует активировать настройку Разрешать запрос входящего эха (Allow incoming echo request) в диалоговом окне Параметры ICMP (ICMP), доступном из настроек ICMP на вкладке Дополнительно (Advanced) диалогового окна Брандмауэр Windows. Пример показан на рисунке.

Вы также можете разрешить приём эхо-запросов ICMP для конкретного подключения, перейдя с вкладки Дополнительно (Advanced) в Свойствах (Properties) выбранного подключения в диалоговое окно Брандмауэр Windows (Windows Firewall) (нажав кнопку Параметры (Settings) в разделе Брандмауэр Windows (Windows Firewall)), а оттуда – на вкладку Дополнительно (Advanced) и в диалоговое окно Параметры ICMP (ICMP), нажав кнопку Параметры (Settings) в разделе Протокол ICMP (ICMP).

Если Ваш компьютер входит в домен, Вы также можете задать исключения для ICMP через настройку Групповой политики Брандмауэра Windows. Для получения дополнительной информации, смотрите Применение настроек Брандмауэра Windows в ОС Windows XP Service Pack 2 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (EN).

Примечание. Параметры Брандмауэра Windows могут изменять только администраторы компьютера, если это не противоречит настройкам групповой политики для Брандмауэра Windows.

Если приём эхо-запросов ICMP разрешен, с Вашего компьютера можно будет получить отклик с помощью команды ping. Однако при этом он станет уязвимым для атак, основанных на использовании эхо-запросов ICMP. Поэтому рекомендуется активировать настройку Разрешать запрос входящего эха (Allow incoming echo request), только когда в этом есть необходимость, и выключать её, если она не нужна.

Игровой, веб- или иной сервер не доступен из Интернета

Если приложение или служба находится в состоянии ожидания незапрашиваемого входящего трафика (например, на сервере, приёмнике или равноправном узле сети), Брандмауэр Windows с настройками по умолчанию будет отклонять такой трафик, пока не будут заданы соответствующие исключения. Исключения для приложений, ожидающих незапрашиваемый трафик, задаются следующими способами:

Если приложение не использует вызовы API Брандмауэра Windows и при работе пытается прослушивать TCP или UDP порты, Брандмауэр Windows с помощью диалогового окна Оповещение системы безопасности Windows (Windows Security Alert) запрашивает администратора компьютера, следует ли добавить приложение в список исключений на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall), при этом заблокировав трафик для всех пользователей (опция Блокировать (Keep blocking)), или добавить приложение в список исключений и разрешить его трафик для всех пользователей (опция Разблокировать (Unblock)), или заблокировать незапрашиваемый трафик в этот раз и повторить запрос при следующем запуске приложения (опция Отложить (Ask Me Later)).

Чтобы узнать путь к приложению, отображаемому в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), наведите курсор мыши на название или описание приложения. Путь будет показан в появившейся подсказке.

Если пользователь не имеет прав администратора компьютера, в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert) отобразится сообщение о том, что трафик блокируется, и будет предложено обратиться за дальнейшей информацией к сетевому администратору.

Работа Брандмауэра Windows со службами не настраивается через диалоговое окно Оповещение системы безопасности Windows (Windows Security Alert). Поэтому Вам следует задать исключения для служб вручную:

Задать исключения вручную можно либо с помощью имён приложений, что позволяет Брандмауэру Windows автоматически открывать и закрывать все порты, требуемые службе или программе, либо путём определения TCP и UDP портов, которые будут открыты независимо от того, работают использующие их приложения или нет. С точки зрения безопасности и простоты настройки, установка исключений по именам программ является более предпочтительным методом по сравнению с указанием открытых портов.

Чтобы вручную задать исключения для программ, сделайте следующее:

Чтобы вручную задать исключения для портов, сделайте следующее:

Примечание. Задавать исключения на основе IP-протокола нельзя.

Чтобы определить, для каких портов необходимо задавать исключения, обратитесь к документации программы или на сайт её производителя за информацией о настройке брандмауэров для разрешения необходимого трафика. Если Вам не удаётся определить трафик, используемый программой, или программа не работает после задания исключений, смотрите раздел «Общие методы определения и настройки исключений» в данной статье.

Применение исключений для TCP и UDP портов эффективно только при работе с программами, использующими статические порты. Такие программы работают с постоянными, не изменяющимися наборами портов. Однако некоторые программы используют динамические порты, меняющиеся при каждом запуске программы или в процессе её работы. Приложение, принимающее трафик через динамические порты, следует вносить в список исключений для программ, а не портов.

Нет доступа к общим папкам и принтерам

Если на компьютере с работающим Брандмауэром Windows нет доступа к общим файлам или принтерам, Вам следует активировать предустановленное исключение для Общего доступа к файлам и принтерам (File and Printer Sharing) на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).

Примечание. На компьютерах, имеющих прямое соединение с Интернетом (на управляемых компьютерах в Стандартном профиле), активация исключения для Общего доступа к файлам и принтерам (File and Printer Sharing) категорически не рекомендуется, так как в этом случае злонамеренные пользователи могут попытаться получить доступ к общим файлам и угрожать безопасности Ваших данных. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Общего доступа к файлам и принтерам только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only) в диалоговом окне Изменение области (Change Scope)).

Не удаётся управлять удалённым компьютером, на котором работает Брандмауэр Windows

Если Вам не удаётся осуществлять удалённое управление компьютером, на котором работает Брандмауэр Windows, Вам следует активировать предустановленное исключение для Удалённого Помощника (Remote Assistance) на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).

Примечание. Активация исключения для Удалённого Помощника (Remote Assistance) на компьютерах, напрямую подключенных к Интернету (на управляемых компьютерах в Стандартном профиле), крайне нежелательна, так как в этом случае злонамеренные пользователи могут попытаться удалённо контролировать Ваш компьютер. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Удалённого помощника (Remote Assistance) только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only)) в диалоговом окне Изменение области (Change Scope)).

В папке Сетевое окружение не отображаются компьютеры сети

Причина проблемы здесь та же, что и при отсутствии доступа к общим папкам и принтерам. Если в окне Сетевое окружение после включения Брандмауэра Windows не видны компьютеры Вашей частной сети, Вам следует активировать предустановленное исключение для Общего доступа к файлам и принтерам (File and Printer Sharing) на вкладке Исключения (Exceptions) в свойствах Брандмауэра Windows.

Примечание. Активация исключения для Общего доступа к файлам и принтерам (File and Printer Sharing) на компьютерах, имеющих прямое соединение с Интернетом, категорически не рекомендуется, так как в этом случае злонамеренные пользователи могут попытаться получить доступ к общим файлам и угрожать безопасности Ваших данных. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Общего доступа к файлам и принтерам только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only)) в диалоговом окне Изменение области (Change Scope)).

Удалённый помощник не работает

Для получения информации о настройке Брандмауэра для использования Удалённого помощника, обратитесь к Приложению D в Применение настроек Брандмауэра Windows в ОС Windows XP Service Pack 2 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (EN).

Источник

Как определить, настроен ли Брандмауэр Windows с помощью групповой политики

Для компьютеров, принадлежащих домену, конфигурация Брандмауэра Windows складывается из локальных настроек, сохраняемых в реестре, и установок групповой политики. При решении проблем часто бывает полезно знать, действуют ли в отношении Брандмауэра только локальные настройки или также и установки групповой политики, и, в последнем случае, какой из профилей Брандмауэра Windows задействован (Профиль домена или Стандартный профиль). Для определения профиля, который необходимо применить, ОС Windows XP SP2 выполняет проверку параметров сети.

Чтобы определить сетевые параметры, выполните команду netsh firewall show state verbose=enable в командной строке. Вот пример первой секции экрана : 

Состояние брандмауэра:

——————————————————————-

Профиль                            = Обычный

Рабочий режим                      = Enable

Режим исключения                   = Enable

Режим многоадр./широковещ. ответов = Enable

Режим уведомления                  = Enable

Версия групповой политики          = Нет

Режим удаленного администрирования = Disable

        Область: * 

В разделе «Состояние брандмауэра» (“Firewall status”) посмотрите на значения параметров «Профиль» (“Profile”) и «Версия групповой политики» (“Group Policy Version”). В приведённой таблице перечисляются варианты значений этих параметров и их смысл. 

Значение параметра «Профиль»	Значение параметра «Версия групповой политики»	Описание
Обычный	Нет	Групповая политика Брандмауэра не определена. На компьютере действуют только локальные настройки Брандмауэра.
Обычный	Брандмауэр Windows	На компьютере действуют настройки групповой политики Брандмауэра.
Domain	Нет	Компьютер подключен к сети, содержащей Ваш домен, но групповая политика Брандмауэра не определена.
Domain	Legacy Firewall (ICF)	Применена установка групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network), и групповая политика Брандмауэра Windows не определена.
Domain	Брандмауэр Windows	Компьютер подключен к сети, содержащей Ваш домен, и на нём действуют настройки групповой политики Брандмауэра Windows.

Примечание. Активация настройки групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network) может отключить Брандмауэр Windows (в этом случае параметр «Рабочий режим» (“Operational Mode”) на экране, отображающемся после выполнения команды netsh, принимает значение «Disable»), если при этом не включена настройка групповой политики Брандмауэра Windows Защитить все сетевые подключения (Windows Firewall: Protect All Network Connections). 

Чтобы определить, было ли исключение для приложения или порта задано в локальных настройках или через групповую политику, просмотрите разделы «Исключения для программ» («Program exceptions») и «Исключения для порта» («Port exceptions») в содержании экрана, выводимого командой netsh firewall show state verbose=enable. Эти разделы отображаются в виде таблиц, содержащих списки исключений. В каждой таблице имеется столбец «Локальная политика» (“Local Policy”). Если выбранному исключению в этом столбце сопоставлено значение «Да», значит, данное исключение было задано через настройки локальной политики. Если это значение «Нет», то исключение было установлено через настройки групповой политики.

Ниже приведён пример фрагмента раздела экрана «Исключения для порта», выводимого командой netsh firewall show state verbose=enable

Примечание. Некоторые строки кода перенесены для удобства чтения. 

Исключения для порта:

Порт   Протокол  Лок. политика   Режим    Имя / Тип службы

——————————————————————-

137    UDP       Да              Enable   Служба имени NetBIOS / Общий доступ к файлам и принтерам

        Область:LocalSubNet

138    UDP       Да             Enable   Служба датаграмм NetBIOS / Общий доступ к файлам и принтерам

        Область:LocalSubNet

139    TCP       Да              Enable   Служба сеанса NetBIOS / Общий доступ к файлам и принтерам

        Область:LocalSubNet

445    TCP       Да              Enable   SMB поверх TCP / Общий доступ к файлам и принтерам

        Область:LocalSubNet

3389   TCP       Нет            Enable   Дистанционное управление рабочим столом / Дистанционное управление рабочим столом

        Область: * 

В этом примере все исключения для портов, кроме заданного для Дистанционного управления рабочим столом, определены через настройки локальной политики.

Для получения полного списка настроек Брандмауэра Windows, определённых через групповую политику, используйте оснастку Результирующая политика (Resultant Set of Policy (RSOP)). Дополнительная информация содержится в Справке и поддержке Windows XP. 

Общие методы определения и настройки исключений

Если работа приложения или службы нарушается из-за блокирования Брандмауэром Windows незапрашиваемого входящего трафика, то вместо того, чтобы отключать сам Брандмауэр Windows, следует задать ему исключения таким образом, чтобы блокируемый трафик был разрешён. Отключение Брандмауэра Windows не рекомендуется, так как это сделает Ваш компьютер уязвимым для злоумышленников и вредоносных программ, если Вы при этом не используете сетевой экран от стороннего производителя.

Как описывается в разделе данной статьи «Игровой, веб- или иной сервер не доступен из Интернета», Брандмауэр Windows уведомляет пользователя, когда приложения пытаются прослушивать порты. В зависимости от выбранного пользователем варианта ответа в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), приложение либо добавляется в список исключений на вкладке Исключения (Exceptions), при этом трафик блокируется (опция Блокировать (Keep blocking)), либо добавляется в список исключений с разрешением трафика (опция Разблокировать (Unblock)), либо не добавляется в список и блокируется (опция Отложить (Ask Me Later)). Если Вы выбираете вариант Блокировать (Keep Blocking), разрешить трафик для этого приложения в случае необходимости Вы сможете из вкладки Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall). Исключения могут задаваться как приложениями при использовании API Брандмауэра Windows, так и вручную. 

Службы Windows, в отличие от приложений, не задействуют оповещения Брандмауэра Windows для автоматического создания и активации исключений. Исключения для служб Windows задаются либо службой, использующей API Брандмауэра Windows, либо ручной настройкой путём указания исключаемых программ или портов. Если служба запускается исполняемым файлом (таким, как *.exe), Вы можете задать исключение для программы. Если служба запускается другой службой, подобной Svchost.exe, Вам следует указать исключаемые порты.

Если требуется задать исключения для портов или сообщений ICMP, используемых какой-либо службой, то для определения нужных TCP или UDP портов, а также сообщений ICMP, обращайтесь к документации данной службы Windows или на соответствующий веб-сайт. Основываясь на документации, укажите необходимые исключения для портов и сообщений ICMP. Если же указания на используемые службой порты и ICMP сообщения в документации отсутствуют, выполните следующую последовательность действий:

1. На вкладке Дополнительно (Advanced) диалогового окна Брандмауэр Windows (Windows Firewall) нажмите Параметры (Settings) в разделе Ведение журнала безопасности (Security Logging) и включите опцию Записывать пропущенные пакеты (Log dropped packets). Нажмите ОК для сохранения параметров ведения журнала и ОК для закрытия диалогового окна Брандмауэр Windows (Windows Firewall).
2. Запишите IP-адрес другого клиентского компьютера, а затем попытайтесь, запустив на нём клиентское или равнозначное приложение, подключиться к компьютеру, на котором работает Брандмауэр Windows и ведётся журнал регистрации событий  брандмауэра. Например, если на сервере работает почтовый сервер, запустите соответствующую почтовую программу на клиентском компьютере.
3. После того, как попытки программы-клиента связаться с сервером закончатся неудачей, вернитесь к серверу и просмотрите с помощью Проводника Windows (Windows Explorer) содержимое файла Pfirewall.log, хранящегося в корневой папке Windows.
4. Среди последних записей в файле журнала  Pfirewall.log отыщите те, в которых отмечены отвергнутые пакеты с IP-адреса, совпадающего с IP-адресом клиентского компьютера. В этих записях найдите части, обозначенные «dst-port». Это и есть TCP или UDP порты, для которых нужно задать исключения. Для трафика ICMP следует найти фрагменты «icmptype» и «icmpcode» и проверить их на ICMP Parameters Web page, чтобы узнать название ICMP сообщения.

Определить номера портов, используемых службой, можно также с помощью аудита, выполнив следующие шаги:

1. Включите ведение журналов аудита, как описано в разделе « с Брандмауэром Windows» данной статьи.
2. Перезагрузите компьютер. Многие службы настроены на запуск при старте системы, и после перезагрузки события запуска служб будут зарегистрированы.
3. Используйте оснастку Службы (Services), как описано в разделе « с Брандмауэром Windows» данной статьи, чтобы убедиться, что служба запущена.
4. Воспользуйтесь оснасткой Просмотр событий (Event Viewer), как описано в разделе «Инструменты для решения проблем с Брандмауэром Windows» данной статьи, чтобы найти события Аудита отказов (Failure Audit), обозначенные в журнале безопасности кодом 861. Эти события относятся к приложениям или службам, прослушивающим TCP или UDP порты, чей трафик не был разрешён Брандмауэром Windows. В тексте сообщения об ошибке содержатся имя и путь к запросчику, код процесса, его тип — приложение или служба, и номера TCP или UDP портов.

Если можно отследить программу или службу по записям событий Аудита отказов (Failure Audit), используйте содержащуюся в них информацию о TCP или UDP портах для задания исключений. В качестве исключаемых необходимо указать все порты, запрашиваемые программой или службой.

Иногда службы запускаются в составе более ёмких процессов, одновременно задействующих несколько служб, подобных, например, процессу Svchost.exe. В таких случаях используйте команду netstat –abn, чтобы выявить все порты, через которые ведётся прослушивание сети. По списку компонентов, перечисляемых по именам файлов, Вы можете определить порты, запрашиваемые конкретной службой.

Ниже приводится пример использования команды netstat –abn

F:>netstat -abn

Активные подключения

  Имя    Локальный адрес        Внешний адрес        Состояние         PID

  TCP    0.0.0.0:135            0.0.0.0:0            LISTENING         892

  f:xp_prosystem32WS2_32.dll

  F:XP_PROsystem32RPCRT4.dll

  f:xp_prosystem32rpcss.dll

  F:XP_PROsystem32svchost.exe

  — неизвестные компоненты —

  [svchost.exe]

  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4

  [Система]

  TCP    127.0.0.1:1029         0.0.0.0:0              LISTENING       1888

  [alg.exe]

  TCP    131.107.81.167:139     0.0.0.0:0              LISTENING       4

  [System]

  UDP    0.0.0.0:500            *:*                                    688

  [lsass.exe]

  UDP    0.0.0.0:445            *:*                                    4

  [Система]

  UDP    0.0.0.0:4500           *:*                                    688

  [lsass.exe]

  UDP    127.0.0.1:1900         *:*                                    1144

  f:xp_prosystem32WS2_32.dll

  f:xp_prosystem32ssdpsrv.dll

  F:XP_PROsystem32ADVAPI32.dll

  F:XP_PROsystem32kernel32.dll

  [svchost.exe]

  UDP    127.0.0.1:1025         *:*                                    980

  f:xp_prosystem32WS2_32.dll

  F:XP_PROsystem32WLDAP32.dll

  F:XP_PROSystem32winrnr.dll

  f:xp_prosystem32WS2_32.dll

  f:xp_prosystem32w32time.dll

  [svchost.exe]

  UDP    131.107.81.167:137     *:*                                    4

  [Система]

  UDP    131.107.81.167:1900    *:*                                    1144

  f:xp_prosystem32WS2_32.dll

  f:xp_prosystem32ssdpsrv.dll

  F:XP_PROsystem32ADVAPI32.dll

  F:XP_PROsystem32kernel32.dll

  [svchost.exe]

  UDP    131.107.81.167:138     *:*                                    4

  [Система]

Начиная с Windows XP, компания Microsoft начала встраивать в свои операционные системы брандмауэр (файрвол). Он призван защищать компьютер, подключенный к сети, от заражения различными видами вредоносного ПО, а также от несанкционированного доступа. Разумеется, эта защита не всегда соответствует требованиям пользователя, поэтому для ее корректной работы необходимо разобраться, как правильно настроить брандмауэр в Windows XP. В частности, можно давать доступ в сеть определенным программ, минуя запреты файрвола. По умолчанию, в Windows XP брандмауэр защищает все сетевые соединения, однако, для определенных соединений его можно отключить.

Настройки файрвола

Если вы попали на эту страницу, введя в поисковике “не могу настроить брандмауэр”, то рекомендуем вам ознакомиться с инструкцией, приведенной ниже. Чтобы получить доступ к настройкам брандмауэра, необходимо нажать Пуск и выбрать брандмауэр Windows в окне Панель управления.

В появившемся окне вы можете выключить или включить брандмауэр Windows XP для всех соединений. Пункт “Не разрешать исключения” позволяет активизировать режим работы, при котором на экран не будут выводиться оповещения о блокировке. Также произойдет отключение всего списка исключений.

На вкладке “Исключения” пользователь может включить для приложений входящие подключения. Для этого их необходимо отметить флажком. Также можно открыть входящие подключения для какого-то конкретного локального порта.

Во вкладке “Дополнительные настройки” представлены опции, позволяющие выключать брандмауэр для какого-либо подключения. Настроить параметры фильтрации для подключений можно с помощью кнопки Параметры. Также в этом окне можно настроить журнал работы и задать параметры фильтрации протокола ICMP.

Автоматическое создание исключений

Когда на компьютере запускается какое-либо приложение, работающее через определенный порт и ожидающее сетевого подключения, Windows XP покажет окно с запросом, в котором пользователю предоставлен выбор:

Блокировать приложение, которое пытается получить доступ к порту. После нажатия на “Блокировать” оно не сможет подключиться к сети. В список исключений брандмауэра будет добавлено соответствующее правило.

Если пользователь нажмет на кнопку “Разблокировать”, то приложение сможет использовать порт и установить сетевое подключение. В список исключений также будет добавлено соответствующее правило.

Кнопка “Отложить” закрывает программе выход в сеть, однако, исключение не создает. Когда приложение снова попытается использовать порт, запрос будет показан снова. Этот вариант подходит для тех случаев, когда пользователь не уверен, какое именно приложение хочет открыть порт, и не вызовет ли отключение сетевого доступа сбои в работе Windows XP.

Ручная настройка исключений для программ

Если вы заранее знаете, что приложение будет принимать из Интернета входящие подключения и оно не является вредоносным, то вы можете создать для него исключение вручную. Чтобы сделать это, необходимо в окне настройки брандмауэра выбрать “Исключения”. Далее нужно нажать “Добавить программу”. В появившемся окне перечислены установленные в Windows XP программы. Если в данном списке нет программы, которой вы ходите предоставить доступ, то можно указать путь к ней с помощью кнопки “Обзор”. Когда все это будет сделано, нажмите “OK”. Если впоследствии вы захотите закрыть программе доступ в сеть, то можно снять с нее флажок в списке.

Источник

Решение проблем при работе с брандмауэром Windows в ОС Microsoft Windows XP Service Pack 2

Опубликовано 22 сентября 2004 г.
Переведено 4 июля 2006 г.

Аннотация

Брандмауэр Windows (Windows Firewall), включённый в ОС Microsoft® Windows® XP Service Pack 2 (SP2) вместо брандмауэра подключения к Интернету (Internet Connection Firewall, ICF) из предыдущих версий Windows XP, является узловым брандмауэром, регистрирующим состояние связи. Он обеспечивает безопасность входящего трафика, получаемого как из Интернета, так и от устройств в частной сети. Данная статья описывает принципы работы брандмауэра Windows (Windows Firewall), наиболее распространённые проблемы, возникающие при его использовании, а также набор инструментов, позволяющих устранять эти неполадки. Статья адресована сетевым администраторам и опытным пользователям, знакомым с ОС Windows XP и протоколом TCP/IP.

На этой странице

Обзор брандмауэра Windows (Windows Firewall)

Брандмауэр (сетевой экран) – это защитный барьер между компьютером или сетью и внешним миром. Брандмауэр Windows (Windows Firewall), включённый в ОС Windows XP Service Pack 2 (SP2) представляет собой узловой брандмауэр, регистрирующий состояние связи. Он блокирует входящий трафик, поступающий на компьютер без запроса и не определённый в качестве допустимого (исключённого из фильтрации). Таким образом, Windows Firewall обеспечивает необходимый уровень защиты от злонамеренных пользователей и программ, использующих для атак незапрашиваемый трафик. При этом, за исключением некоторых сообщений протокола межсетевых управляющих сообщений (ICMP), брандмауэр Windows не блокирует исходящий трафик.

В отличие от брандмауэра подключения к Интернету (Internet Connection Firewall, ICF), входящего в состав ОС Windows XP Service Pack 1 или Windows XP без пакетов обновлений, брандмауэр Windows предназначен для использования с любыми сетевыми подключениями, включая общедоступные из Интернета, подключения к локальным офисным и домашним сетям, а также к частным сетям организаций.

Во многих корпоративных сетях, использующих Windows XP SP1 или Windows XP без пакетов обновлений, на внутренних подключениях ICF не задействуется, так как компьютеры в таких сетях не доступны из Интернета напрямую. Брандмауэр, прокси и другие системы безопасности корпоративных сетей обеспечивают некоторый уровень защиты от внешних угроз для компьютеров, входящих в интрасеть. Однако отсутствие узловых брандмауэров, подобных брандмауэру Windows, на подключениях к интрасети делает компьютеры уязвимыми для вредоносных программ, заносимых в закрытую сеть через мобильные компьютеры.

Допустим, сотрудник компании подключает служебный ноутбук к домашней сети, не имеющей достаточного уровня защиты. Поскольку сетевое подключение ноутбука не защищено брандмауэром, ноутбук оказывается заражён вредоносной программой (вирусом или червём), использующей для своего распространения незапрашиваемый трафик. Сотрудник приносит ноутбук обратно в офис и подключает его к интрасети предприятия, эффективно обходя, таким образом, системы безопасности, находящиеся на границе интрасети с Интернетом. Получив доступ к интрасети, вредоносная программа начинает заражать другие компьютеры. Если бы брандмауэр Windows был активирован по умолчанию, ноутбук бы не был инфицирован через домашнюю сеть. Однако даже при подключении заражённого вирусом компьютера к интрасети, входящие в неё компьютеры могли бы отразить атаку вредоносного кода с помощью брандмауэра Windows.

При работе клиентских программ на компьютерах под управлением ОС Windows XP SP2 использование брандмауэра Windows не мешает передаче данных. Доступ к сети, электронная почта, групповая политика, агенты управления, запрашивающие обновления с управляющего сервера – примеры клиентских программ. При их выполнении соединение всегда инициируется клиентским компьютером, и весь трафик, отправляемый с сервера в ответ на запрос, разрешается брандмауэром в качестве запрашиваемого входящего трафика.

В ОС Windows XP SP1 или Windows XP без пакетов обновлений брандмауэр ICF по умолчанию отключен для любых соединений, его активация на подключении к Интернету осуществляется с помощью Мастера настройки сети (Network Setup Wizard) или Мастера подключения к Интернету (Internet Connection Wizard). Возможно включение ICF вручную, путём установки единственного флажка на вкладке Дополнительно в свойствах соединения, где Вы также можете задать исключаемый трафик, определив порты TCP или UDP.

В ОС Windows XP SP2 брандмауэр Windows активирован по умолчанию для всех соединений; исключения для него могут быть заданы с помощью компонента панели управления (Control Panel) Брандмауэр Windows, доступного из нового центра обеспечения безопасности Windows (Security Center). Для получения дополнительной информации, смотрите документ Ручная настройка брандмауэра Windows в ОС Windows XP Service Pack 2 Manually Configuring Windows Firewall in Windows XP Service Pack 2 (EN).

При активации брандмауэра Windows для сетевого подключения, в папке Сетевые подключения (Network Connections) на соответствующем значке появляется изображение замка. Если выбрать такое соединение, в его описании отобразится статус Подключено, Защищено брандмауэром (Enabled, Firewalled). На рисунке ниже приводится пример, в котором брандмауэром Windows защищены все подключения компьютера.

Описание работы брандмауэра Windows

Работа брандмауэра основана на выполнении следующей операции:

Трафик в списке исключений определяется с помощью указания IP-адресов, TCP и UDP портов. Нельзя задать правила для трафика на основании поля протокола IP в заголовке IP.

Список разрешённого трафика наполняется двумя путями:

Например, если на DNS-сервер посылается запрос на сопоставление имени (Name Query Request), брандмауэр Windows создаёт запись о том, что соответствующее сообщение-ответ (Name Query Response), отправленное сервером DNS, может быть передано для дальнейшей обработки по протоколу TCP/IP. Такое функционирование позволяет отнести брандмауэр Windows к брандмауэрам, регистрирующим состояние связи: сохраняется информация о трафике, инициированном компьютером, так что соответствующий ответный входящий трафик разрешается.

Например, если компьютер выступает в роли веб-сервера, Вам следует настроить брандмауэр Windows на исключение из фильтрации веб-трафика, чтобы компьютер мог отвечать на запросы веб-клиентов. Исключения могут быть заданы как для программ (в этом случае порты, открываемые указанной программой, автоматически будут добавляться в список исключений), так и для TCP и UDP портов (которые будут открыты независимо от того, работают использующие их приложения и службы или нет).

Наиболее распространённые проблемы с брандмауэром Windows

При использовании брандмауэра Windows наиболее часто встречаются следующие проблемы:

Невозможно настроить брандмауэр Windows

Если все настройки на вкладках Общие (General), Исключения (Exceptions) и Дополнительно (Advanced) в свойствах брандмауэра оказываются недоступны (отображаются серыми), значит, Вы не являетесь членом локальной группы администраторов (далее в данной статье – администратором компьютера). Настраивать брандмауэр Windows можно, только имея права администратора.

Если недоступными являются некоторые из настроек на вкладках Общие, Исключения и Дополнительно в свойствах брандмауэра, то Ваш компьютер либо:

Обратитесь за дополнительной информацией к сетевому администратору.

Для сброса настроек локальной групповой политики, регулирующих работу брандмауэра Windows, откройте оснастку Политика «Локальный компьютер» (Local Computer Policy) и установите все значения в ветке Конфигурация компьютераАдминистративные шаблоныСетьСетевые подключенияБрандмауэр Windows (Computer ConfigurationAdministrative TemplatesNetworkNetwork ConnectionsWindows Firewall) в папках Профиль домена (Domain Profile) и Стандартный профиль (Standard Profile) как Не задана (Not Configured).

Отсутствие отклика с компьютера при выполнении команды ping

Обычным средством при устранении проблем с соединениями является использование процедуры ping для проверки канала связи до IP-адреса компьютера, с которым Вы устанавливаете соединение. Используя команду ping, Вы посылаете эхо-запрос ICMP и получаете эхо-ответ ICMP. По умолчанию брандмауэр Windows не принимает входящие эхо-запросы ICMP, и компьютер не может отправить эхо-ответ ICMP. Чтобы локально настроить брандмауэр Windows на приём эхо-запросов ICMP, Вам следует активировать настройку Разрешать запрос входящего эха (Allow incoming echo request) в диалоговом окне Параметры ICMP (ICMP), доступном из настроек ICMP на вкладке Дополнительно (Advanced) диалогового окна Брандмауэр Windows. Пример показан на рисунке.

Вы также можете разрешить приём эхо-запросов ICMP для конкретного подключения, перейдя с вкладки Дополнительно (Advanced) в Свойствах (Properties) выбранного подключения в диалоговое окно Брандмауэр Windows (Windows Firewall) (нажав кнопку Параметры (Settings) в разделе Брандмауэр Windows (Windows Firewall)), а оттуда – на вкладку Дополнительно (Advanced) и в диалоговое окно Параметры ICMP (ICMP), нажав кнопку Параметры (Settings) в разделе Протокол ICMP (ICMP).

Если Ваш компьютер входит в домен, Вы также можете задать исключения для ICMP через настройку групповой политики брандмауэра Windows. Для получения дополнительной информации, смотрите документ Применение настроек брандмауэра Windows в ОС Windows XP Service Pack 2 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2(EN).

Примечание. Параметры брандмауэра Windows могут изменять только администраторы компьютера, если это не противоречит настройкам групповой политики для брандмауэра Windows.

Если приём эхо-запросов ICMP разрешен, с Вашего компьютера можно будет получить отклик с помощью команды ping. Однако при этом система станет уязвимой для атак, основанных на использовании эхо-запросов ICMP. Поэтому рекомендуется активировать настройку Разрешать запрос входящего эха (Allow incoming echo request), только когда в этом есть необходимость, и выключать её, если она не нужна.

Игровой, веб- или иной сервер не доступен из Интернета

Если приложение или служба находится в состоянии ожидания незапрашиваемого входящего трафика (например, на сервере, приёмнике или равноправном узле сети), брандмауэр Windows с настройками по умолчанию будет отклонять такой трафик, пока не будут заданы соответствующие исключения. Исключения для приложений, ожидающих незапрашиваемый трафик, задаются следующими способами:

Если приложение не использует вызовы API брандмауэра Windows и при работе пытается прослушивать TCP или UDP порты, брандмауэр Windows с помощью диалогового окна Оповещение системы безопасности Windows (Windows Security Alert) запрашивает администратора компьютера, следует ли добавить приложение в список исключений на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall), при этом заблокировав трафик для всех пользователей (опция Блокировать (Keep blocking)), или добавить приложение в список исключений и разрешить его трафик для всех пользователей (опция Разблокировать (Unblock)), или заблокировать незапрашиваемый трафик в этот раз и повторить запрос при следующем запуске приложения (опция Отложить (Ask Me Later)).

Чтобы узнать путь к приложению, отображаемому в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), наведите курсор мыши на название или описание приложения. Путь будет показан в появившейся подсказке.

Если пользователь не имеет прав администратора компьютера, в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert) отобразится сообщение о том, что трафик блокируется, и будет предложено обратиться за дальнейшей информацией к сетевому администратору.

Работа брандмауэра Windows со службами не настраивается через диалоговое окно Оповещение системы безопасности Windows (Windows Security Alert). Поэтому Вам следует задать исключения для служб вручную:

Задать исключения вручную можно либо с помощью имён приложений, что позволяет брандмауэру Windows автоматически открывать и закрывать все порты, требуемые службе или программе, либо путём определения TCP и UDP портов, которые будут открыты независимо от того, работают использующие их приложения или нет. С точки зрения безопасности и простоты настройки, установка исключений по именам программ является более предпочтительным методом по сравнению с указанием открытых портов.

Чтобы вручную задать исключения для программ, сделайте следующее:

Чтобы вручную задать исключения для портов, сделайте следующее:

Примечание. Задавать исключения на основе IP-протокола нельзя.

Чтобы определить, для каких портов необходимо задавать исключения, обратитесь к документации программы или на сайт её производителя за информацией о настройке брандмауэров для разрешения необходимого трафика. Если Вам не удаётся определить трафик, используемый программой, или программа не работает после задания исключений, смотрите раздел «Общие методы определения и настройки исключений» в данной статье.

Применение исключений для TCP и UDP портов эффективно только при работе с программами, использующими статические порты. Такие программы работают с постоянными, не изменяющимися наборами портов. Однако некоторые программы используют динамические порты, меняющиеся при каждом запуске программы или в процессе её работы. Приложение, принимающее трафик через динамические порты, следует вносить в список исключений для программ, а не портов.

Нет доступа к общим папкам и принтерам

Если на компьютере с работающим брандмауэром Windows нет доступа к общим файлам или принтерам, Вам следует активировать предустановленное исключение для Общего доступа к файлам и принтерам (File and Printer Sharing) на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).

Примечание. На компьютерах, имеющих прямое соединение с Интернетом (на управляемых компьютерах в Стандартном профиле), активация исключения для Общего доступа к файлам и принтерам (File and Printer Sharing) категорически не рекомендуется, так как в этом случае злонамеренные пользователи могут попытаться получить доступ к общим файлам и угрожать безопасности Ваших данных. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Общего доступа к файлам и принтерам только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only) в диалоговом окне Изменение области (Change Scope)).

Не удаётся управлять удалённым компьютером, на котором работает брандмауэр Windows

Если Вам не удаётся осуществлять удалённое управление компьютером, на котором работает брандмауэр Windows, Вам следует активировать предустановленное исключение для Удалённого Помощника (Remote Assistance) на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).

Примечание. Активация исключения для Удалённого Помощника (Remote Assistance) на компьютерах, напрямую подключенных к Интернету (на управляемых компьютерах в Стандартном профиле), крайне нежелательна, так как в этом случае злонамеренные пользователи могут попытаться удалённо контролировать Ваш компьютер. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Удалённого помощника (Remote Assistance) только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only)) в диалоговом окне Изменение области (Change Scope)).

В папке Сетевое окружение не отображаются компьютеры сети

Причина проблемы здесь та же, что и при отсутствии доступа к общим папкам и принтерам. Если в окне Сетевое окружение после включения брандмауэра Windows не видны компьютеры Вашей частной сети, Вам следует активировать предустановленное исключение для Общего доступа к файлам и принтерам (File and Printer Sharing) на вкладке Исключения (Exceptions) в свойствах брандмауэра Windows.

Примечание. Активация исключения для Общего доступа к файлам и принтерам (File and Printer Sharing) на компьютерах, имеющих прямое соединение с Интернетом, категорически не рекомендуется, так как в этом случае злонамеренные пользователи могут попытаться получить доступ к общим файлам и угрожать безопасности Ваших данных. В малых домашних и офисных (SOHO) сетях с единственной подсетью применяйте исключение для Общего доступа к файлам и принтерам только для прямых подключений к подсети SOHO и для области локальной подсети (опция Только локальная сеть (подсеть) (My network (subnet) only)) в диалоговом окне Изменение области (Change Scope)).

Удалённый помощник не работает

Для получения информации о настройке брандмауэра для использования Удалённого помощника, обратитесь к Приложению D в Применение настроек брандмауэра Windows в ОС Windows XP Service Pack 2 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (EN).

Как определить, настроен ли брандмауэр Windows с помощью групповой политики

Для компьютеров, принадлежащих домену, конфигурация брандмауэра Windows складывается из локальных настроек, сохраняемых в реестре, и установок групповой политики. При решении проблем часто бывает полезно знать, действуют ли в отношении брандмауэра только локальные настройки или также и установки групповой политики, и, в последнем случае, какой из профилей брандмауэра Windows задействован (Профиль домена или Стандартный профиль). Для определения профиля, который необходимо применить, ОС Windows XP SP2 выполняет проверку параметров сети. Для получения дополнительной информации, смотрите Определение конфигурации сети для применения сетевых настроек групповой политики Network Determination Behavior for Network-Related Group Policy Settings (EN).

Чтобы определить сетевые параметры, выполните команду netsh firewall show state verbose=enable в командной строке. Вот пример первой секции экрана :

Рабочий режим = Enable

Режим исключения = Enable

Режим многоадр./широковещ. ответов = Enable

Режим уведомления = Enable

Версия групповой политики = Нет

Режим удаленного администрирования = Disable

В разделе «Состояние брандмауэра» (“Firewall status”) посмотрите на значения параметров «Профиль» (“Profile”) и «Версия групповой политики» (“Group Policy Version”). В приведённой таблице перечисляются варианты значений этих параметров и их смысл.

Значение параметра «Профиль»	Значение параметра «Версия групповой политики»	Описание
Обычный	Нет	Групповая политика брандмауэра не определена. На компьютере действуют только локальные настройки брандмауэра.
Обычный	Брандмауэр Windows	На компьютере действуют настройки групповой политики брандмауэра.
Domain	Нет	Компьютер подключен к сети, содержащей Ваш домен, но групповая политика брандмауэра не определена.
Domain	Legacy Firewall (ICF)	Применена установка групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network), и групповая политика брандмауэра Windows не определена.
Domain	Брандмауэр Windows	Компьютер подключен к сети, содержащей Ваш домен, и на нём действуют настройки групповой политики брандмауэра Windows.

Примечание. Активация настройки групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network) может отключить брандмауэр Windows (в этом случае параметр «Рабочий режим» (“Operational Mode”) на экране, отображающемся после выполнения команды netsh, принимает значение «Disable»), если при этом не включена настройка групповой политики брандмауэра Windows Защитить все сетевые подключения (Windows Firewall: Protect All Network Connections).

Чтобы определить, было ли исключение для приложения или порта задано в локальных настройках или через групповую политику, просмотрите разделы «Исключения для программ» («Program exceptions») и «Исключения для порта» («Port exceptions») в содержании экрана, выводимого командой netsh firewall show state verbose=enable. Эти разделы отображаются в виде таблиц, содержащих списки исключений. В каждой таблице имеется столбец «Локальная политика» (“Local Policy”). Если выбранному исключению в этом столбце сопоставлено значение «Да», значит, данное исключение было задано через настройки локальной политики. Если это значение «Нет», то исключение было установлено через настройки групповой политики.

Ниже приведён пример фрагмента раздела экрана «Исключения для порта», выводимого командой netsh firewall show state verbose=enable

Примечание. Некоторые строки кода перенесены для удобства чтения.

Исключения для порта:

Порт Протокол Лок. политика Режим Имя / Тип службы

137 UDP Да Enable Служба имени NetBIOS / Общий доступ к файлам и принтерам

138 UDP Да Enable Служба датаграмм NetBIOS / Общий доступ к файлам и принтерам

139 TCP Да Enable Служба сеанса NetBIOS / Общий доступ к файлам и принтерам

445 TCP Да Enable SMB поверх TCP / Общий доступ к файлам и принтерам

3389 TCP Нет Enable Дистанционное управление рабочим столом / Дистанционное управление рабочим столом

В этом примере все исключения для портов, кроме заданного для дистанционного управления рабочим столом, определены через настройки локальной политики.

Для получения полного списка настроек брандмауэра Windows, определённых через групповую политику, используйте оснастку Результирующая политика (Resultant Set of Policy, RSOP). Дополнительная информация содержится в разделе Справка и поддержка Windows XP.

Общие методы определения и настройки исключений

Если работа приложения или службы нарушается из-за блокирования брандмауэром Windows незапрашиваемого входящего трафика, то вместо того, чтобы отключать сам брандмауэр Windows, следует задать ему исключения таким образом, чтобы блокируемый трафик был разрешён. Отключение брандмауэра Windows не рекомендуется, так как это сделает Ваш компьютер уязвимым для злоумышленников и вредоносных программ, если Вы при этом не используете сетевой экран от стороннего производителя.

Как описывается в разделе данной статьи «Игровой, веб- или иной сервер не доступен из Интернета», брандмауэр Windows уведомляет пользователя, когда приложения пытаются прослушивать порты. В зависимости от выбранного пользователем варианта ответа в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), приложение либо добавляется в список исключений на вкладке Исключения (Exceptions), при этом трафик блокируется (опция Блокировать (Keep blocking)), либо добавляется в список исключений с разрешением трафика (опция Разблокировать (Unblock)), либо не добавляется в список и блокируется (опция Отложить (Ask Me Later)). Если Вы выбираете вариант Блокировать (Keep Blocking), разрешить трафик для этого приложения в случае необходимости Вы сможете из вкладки Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall). Исключения могут задаваться как приложениями при использовании API брандмауэра Windows, так и вручную.

Службы Windows, в отличие от приложений, не задействуют оповещения брандмауэра Windows для автоматического создания и активации исключений. Исключения для служб Windows задаются либо службой, использующей API брандмауэра Windows, либо ручной настройкой путём указания исключаемых программ или портов. Если служба запускается исполняемым файлом (таким, как *.exe), Вы можете задать исключение для программы. Если служба запускается другой службой, подобной Svchost.exe, Вам следует указать исключаемые порты.

Если требуется задать исключения для портов или сообщений ICMP, используемых какой-либо службой, то для определения нужных TCP или UDP портов, а также сообщений ICMP, обращайтесь к документации данной службы Windows или на соответствующий веб-сайт. Основываясь на документации, укажите необходимые исключения для портов и сообщений ICMP. Если же указания на используемые службой порты и ICMP сообщения в документации отсутствуют, выполните следующую последовательность действий:

Определить номера портов, используемых службой, можно также с помощью аудита, выполнив следующие шаги:

Если можно отследить программу или службу по записям событий Аудита отказов (Failure Audit), используйте содержащуюся в них информацию о TCP или UDP портах для задания исключений. В качестве исключаемых необходимо указать все порты, запрашиваемые программой или службой.

Иногда службы запускаются в составе более ёмких процессов, одновременно задействующих несколько служб, подобных, например, процессу Svchost.exe. В таких случаях используйте команду netstat –abn, чтобы выявить все порты, через которые ведётся прослушивание сети. По списку компонентов, перечисляемых по именам файлов, Вы можете определить порты, запрашиваемые конкретной службой.

Ниже приводится пример использования команды netstat –abn

Имя Локальный адрес Внешний адрес Состояние PID

Источник

Отключаем брандмауэр в ОС Windows XP

Довольно часто в различных инструкциях пользователи могут столкнуться с тем, что там потребуют отключить стандартный брандмауэр. Однако, как это сделать не везде расписано. Именно поэтому сегодня мы расскажем о том, как же все-таки это можно сделать без вреда для самой операционной системы.

Варианты отключения брандмауэра в Windows XP

Отключить брандмауэр Windows XP можно двумя способами: во-первых, это отключить его с помощью настроек самой системы и во-вторых, это принудительно остановить работу соответствующей службы. Рассмотрим оба способа более подробно.

Способ 1: Отключение брандмауэра

Данный способ является наиболее простым и безопасным. Нужные нам настройки находятся в окне «Брандмауэр Windows». Для того, чтобы туда попасть выполняем следующие действия:

1. Открываем «Панель управления», кликнув для этого по кнопке «Пуск» и выбрав соответствующую команду в меню.

Среди списка категорий кликаем по «Центр обеспечения безопасности».

Теперь, прокрутив рабочую область окна вниз (или же просто развернув его на весь экран), находим настройку «Брандмауэер Windows».

Если вы используете классический вид панели инструментов, то перейти к окну брандмауэра можно сразу, кликнув два раза левой кнопкой мышки по соответствующему апплету.

Отключив таким образом брандмауэр, следует помнить, что сама служба все же остается активной. Если же вам требуется полностью остановить службу, тогда воспользуйтесь вторым способ.

Способ 2: Принудительное отключение службы

Еще один вариант завершить работу брандмауэра – это остановить службу. Для этого действия потребуются права администратора. Собственно, для того, чтобы завершить работу службы, первым делом надо перейти в список служб операционной системы, для чего необходимо:

Открыть «Панель управления» и перейти в категорию «Производительность и обслуживание».

Как открыть «Панель управления», было рассмотрено в предыдущем способе.

Открыть список служб, кликнув для этого по соответствующему апплету.

Если вы используете классический вид Панели инструментов, то «Администрирование» доступно сразу. Для этого кликаем два раза левой кнопкой мышки по соответствующему значку, а затем выполняем действие пункта 3.

Теперь в списке находим службу под названием «Брандмауэр Windows/Общий доступ к Интернету (ICS)» и двойным кликом открываем ее настройки.

Нажимаем кнопку «Стоп» и в списке «Тип запуска» выбираем «Отключено».

Теперь остается нажать на кнопку «ОК».

На этом все, служба брандмауэра остановлена, а значит и сам брандмауэр выключен.

Заключение

Таким образом, благодаря возможностям операционной системы Windows XP, у пользователей есть выбор, как отключить брандмауэр. И теперь, если в какой-либо инструкции вы столкнулись с тем, что необходимо его отключить, вы можете использовать один из рассмотренных способов.

Источник

Почему брандмауэр блокирует интернет и как разблокировать?

Отсутствие доступа к интернету может быть из-за разных причин. Чаще всего это происходит из-за повреждения кабеля или поломки роутера, а также из-за просрочки обязательного платежа.

Однако, иногда интернет может быть отключен самой операционной системой Windows с помощью внутренней программы под названием Брандмауэр. Но что представляет собой приложение? Что делать, если Брандмауэр блокирует доступ в интернет? Почему так происходит? Ниже мы в деталях рассмотрим все эти вопросы.

Общая информация

Брандмауэр Защитника Windows (сетевой экран, файрвол) – это специальное приложение, которое занимается фильтрацией всего трафика, который поступает на компьютер. Фильтрация при этом осуществляется на основании специальных правил, которые задаются пользователем или самой программой.

Главной функцией файрвола является защита компьютера от неправомерного доступа со стороны третьих лиц. Сетевой экран может устанавливаться отдельно в виде вспомогательной утилиты под управлением пользователя.

В операционной системе Windows существует свой собственный сетевой экран, который выполняет фильтрацию трафика без ведома пользователя. В большинстве случаев фильтрация проходит адекватно, а человек при работе с интернетом не ощущает никаких проблем.

Однако, иногда файрвол может «взбеситься», что приводит к блокировке доступа к сети. Почему Брандмауэр блокирует интернет:

• С вашего ПК идет большое количество исходящего трафика, который похож на спам (обычно это происходит при заражении шпионскими программами, которые используют ресурсы компьютера для совершения внешних действий без ведома пользователя);
• Из-за серьезного сбоя программного обеспечения, что приводит к неадекватной работе всех автономных программ ОС Windows (в том числе – к сбою файрвола);
• При установке некоторых антивирусных программ (алгоритмы некоторых антивирусов весьма похожи на вирусную активность, поэтому экран делает блокировку);
• После очистки компьютера от вирусов (иногда после очистки на ПК остаются остатки вирусных программ, которые сами по себе не представляют опасности, но которые не пропускает фильтр файрвола);
• Загрузка некоторых обновлений, что приводит к изменению настроек защиты (подобный сценарий на практике встречается достаточно редко);
• После установки внешних программ, которые являются потенциально опасными или шпионскими.

Что делать, если подключение заблокировано Брандмауэром или антивирусным ПО? Об этом следующее видео:

Настройка и отключение

Что делать, если Брандмауэр блокирует доступ к интернету? Его рекомендуется отключить вручную. Ниже мы рассмотрим основные сценарии отключения.

Отключение файрвола

Чтобы снять блокировку Брандмауэра с интернета, можно отключить сетевой экран вручную. Делается это так:

• Зайдите в меню Пуск и выберите пункт «Панель управления»;
• Выберите пункт «Мелкие значки» и вариант «Брандмауэр…»;

• В открывшемся меню ознакомьтесь с текущей активностью сетевого экрана, а для отключения выберите строку «Включение и отключение…»;

• Выберите оба пункта «Отключить…» как для домашних, так и для общественных сетей. Подтвердите свой выбор и сохраните настройки.

Настройка исключений

Иногда бывает так, что Брандмауэр заблокировал не сам доступ к интернету, а лишь программу для работы с ним (например, браузер). Как разблокировать доступ в таком случае? Нужно добавить браузер в список исключений Защитника Windows.

Этот сценарий лучше, по сравнению с полным отключением. Ведь файрвол может блокировать действительно вредоносный контент.

Настройка исключений делается так:

• Откройте меню для работы с файрволом (Пуск -> Панель управления -> Брандмауэр);
• Выберите строку «Разрешение взаимодействия…»;
• В открывшемся меню в списке найдите свой основной браузер, поставьте рядом с ним галочку, а также две дополнительных галочки в столбцах сетей «Частная» и «Публичная»;
• Для подтверждения настроек нажмите кнопку «Ок».

Сброс настроек

Бывает иногда так, что при осуществлении настроек вы сделали что-то не так или перемудрили с ними. В такой ситуации надо восстановить стандартные настройки. Для этого нужно открыть меню для работы с сетевым экраном (Пуск -> Панель управления -> Брандмауэр). Потом следует выбрать строку «Восстановить значения по умолчанию», подтвердить свой выбор и выполнить перезагрузку операционной системы для вступления изменений в силу.

Еще одна статья по теме на нашем портале тут.

Заключение

Подведем итоги. Сетевой экран может блокировать доступ к сети по разным причинам. Основные сценарии – заражение компьютера пользователя вирусом или шпионской программой, установка некоторых антивирусов, обновление операционной системы Windows и другое.

Чтобы восстановить доступ, необходимо вручную отключить Брандмауэр Защитника Windows. Сделать это можно с помощью меню для работы с сетевым экраном. Лучшим вариантом будет не полное отключение программы (поскольку файрвол может фильтровать и по-настоящему вредные утилиты), а добавление ПО в список исключений.

Источник

Как отключить или включить брандмауэр Windows, добавить в исключение программу и разблокировать доступ в интернет

Здравствуйте, друзья. В этой теме поговорим о том, как отключить брандмауэр Windows, добавить программу в исключение, а так же постараемся разобраться с ситуацией, когда он блокирует доступ в интернет. Этот пост можно отнести к разделу безопасности, в котором уже присутствуют несколько записей, одна из которых называется: Как защитить компьютер от взлома и основана она на собственном печальном опыте. Из этого следует, что к безопасности нужно подходить серьезно и следует хорошенько подумать, а стоит ли отключать брандмауэр Windows.

Я думаю, что вы уже знакомы с системой безопасности Windows, раз попали на эту страницу. если же по каким-либо причинам не знаете, что такое брандмауэр, то подробную информацию о нем найдете здесь.

Как отключить или включить брандмауэр Windows

Покажу на примере Windows 7, хотя эту инструкцию можно отнести и к версии XP. Если вы не пользуетесь режимом бога, то заходим в Пуск — Панель управления — Система и безопасность — Брандмауэр Windows и слева в меню нажимаем на ссылку: Включение и отключение брандмауэра Windows.

Если у вас домашний компьютер и нет никакой общественной сети, то чтобы его отключить, достаточно установить флажок вот таким образом.

Запретить программе выход в интернет через брандмауэр

Для этого выбираем пункт: Дополнительные параметры. Его видно на первом скриншоте. Затем слева нажимаем: Правила для исходящего подключения и справа: Создать правило и выбираем пункт: Для программы.

На следующем шаге выбираем путь к программе.
На следующем этапе устанавливать флажок: Блокировать подключения.
Нажимает 2 раза Далее и указываем имя нашему подключению, после чего нажимаем кнопку Готово Теперь, программа, добавленная в исключение брандмауэра Windows, не будет ломиться в интернет. Примерно таким же макаром можно разрешить программе выход в сеть.

Если брандмауэр блокирует выход в интернет

Если это касается определенной программы, то проверьте, не стоит ли данный софт в исключениях. Если с этим все в порядке, то следует проверить, не установлена ли галочка при включенном брандмауэре на пункте: Блокирование всех входящих подключений, включая подключения, указанные в списке разрешенных программ. Этот пункт видно на втором скриншоте.

Отключение службы брандмауэра Windows

Если вы совсем не хотите им пользоваться, то можно отключить и службу, которая с ним связана. Это освободит некоторые системные ресурсы. Нажимаем пуск, водим в стоке поиска слово «Службы», переходим, ищем нужный пункт и отключаем службу. В статье про оптимизацию ноутбука написано, какой программой можно отключать неиспользуемые службы.

На этом все. надеюсь, что теперь вы разобрались со своим брандмауэром и теперь он не будет вас беспокоить.

Источник

Firewalls are not a silver bullet that will shield you from all threats, but firewalls certainly help keep your system more secure. The firewall will not detect or block specific threats the way an antivirus program does, nor will it stop you from clicking on a link in a phishing email message or from executing a file infected with a worm.

The firewall simply restricts the flow of traffic into (and sometimes out of) your computer to provide a line of defense against programs or individuals that might try to connect to your computer without your approval.

How to Activate the Firewall

Microsoft has included a firewall in their Windows operating system for a while, but, until the release of Windows XP SP2, it has been disabled by default and required that the user knows of its existence and take steps to turn it on.

Once you install Service Pack 2 on a Windows XP system, the Windows Firewall is enabled by default. You can get to the Windows Firewall settings by either clicking on the small shield icon in the Systray at the lower right of the screen and then clicking on Windows Firewall at the bottom under the Manage security settings for heading. You can also click on Windows Firewall in the Control Panel.

Microsoft recommends that you have a firewall installed, but it doesn’t have to be their firewall. Windows can detect the presence of most personal firewall software and will recognize that your system is still protected if you disable the Windows Firewall. If you disable the Windows Firewall without having a 3rd-party firewall installed, however, the Windows Security Center will alert you that you are not protected and the little shield icon will turn red.

Creating Exceptions

If you are using the Windows Firewall, you may need to configure it to allow certain traffic. The firewall, by default, will block most incoming traffic and restrict attempts by programs to communicate with the internet. If you click on the Exceptions tab, you can add or remove programs that should be allowed to communicate through the firewall, or you can open up specific TCP/IP ports so that any communications on those ports will be passed through the firewall.

To add a program, you can click Add Program under the Exceptions tab. A list of programs installed on the system will appear, or you can browse for a specific executable file if the program you are looking for is not on the list.

At the bottom of the Add Program window is a button labeled Change Scope. If you click on that button, you can specify exactly which computers should be allowed to use the firewall exception. In other words, you may want to allow a certain program to communicate through your Windows Firewall, but only with other computers on your local network and not the Internet. Change Scope offers three options. You can choose to allow the exception for all computers (including the public Internet), only the computers on your local network subnet, or you can specify only certain IP addresses to allow.

Under the Add Port option, you supply a name for the port exception and identify the port number you want to create an exception for and whether it is a TCP or UDP port. You can also adjust the scope of the exception with the same options as the Add Program exceptions.

Advanced Settings

The final tab for configuring Windows Firewall is the Advanced tab. Under the Advanced tab, Microsoft offers some more specific control over the firewall. The first section lets you choose whether or not to have the Windows Firewall enabled for each network adapter or connection. If you click on the Settings button in this section, you can define certain services, such as FTP, POP3 or Remote Desktop services to communicate with that network connection through the firewall.

The second section is for Security Logging. If you are having problems using the firewall or suspect that your computer may be being attacked, you can enable the Security Logging for the firewall. If you click on the Settings button, you can choose to log dropped packets and/or successful connections. You can also define where you want the log data to be saved and set the maximum file size for the log data.

The next section allows you to define settings for ICMP. ICMP (Internet Control Message Protocol) is used for a variety of purposes and error checking including PING and TRACERT commands. Responding to ICMP requests, however, can also be used to cause a denial-of-service condition on your computer or to gather information about your computer. Clicking on the Settings button for ICMP lets you specify precisely what types of ICMP communications you do or don’t want your Windows Firewall to allow.

The final section of the Advanced tab is the Default Settings section. If you have made changes and your system no longer works and you don’t even know where to begin, you can always come to this section as a last resort and click Restore Default Settings to reset your Windows Firewall to square one.

Updated by Andy O’Donnell

Thanks for letting us know!

Firewalls are not a silver bullet that will shield you from all threats, but firewalls certainly help keep your system more secure. The firewall will not detect or block specific threats the way an antivirus program does, nor will it stop you from clicking on a link in a phishing email message or from executing a file infected with a worm.

The firewall simply restricts the flow of traffic into (and sometimes out of) your computer to provide a line of defense against programs or individuals that might try to connect to your computer without your approval.

How to Activate the Firewall

Microsoft has included a firewall in their Windows operating system for a while, but, until the release of Windows XP SP2, it has been disabled by default and required that the user knows of its existence and take steps to turn it on.

Once you install Service Pack 2 on a Windows XP system, the Windows Firewall is enabled by default. You can get to the Windows Firewall settings by either clicking on the small shield icon in the Systray at the lower right of the screen and then clicking on Windows Firewall at the bottom under the Manage security settings for heading. You can also click on Windows Firewall in the Control Panel.

Microsoft recommends that you have a firewall installed, but it doesn’t have to be their firewall. Windows can detect the presence of most personal firewall software and will recognize that your system is still protected if you disable the Windows Firewall. If you disable the Windows Firewall without having a 3rd-party firewall installed, however, the Windows Security Center will alert you that you are not protected and the little shield icon will turn red.

Creating Exceptions

If you are using the Windows Firewall, you may need to configure it to allow certain traffic. The firewall, by default, will block most incoming traffic and restrict attempts by programs to communicate with the internet. If you click on the Exceptions tab, you can add or remove programs that should be allowed to communicate through the firewall, or you can open up specific TCP/IP ports so that any communications on those ports will be passed through the firewall.

To add a program, you can click Add Program under the Exceptions tab. A list of programs installed on the system will appear, or you can browse for a specific executable file if the program you are looking for is not on the list.

At the bottom of the Add Program window is a button labeled Change Scope. If you click on that button, you can specify exactly which computers should be allowed to use the firewall exception. In other words, you may want to allow a certain program to communicate through your Windows Firewall, but only with other computers on your local network and not the Internet. Change Scope offers three options. You can choose to allow the exception for all computers (including the public Internet), only the computers on your local network subnet, or you can specify only certain IP addresses to allow.

Under the Add Port option, you supply a name for the port exception and identify the port number you want to create an exception for and whether it is a TCP or UDP port. You can also adjust the scope of the exception with the same options as the Add Program exceptions.

Advanced Settings

The final tab for configuring Windows Firewall is the Advanced tab. Under the Advanced tab, Microsoft offers some more specific control over the firewall. The first section lets you choose whether or not to have the Windows Firewall enabled for each network adapter or connection. If you click on the Settings button in this section, you can define certain services, such as FTP, POP3 or Remote Desktop services to communicate with that network connection through the firewall.

The second section is for Security Logging. If you are having problems using the firewall or suspect that your computer may be being attacked, you can enable the Security Logging for the firewall. If you click on the Settings button, you can choose to log dropped packets and/or successful connections. You can also define where you want the log data to be saved and set the maximum file size for the log data.

The next section allows you to define settings for ICMP. ICMP (Internet Control Message Protocol) is used for a variety of purposes and error checking including PING and TRACERT commands. Responding to ICMP requests, however, can also be used to cause a denial-of-service condition on your computer or to gather information about your computer. Clicking on the Settings button for ICMP lets you specify precisely what types of ICMP communications you do or don’t want your Windows Firewall to allow.

The final section of the Advanced tab is the Default Settings section. If you have made changes and your system no longer works and you don’t even know where to begin, you can always come to this section as a last resort and click Restore Default Settings to reset your Windows Firewall to square one.

Updated by Andy O’Donnell

Thanks for letting us know!