Platforma pro filtrování oken balíček zablokovala. Brána firewall systému Windows s pokročilým zabezpečením – Diagnostika a řešení problémů. Dokončení výzvy

Počínaje serverem 2008 a Vista byl mechanismus WFP zabudován do systému Windows,
což je sada API a systémových služeb. S tím se to stalo možným
zakázat a povolit připojení, spravovat jednotlivé balíčky. Tyto
inovace měly za cíl zjednodušit život vývojářům různých
ochrana Změny provedené v síťové architektuře ovlivnily jak režim jádra, tak i
a části systému v uživatelském režimu. V prvním případě se exportují potřebné funkce
fwpkclnt.sys, ve druhém - fwpuclnt.dll (písmena "k" a "u" v názvech knihoven
znamená jádro a uživatele). V tomto článku budeme hovořit o použití
WFP pro zachycování a filtrování provozu a po seznámení se zákl
S definicemi a možnostmi WFP si napíšeme vlastní jednoduchý filtr.

Základní pojmy

Než začneme kódovat, musíme se bezpodmínečně seznámit s terminologií
Microsoft - a pro pochopení článku to bude užitečné a další literatura
bude se to lépe číst :) Tak pojďme.

Klasifikace- proces určování, co dělat s balíčkem.
Z možných akcí: povolit, zablokovat nebo vyvolat výzvu.

Popisky je soubor funkcí v ovladači, které provádějí kontrolu
balíčky. Mají speciální funkci, která provádí klasifikaci paketů. Tento
funkce může učinit následující rozhodnutí:

• povolit(FWP_ACTION_PERMIT);
• block(FWP_ACTION_BLOCK);
• pokračovat ve zpracování;
• požadovat více údajů;
• ukončit připojení.

Filtry- pravidla určující, kdy volat
ten či onen popisek. Jeden ovladač může mít více popisků a
vývojem callout ovladače se budeme zabývat v tomto článku. Mimochodem, colouts
existují také vestavěné, například NAT-calout.

vrstva je funkce, pomocí které se kombinují různé filtry (nebo,
jak se říká v MSDN, "kontejner").

Dokumentace od Microsoftu ve skutečnosti vypadá dost nejasně
nemůžete se podívat na příklady ve WDK. Pokud se tedy náhle rozhodnete něco vyvinout
Vážně, určitě byste je měli zkontrolovat. Tak teď je to hladké
přejděme k praxi. Pro úspěšnou kompilaci a testy budete potřebovat WDK (Windows
Driver Kit), VmWare, virtuální počítač s nainstalovanou Vista a ladicí program WinDbg.
Co se týče WDK, osobně mám nainstalovanou verzi 7600.16385.0 - je tam vše
potřebné knihovny (protože budeme vyvíjet ovladač, potřebujeme pouze
fwpkclnt.lib a ntoskrnl.lib) a příklady WFP. Odkazy na celek
Nástroje již byly několikrát citovány, takže se nebudeme opakovat.

Kódování

Pro inicializaci popisku jsem napsal funkci BlInitialize. Obecný algoritmus
vytvoření popisku a přidání filtru je takto:

1. FWPMENGINEOPEN0 provede zahájení relace;
2. FWPMTRANSACTIONBEGIN0- zahájení provozu s WFP;
3. FWPSCALLOUTREGISTER0- vytvoření nového popisku;
4. FWPMCALLOUTADD0- přidání objektu popisku do systému;
5. FWPMFILTERADD0- přidání nového filtru(ů);
6. FWPMTRANSACTIONCOMMIT0- uložení změn (doplněno
   filtry).

Všimněte si, že funkce končí 0. Ve Windows 7 některé z nich
funkce byly změněny, například se objevil FwpsCalloutRegister1 (když
uložen FwpsCalloutRegister0). Liší se v argumentech a v důsledku toho
prototypy klasifikačních funkcí, ale pro nás je to nyní jedno - 0-funkce
univerzální.

FwpmEngineOpen0 a FwpmTransactionBegin0 nás nijak zvlášť nezajímají – jedná se o
přípravná fáze. Zábava začíná funkcí
FwpsCalloutRegister0:

Prototyp FwpsCalloutRegister0

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__v const FWPS_CALLOUT0 *popisek,
__out_opt UINT32 *caloutId
);

Již jsem řekl, že callout je soubor funkcí, nyní je čas
mluvit o tom podrobněji. Struktura FWPS_CALLOUT0 obsahuje ukazatele na tři
funkce - klasifikační (classifyFn) a dvě oznamovací (asi
přidání/odebrání filtru (notifyFn) a uzavření zpracovávaného streamu (flowDeleteFn)).
První dvě funkce jsou povinné, poslední je potřeba pouze v případě
chcete sledovat samotné pakety, nejen připojení. Také ve struktuře
obsahuje jedinečný identifikátor, callout GUID (calloutKey).

registrační kód výzvy

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// klasifikační funkce
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// funkce oznamující přidání/odebrání filtru
// vytvořit nový popisek
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

WINAPI DWORD FwpmCalloutAdd0(
__v HANDLE engineHandle,
__v const FWPM_CALLOUT0 *popis,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_(
calloutKey GUID;
FWPM_DISPLAY_DATA0 displayData; // popis popisku
příznaky UINT32;
GUID *Key poskytovatele;
FWP_BYTE_BLOB providerData;
použitelnéLayer GUID;
UINT32 calloutId;
) FWPM_CALLOUT0;

Ve struktuře FWPM_CALLOUT0 nás zajímá pole applyLayer - unique
identifikátor úrovně, do které je popis přidán. V našem případě toto
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" v názvu identifikátoru znamená verzi
Protokol Ipv4, existuje také FWPM_LAYER_ALE_AUTH_CONNECT_V6 pro Ipv6. S ohledem na
s nízkou prevalencí Ipv6 v tuto chvíli, budeme pracovat pouze s
ipv4. CONNECT v názvu znamená, že ovládáme pouze instalaci
připojení, o příchozích a odchozích paketech na tuto adresu nemůže být řeč! Vůbec
existuje mnoho úrovní kromě té, kterou jsme použili - jsou deklarovány v záhlaví souboru
fwpmk.h z WDK.

Přidání objektu popisku do systému

// název popisku
displayData.name = L"Blocker Callout";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// popis popisku
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Takže po úspěšném přidání popisku do systému musíte vytvořit
filtr, to znamená, že specifikujte, v jakých případech bude naše popiska volána, jmenovitě
- jeho klasifikační funkce. Nový filtr je vytvořen funkcí FwpmFilterAdd0,
kterému je předána struktura FWPM_FILTER0 jako argument.

FWPM_FILTER0 obsahuje jednu nebo více struktur FWPM_FILTER_CONDITION0 (jejich
číslo je určeno polem numFilterConditions). Pole layerKey je vyplněno identifikátorem GUID
vrstva (vrstva), ke které se chceme připojit. V tomto případě upřesňujeme
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Nyní se podívejme blíže na plnění FWPM_FILTER_CONDITION0. Za prvé, v
pole fieldKey musí být explicitně specifikováno, co chceme ovládat - port, adresa,
aplikace nebo něco jiného. V tomto případě WPM_CONDITION_IP_REMOTE_ADDRESS
říká systému, že nás zajímá IP adresa. Určuje hodnota fieldKey
jaký typ hodnot bude obsažen ve struktuře FWP_CONDITION_VALUE
FWPM_FILTER_CONDITION0. V tomto případě obsahuje adresu ipv4. Pojďme
dále. Pole matchType určuje, jak bude provedeno srovnání.
hodnoty v FWP_CONDITION_VALUE s tím, co přišlo přes síť. Zde je mnoho možností:
můžete zadat FWP_MATCH_EQUAL, což bude znamenat úplnou shodu s podmínkou, a
můžete - FWP_MATCH_NOT_EQUAL, to znamená, že ve skutečnosti můžeme přidat toto
tedy filtrování výjimky (adresa, ke které není sledováno připojení).
Existují také možnosti FWP_MATCH_GREATER, FWP_MATCH_LESS a další (viz výčet
FWP_MATCH_TYPE). V tomto případě máme FWP_MATCH_EQUAL.

Moc jsem se neobtěžoval a napsal jsem pouze blokovací podmínku
jednu vybranou IP adresu. V případě, že se některá aplikace pokusí
navázat spojení s vybranou adresou, zavolá se klasifikátor
naše popisovací funkce. Kód shrnující to, co bylo řečeno, lze vidět na
Viz postranní panel „Přidání filtru do systému“.

Přidání filtru do systému

filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker Callout";
filter.displayData.description = L"Blocker Callout";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// jedna podmínka filtru
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // automatická váha.
// přidat filtr ke vzdálené adrese
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// přidat filtr
status = FwpmFilterAdd(gEngineHandle, &filtr, NULL, NULL);

Obecně může samozřejmě existovat mnoho podmínek filtrování. Například můžete
zadejte blokování připojení ke konkrétnímu vzdálenému nebo místnímu portu (FWPM_CONDITION_IP_REMOTE_PORT
a FWPM_CONDITION_IP_LOCAL_PORT). Dokáže zachytit všechny balíčky
konkrétní protokol nebo konkrétní aplikaci. A to není vše! Umět,
například blokovat provoz konkrétního uživatele. Obecně platí, že je kde
toulat se.

Nicméně zpět k filtru. Klasifikační funkce je v našem případě jednoduchá
zablokuje připojení na zadanou adresu (BLOCKED_IP_ADDRESS) a vrátí se
FWP_ACTION_BLOCK:

Náš klasifikační funkční kód

void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* vMetaValues,
VOID* paket, IN const FWPS_FILTER* filtr,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// vyplňte strukturu FWPS_CLASIFY_OUT0
if(classifyOut)( // zablokování balíčku
classifyOut->actionType =
FWP_ACTION_BLOCK;
// při blokování balíčku potřebujete
resetovat FWPS_RIGHT_ACTION_WRITE
classifyOut->práva&=~FWPS_RIGHT_ACTION_WRITE;
}
}

V praxi může klasifikační funkce také nastavit FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE atd.

A nakonec, při vyjímání ovladače, musíte odstranit všechny nainstalované
callouts (hádejte, co se stane, když se systém pokusí zavolat callout
vyložený řidič? Správně, BSOD). Existuje na to funkce
FwpsCalloutUnregisterById. Jako parametr je předán 32bitový parametr.
identifikátor výzvy vrácený funkcí FwpsCalloutRegister.

Dokončení výzvy

NTSTATUS BlUninitialize()(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
návrat ns;
}

Jak vidíte, programování filtru WFP není tak obtížný úkol, protože
MS nám poskytl velmi praktické API. Mimochodem, v našem případě jsme nastavili
filtr v ovladači, ale lze to udělat i z usermodu! Například ukázka z wdk
msnmntr (monitor provozu MSN Messenger) dělá právě to – umožňuje vám to ne
přetížit část filtru v režimu jádra.

Váš GUID

K registraci popisku potřebuje jedinečný identifikátor. V následujících situacích
získejte svůj GUID (globálně jedinečný identifikátor), použijte guidgen.exe, který je součástí
ve Visual Studiu. Nástroj se nachází v (VS_Path)\Common7\Tools. Pravděpodobnost kolize
velmi malý, protože GUID je dlouhý 128 bitů a k dispozici je 2^128
identifikátory.

Ladění filtrů

Pro odladění palivového dřeva je vhodné použít balíček Windbg + VmWare. K tomu potřebujete
nakonfigurovat jak hostující systém (v jehož podobě Vista jedná), tak debugger
windbg. Pokud by WinXP musel upravit boot.ini pro vzdálené ladění, pak
pro Vista+ existuje konzolový nástroj bcdedit. Jako obvykle musíte povolit ladění:

BCDedit /dbgsettings SÉRIOVÝ DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ON (nebo BCDedit /set debug ON)

Nyní je vše připraveno! Spustíme dávkový soubor s následujícím textem:

start windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

a podívejte se na výstup ladění v okně windbg (viz obrázek).

Závěr

Jak vidíte, rozsah WFP je poměrně široký. Vy rozhodnete jak
aplikujte tyto znalosti - pro zlo nebo pro dobro 🙂

Modul snap-in Windows Vista™ Management Console (MMC) je stavová brána firewall pro pracovní stanice, která filtruje příchozí a odchozí připojení podle nakonfigurovaných nastavení. Nyní můžete konfigurovat nastavení brány firewall a IPsec pomocí jediného modulu snap-in. Tento článek popisuje bránu firewall systému Windows s pokročilým zabezpečením, běžné problémy a řešení.

Jak funguje brána Windows Firewall s pokročilým zabezpečením

Brána firewall systému Windows s pokročilým zabezpečením je brána firewall pro protokolování stavu sítě pro pracovní stanice. Na rozdíl od bran firewall pro směrovače, které jsou nasazeny na bráně mezi vaší místní sítí a Internetem, je brána Windows Firewall navržena tak, aby fungovala na jednotlivých počítačích. Sleduje pouze provoz pracovní stanice: provoz přicházející na IP adresu tohoto počítače a odchozí provoz do samotného počítače. Brána firewall systému Windows s pokročilým zabezpečením provádí následující základní operace:

Příchozí paket je zkontrolován a porovnán se seznamem povoleného provozu. Pokud paket odpovídá jedné z hodnot v seznamu, brána Windows Firewall předá paket TCP/IP k dalšímu zpracování. Pokud paket neodpovídá žádné z hodnot v seznamu, brána Windows Firewall paket zablokuje a pokud je povoleno protokolování, vytvoří záznam v souboru protokolu.

Seznam povoleného provozu se tvoří dvěma způsoby:

Když připojení řízené bránou Windows Firewall s pokročilým zabezpečením odešle paket, brána firewall vytvoří v seznamu hodnotu, která umožní návratový provoz. Příslušný příchozí provoz bude vyžadovat další povolení.

Když vytvoříte bránu Windows Firewall s pravidlem povolení pokročilého zabezpečení, bude provoz, pro který je pravidlo vytvořeno, povolen v počítači s bránou Windows Firewall. Tento počítač bude přijímat explicitně povolený příchozí provoz, pokud bude fungovat jako server, klientský počítač nebo síťový uzel typu peer-to-peer.

Prvním krokem při řešení problémů s bránou Windows Firewall je zkontrolovat, který profil je aktivní. Brána firewall systému Windows s pokročilým zabezpečením je aplikace, která monitoruje vaše síťové prostředí. Profil brány Windows Firewall se změní, když se změní síťové prostředí. Profil je sada nastavení a pravidel, která se používají v závislosti na síťovém prostředí a aktivních síťových připojeních.

Firewall rozlišuje tři typy síťových prostředí: doménové, veřejné a privátní sítě. Doména je síťové prostředí, kde jsou připojení ověřována řadičem domény. Ve výchozím nastavení jsou všechny ostatní typy síťových připojení považovány za veřejné sítě. Když je zjištěno nové připojení, systém Windows Vista vyzve uživatele, aby uvedl, zda je síť soukromá nebo veřejná. Obecný profil je určen pro použití na veřejných místech, jako jsou letiště nebo kavárny. Soukromý profil je navržen pro použití doma nebo v kanceláři a v zabezpečené síti. Chcete-li definovat síť jako soukromou, musí mít uživatel příslušná oprávnění správce.

Přestože může být počítač připojen k různým typům sítí současně, může být aktivní pouze jeden profil. Volba aktivního profilu závisí na následujících důvodech:

Pokud všechna rozhraní používají ověřování řadiče domény, použije se profil domény.

Pokud je alespoň jedno z rozhraní připojeno k privátní síti a všechna ostatní jsou připojena k doméně nebo privátním sítím, použije se privátní profil.

Ve všech ostatních případech se použije obecný profil.

Chcete-li určit aktivní profil, klepněte na uzel Pozorování v mžiku Brána firewall systému Windows s pokročilým zabezpečením. Nad textem Stav brány firewall bude indikovat, který profil je aktivní. Je-li například aktivní profil domény, bude titulek zobrazen nahoře Profil domény je aktivní.

Pomocí profilů může brána Windows Firewall automaticky povolit příchozí provoz pro speciální nástroje pro správu počítače, když je počítač v doméně, a blokovat stejný provoz, když je počítač připojen k veřejné nebo privátní síti. Určení typu síťového prostředí tedy zajišťuje ochranu vaší místní sítě, aniž by došlo k ohrožení bezpečnosti mobilních uživatelů.

Běžné problémy při spuštění brány Windows Firewall s pokročilým zabezpečením

Níže jsou uvedeny hlavní problémy, ke kterým dochází při spuštění brány Windows Firewall s pokročilým zabezpečením:

V případě, že je provoz blokován, měli byste nejprve zkontrolovat, zda je povolena brána firewall a který profil je aktivní. Pokud je některá z aplikací zablokována, ujistěte se, že v okamžiku Brána firewall systému Windows s pokročilým zabezpečením pro aktuální profil existuje aktivní pravidlo povolení. Chcete-li ověřit, zda existuje pravidlo povolení, poklepejte na uzel Pozorování a poté vyberte sekci Firewall. Pokud pro tento program neexistují žádná aktivní pravidla povolení, přejděte na uzel a vytvořte pro tento program nové pravidlo. Vytvořte pravidlo pro program nebo službu nebo zadejte skupinu pravidel, která se vztahuje na tuto funkci, a ujistěte se, že jsou povolena všechna pravidla v této skupině.

Chcete-li zkontrolovat, zda pravidlo povolení není přepsáno pravidlem blokování, postupujte takto:

Ve stromu nástrojů Brána firewall systému Windows s pokročilým zabezpečením klepněte na uzel Pozorování a poté vyberte sekci Firewall.

Zobrazit seznam všech aktivních místních pravidel a pravidel skupinových zásad. Pravidla odepřít přepisují povolená pravidla, i když jsou přesněji definována.

Zásady skupiny brání vynucování místních pravidel

Pokud je brána Windows Firewall s pokročilým zabezpečením nakonfigurována pomocí zásad skupiny, může správce určit, zda se použijí pravidla brány firewall nebo pravidla zabezpečení připojení vytvořená místními správci. To má smysl, pokud existují nakonfigurovaná pravidla místní brány firewall nebo pravidla zabezpečení připojení, která nejsou v odpovídající části nastavení.

Chcete-li zjistit, proč v části Monitorování chybí místní pravidla brány firewall nebo pravidla zabezpečení připojení, postupujte takto:

v mžiku Brána firewall systému Windows s pokročilým zabezpečením, klikněte na odkaz Vlastnosti brány Windows Firewall.

Vyberte kartu aktivního profilu.

V kapitole Možnosti, zmáčknout tlačítko Naladit.

Pokud platí místní pravidla, oddíl Kombinační pravidla bude aktivní.

Pravidla vyžadující zabezpečená připojení mohou blokovat provoz

Při vytváření pravidla brány firewall pro příchozí nebo odchozí provoz je jednou z možností . Pokud je vybrána tato možnost, musí existovat příslušné pravidlo zabezpečení připojení nebo samostatná zásada IPSec, která definuje, který provoz je chráněn. V opačném případě je tento provoz zablokován.

Chcete-li zkontrolovat, zda jedno nebo více pravidel aplikace vyžaduje zabezpečená připojení, postupujte takto:

Ve stromu nástrojů Brána firewall systému Windows s pokročilým zabezpečením klikací sekce Pravidla pro příchozí spojení. Vyberte pravidlo, které chcete zkontrolovat, a klikněte na odkaz Vlastnosti v rámci konzole.

Vyberte kartu Jsou běžné a zkontrolujte, zda je vybrána hodnota přepínače Povolit pouze zabezpečená připojení.

Pokud je pro pravidlo zadán parametr Povolit pouze zabezpečená připojení, rozbalte sekci Pozorování ve stromu modulů snap-in a vyberte sekci. Ujistěte se, že provoz definovaný v pravidle brány firewall má příslušná pravidla zabezpečení připojení.

Varování:

Pokud máte aktivní zásadu IPSec, ujistěte se, že tato zásada chrání požadovaný provoz. Nevytvářejte pravidla zabezpečení připojení, abyste předešli konfliktu mezi zásadou IPSec a pravidly zabezpečení připojení.

Nelze povolit odchozí připojení

Ve stromu nástrojů Brána firewall systému Windows s pokročilým zabezpečením Vyberte sekci Pozorování. Vyberte kartu aktivního profilu a pod Stav brány firewall zkontrolujte, zda jsou povolena odchozí připojení, která neodpovídají pravidlu povolení.

V kapitole Pozorování Vyberte sekci Firewall abyste zajistili, že požadovaná odchozí připojení nebudou uvedena v pravidlech odepření.

Smíšené zásady mohou blokovat provoz

Nastavení brány firewall a IPSec můžete konfigurovat pomocí různých rozhraní operačního systému Windows.

Vytváření zásad na více místech může vést ke konfliktům a blokování provozu. K dispozici jsou následující body nastavení:

Brána firewall systému Windows s pokročilým zabezpečením. Tato zásada se konfiguruje pomocí příslušného modulu snap-in místně nebo jako součást zásad skupiny. Tato zásada řídí nastavení brány firewall a protokolu IPSec v počítačích se systémem Windows Vista.

Šablona pro správu brány Windows Firewall. Tato zásada se konfiguruje pomocí Editoru objektů zásad skupiny v části. Toto rozhraní obsahuje nastavení brány Windows Firewall, která byla k dispozici před systémem Windows Vista, a používá se ke konfiguraci objektu GPO, který řídí předchozí verze systému Windows. Přestože lze tato nastavení použít pro počítače se systémem Windows Vista, doporučujeme použít Brána firewall systému Windows s pokročilým zabezpečením protože poskytuje větší flexibilitu a jistotu. Všimněte si, že některá nastavení profilu domény jsou sdílena mezi šablonou pro správu brány Windows Firewall a zásadami brány Windows Firewall. Brána firewall systému Windows s pokročilým zabezpečením, takže zde můžete vidět nastavení nakonfigurovaná v profilu domény pomocí modulu snap-in Brána firewall systému Windows s pokročilým zabezpečením.

Zásady IPSec. Tato zásada se konfiguruje pomocí místního modulu snap-in Správa zásad IPSec nebo Editor objektů zásad skupiny v části Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Zásady zabezpečení IP v místním počítači. Tato zásada definuje nastavení IPSec, které mohou používat předchozí verze systému Windows i Windows Vista. Nepoužívejte tuto zásadu a pravidla zabezpečení připojení definovaná v zásadách na stejném počítači ve stejnou dobu. Brána firewall systému Windows s pokročilým zabezpečením.

Chcete-li zobrazit všechny tyto možnosti v příslušných modulech snap-in, vytvořte si vlastní modul snap-in konzoly pro správu a přidejte do něj moduly snap-in. Brána firewall systému Windows s pokročilým zabezpečením, A Zabezpečení IP.

Chcete-li vytvořit vlastní modul snap-in konzoly pro správu, postupujte takto:

Klepněte na tlačítko Start, přejděte do nabídky Všechny programy, poté v nabídce Standard a vyberte položku Běh.

V textovém poli OTEVŘENO ENTER.

Pokračovat.

V nabídce Řídicí panel vybrat .

Uvedeno Dostupné moduly snap-in vyberte snímek Brána firewall systému Windows s pokročilým zabezpečením a stiskněte tlačítko Přidat.

Klepněte na tlačítko OK.

Opakujte kroky 1 až 6 pro přidání snapů Správa zásad skupiny A Monitor zabezpečení IP.

Chcete-li zkontrolovat, které zásady jsou aktivní v aktivním profilu, použijte následující postup:

Chcete-li zkontrolovat, které zásady jsou použity, postupujte takto:

Na příkazovém řádku zadejte mmc a stiskněte klávesu ENTER.

Pokud se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte požadovanou akci a klikněte Pokračovat.

V nabídce Řídicí panel vybrat předmět Přidejte nebo odeberte snap.

Uvedeno Dostupné moduly snap-in vyberte snímek Správa zásad skupiny a stiskněte tlačítko Přidat.

Klepněte na tlačítko OK.

Rozbalte uzel ve stromu (obvykle strom lesa, kde se tento počítač nachází) a poklepejte na sekci v podokně podrobností konzoly.

Vyberte hodnotu přepínače Zobrazit nastavení zásad pro z hodnot současný uživatel nebo jiný uživatel. Pokud nechcete zobrazovat nastavení zásad pro uživatele, ale pouze nastavení zásad pro počítač, vyberte hodnotu přepínače Nezobrazovat zásady uživatele (zobrazit pouze zásady počítače) a dvakrát klikněte na tlačítko Dále.

Klepněte na tlačítko Připraveno. Průvodce výsledky zásad skupiny vygeneruje zprávu v podokně podrobností konzoly. Přehled obsahuje karty souhrn, Možnosti A Události zásad.

Chcete-li ověřit, že nedochází ke konfliktu se zásadami zabezpečení IP, po vygenerování zprávy vyberte možnost Možnosti a otevřete Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Nastavení zabezpečení IP v adresářové službě Active Directory. Pokud poslední část chybí, nebyla nastavena žádná zásada zabezpečení IP. V opačném případě se zobrazí název a popis zásady a také objekt GPO, ke kterému patří. Pokud používáte zásadu zabezpečení IP a zásadu Windows Firewall s pokročilým zabezpečením současně s pravidly zabezpečení připojení, mohou tyto zásady kolidovat. Doporučuje se používat pouze jednu z těchto zásad. Nejlepším řešením je použít zásady zabezpečení IP spolu s bránou Windows Firewall s pravidly pokročilého zabezpečení pro příchozí nebo odchozí provoz. Pokud jsou nastavení nakonfigurována na různých místech a nejsou vzájemně konzistentní, může dojít ke konfliktům zásad, které se obtížně řeší.

Mohou také nastat konflikty mezi politikami definovanými v místních GPO a skripty nakonfigurovanými IT oddělením. Zkontrolujte všechny zásady zabezpečení IP pomocí programu IP Security Monitor nebo zadáním následujícího příkazu do příkazového řádku:

Chcete-li zobrazit nastavení definovaná v šabloně pro správu brány Windows Firewall, rozbalte část Konfigurace počítače\Šablony pro správu\Síť\Síťová připojení\Brána firewall systému Windows.

Chcete-li zobrazit nejnovější události související s aktuální politikou, můžete přejít na kartu politické události ve stejné konzoli.

Chcete-li zobrazit zásady používané bránou Windows Firewall s pokročilým zabezpečením, otevřete modul snap-in v diagnostikovaném počítači a zkontrolujte nastavení v části Pozorování.

Chcete-li zobrazit šablony pro správu, otevřete modul snap-in Zásady skupiny a v sekci Výsledky zásad skupiny Podívejte se, zda existují nastavení zděděná ze zásad skupiny, která by mohla způsobit odmítnutí provozu.

Chcete-li zobrazit zásady zabezpečení IP, otevřete modul snap-in Monitor zabezpečení IP. Ve stromu vyberte místní počítač. V rozsahu konzoly vyberte odkaz Aktivní politika, Základní režim nebo Rychlý režim. Zkontrolujte konkurenční zásady, které by mohly vést k zablokování provozu.

V kapitole Pozorování cvaknout Brána firewall systému Windows s pokročilým zabezpečením Můžete zobrazit existující místní pravidla a pravidla skupinové politiky. Další informace naleznete v části " Použití funkce hodinek v modulu snap-in Brána firewall systému Windows s pokročilým zabezpečením » tohoto dokumentu.

Chcete-li zastavit agenta zásad IPSec, postupujte takto:

Klepněte na tlačítko Start a vyberte sekci Kontrolní panel.

Klepněte na ikonu Systém a jeho údržba a vyberte sekci Správa.

Dvakrát klikněte na ikonu Služby. Pokračovat.

Najděte službu v seznamu Agent zásad IPSec

Pokud služba IPSec agent běží, klikněte na něj pravým tlačítkem a vyberte položku nabídky Stop. Službu můžete také zastavit IPSec agent z příkazového řádku pomocí příkazu

Zásady sítě typu peer-to-peer mohou způsobit odmítnutí provozu

Pro připojení pomocí IPSec musí mít oba počítače kompatibilní zásady zabezpečení IP. Tyto zásady lze definovat pomocí modulu snap-in Pravidla zabezpečení připojení brány firewall systému Windows Zabezpečení IP nebo jiného poskytovatele zabezpečení IP.

Chcete-li zkontrolovat nastavení zásad zabezpečení IP v síti peer-to-peer, postupujte takto:

v mžiku Brána firewall systému Windows s pokročilým zabezpečením vybrat uzel Pozorování A Pravidla zabezpečení připojení abyste se ujistili, že oba hostitelé v síti mají nakonfigurovanou politiku zabezpečení IP.

Pokud je na jednom z počítačů v síti peer-to-peer spuštěna verze systému Windows starší než Windows Vista, zajistěte, aby alespoň jedna ze šifrovacích sad nativního režimu a jedna ze šifrovacích sad rychlého režimu používala algoritmy podporované oběma uzly.

1. Klikněte na sekci Základní režim, v podokně podrobností konzoly vyberte připojení, které chcete otestovat, a klikněte na odkaz Vlastnosti v rámci konzole. Zkontrolujte vlastnosti připojení pro oba uzly a ujistěte se, že jsou kompatibilní.

   Opakujte krok 2.1 pro sekci Rychlý režim. Zkontrolujte vlastnosti připojení pro oba uzly a ujistěte se, že jsou kompatibilní.

Pokud používáte ověřování Kerberos verze 5, ujistěte se, že je hostitel ve stejné nebo důvěryhodné doméně.

Pokud používáte certifikáty, ujistěte se, že jsou zaškrtnuta požadovaná políčka. Certifikáty, které používají IPSec Internet Key Exchange (IKE), vyžadují digitální podpis. Certifikáty, které používají Authenticated Internet Protocol (AuthIP), vyžadují ověření klienta (v závislosti na typu ověření serveru). Další informace o certifikátech AuthIP naleznete v článku Ověřená IP v systému Windows Vista AuthIP ve Windows Vista na webu společnosti Microsoft.

Nelze nakonfigurovat bránu Windows Firewall s pokročilým zabezpečením

Nastavení brány Windows Firewall s pokročilým zabezpečením jsou šedé v následujících případech:

Počítač je připojen k centrálně spravované síti a správce sítě používá zásady skupiny ke konfiguraci brány Windows Firewall s nastavením pokročilého zabezpečení. V tomto případě v horní části patentky Brána firewall systému Windows s pokročilým zabezpečením Zobrazí se zpráva „Některá nastavení jsou řízena zásadami skupiny“. Správce sítě nakonfiguruje zásady, čímž vám zabrání ve změně nastavení brány Windows Firewall.

Počítač se systémem Windows Vista není připojen k centrálně spravované síti, ale nastavení brány Windows Firewall je určeno zásadami místní skupiny.

Chcete-li změnit nastavení brány Windows Firewall s pokročilým zabezpečením pomocí zásad místní skupiny, použijte Zásady místního počítače. Chcete-li otevřít tento modul snap-in, zadejte na příkazovém řádku příkaz secpol. Pokud se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte požadovanou akci a klikněte Pokračovat. Přejděte do části Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Brána firewall systému Windows s pokročilým zabezpečením a nakonfigurujte nastavení zásad brány Windows Firewall s pokročilým zabezpečením.

Počítač nereaguje na požadavky ping

Hlavním způsobem, jak otestovat konektivitu mezi počítači, je použít nástroj Ping k otestování připojení ke konkrétní IP adrese. Během pingu je odeslána ICMP echo zpráva (známá také jako ICMP echo request) a jako odpověď je požadována ICMP echo odpověď. Brána Windows Firewall ve výchozím nastavení odmítá příchozí zprávy s ozvěnou ICMP, takže počítač nemůže odeslat ozvěnu ICMP.

Povolením příchozích ICMP echo zpráv umožníte ostatním počítačům pingnout váš počítač. Na druhou stranu to ponechá počítač zranitelný vůči útokům pomocí ICMP echo zpráv. V případě potřeby se však doporučuje dočasně povolit příchozí ICMP echa a poté je zakázat.

Chcete-li povolit zprávy echo ICMP, vytvořte nová příchozí pravidla, která povolí pakety požadavků echo ICMPv4 a ICMPv6.

Chcete-li povolit požadavky na echo ICMPv4 a ICMPv6, postupujte takto:

Ve stromu nástrojů Brána firewall systému Windows s pokročilým zabezpečením vybrat uzel Pravidla pro příchozí spojení a klikněte na odkaz nové pravidlo v rozsahu konzole.

Přizpůsobitelné a stiskněte tlačítko Dále.

Zadejte hodnotu přepínače Všechny programy a stiskněte tlačítko Dále.

Pokles typ protokolu vyberte hodnotu ICMPv4.

Klepněte na tlačítko Naladit pro položku Parametry protokolu ICMP.

Nastavte přepínač na Některé typy ICMP, zaškrtněte políčko žádost o echo, zmáčknout tlačítko OK a stiskněte tlačítko Dále.

Ve fázi výběru místních a vzdálených IP adres, které odpovídají tomuto pravidlu, nastavte přepínače na Jakákoli IP adresa nebo Zadané IP adresy. Pokud zvolíte hodnotu Zadané IP adresy, zadejte požadované IP adresy, klikněte na tlačítko Přidat a stiskněte tlačítko Dále.

Zadejte hodnotu přepínače Povolit připojení a stiskněte tlačítko Dále.

Ve fázi výběru profilu zaškrtněte jeden nebo více profilů (profil domény, soukromý nebo veřejný profil), ve kterých chcete toto pravidlo použít, a klikněte na tlačítko Dále.

V terénu název zadejte název pravidla a do pole Popis je volitelný popis. Klepněte na tlačítko Připraveno.

Opakujte výše uvedené kroky pro protokol ICMPv6 a vyberte v kroku typ protokolu rozevírací hodnota ICMPv6 namísto ICMPv4.

Pokud máte aktivní pravidla zabezpečení připojení, dočasné vyloučení ICMP z požadavků IPsec může pomoci vyřešit problémy. Chcete-li to provést, otevřete v snap Brána firewall systému Windows s pokročilým zabezpečením dialogové okno Vlastnosti, přejděte na kartu Nastavení IPSec a nastavte hodnotu v rozevíracím seznamu Ano pro parametr Vyloučit ICMP z IPSec.

Poznámka

Nastavení brány Windows Firewall mohou měnit pouze správci a provozovatelé sítí.

Nelze sdílet soubory a tiskárny

Pokud nemůžete sdílet soubory a tiskárny na počítači s aktivní bránou Windows Firewall, ujistěte se, že jsou povolena všechna pravidla skupiny Přístup k souborům a tiskárnám Brána firewall systému Windows s pokročilým zabezpečením vybrat uzel Pravidla pro příchozí spojení Přístup k souborům a tiskárnám Povolit pravidlo v rámci konzole.

Pozornost:

Důrazně se doporučuje nepovolovat sdílení souborů a tiskáren na počítačích, které jsou přímo připojeny k Internetu, protože útočníci se mohou pokusit získat přístup ke sdíleným souborům a poškodit vás poškozením vašich osobních souborů.

Nelze vzdáleně spravovat bránu Windows Firewall

Pokud nemůžete vzdáleně spravovat počítač s aktivní bránou Windows Firewall, ujistěte se, že jsou povolena všechna pravidla ve výchozí nakonfigurované skupině Vzdálené ovládání brány Windows Firewall aktivní profil. v mžiku Brána firewall systému Windows s pokročilým zabezpečením vybrat uzel Pravidla pro příchozí spojení a posuňte seznam pravidel do skupiny Dálkové ovládání. Ujistěte se, že jsou tato pravidla povolena. Vyberte každé ze zakázaných pravidel a klikněte na tlačítko Povolit pravidlo v rámci konzole. Dále ověřte, že je povolena služba IPSec Policy Agent. Tato služba je vyžadována pro vzdálenou správu brány Windows Firewall.

Chcete-li ověřit, zda je spuštěn agent zásad IPSec, postupujte takto:

Klepněte na tlačítko Start a vyberte sekci Kontrolní panel.

Klepněte na ikonu Systém a jeho údržba a vyberte sekci Správa.

Dvakrát klikněte na ikonu Služby.

Pokud se zobrazí dialogové okno Řízení uživatelských účtů, zadejte požadovaná pověření pro uživatele s příslušnými oprávněními a poté klikněte na Pokračovat.

Najděte službu v seznamu Agent zásad IPSec a ujistěte se, že má stav „Spuštěno“.

Pokud služba IPSec agent zastaveno, klikněte na něj pravým tlačítkem a vyberte položku z kontextové nabídky Běh. Službu můžete také spustit IPSec agent z příkazového řádku pomocí příkazu net start policy agent.

Poznámka

Výchozí služba Agent zásad IPSec spuštěna. Tato služba by měla být spuštěna, pokud nebyla ručně zastavena.

Poradce při potížích s bránou Windows Firewall

Tato část popisuje nástroje a metody používané k řešení běžných problémů. Tato sekce se skládá z následujících podsekcí:

Používání funkcí sledování v bráně Windows Firewall s pokročilým zabezpečením

Prvním krokem při řešení problémů s bránou Windows Firewall je zobrazení aktuálních pravidel. Funkce Pozorování umožňuje zobrazit pravidla používaná na základě místních a skupinových zásad. Zobrazení aktuálních pravidel příchozího a odchozího provozu ve stromu modulů snap-in Brána firewall systému Windows s pokročilým zabezpečením Vyberte sekci Pozorování a poté vyberte sekci Firewall. V této sekci můžete také zobrazit aktuální pravidla zabezpečení připojení A Přidružení zabezpečení (základní a rychlý režim).

Povolení a používání auditu zabezpečení pomocí nástroje příkazového řádku auditpol

Ve výchozím nastavení jsou možnosti auditu zakázány. Chcete-li je nakonfigurovat, použijte nástroj příkazového řádku auditpol.exe, který změní nastavení zásad auditu v místním počítači. auditpol lze použít pro povolení nebo zakázání zobrazování různých kategorií událostí a jejich další prohlížení v modulu snap-in Prohlížeč událostí.

Chcete-li zobrazit seznam kategorií podporovaných programem auditpol, na příkazovém řádku zadejte:

• Chcete-li zobrazit seznam podkategorií, které jsou zahrnuty v dané kategorii (například v kategorii Změna zásad), na příkazovém řádku zadejte:

  auditpol.exe /list /category:"Změnit zásady"

• Chcete-li povolit zobrazení kategorie nebo podkategorie, zadejte na příkazový řádek následující:

  /Podkategorie:" NameCategory"

Chcete-li například nastavit zásady auditu pro kategorii a její podkategorii, zadejte následující příkaz:

auditpol.exe /set /category:"Změnit politiku" /subcategory:"Změnit politiku na úrovni pravidla MPSSVC" /success:enable /failure:enable

Změna zásad

Změna zásad na úrovni pravidel MPSSVC

Změna zásad filtrovací platformy

Zadejte výstup

Základní režim IPsec

Rychlý režim IPsec

Pokročilý režim IPsec

Systém

Ovladač IPSec

Další systémové události

Přístup k objektům

Zahození paketu filtrovací platformou

Připojení filtrační plošiny

Aby se změny v zásadách auditu zabezpečení projevily, musíte restartovat místní počítač nebo vynutit ruční aktualizaci zásad. Chcete-li vynutit obnovení zásad, na příkazovém řádku zadejte:

secedit/refreshpolicy<название_политики>

Po dokončení diagnostiky můžete zakázat monitorování událostí nahrazením parametru enable parametrem disable ve výše uvedených příkazech a spuštěním příkazů znovu.

Zobrazení událostí auditu zabezpečení v protokolu událostí

Po povolení auditování použijte modul snap-in Prohlížeč událostí k zobrazení událostí auditu v protokolu událostí zabezpečení.

Chcete-li otevřít modul snap-in Prohlížeč událostí ve složce Nástroje pro správu, postupujte takto:

1. Klepněte na tlačítko Start.

   Vyberte sekci Kontrolní panel. Klepněte na ikonu Systém a jeho údržba a vyberte sekci Správa.

   Dvakrát klikněte na ikonu Prohlížeč událostí.

Chcete-li přidat modul snap-in Prohlížeč událostí do konzoly MMC, postupujte takto:

Klepněte na tlačítko Start, přejděte do nabídky Všechny programy, poté v nabídce Standard a vyberte položku Běh.

V textovém poli OTEVŘENO zadejte mmc a stiskněte klávesu ENTER.

Pokud se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte požadovanou akci a klikněte Pokračovat.

V nabídce Řídicí panel vybrat předmět Přidejte nebo odeberte snap.

Uvedeno Dostupné moduly snap-in vyberte snímek Prohlížeč událostí a stiskněte tlačítko Přidat.

Klepněte na tlačítko OK.

Před zavřením modulu snap-in uložte konzolu pro budoucí použití.

v mžiku Prohlížeč událostí rozbalte sekci Protokoly systému Windows a vyberte uzel Bezpečnost. Události auditu zabezpečení můžete zobrazit v pracovním prostoru konzoly. Všechny události jsou zobrazeny v horní části pracovní plochy konzoly. Kliknutím na událost v horní části pracovní plochy konzoly zobrazíte podrobné informace v dolní části panelu. Na kartě Jsou běžné popis událostí je umístěn formou srozumitelného textu. Na kartě Podrobnosti K dispozici jsou následující možnosti zobrazení událostí: Přehledná prezentace A Režim XML.

Nastavení protokolu brány firewall pro profil

Než budete moci zobrazit protokoly brány firewall, musíte nakonfigurovat bránu firewall systému Windows s pokročilým zabezpečením pro generování souborů protokolu.

Chcete-li nakonfigurovat protokolování pro bránu Windows Firewall s profilem pokročilého zabezpečení, postupujte takto:

Ve stromu nástrojů Brána firewall systému Windows s pokročilým zabezpečením Vyberte sekci Brána firewall systému Windows s pokročilým zabezpečením a stiskněte tlačítko Vlastnosti v rámci konzole.

Vyberte kartu profilu, pro kterou chcete konfigurovat protokolování (profil domény, soukromý profil nebo veřejný profil), a poté klikněte na tlačítko Naladit V kapitole Protokolování.

Zadejte název a umístění souboru protokolu.

Zadejte maximální velikost souboru protokolu (od 1 do 32767 kilobajtů)

Pokles Zaznamenat zmeškané pakety zadejte hodnotu Ano.

Pokles Zaznamenejte úspěšná připojení zadejte hodnotu Ano a potom klepněte na tlačítko OK.

Zobrazení souborů protokolu brány firewall

Otevřete soubor, který jste zadali během předchozího postupu „Konfigurace protokolu brány firewall pro profil“. Pro přístup k protokolu brány firewall musíte mít práva místního správce.

Soubor protokolu můžete zobrazit pomocí programu Poznámkový blok nebo libovolného textového editoru.

Analýza souborů protokolu brány firewall

Zaprotokolované informace jsou uvedeny v následující tabulce. Některá data jsou specifikována pouze pro určité protokoly (TCP příznaky, typ a kód ICMP atd.) a některá data jsou specifikována pouze pro zahozené pakety (velikost).

Poznámka

V polích v aktuálním záznamu, která neobsahují žádné informace, se používá spojovník (-).

Vytváření textových souborů netstat a tasklist

Můžete vytvořit dva vlastní soubory protokolu, jeden pro prohlížení statistik sítě (seznam všech naslouchacích portů) a druhý pro prohlížení seznamů úkolů služeb a aplikací. Seznam úloh obsahuje ID procesu (identifikátor procesu, PID) pro události obsažené v souboru statistik sítě. Postup vytvoření těchto dvou souborů je popsán níže.

Chcete-li vytvořit textové soubory pro síťové statistiky a seznam úloh, postupujte takto:

Na příkazovém řádku napište netstat -ano > netstat.txt a stiskněte klávesu ENTER.

Na příkazovém řádku napište tasklist > tasklist.txt a stiskněte klávesu ENTER. Pokud chcete vytvořit textový soubor se seznamem služeb, zadejte tasklist /svc > tasklist.txt.

Otevřete soubory tasklist.txt a netstat.txt.

Najděte ID procesu, který diagnostikujete, v souboru tasklist.txt a porovnejte jej s hodnotou obsaženou v souboru netstat.txt. Zaznamenejte si použité protokoly.

Příklad vydávání souborů Tasklist.txt a Netstat.txt

netstat.txt
Proto Místní adresa Cizí adresa PID státu
TCP 0.0.0.0:XXX 0.0.0.0:0 POSLECH 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 POSLECH 322
Tasklist.txt
Název obrázku PID Název relace Session# Použití paměti
==================== ======== ================ =========== ============
svchost.exe 122 Služby 0 7,172 K
XzzRpc.exe 322 Services 0 5,104 K

Poznámka

Skutečné IP adresy byly změněny na „X“ a služba RPC na „z“.

Ujistěte se, že základní služby běží

Musí být spuštěny následující služby:

Základní filtrační služba

Klient zásad skupiny

Klíčové moduly IPsec pro internetovou výměnu klíčů a ověřenou IP

Pomocná služba IP

Služba agenta zásad IPSec

Služba určování polohy v síti

Služba seznamu sítí

Brána firewall systému Windows

Chcete-li otevřít modul snap-in Služby a ověřit, zda jsou spuštěny požadované služby, postupujte takto:

Klepněte na tlačítko Start a vyberte sekci Kontrolní panel.

Klepněte na ikonu Systém a jeho údržba a vyberte sekci Správa.

Dvakrát klikněte na ikonu Služby.

Pokud se zobrazí dialogové okno Řízení uživatelských účtů, zadejte požadovaná pověření pro uživatele s příslušnými oprávněními a poté klikněte na Pokračovat.

Ujistěte se, že jsou spuštěny výše uvedené služby. Pokud jedna nebo více služeb neběží, klepněte pravým tlačítkem na název služby v seznamu a vyberte příkaz Běh.

Další způsob řešení problémů

Jako poslední možnost můžete obnovit výchozí nastavení brány Windows Firewall. Obnovením výchozího nastavení ztratíte všechna nastavení provedená od instalace systému Windows Vista. To může způsobit, že některé programy přestanou fungovat. Také pokud spravujete počítač vzdáleně, spojení s ním bude ztraceno.

Před obnovením výchozího nastavení se ujistěte, že jste uložili aktuální konfiguraci brány firewall. To vám umožní v případě potřeby obnovit vaše nastavení.

Kroky k uložení konfigurace brány firewall a obnovení výchozího nastavení jsou popsány níže.

Chcete-li uložit aktuální konfiguraci brány firewall, postupujte takto:

v mžiku Brána firewall systému Windows s pokročilým zabezpečením klikněte na odkaz Exportní politika v rámci konzole.

Chcete-li obnovit výchozí nastavení brány firewall, postupujte takto:

v mžiku Brána firewall systému Windows s pokročilým zabezpečením klikněte na odkaz Obnovit výchozí nastavení v rámci konzole.

Po zobrazení výzvy bránou Windows Firewall s pokročilým zabezpečením klepněte na Ano pro obnovení výchozích hodnot.

Závěr

Existuje mnoho způsobů, jak diagnostikovat a řešit problémy s bránou Windows Firewall s pokročilým zabezpečením. Mezi nimi:

Využití funkce Pozorování pro zobrazení aktivity brány firewall, pravidel zabezpečení připojení a přidružení zabezpečení.

Analyzujte události auditu zabezpečení související s bránou Windows Firewall.

Vytváření textových souborů seznam úkolů A netstat pro srovnávací analýzu.

Firewall (firewall nebo firewall) Windows nevzbuzuje respekt. Mírně změněný z XP na Vista, dělá svou práci dobře, ale postrádá ambice být nejlepším osobním firewallem. Navzdory skutečnosti, že firewall systému Windows 7 obdržel několik nových funkcí, stále nedostal to, co jsem očekával, že v něm uvidím.

Spojení s domácí skupinou

Během instalace vás Windows 7 vyzve k vytvoření „domácí skupiny“. Jakmile je v síti objeveno více počítačů se systémem Windows 7, budou také vyzváni, aby se připojili ke skupině. A jediné, co k tomu potřebují, je heslo. U jednoho počítače se systémem Windows 7 jsem však proces přihlašování do skupiny jiných počítačů neviděl, i když upozornění na to by neškodilo. Nicméně zatímco jakýkoli počítač se systémem Windows 7 se může připojit k domácí skupině, počítače se systémem Windows 7 Home Basic a Windows 7 Starter ji vytvořit nemohou.

Počítače ve stejné domácí skupině mohou sdílet (nebo, jak se říká, „sdílet“) tiskárny a konkrétní knihovny souborů. Ve výchozím nastavení jsou sdíleny knihovny obrázků, hudby, videí a dokumentů, ale uživatel je může podle svého uvážení omezit. Nápověda v operačním systému poskytuje jasné vysvětlení, jak vyloučit soubor nebo složku ze sdílení, jak je nastavit pouze pro čtení nebo jak k nim omezit přístup.

Ve své domácí síti může uživatel sdílet svůj obsah s jinými počítači a zařízeními a dokonce i s počítači, na kterých není spuštěn Windows 7, a dokonce i s nepočítači vůbec. Konkrétně Microsoft ukázal příklady, jak sdílet obsah pro Xbox 360. Připojení Wii k síti ale firma nenabízí. Bohužel, společnost nekvalifikovala Wii jako zařízení pro streamování médií.

O kolik bezpečnější je tedy domácí síť ve Windows 7? Obvykle uživatelé, kterým se nedaří sdílet soubory a složky, začnou deaktivovat vše kolem, včetně filewallu, antiviru atd., což podle jejich názoru může tento proces narušit. Zároveň, pokud sdílení zjednodušíte, můžete se vyhnout vypínání všeho kolem.

Pokud Vista rozděluje sítě na veřejné (Public) a soukromé (Private), pak Windows 7 rozděluje privátní síť na domácí (Home) a pracovní (Work). Domácí skupina je k dispozici pouze tehdy, když vyberete domácí síť. I v pracovní síti však váš počítač stále vidí a připojuje se k jiným zařízením v ní. Na druhé straně ve veřejné síti (jako je bezdrátová internetová kavárna) Windows 7 z důvodu vaší bezpečnosti blokuje přístup k vám a od vás k dalším zařízením. Je to malá, ale pěkná příležitost.

Duální režim firewall

Ve Windows Vista a XP je správa brány firewall tak jednoduchá, jako její zapínání a vypínání. Windows 7 zároveň nabízí uživateli různá nastavení konfigurace pro privátní (domácí a pracovní) a veřejné sítě. Zároveň uživatel nemusí zadávat nastavení firewallu, aby mohl pracovat řekněme v místní kavárně. Stačí mu vybrat veřejnou síť a firewall sám aplikuje celou sadu omezujících parametrů. Uživatelé s největší pravděpodobností nakonfigurují veřejnou síť tak, aby blokovala všechna příchozí připojení. Ve Windows Vista to nešlo udělat bez toho, aniž by došlo k přerušení veškerého příchozího provozu ve vlastní síti uživatele.

Někteří uživatelé nechápou, proč je potřeba firewall. Pokud UAC funguje, není firewall přehnaný? Ve skutečnosti tyto programy slouží k velmi odlišným účelům. UAC sleduje programy a jejich provoz v rámci lokálního systému. Firewall na druhé straně úzce spolupracuje na příchozích a odchozích datech. Pokud si tyto dva programy představíte jako dva hrdiny stojící zády k sobě a odrážející útoky zombie, pak se dá skoro říct, že nemůžete udělat chybu.

Nejprve mě zaujala nová funkce „Upozornit, když brána Windows Firewall zablokuje nový program“. Není to známkou toho, že brána Windows Firewall převzala kontrolu nad programy a stala se skutečnou obousměrnou bránou firewall?. Sžírala mě touha tuto funkci zakázat. A ve výsledku si brána Windows Firewall nezískala větší respekt, než měla.

Je tomu deset let, co ZoneLabs popularizoval obousměrný personální firewall. Její program ZoneAlarm skrýval všechny porty počítače (což Windows Firewall umí) a také umožňoval řídit přístup programů k internetu (Windows Firewall to stále neumí). Nevyžaduji inteligentní sledování chování programů, jako například v Norton Internet Security 2010 a dalších balíčcích. Doufám ale, že do vydání Windows 8 Microsoft stále implementuje do svého firewallu deset let starou sadu funkcí ZoneAlarm.

Microsoft si je dobře vědom toho, že mnoho uživatelů instaluje brány firewall a bezpečnostní balíčky třetích stran a jednoduše deaktivuje bránu Windows Firewall. V minulosti mnoho bezpečnostních programů třetích stran automaticky deaktivovalo bránu Windows Firewall, aby se zabránilo konfliktům. Ve Windows 7 to udělal Microsoft sám. Při instalaci jemu známého firewallu operační systém deaktivuje svůj vestavěný firewall a hlásí, že „nastavení firewallu řídí ten a ten program od toho a toho výrobce“.

Bez ohledu na to, zda ji používáte nebo ne, brána Windows Firewall je přítomna v každém systému Windows 7 s hlubokou integrací s operačním systémem. Nebylo by tedy lepší, kdyby bezpečnostní aplikace třetích stran mohly používat filewall Windows pro své vlastní účely? Tato myšlenka se skrývá za programovacím rozhraním nazvaným Windows Filtering Platform. Ale použijí to vývojáři? Více o tom v další části.

Zabezpečení Windows 7: Windows Filtering Platform – Windows Filtering Platform

Firewally musí pracovat s Windows 7 na velmi nízké úrovni, což programátoři Microsoftu naprosto nenávidí. Některé technologie společnosti Microsoft, jako je PatchGuard, které se nacházejí v 64bitových edicích Windows 7 (64bitový Windows 7 má oproti 32bitovým Windows 7 řadu bezpečnostních výhod), blokují vetřelce a také chrání jádro před přístupem. Společnost Microsoft přesto neposkytuje stejnou úroveň zabezpečení jako programy třetích stran. Tak co dělat?

Řešením tohoto problému je Windows Filtering Platform (WFP). Ten podle Microsoftu umožňuje, aby brány firewall třetích stran byly založeny na základních funkcích brány Windows Firewall – což jim umožňuje přidávat vlastní funkce a selektivně povolit nebo zakázat části brány Windows Firewall. V důsledku toho si uživatel může vybrat bránu firewall, která bude koexistovat s bránou Windows Firewall.

Ale jak užitečné je to skutečně pro vývojáře bezpečnostního softwaru? Využijí to? Vyzpovídal jsem několik lidí a dostal jsem spoustu odpovědí.

BitDefender LLC

Manažer vývoje produktů Iulian Costache uvedl, že jeho společnost v současné době provozuje platformu na Windows 7. Narazili však na značné úniky paměti. Chyba je na straně Microsoftu, jak již potvrdil největší softwarový gigant. Kdy se to ale vyřeší, Julian neví. Mezitím dočasně vyměnili nový ovladač WFP za staré TDI.

Check Point Software Technologies Ltd

Mirka Janus, PR manažerka společnosti Check Point Software Technologies Ltd, uvedla, že jeho společnost používá WFP od systému Vista. Platformu používají také pod Windows 7. Je to dobré podporované rozhraní, ale jakýkoli malware nebo nekompatibilní ovladač může být škodlivý pro bezpečnostní produkt, který na něm spoléhá. ZoneAlarm vždy spoléhal na dvě vrstvy – vrstvu síťového připojení a vrstvu paketů. Od verze Vista nabízí Microsoft WFP jako podporovaný způsob filtrování síťových připojení. Počínaje Windows 7 SP1 by měl Microsoft naučit WFP povolit filtrování paketů.

„Používání podporovaných rozhraní API znamená lepší stabilitu a méně BSOD. Mnoho ovladačů lze zaregistrovat a každý vývojář ovladačů se nemusí starat o kompatibilitu s ostatními. Pokud je některý ovladač, řekněme, zablokován, žádný jiný registrovaný ovladač nemůže toto blokování obejít. Na druhou stranu se může stát problémem nekompatibilní ovladač, který obejde všechny ostatní registrované. Při zabezpečení sítě se nespoléháme pouze na WFP.“

F-Secure Corporation

Mikko Hypponen, vedoucí výzkumný pracovník ve F-Secure Corporation, uvedl, že z nějakého důvodu WFP nikdy nezaujala vývojáře bezpečnostního softwaru. Jeho společnost přitom WFP už nějakou dobu používala a byla s ním spokojená.

Společnost McAfee Inc.

Na druhé straně hlavní architekt McAfee Ahmed Sallam (Ahmed Sallam) řekl, že WFP je výkonnější a flexibilnější rozhraní pro filtrování sítě než předchozí rozhraní založené na NDIS. McAfee ve svých bezpečnostních produktech široce využívá WFP.

Zároveň, přestože má WFP pozitivní vlastnosti, mohou platformu využívat i kyberzločinci. Platforma může umožnit malwaru vstoupit do síťového zásobníku na úrovni jádra Windows. Proto musí být 64bitové ovladače na úrovni jádra systému Windows digitálně podepsány, aby bylo jádro chráněno před načtením malwaru. Digitální podpisy však nejsou vyžadovány u 32bitových verzí.

Ano, teoreticky jsou digitální podpisy rozumným obranným mechanismem, ale ve skutečnosti je autoři malwaru stále mohou získat.

zabezpečení pandy

Mluvčí Panda Security Pedro Bustamante řekl, že jeho společnost monitoruje platformu WFP, ale v současné době ji nepoužívá. Společnost se domnívá, že hlavními nevýhodami WFP jsou za prvé neschopnost vytvořit technologii, která by kombinovala různé techniky pro maximalizaci ochrany. Technologie je k ničemu, pokud se společnost nemůže dívat na příchozí a odchozí pakety do stroje. Měl by fungovat i jako senzor pro další ochranné technologie. Žádnou z těchto funkcí neposkytuje služba WFP. Za druhé, WFP podporují pouze operační systémy Vista a novější. Platforma není zpětně kompatibilní. A za třetí, WFP je docela nová platforma a společnost raději staví na starších, zavedenějších technologiích.

Společnost Symantec Corp.

Ředitel správy spotřebních produktů společnosti Symantec Dan Nadir uvedl, že WFP se v jejich produktech zatím nepoužívá kvůli jeho relativní novosti. Postupem času však společnost plánuje migraci do ní, protože. stará rozhraní, na která nyní spoléhají, nebudou schopna poskytnout plnou funkčnost, kterou vyžadují. Považují WFP za dobrou platformu, protože byl speciálně navržen tak, aby poskytoval interoperabilitu mezi různými programy třetích stran. Platforma by v zásadě měla mít v budoucnu ještě méně problémů s kompatibilitou. WFP je také dobré, protože je integrováno s Microsoft Network Diagnostic Framework. To je velmi užitečné jako výrazně usnadňuje vyhledávání konkrétních programů, které jsou překážkou síťového provozu. A konečně, WFP by mělo vést ke zlepšení výkonu a stability operačního systému platforma se vyhýbá emulaci a konfliktům ovladačů nebo problémům se stabilitou.

Na druhou stranu však podle Nadira může WFP vytvářet určité problémy, které existují v jakékoli struktuře – vývojáři spoléhající na WFP nemohou uzavřít zranitelnosti v rámci samotného WFP, ani nemohou rozšířit specifické funkce, které WFP nabízí. Pokud se mnoho programů spoléhá na WFP, pak by se tvůrci malwaru teoreticky mohli pokusit napadnout samotné WFP.

Společnost TrendMicro Inc.

Ředitel výzkumu ve společnosti Trend Micro Inc. Dale Liao uvedl, že největší výhodou platformy je kompatibilita s operačním systémem. Nyní je také užitečný standardní firewall. Nyní se tedy mohou soustředit na to, co je pro uživatele skutečně důležité. Špatná věc na WFP je, že když je v platformě nalezena chyba, společnost musí čekat, až ji Microsoft opraví.

WFP: Závěr

Výsledkem je, že většina vývojářů bezpečnostního softwaru, se kterými jsem hovořil, již WFP používá. Pravda, některé souběžně s jinými technologiemi. Líbí se jim interoperabilita, líbí se jim dokumentovaná a oficiální povaha platformy a také předpokládaná stabilita jejího provozu. Na druhou stranu, pokud všichni vývojáři spoléhají na WFP, pak se tato platforma může stát potenciálně zranitelným místem pro každého. A budou se muset spolehnout na Microsoft, že to opraví. Platforma navíc zatím nenabízí filtrování na úrovni paketů.

Velkou nevýhodou WFP je také to, že není k dispozici ve Windows XP. Proto vývojáři, kteří chtějí podporovat XP, budou muset spustit dva paralelní projekty. Nicméně, jak XP odejde z trhu, myslím, že WFP bude mezi vývojáři populárnější.