پلت فرم فیلتر ویندوز بسته را مسدود کرد. فایروال ویندوز با امنیت پیشرفته - مشکلات را تشخیص داده و حل کنید. تکمیل فراخوان

با شروع با سرور 2008 و ویستا، مکانیسم WFP در ویندوز ساخته شد.
که مجموعه ای از API و سرویس های سیستمی است. با آن امکان پذیر شد
اتصالات را رد کرده و اجازه دهید، بسته های فردی را مدیریت کنید. اینها
نوآوری ها برای ساده کردن زندگی توسعه دهندگان مختلف در نظر گرفته شده است
حفاظت تغییرات ایجاد شده در معماری شبکه بر روی حالت هسته و
و بخش های حالت کاربر سیستم. در حالت اول، توابع لازم صادر می شوند
fwpkclnt.sys، در دوم - fwpuclnt.dll (حروف "k" و "u" در نام کتابخانه ها
مخفف کرنل و کاربر به ترتیب). در این مقاله در مورد کاربرد آن صحبت خواهیم کرد
WFP برای رهگیری و فیلتر کردن ترافیک و پس از آشنایی با اصول اولیه
با تعاریف و قابلیت های WFP، فیلتر ساده خود را خواهیم نوشت.

مفاهیم اساسی

قبل از شروع کدنویسی، باید کاملاً خود را با اصطلاحات آشنا کنیم
مایکروسافت - و برای درک مقاله مفید خواهد بود و ادبیات اضافی
خوندنش راحت تر میشه :) پس بزن بریم.

طبقه بندی- فرآیند تعیین اینکه با بسته چه باید کرد.
از اقدامات ممکن: اجازه دادن، مسدود کردن یا فراخوانی یک فراخوان.

فراخوان هامجموعه ای از توابع در درایور است که بازرسی را انجام می دهد
بسته ها آنها عملکرد ویژه ای دارند که طبقه بندی بسته ها را انجام می دهد. این
تابع می تواند تصمیم زیر را بگیرد:

• اجازه (FWP_ACTION_PERMIT)؛
• بلوک (FWP_ACTION_BLOCK)؛
• ادامه پردازش؛
• درخواست داده های بیشتر؛
• اتصال را خاتمه دهید

فیلترها- قوانینی که زمان تماس را مشخص می کند
این یا آن فراخوان یک راننده می‌تواند چندین فراخوان داشته باشد، و
ما در این مقاله به توسعه درایور callout می پردازیم. به هر حال، colouts
موارد داخلی نیز وجود دارد، به عنوان مثال، NAT-callout.

لایهیک ویژگی است که توسط آن فیلترهای مختلف ترکیب می شوند (یا
همانطور که در MSDN می گویند "کانتینر").

در حقیقت، مستندات مایکروسافت هنوز مبهم به نظر می رسند
شما نمی توانید به نمونه های موجود در WDK نگاه کنید. بنابراین، اگر به طور ناگهانی تصمیم گرفتید چیزی را توسعه دهید
به طور جدی، شما قطعا باید آنها را بررسی کنید. خوب حالا صاف است
بیایید به تمرین برویم برای کامپایل و آزمایش موفق، به WDK (ویندوز) نیاز دارید
Driver Kit)، VmWare، یک ماشین مجازی با نصب Vista، و دیباگر WinDbg.
در مورد WDK، من شخصا نسخه 7600.16385.0 را نصب کرده ام - همه چیز وجود دارد
توضیحات لازم (از آنجایی که ما در حال توسعه یک درایور خواهیم بود، فقط نیاز داریم
fwpkclnt.lib و ntoskrnl.lib) و نمونه های WFP. لینک به کل
ابزارها قبلاً چندین بار ذکر شده اند، بنابراین ما خودمان را تکرار نمی کنیم.

کد نویسی

برای مقداردهی اولیه callout، تابع BlInitialize را نوشتم. الگوریتم عمومی
ایجاد callout و افزودن فیلتر به این صورت است:

1. FWPMENGINEOPEN0افتتاحیه جلسه را انجام می دهد.
2. FWPMTRANSACTIONBEGIN0- شروع عملیات با WFP.
3. FWPSCALLOUTREGISTER0- ایجاد یک فراخوان جدید؛
4. FWPMCALLOUTADD0- اضافه کردن یک شی callout به سیستم.
5. FWPMFILTERADD0- افزودن فیلتر(های) جدید؛
6. FWPMTRANSACTIONCOMMIT0- ذخیره تغییرات (اضافه شد
   فیلترها).

توجه داشته باشید که توابع به 0 ختم می شوند. در ویندوز 7 برخی از این موارد
توابع تغییر کرده اند، به عنوان مثال، FwpsCalloutRegister1 ظاهر شد (زمانی که
FwpsCalloutRegister0 ذخیره شد). آنها در استدلال متفاوت هستند و در نتیجه،
نمونه های اولیه طبقه بندی توابع، اما برای ما اکنون مهم نیست - 0-توابع
جهانی.

FwpmEngineOpen0 و FwpmTransactionBegin0 برای ما جالب نیستند - اینها هستند
مرحله مقدماتی سرگرمی با عملکرد شروع می شود
FwpsCalloutRegister0:

نمونه اولیه FwpsCalloutRegister0

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject،
__inst FWPS_CALLOUT0 * callout،
__out_opt UINT32 *calloutId
);

قبلاً گفتم که callout مجموعه ای از توابع است، اکنون زمان آن است
در مورد آن با جزئیات بیشتر صحبت کنید ساختار FWPS_CALLOUT0 شامل نشانگرهای سه است
توابع - طبقه بندی (classifyFn) و دو اطلاع رسانی (درباره
افزودن/حذف فیلتر (notifyFn) و بستن جریان در حال پردازش (flowDeleteFn)).
دو عملکرد اول اجباری هستند، آخرین مورد فقط در صورتی مورد نیاز است
شما می خواهید خود بسته ها را نظارت کنید، نه فقط اتصالات. همچنین در ساختار
شامل یک شناسه منحصر به فرد، callout GUID (calloutKey).

کد ثبت نام فراخوان

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// تابع طبقه بندی
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// تابع اطلاع رسانی در مورد افزودن/حذف فیلتر
// یک فراخوان جدید ایجاد کنید
status = FwpsCalloutRegister(DeviceObject، &sCallout، calloutId)؛

WINAPI DWORD FwpmCalloutAdd0(
__در دسته موتور HANDLE،
__inst FWPM_CALLOUT0 *callout،
__in_opt PSECURITY_DESCRIPTOR sd،
__out_opt UINT32 *id
);
ساختار typedef FWPM_CALLOUT0_(
calloutKey GUID;
FWPM_DISPLAY_DATA0 نمایش داده ها؛ // توضیحات فراخوان
پرچم های UINT32؛
GUID *providerKey;
FWP_BYTE_BLOB داده های ارائه دهنده؛
GUID applicableLayer;
calloutId UINT32;
) FWPM_CALLOUT0؛

در ساختار FWPM_CALLOUT0، ما به فیلد applicableLayer - منحصر به فرد علاقه مندیم
شناسه سطحی که فراخوانی به آن اضافه شده است. در مورد ما، این
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" در نام شناسه به معنای نسخه است
پروتکل Ipv4، همچنین FWPM_LAYER_ALE_AUTH_CONNECT_V6 برای Ipv6 وجود دارد. با توجه به
شیوع کم Ipv6 در حال حاضر، ما فقط با آن کار خواهیم کرد
ipv4. CONNECT در نام به این معنی است که ما فقط نصب را کنترل می کنیم
اتصال، بحث بسته های ورودی و خروجی به این آدرس نیست! اصلا
سطوح زیادی به غیر از سطح مورد استفاده ما وجود دارد - آنها در فایل هدر اعلام شده اند
fwpmk.h از WDK.

افزودن یک شیء فراخوانی به سیستم

// نام فراخوان
displayData.name = L"Blocker Callout";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// توضیحات فراخوان
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle، &mCallout، NULL، NULL);

بنابراین، پس از اینکه callout با موفقیت به سیستم اضافه شد، باید ایجاد کنید
فیلتر، یعنی مشخص کنید که در چه مواردی callout ما فراخوانی شود، یعنی
- عملکرد طبقه بندی آن. فیلتر جدید توسط تابع FwpmFilterAdd0 ایجاد شده است.
که ساختار FWPM_FILTER0 به عنوان آرگومان به آن ارسال می شود.

FWPM_FILTER0 شامل یک یا چند ساختار FWPM_FILTER_CONDITION0 (آنها
عدد توسط فیلد numFilterConditions تعیین می شود. فیلد layerKey با یک GUID پر شده است
لایه (لایه) که می خواهیم به آن ملحق شویم. در این صورت مشخص می کنیم
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

حالا بیایید نگاهی دقیق‌تر به پر کردن FWPM_FILTER_CONDITION0 بیندازیم. اول، در
فیلد fieldKey باید به صراحت مشخص شود که چه چیزی را می خواهیم کنترل کنیم - پورت، آدرس،
برنامه یا چیز دیگری در این مورد WPM_CONDITION_IP_REMOTE_ADDRESS
به سیستم می گوید که ما به آدرس IP علاقه مندیم. مقدار fieldKey تعیین می کند
چه نوع مقادیری در ساختار FWP_CONDITION_VALUE گنجانده شده است
FWPM_FILTER_CONDITION0. در این مورد، حاوی یک آدرس ipv4 است. بیا بریم
به علاوه. فیلد matchType نحوه مقایسه را تعیین می کند.
مقادیر در FWP_CONDITION_VALUE با آنچه از طریق شبکه آمده است. در اینجا گزینه های زیادی وجود دارد:
می توانید FWP_MATCH_EQUAL را مشخص کنید، که به معنای مطابقت کامل با شرایط است، و
شما می توانید - FWP_MATCH_NOT_EQUAL، یعنی در واقع، ما می توانیم این را اضافه کنیم
بنابراین فیلتر کردن استثنا (آدرس، اتصال به آن ردیابی نمی شود).
همچنین گزینه های FWP_MATCH_GREATER، FWP_MATCH_LESS و موارد دیگر وجود دارد (به فهرست مراجعه کنید
FWP_MATCH_TYPE). در این مورد، FWP_MATCH_EQUAL داریم.

من زیاد مزاحم نشدم و فقط یک شرط مسدود کردن نوشتم
یک آدرس IP انتخاب شده در صورتی که برخی از برنامه ها تلاش کنند
با آدرس انتخاب شده ارتباط برقرار کنید، یک طبقه بندی کننده فراخوانی می شود
تابع فراخوانی ما کد خلاصه ای از آنچه گفته شد را می توان در اینجا مشاهده کرد
به نوار کناری "افزودن فیلتر به سیستم" مراجعه کنید.

افزودن فیلتر به سیستم

filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker Callout";
filter.displayData.description = L"Blocker Callout";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// شرایط یک فیلتر
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // وزن خودکار.
// یک فیلتر به آدرس راه دور اضافه کنید
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS.
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// افزودن فیلتر
status = FwpmFilterAdd(gEngineHandle، &filter، NULL، NULL);

به طور کلی، البته، ممکن است شرایط فیلتر زیادی وجود داشته باشد. به عنوان مثال، شما می توانید
مسدود کردن اتصالات به یک پورت راه دور یا محلی خاص (FWPM_CONDITION_IP_REMOTE_PORT) را مشخص کنید
و به ترتیب FWPM_CONDITION_IP_LOCAL_PORT). می تواند همه بسته ها را بگیرد
پروتکل خاص یا برنامه خاص و این همه ماجرا نیست! می توان،
به عنوان مثال، ترافیک یک کاربر خاص را مسدود کنید. به طور کلی، جایی وجود دارد
پرسه زدن

با این حال، به فیلتر بازگردید. تابع طبقه بندی در مورد ما به سادگی است
اتصال به آدرس مشخص شده (BLOCKED_IP_ADDRESS) را مسدود می کند
FWP_ACTION_BLOCK:

کد تابع طبقه بندی ما

void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues،
const FWPS_INCOMING_METADATA_VALUES* در MetaValues،
بسته VOID*، فیلتر IN const FWPS_FILTER*،
UINT64 flowContext، FWPS_CLASSIFY_OUT* classifyOut)
{
// ساختار FWPS_CLASSIFY_OUT0 را پر کنید
if(classifyOut)( // بسته را مسدود کنید
classifyOut->actionType =
FWP_ACTION_BLOCK؛
// هنگام مسدود کردن یک بسته، شما نیاز دارید
FWPS_RIGHT_ACTION_WRITE را بازنشانی کنید
classifyOut->حقوق&=~FWPS_RIGHT_ACTION_WRITE;
}
}

در عمل، تابع طبقه بندی ممکن است FWP_ACTION_PERMIT را نیز تنظیم کند،
FWP_ACTION_CONTINUE و غیره

و در نهایت، هنگام تخلیه درایور، باید تمام نصب شده را حذف کنید
callouts (حدس بزنید اگر سیستم بخواهد callout را فراخوانی کند چه اتفاقی می افتد
درایور خالی شده؟ درست است، BSOD). یک تابع برای این وجود دارد
FwpsCalloutUnregisterById. یک پارامتر 32 بیتی به عنوان پارامتر ارسال می شود.
شناسه فراخوانی که توسط تابع FwpsCalloutRegister برگردانده شده است.

تکمیل فراخوان

NTSTATUS BlUninitialize()(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
بازگشت ns;
}

همانطور که می بینید، برنامه نویسی فیلتر WFP کار دشواری نیست، زیرا
MS یک API بسیار مفید در اختیار ما قرار داد. به هر حال، در مورد ما تنظیم کردیم
فیلتر در درایور اما از یوزر مود هم میشه انجام داد! به عنوان مثال، یک نمونه از wdk
msnmntr (مانیتور ترافیک مسنجر MSN) دقیقاً این کار را انجام می دهد - به شما اجازه نمی دهد
قسمت کرنل حالت فیلتر را اضافه بار کنید.

راهنمای شما

برای ثبت فراخوانی، به یک شناسه منحصر به فرد نیاز دارد. به منظور. واسه اینکه. برای اینکه
GUID (شناسه منحصر به فرد جهانی) خود را دریافت کنید، از guidgen.exe موجود استفاده کنید
در ویژوال استودیو ابزار در (VS_Path)\Common7\Tools قرار دارد. احتمال برخورد
بسیار کوچک است زیرا GUID 128 بیت است و 2^128 بیت موجود است
شناسه ها

رفع اشکال فیلتر

برای رفع اشکال هیزم، استفاده از بسته نرم افزاری Windbg + VmWare راحت است. برای این شما نیاز دارید
هم سیستم مهمان (که در قالب ویستا عمل می کند) و هم دیباگر را پیکربندی کنید
windbg. اگر WinXP مجبور بود boot.ini را برای اشکال زدایی از راه دور ویرایش کند، پس
برای Vista+ ابزار کنسول bcdedit وجود دارد. طبق معمول، باید اشکال زدایی را فعال کنید:

BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
روشن (یا BCDedit /set debug ON)

حالا همه چیز آماده است! ما یک فایل دسته ای را با متن زیر راه اندازی می کنیم:

start windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

و خروجی اشکال زدایی را در پنجره windbg ببینید (تصویر را ببینید).

نتیجه

همانطور که می بینید، دامنه WFP بسیار گسترده است. شما تصمیم می گیرید که چگونه
این دانش را به کار ببرید - برای شر یا خیر 🙂

Snap-in Windows Vista™ Microsoft Management Console (MMC) یک فایروال وضعیت شبکه برای ایستگاه های کاری است که اتصالات ورودی و خروجی را طبق تنظیمات پیکربندی شده فیلتر می کند. اکنون می توانید تنظیمات فایروال و IPsec را با یک Snap-in پیکربندی کنید. این مقاله فایروال ویندوز با امنیت پیشرفته، مشکلات رایج و راه حل ها را شرح می دهد.

فایروال ویندوز با امنیت پیشرفته چگونه کار می کند

فایروال ویندوز با امنیت پیشرفته یک فایروال ثبت وضعیت شبکه برای ایستگاه های کاری است. برخلاف فایروال‌ها برای روترها، که در دروازه بین شبکه محلی شما و اینترنت مستقر شده‌اند، فایروال ویندوز برای اجرا بر روی رایانه‌های جداگانه طراحی شده است. این فقط ترافیک ایستگاه کاری را کنترل می کند: ترافیکی که به آدرس IP این رایانه می رسد و ترافیک خروجی به خود رایانه. فایروال ویندوز با امنیت پیشرفته عملیات اساسی زیر را انجام می دهد:

بسته دریافتی بررسی و با لیست ترافیک مجاز مقایسه می شود. اگر بسته با یکی از مقادیر موجود در لیست مطابقت داشته باشد، فایروال ویندوز بسته را برای پردازش بیشتر به TCP/IP ارسال می کند. اگر بسته با هیچ یک از مقادیر موجود در لیست مطابقت نداشته باشد، فایروال ویندوز بسته را مسدود می کند و در صورت فعال بودن ورود به سیستم، یک ورودی در فایل گزارش ایجاد می کند.

لیست ترافیک مجاز به دو صورت تشکیل می شود:

هنگامی که اتصالی که توسط فایروال ویندوز با امنیت پیشرفته کنترل می شود بسته ای را ارسال می کند، فایروال مقداری را در لیست ایجاد می کند تا به ترافیک برگشتی اجازه دهد. ترافیک ورودی مناسب به مجوز اضافی نیاز دارد.

هنگامی که یک فایروال ویندوز با قانون اجازه امنیت پیشرفته ایجاد می کنید، ترافیکی که قانون برای آن ایجاد شده است در رایانه ای که فایروال ویندوز را اجرا می کند مجاز خواهد بود. این رایانه هنگام کار به عنوان سرور، رایانه مشتری یا میزبان شبکه همتا به همتا، ترافیک ورودی به طور صریح مجاز را می پذیرد.

اولین قدم برای حل مشکلات فایروال ویندوز این است که بررسی کنید کدام پروفایل فعال است. فایروال ویندوز با امنیت پیشرفته برنامه ای است که بر محیط شبکه شما نظارت می کند. نمایه فایروال ویندوز با تغییر محیط شبکه تغییر می کند. نمایه مجموعه ای از تنظیمات و قوانین است که بسته به محیط شبکه و اتصالات فعال شبکه اعمال می شود.

فایروال بین سه نوع محیط شبکه تمایز قائل می شود: شبکه های دامنه، عمومی و خصوصی. دامنه یک محیط شبکه است که در آن اتصالات توسط یک کنترل کننده دامنه احراز هویت می شوند. به طور پیش فرض، همه انواع دیگر اتصالات شبکه به عنوان شبکه های عمومی در نظر گرفته می شوند. هنگامی که یک اتصال جدید شناسایی می شود، ویندوز ویستا از کاربر می خواهد که خصوصی یا عمومی بودن شبکه را مشخص کند. نمایه عمومی برای استفاده در مکان های عمومی مانند فرودگاه ها یا کافه ها در نظر گرفته شده است. یک نمایه خصوصی برای استفاده در خانه یا محل کار و در یک شبکه امن طراحی شده است. برای تعریف شبکه به عنوان خصوصی، کاربر باید از امتیازات مدیریتی مناسب برخوردار باشد.

اگرچه یک کامپیوتر می تواند به انواع مختلف شبکه به طور همزمان متصل شود، تنها یک نمایه می تواند فعال باشد. انتخاب پروفایل فعال به دلایل زیر بستگی دارد:

اگر همه اینترفیس ها از احراز هویت کنترل کننده دامنه استفاده کنند، از نمایه دامنه استفاده می شود.

اگر حداقل یکی از اینترفیس ها به یک شبکه خصوصی و بقیه به یک دامنه یا شبکه های خصوصی متصل باشند، از نمایه خصوصی استفاده می شود.

در تمام موارد دیگر، مشخصات عمومی استفاده می شود.

برای تعیین نمایه فعال، روی گره کلیک کنید مشاهدهدر یک لحظه فایروال ویندوز با امنیت پیشرفته. متن بالا وضعیت فایروالنشان می دهد که کدام نمایه فعال است. به عنوان مثال، اگر یک پروفایل دامنه فعال باشد، عنوان در بالا نمایش داده می شود نمایه دامنه فعال است.

با استفاده از نمایه‌ها، فایروال ویندوز می‌تواند به طور خودکار ترافیک ورودی را برای ابزارهای مدیریت رایانه ویژه زمانی که رایانه در یک دامنه قرار دارد، اجازه دهد و هنگامی که رایانه به یک شبکه عمومی یا خصوصی متصل است، ترافیک مشابه را مسدود کند. بنابراین، تعیین نوع محیط شبکه، حفاظت از شبکه محلی شما را بدون به خطر انداختن امنیت کاربران تلفن همراه تضمین می کند.

مشکلات رایج هنگام اجرای فایروال ویندوز با امنیت پیشرفته

موارد زیر مهمترین مشکلاتی است که هنگام اجرای فایروال ویندوز با امنیت پیشرفته رخ می دهد:

در صورت مسدود شدن ترافیک، ابتدا باید بررسی کنید که آیا فایروال فعال است و کدام نمایه فعال است. اگر هر یک از برنامه ها مسدود شده است، مطمئن شوید که در اسنپ است فایروال ویندوز با امنیت پیشرفتهیک قانون مجاز فعال برای نمایه فعلی وجود دارد. برای تأیید وجود قانون اجازه، روی گره دوبار کلیک کنید مشاهدهو سپس یک بخش را انتخاب کنید دیواره آتش. اگر قوانین مجوز فعال برای این برنامه وجود ندارد، به گره بروید و یک قانون جدید برای این برنامه ایجاد کنید. یک قانون برای یک برنامه یا سرویس ایجاد کنید یا یک گروه قانون را مشخص کنید که برای این ویژگی اعمال می شود و مطمئن شوید که همه قوانین در آن گروه فعال هستند.

برای بررسی اینکه یک قانون اجازه توسط یک قانون بلوک لغو نشده است، این مراحل را دنبال کنید:

در درخت ابزار فایروال ویندوز با امنیت پیشرفتهگره کلیک کنید مشاهدهو سپس یک بخش را انتخاب کنید دیواره آتش.

فهرستی از تمام قوانین سیاست محلی و گروهی فعال را مشاهده کنید. قوانین انکار قوانین مجاز را نادیده می گیرند، حتی اگر دومی دقیق تر تعریف شده باشد.

Group Policy از اجرای قوانین محلی جلوگیری می کند

اگر فایروال ویندوز با امنیت پیشرفته با استفاده از خط مشی گروه پیکربندی شده باشد، یک مدیر می تواند تعیین کند که آیا از قوانین فایروال یا قوانین امنیتی اتصال ایجاد شده توسط مدیران محلی استفاده می شود. اگر قوانین فایروال محلی پیکربندی شده یا قوانین امنیتی اتصال وجود داشته باشد که در بخش تنظیمات مربوطه نیستند، منطقی است.

برای اینکه بفهمید چرا قوانین فایروال محلی یا قوانین امنیت اتصال در بخش مانیتورینگ وجود ندارد، موارد زیر را انجام دهید:

در یک لحظه فایروال ویندوز با امنیت پیشرفته، روی لینک کلیک کنید ویژگی های فایروال ویندوز.

برگه نمایه فعال را انتخاب کنید.

در فصل گزینه ها، دکمه را فشار دهید اهنگ.

اگر قوانین محلی اعمال می شود، بخش ترکیب قوانینفعال خواهد بود.

قوانینی که به اتصالات ایمن نیاز دارند ممکن است ترافیک را مسدود کنند

هنگام ایجاد یک قانون فایروال برای ترافیک ورودی یا خروجی، یکی از گزینه ها این است. اگر این گزینه انتخاب شده باشد، باید یک قانون امنیتی اتصال مناسب یا یک خط مشی جداگانه IPSec وجود داشته باشد که مشخص کند کدام ترافیک محافظت می شود. در غیر این صورت این ترافیک مسدود می شود.

برای بررسی اینکه یک یا چند قانون برنامه به اتصالات ایمن نیاز دارند، این مراحل را دنبال کنید:

در درخت ابزار فایروال ویندوز با امنیت پیشرفتهبخش کلیک کنید قوانین اتصالات ورودی. قانون مورد نظر را برای بررسی انتخاب کنید و روی پیوند کلیک کنید خواصدر محدوده کنسول

برگه را انتخاب کنید معمول هستندو بررسی کنید که آیا مقدار دکمه رادیویی انتخاب شده است یا خیر فقط اتصالات امن را مجاز کنید.

اگر پارامتر برای قانون مشخص شده باشد فقط اتصالات امن را مجاز کنید، بخش را گسترش دهید مشاهدهدر درخت snap-in و بخش را انتخاب کنید. اطمینان حاصل کنید که ترافیک تعریف شده در قانون فایروال دارای قوانین امنیتی اتصال مناسب است.

هشدار:

اگر یک خط مشی IPSec فعال دارید، مطمئن شوید که این خط مشی از ترافیک مورد نیاز محافظت می کند. برای جلوگیری از تضاد بین خط مشی IPSec و قوانین امنیت اتصال، قوانین امنیتی اتصال ایجاد نکنید.

اتصالات خروجی مجاز نیست

در درخت ابزار فایروال ویندوز با امنیت پیشرفتهیک بخش را انتخاب کنید مشاهده. تب پروفایل فعال و زیر را انتخاب کنید وضعیت فایروالبررسی کنید که اتصالات خروجی که با قانون مجاز مطابقت ندارند مجاز باشند.

در فصل مشاهدهیک بخش را انتخاب کنید دیواره آتشبرای اطمینان از اینکه اتصالات خروجی مورد نیاز در قوانین انکار فهرست نشده اند.

سیاست های مختلط می تواند ترافیک را مسدود کند

می توانید فایروال و تنظیمات IPSec را با استفاده از رابط های مختلف سیستم عامل ویندوز پیکربندی کنید.

ایجاد خط‌مشی در مکان‌های مختلف می‌تواند منجر به درگیری و مسدود شدن ترافیک شود. نقاط تنظیم زیر در دسترس هستند:

فایروال ویندوز با امنیت پیشرفته. این خط مشی با استفاده از Snap-in مناسب به صورت محلی یا به عنوان بخشی از یک خط مشی گروه پیکربندی می شود. این خط مشی فایروال و تنظیمات IPSec را در رایانه های دارای ویندوز ویستا کنترل می کند.

قالب اداری فایروال ویندوز. این خط مشی با استفاده از Group Policy Object Editor در بخش پیکربندی می شود. این رابط شامل تنظیمات فایروال ویندوز است که قبل از ویندوز ویستا در دسترس بود و برای پیکربندی GPO که نسخه های قبلی ویندوز را کنترل می کند استفاده می شود. اگرچه این تنظیمات را می توان برای رایانه های دارای ویندوز ویستا استفاده کرد، توصیه می کنیم از آن استفاده کنید فایروال ویندوز با امنیت پیشرفتهزیرا انعطاف و امنیت بیشتری را فراهم می کند. توجه داشته باشید که برخی از تنظیمات نمایه دامنه بین قالب اداری Windows Firewall و خط مشی Windows Firewall به اشتراک گذاشته شده است. فایروال ویندوز با امنیت پیشرفته، بنابراین می توانید تنظیمات پیکربندی شده در نمایه دامنه را با استفاده از Snap-in در اینجا مشاهده کنید فایروال ویندوز با امنیت پیشرفته.

سیاست های IPSec این خط مشی با استفاده از snap-in محلی پیکربندی شده است مدیریت خط مشی IPSecیا Group Policy Object Editor در قسمت Computer Configuration\Windows Settings\Security Settings\IP Security Policies on Local Computer. این خط‌مشی تنظیمات IPSec را تعریف می‌کند که هم نسخه‌های قبلی ویندوز و هم ویندوز ویستا می‌توانند از آن استفاده کنند. این خط مشی و قوانین امنیتی اتصال تعریف شده در خط مشی را به طور همزمان در یک رایانه اعمال نکنید. فایروال ویندوز با امنیت پیشرفته.

برای مشاهده همه این گزینه‌ها در اسنپ‌این‌های مناسب، یک فایل ورودی کنسول مدیریت خود را ایجاد کنید و اسنپ‌این‌ها را به آن اضافه کنید. فایروال ویندوز با امنیت پیشرفته، و امنیت IP.

برای ایجاد Snap-in کنسول مدیریت خود، این مراحل را دنبال کنید:

روی دکمه کلیک کنید شروع کنید، به منو بروید همه برنامه ها، سپس در منو استانداردو مورد را انتخاب کنید اجرا کن.

در یک جعبه متن باز کن وارد.

ادامه هید.

در منو کنسولانتخاب کنید .

ذکر شده اسنپ ​​های موجودیک ضربه محکم و ناگهانی را انتخاب کنید فایروال ویندوز با امنیت پیشرفتهو دکمه را فشار دهید اضافه کردن.

روی دکمه کلیک کنید خوب.

مراحل 1 تا 6 را برای افزودن اسنپ تکرار کنید مدیریت خط مشی گروهو مانیتور امنیت IP.

برای بررسی اینکه کدام خط‌مشی‌ها در پروفایل فعال فعال هستند، از روش زیر استفاده کنید:

برای بررسی اینکه کدام خط‌مشی اعمال می‌شود، این مراحل را دنبال کنید:

در خط فرمان، mmc را تایپ کرده و کلید را فشار دهید وارد.

اگر کادر محاوره ای کنترل حساب کاربری ظاهر شد، اقدام درخواستی را تایید کرده و کلیک کنید ادامه هید.

در منو کنسولمورد را انتخاب کنید یک ضربه محکم و ناگهانی اضافه یا حذف کنید.

ذکر شده اسنپ ​​های موجودیک ضربه محکم و ناگهانی را انتخاب کنید مدیریت خط مشی گروهو دکمه را فشار دهید اضافه کردن.

روی دکمه کلیک کنید خوب.

گره موجود در درخت (معمولاً درخت جنگلی که این رایانه در آن قرار دارد) را باز کنید و روی قسمت در قسمت جزئیات کنسول دوبار کلیک کنید.

مقدار سوئیچ را انتخاب کنید نمایش تنظیمات خط مشی برایاز ارزش ها کاربر فعلییا کاربر دیگری. اگر نمی خواهید تنظیمات خط مشی را برای کاربران نمایش دهید، بلکه فقط تنظیمات خط مشی را برای رایانه نمایش می دهید، مقدار دکمه رادیویی را انتخاب کنید خط مشی کاربر نمایش داده نشود (فقط خط مشی رایانه را مشاهده کنید)و روی دکمه دوبار کلیک کنید به علاوه.

روی دکمه کلیک کنید آماده. جادوگر نتایج خط مشی گروه گزارشی را در قسمت جزئیات کنسول ایجاد می کند. گزارش حاوی برگه‌ها است خلاصه, گزینه هاو رویدادهای خط مشی.

برای بررسی عدم مغایرت با سیاست های امنیتی IP، پس از ایجاد گزارش، گزینه را انتخاب کنید گزینه هاو Computer Configuration\Windows Settings\Security Settings\IP Security Settings را در سرویس دایرکتوری Active Directory باز کنید. اگر آخرین بخش وجود نداشته باشد، هیچ خط مشی امنیتی IP تنظیم نشده است. در غیر این صورت نام و شرح خط مشی و همچنین GPO که به آن تعلق دارد نمایش داده می شود. اگر از یک خط‌مشی امنیتی IP و یک فایروال ویندوز با خط‌مشی امنیت پیشرفته همزمان با قوانین امنیت اتصال استفاده می‌کنید، ممکن است این خط‌مشی‌ها مغایرت داشته باشند. توصیه می شود فقط از یکی از این خط مشی ها استفاده کنید. بهترین راه حل استفاده از سیاست های امنیتی IP به همراه فایروال ویندوز با قوانین امنیتی پیشرفته برای ترافیک ورودی یا خروجی است. اگر تنظیمات در مکان‌های مختلف پیکربندی شده باشند و با یکدیگر سازگار نباشند، تضادهای خط‌مشی که حل آنها دشوار است ممکن است رخ دهد.

همچنین ممکن است بین خط‌مشی‌های تعریف‌شده در GPOهای محلی و اسکریپت‌های پیکربندی‌شده توسط بخش فناوری اطلاعات تداخل وجود داشته باشد. تمام خط مشی های امنیتی IP را با استفاده از برنامه IP Security Monitor یا با تایپ دستور زیر در خط فرمان بررسی کنید:

برای مشاهده تنظیمات تعریف شده در قالب اداری فایروال ویندوز، بخش را گسترش دهید پیکربندی کامپیوتر\الگوهای مدیریتی\شبکه\اتصالات شبکه\فایروال ویندوز.

برای مشاهده آخرین رویدادهای مربوط به خط مشی فعلی، می توانید به برگه مراجعه کنید رویدادهای سیاستدر همان کنسول

برای مشاهده خط مشی استفاده شده توسط فایروال ویندوز با امنیت پیشرفته، snap-in را در رایانه در حال تشخیص باز کنید و تنظیمات زیر را بررسی کنید. مشاهده.

برای مشاهده الگوهای اداری، Snap-in را باز کنید خط مشی گروهو در بخش نتایج خط مشی گروهببینید آیا تنظیماتی وجود دارد که از Group Policy به ارث رسیده است که ممکن است باعث رد شدن ترافیک شود.

برای مشاهده خط مشی های امنیتی IP، snap-in IP Security Monitor را باز کنید. کامپیوتر محلی را در درخت انتخاب کنید. در محدوده کنسول، پیوند را انتخاب کنید سیاست فعال, حالت ابتدایییا حالت سریع. سیاست‌های رقیب را که می‌تواند منجر به مسدود شدن ترافیک شود، بررسی کنید.

در فصل مشاهدهضربه محکم و ناگهانی فایروال ویندوز با امنیت پیشرفتهمی توانید قوانین خط مشی محلی و گروهی موجود را مشاهده کنید. برای اطلاعات بیشتر لطفا به " استفاده از عملکرد ساعت در یک اسنپ این فایروال ویندوز با امنیت پیشرفته » این سند.

برای متوقف کردن IPSec Policy Agent، این مراحل را دنبال کنید:

روی دکمه کلیک کنید شروع کنیدو بخش را انتخاب کنید صفحه کنترل.

روی نماد کلیک کنید سیستم و نگهداری آنو بخش را انتخاب کنید مدیریت.

روی نماد دوبار کلیک کنید خدمات. ادامه هید.

یک سرویس را در لیست پیدا کنید عامل سیاست IPSec

اگر خدمات عامل IPSecدر حال اجرا است، روی آن کلیک راست کرده و آیتم منو را انتخاب کنید متوقف کردن. همچنین می توانید سرویس را متوقف کنید عامل IPSecاز خط فرمان با استفاده از دستور

سیاست شبکه همتا به همتا ممکن است باعث رد شدن ترافیک شود

برای اتصالات با استفاده از IPSec، هر دو کامپیوتر باید دارای خط مشی های امنیتی IP سازگار باشند. این سیاست‌ها را می‌توان با استفاده از قوانین امنیتی اتصال فایروال ویندوز تعریف کرد امنیت IPیا ارائه دهنده امنیت IP دیگر.

برای بررسی تنظیمات خط مشی امنیت IP در یک شبکه همتا به همتا، این مراحل را دنبال کنید:

در یک لحظه فایروال ویندوز با امنیت پیشرفتهگره را انتخاب کنید مشاهدهو قوانین امنیت اتصالتا مطمئن شوید که هر دو میزبان در شبکه یک خط مشی امنیتی IP پیکربندی شده اند.

اگر یکی از رایانه‌های شبکه همتا به همتا، نسخه‌ای از ویندوز را زودتر از ویندوز ویستا اجرا می‌کند، مطمئن شوید که حداقل یکی از مجموعه‌های رمزنگاری حالت اصلی و یکی از مجموعه‌های رمزنگاری حالت سریع، از الگوریتم‌هایی استفاده می‌کنند که توسط هر دو گره پشتیبانی می‌شوند.

1. روی بخش کلیک کنید حالت ابتدایی، در قسمت جزئیات کنسول، اتصال را برای آزمایش انتخاب کنید و سپس روی پیوند کلیک کنید خواصدر محدوده کنسول ویژگی های اتصال را برای هر دو گره بررسی کنید تا از سازگاری آنها اطمینان حاصل کنید.

   مرحله 2.1 را برای بخش تکرار کنید حالت سریع. ویژگی های اتصال را برای هر دو گره بررسی کنید تا از سازگاری آنها اطمینان حاصل کنید.

اگر از احراز هویت Kerberos نسخه 5 استفاده می کنید، مطمئن شوید که میزبان در همان دامنه یا دامنه مورد اعتماد است.

اگر از گواهی ها استفاده می شود، مطمئن شوید که چک باکس های مورد نیاز انتخاب شده اند. گواهینامه هایی که از تبادل کلید اینترنت IPSec (IKE) استفاده می کنند به امضای دیجیتال نیاز دارند. گواهینامه هایی که از پروتکل اینترنتی احراز هویت (AuthIP) استفاده می کنند، نیاز به احراز هویت مشتری دارند (بسته به نوع تأیید اعتبار سرور). برای اطلاعات بیشتر در مورد گواهینامه های AuthIP، لطفاً به مقاله مراجعه کنید IP احراز هویت شده در ویندوز ویستا AuthIP در ویندوز ویستا در وب سایت مایکروسافت.

نمی توان فایروال ویندوز را با امنیت پیشرفته پیکربندی کرد

فایروال ویندوز با تنظیمات امنیتی پیشرفته در موارد زیر خاکستری می شود:

رایانه به شبکه ای با مدیریت مرکزی متصل است و مدیر شبکه از Group Policies برای پیکربندی فایروال ویندوز با تنظیمات امنیتی پیشرفته استفاده می کند. در این مورد، در بالای ضربه محکم و ناگهانی فایروال ویندوز با امنیت پیشرفتهپیغام "برخی تنظیمات توسط Group Policy کنترل می شوند" را مشاهده خواهید کرد. سرپرست شبکه شما این خط‌مشی را پیکربندی می‌کند و در نتیجه از تغییر تنظیمات فایروال ویندوز جلوگیری می‌کند.

رایانه ای که ویندوز ویستا را اجرا می کند به یک شبکه مدیریت مرکزی متصل نیست، اما تنظیمات فایروال ویندوز توسط خط مشی گروه محلی تعیین می شود.

برای تغییر فایروال ویندوز با تنظیمات امنیتی پیشرفته با استفاده از خط مشی گروه محلی، از خط مشی کامپیوتر محلی. برای باز کردن این snap-in، در خط فرمان secpol را تایپ کنید. اگر کادر محاوره ای کنترل حساب کاربری ظاهر شد، اقدام درخواستی را تایید کرده و کلیک کنید ادامه هید. برای پیکربندی فایروال ویندوز با تنظیمات خط مشی امنیت پیشرفته، به Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security بروید.

کامپیوتر به درخواست های پینگ پاسخ نمی دهد

راه اصلی برای آزمایش اتصال بین رایانه ها استفاده از ابزار Ping برای آزمایش اتصال به یک آدرس IP خاص است. در طول پینگ، یک پیام اکو ICMP (که به عنوان درخواست اکو ICMP نیز شناخته می شود) ارسال می شود و در پاسخ یک پاسخ اکو ICMP درخواست می شود. به طور پیش فرض، فایروال ویندوز پیام های اکو ICMP دریافتی را رد می کند، بنابراین رایانه نمی تواند پاسخ اکو ICMP ارسال کند.

اجازه دادن به پیام‌های اکو ICMP ورودی به رایانه‌های دیگر اجازه می‌دهد رایانه شما را پینگ کنند. از سوی دیگر، این امر کامپیوتر را در برابر حملات با استفاده از پیام های اکو ICMP آسیب پذیر می کند. با این حال، توصیه می شود در صورت لزوم، پژواک های ICMP ورودی را به طور موقت فعال کنید و سپس آنها را غیرفعال کنید.

برای اجازه دادن به پیام‌های اکو ICMP، قوانین ورودی جدید ایجاد کنید تا بسته‌های درخواست پژواک ICMPv4 و ICMPv6 را مجاز کنید.

برای اجازه دادن به درخواست های اکو ICMPv4 و ICMPv6، این مراحل را دنبال کنید:

در درخت ابزار فایروال ویندوز با امنیت پیشرفتهگره را انتخاب کنید قوانین اتصالات ورودیو روی لینک کلیک کنید قانون جدیددر محدوده کنسول

قابل تنظیمو دکمه را فشار دهید به علاوه.

مقدار دکمه رادیویی را مشخص کنید همه برنامه هاو دکمه را فشار دهید به علاوه.

رها کردن نوع پروتکلمقدار را انتخاب کنید ICMPv4.

روی دکمه کلیک کنید اهنگبرای آیتم پارامترهای پروتکل ICMP.

دکمه رادیو را روی انواع خاصی از ICMP، کادر را علامت بزنید درخواست اکو، دکمه را فشار دهید خوبو دکمه را فشار دهید به علاوه.

در مرحله انتخاب آدرس های IP محلی و راه دور که با این قانون مطابقت دارند، دکمه های رادیویی را روی آن تنظیم کنید هر آدرس IPیا آدرس های IP مشخص شده. اگر مقدار را انتخاب کنید آدرس های IP مشخص شده، آدرس های IP مورد نیاز را مشخص کنید، روی دکمه کلیک کنید اضافه کردنو دکمه را فشار دهید به علاوه.

مقدار دکمه رادیویی را مشخص کنید اجازه اتصالو دکمه را فشار دهید به علاوه.

در مرحله انتخاب نمایه، یک یا چند نمایه (نمایه دامنه، نمایه خصوصی یا عمومی) را که می خواهید در آنها از این قانون استفاده کنید، علامت بزنید و روی دکمه کلیک کنید. به علاوه.

در زمینه نامنام قانون و در فیلد را وارد کنید شرحیک توضیح اختیاری است روی دکمه کلیک کنید آماده.

مراحل بالا را برای پروتکل ICMPv6 با انتخاب در مرحله تکرار کنید نوع پروتکلمقدار کشویی ICMPv6بجای ICMPv4.

اگر قوانین امنیتی اتصال فعال دارید، حذف موقت ICMP از الزامات IPsec می تواند به حل مشکلات کمک کند. برای انجام این کار، در snap را باز کنید فایروال ویندوز با امنیت پیشرفتهپنجره محاوره ای خواص، به برگه بروید تنظیمات IPSecو مقدار را در لیست کشویی تنظیم کنید آرهبرای پارامتر ICMP را از IPSec حذف کنید.

توجه داشته باشید

تنظیمات فایروال ویندوز فقط توسط مدیران و اپراتورهای شبکه قابل تغییر است.

امکان اشتراک گذاری فایل ها و چاپگرها وجود ندارد

اگر نمی‌توانید فایل‌ها و چاپگرها را در رایانه‌ای با فایروال ویندوز فعال به اشتراک بگذارید، مطمئن شوید که همه قوانین گروه فعال هستند. دسترسی به فایل ها و چاپگرها فایروال ویندوز با امنیت پیشرفتهگره را انتخاب کنید قوانین اتصالات ورودی دسترسی به فایل ها و چاپگرها قانون را فعال کنیددر محدوده کنسول

توجه:

اکیداً توصیه می‌شود که اشتراک‌گذاری فایل و چاپگر را در رایانه‌هایی که مستقیماً به اینترنت متصل هستند، فعال نکنید، زیرا مهاجمان ممکن است سعی کنند به فایل‌های اشتراک‌گذاری شده دسترسی پیدا کنند و با آسیب رساندن به فایل‌های شخصی شما به شما آسیب برسانند.

مدیریت فایروال ویندوز از راه دور امکان پذیر نیست

اگر نمی‌توانید از راه دور رایانه‌ای را با فایروال ویندوز فعال مدیریت کنید، مطمئن شوید که همه قوانین در گروه پیکربندی پیش‌فرض فعال هستند. کنترل از راه دور فایروال ویندوزپروفایل فعال در یک لحظه فایروال ویندوز با امنیت پیشرفتهگره را انتخاب کنید قوانین اتصالات ورودیو لیست قوانین را به گروه اسکرول کنید کنترل از راه دور. مطمئن شوید که این قوانین فعال هستند. هر یک از قوانین غیرفعال شده را انتخاب کنید و روی دکمه کلیک کنید قانون را فعال کنیددر محدوده کنسول علاوه بر این، بررسی کنید که سرویس IPSec Policy Agent فعال باشد. این سرویس برای مدیریت از راه دور فایروال ویندوز مورد نیاز است.

برای تأیید اینکه آیا IPSec Policy Agent در حال اجرا است، این مراحل را دنبال کنید:

روی دکمه کلیک کنید شروع کنیدو بخش را انتخاب کنید صفحه کنترل.

روی نماد کلیک کنید سیستم و نگهداری آنو بخش را انتخاب کنید مدیریت.

روی نماد دوبار کلیک کنید خدمات.

اگر کادر محاوره ای کنترل حساب کاربری ظاهر شد، اعتبار مورد نیاز برای کاربری با مجوزهای مناسب را وارد کنید و سپس کلیک کنید ادامه هید.

یک سرویس را در لیست پیدا کنید عامل سیاست IPSecو مطمئن شوید که وضعیت "در حال اجرا" را دارد.

اگر خدمات عامل IPSecمتوقف شد، روی آن کلیک راست کرده و مورد را از منوی زمینه انتخاب کنید اجرا کن. همچنین می توانید سرویس را راه اندازی کنید عامل IPSecاز خط فرمان با استفاده از دستور عامل سیاست شروع خالص.

توجه داشته باشید

سرویس پیش فرض عامل سیاست IPSecراه اندازی شد. اگر به صورت دستی متوقف نشده باشد، این سرویس باید در حال اجرا باشد.

عیب یابی فایروال ویندوز

در این بخش ابزارها و روش های مورد استفاده برای حل مشکلات رایج توضیح داده می شود. این بخش از زیر بخش های زیر تشکیل شده است:

استفاده از ویژگی های نظارت در فایروال ویندوز با امنیت پیشرفته

اولین قدم برای حل مشکلات فایروال ویندوز، مشاهده قوانین جاری است. تابع مشاهدهبه شما امکان می دهد قوانین استفاده شده را بر اساس سیاست های محلی و گروهی مشاهده کنید. برای مشاهده قوانین جاری ترافیک ورودی و خروجی در درخت snap-in فایروال ویندوز با امنیت پیشرفتهیک بخش را انتخاب کنید مشاهدهو سپس یک بخش را انتخاب کنید دیواره آتش. در این بخش می توانید جریان را نیز مشاهده کنید قوانین امنیت اتصالو انجمن های امنیتی (حالت های اولیه و سریع).

فعال کردن و استفاده از ممیزی امنیتی با ابزار خط فرمان auditpol

به طور پیش فرض، گزینه های ممیزی غیرفعال هستند. برای پیکربندی آنها، از ابزار خط فرمان auditpol.exe استفاده کنید که تنظیمات خط مشی حسابرسی را در رایانه محلی تغییر می دهد. auditpol می تواند برای فعال یا غیرفعال کردن نمایش دسته های مختلف رویدادها و مشاهده بیشتر آنها در Snap-in استفاده شود. نمایشگر رویداد.

برای مشاهده لیستی از دسته های پشتیبانی شده توسط برنامه auditpol، در خط فرمان، تایپ کنید:

• برای مشاهده لیستی از زیرمجموعه هایی که در یک دسته بندی خاص گنجانده شده اند (مثلاً در دسته بندی تغییر سیاست)، در خط فرمان، تایپ کنید:

  auditpol.exe /list /category:"تغییر سیاست"

• برای فعال کردن نمایش یک دسته یا زیرمجموعه، موارد زیر را در خط فرمان وارد کنید:

  /Subcategory:" نام دسته"

به عنوان مثال، برای تنظیم سیاست های حسابرسی برای یک دسته و زیر مجموعه آن، دستور زیر را وارد کنید:

auditpol.exe /set /category:"تغییر خط مشی" /subcategory:"تغییر خط مشی در سطح قانون MPSSVC" /success:enable /failure:enable

تغییر سیاست

تغییر خط مشی در سطح قانون MPSSVC

تغییر خط مشی پلت فرم فیلترینگ

خروجی را وارد کنید

حالت پایه IPsec

حالت IPsec سریع

حالت IPsec پیشرفته

سیستم

درایور IPSec

سایر رویدادهای سیستم

دسترسی به اشیا

انداختن یک بسته توسط پلت فرم فیلتر

اتصال پلت فرم فیلتراسیون

برای اعمال تغییرات در خط‌مشی ممیزی امنیتی، باید رایانه محلی را مجدداً راه‌اندازی کنید یا به‌روزرسانی دستی خط‌مشی را مجبور کنید. برای اجبار به‌روزرسانی سیاست، در خط فرمان، تایپ کنید:

جدا کردن / refreshpolicy<название_политики>

پس از اتمام عیب‌یابی، می‌توانید با جایگزین کردن پارامتر enable با disable در دستورات بالا و اجرای مجدد دستورات، حسابرسی رویداد را غیرفعال کنید.

مشاهده رویدادهای حسابرسی امنیتی در گزارش رویداد

پس از فعال کردن ممیزی، برای مشاهده رویدادهای ممیزی در گزارش رویداد امنیتی، از پیش‌فرض Event Viewer استفاده کنید.

برای باز کردن Snap-In Event Viewer در پوشه Administrative Tools، این مراحل را دنبال کنید:

1. روی دکمه کلیک کنید شروع کنید.

   یک بخش را انتخاب کنید صفحه کنترل. روی نماد کلیک کنید سیستم و نگهداری آنو بخش را انتخاب کنید مدیریت.

   روی نماد دوبار کلیک کنید نمایشگر رویداد.

برای افزودن Snap-In Event Viewer به MMC، این مراحل را دنبال کنید:

روی دکمه کلیک کنید شروع کنید، به منو بروید همه برنامه ها، سپس در منو استانداردو مورد را انتخاب کنید اجرا کن.

در یک جعبه متن باز کن mmc را تایپ کرده و کلید را فشار دهید وارد.

اگر کادر محاوره ای کنترل حساب کاربری ظاهر شد، اقدام درخواستی را تایید کرده و کلیک کنید ادامه هید.

در منو کنسولمورد را انتخاب کنید یک ضربه محکم و ناگهانی اضافه یا حذف کنید.

ذکر شده اسنپ ​​های موجودیک ضربه محکم و ناگهانی را انتخاب کنید نمایشگر رویدادو دکمه را فشار دهید اضافه کردن.

روی دکمه کلیک کنید خوب.

قبل از بستن snap-in، کنسول را برای استفاده در آینده ذخیره کنید.

در یک لحظه نمایشگر رویدادگسترش بخش لاگ های ویندوزو node را انتخاب کنید ایمنی. می توانید رویدادهای ممیزی امنیتی را در فضای کاری کنسول مشاهده کنید. همه رویدادها در بالای فضای کاری کنسول نمایش داده می شوند. روی یک رویداد در بالای فضای کاری کنسول کلیک کنید تا اطلاعات دقیق در پایین پانل نمایش داده شود. روی زبانه معمول هستندشرح وقایع در قالب متن قابل فهم قرار می گیرد. روی زبانه جزئیاتگزینه های نمایش رویداد زیر در دسترس هستند: ارائه شفافو حالت XML.

تنظیم گزارش فایروال برای یک نمایه

قبل از اینکه بتوانید گزارش‌های فایروال را مشاهده کنید، باید فایروال ویندوز را با امنیت پیشرفته پیکربندی کنید تا فایل‌های گزارش تولید شود.

برای پیکربندی ورود به سیستم فایروال ویندوز با نمایه امنیتی پیشرفته، این مراحل را دنبال کنید:

در درخت ابزار فایروال ویندوز با امنیت پیشرفتهیک بخش را انتخاب کنید فایروال ویندوز با امنیت پیشرفتهو دکمه را فشار دهید خواصدر محدوده کنسول

برگه نمایه ای را که می خواهید ثبت گزارش را برای آن پیکربندی کنید (نمایه دامنه، نمایه خصوصی یا نمایه عمومی) انتخاب کنید و سپس روی دکمه کلیک کنید اهنگدر فصل ورود به سیستم.

یک نام و مکان برای فایل گزارش مشخص کنید.

حداکثر اندازه فایل گزارش را مشخص کنید (از 1 تا 32767 کیلوبایت)

رها کردن ثبت بسته های از دست رفتهیک مقدار وارد کنید آره.

رها کردن ثبت اتصالات موفقیک مقدار وارد کنید آرهو سپس روی دکمه کلیک کنید خوب.

مشاهده فایل های گزارش فایروال

فایلی را که در روش قبلی مشخص کرده اید، "پیکربندی گزارش فایروال برای یک نمایه" را باز کنید. برای دسترسی به گزارش فایروال، باید حقوق مدیر محلی داشته باشید.

می توانید فایل گزارش را با Notepad یا هر ویرایشگر متنی مشاهده کنید.

تجزیه و تحلیل فایل های لاگ فایروال

اطلاعات ثبت شده در جدول زیر نشان داده شده است. برخی از داده ها فقط برای پروتکل های خاص (پرچم های TCP، نوع و کد ICMP و غیره) و برخی از داده ها فقط برای بسته های حذف شده (اندازه) مشخص می شوند.

توجه داشته باشید

خط فاصله (-) در فیلدهایی در رکورد فعلی که حاوی هیچ اطلاعاتی نیستند استفاده می شود.

ایجاد فایل های متنی netstat و tasklist

شما می توانید دو فایل ثبت سفارشی ایجاد کنید، یکی برای مشاهده آمار شبکه (لیستی از تمام پورت های گوش دادن) و دیگری برای مشاهده لیست وظایف سرویس و برنامه. لیست وظایف شامل شناسه فرآیند (شناسه فرآیند، PID) برای رویدادهای موجود در فایل آمار شبکه است. مراحل ساخت این دو فایل در زیر توضیح داده شده است.

برای ایجاد فایل های متنی برای آمار شبکه و لیستی از وظایف، مراحل زیر را دنبال کنید:

در خط فرمان تایپ کنید netstat -ano > netstat.txtو کلید را فشار دهید وارد.

در خط فرمان تایپ کنید tasklist > tasklist.txtو کلید را فشار دهید وارد. اگر می خواهید یک فایل متنی با لیستی از خدمات ایجاد کنید، تایپ کنید tasklist /svc > tasklist.txt.

فایل های tasklist.txt و netstat.txt را باز کنید.

شناسه فرآیندی را که در حال تشخیص آن هستید در فایل tasklist.txt بیابید و آن را با مقدار موجود در فایل netstat.txt مقایسه کنید. پروتکل های استفاده شده را ثبت کنید.

نمونه ای از صدور فایل های Tasklist.txt و Netstat.txt

netstat.txt
PID ایالت آدرس خارجی آدرس محلی اولیه
TCP 0.0.0.0:XXX 0.0.0.0:0 LISTENING 122
TCP 0.0.0.0:XXXX 0.0.0.0:0 LISTENING 322
Tasklist.txt
نام تصویر PID نام جلسه نام جلسه# استفاده از Mem
==================== ======== ================ =========== ============
svchost.exe 122 Services 0 7.172 K
XzzRpc.exe 322 Services 0 5.104 K

توجه داشته باشید

آدرس های IP واقعی به "X" و سرویس RPC به "z" تغییر یافته است.

مطمئن شوید که خدمات ضروری در حال اجرا هستند

خدمات زیر باید در حال اجرا باشد:

سرویس فیلتر اولیه

Client Policy Group

ماژول های کلید IPsec برای تبادل کلید اینترنتی و IP تأیید شده

سرویس کمکی IP

سرویس عامل سیاست IPSec

سرویس موقعیت مکانی شبکه

خدمات فهرست شبکه

دیوار آتش ویندوز

برای باز کردن Snap-in Services و تأیید اینکه سرویس های مورد نیاز در حال اجرا هستند، این مراحل را دنبال کنید:

روی دکمه کلیک کنید شروع کنیدو بخش را انتخاب کنید صفحه کنترل.

روی نماد کلیک کنید سیستم و نگهداری آنو بخش را انتخاب کنید مدیریت.

روی نماد دوبار کلیک کنید خدمات.

اگر کادر محاوره ای کنترل حساب کاربری ظاهر شد، اعتبار مورد نیاز برای کاربری با مجوزهای مناسب را وارد کنید و سپس کلیک کنید ادامه هید.

اطمینان حاصل کنید که خدمات ذکر شده در بالا در حال اجرا هستند. اگر یک یا چند سرویس در حال اجرا نیستند، روی نام سرویس در لیست کلیک راست کرده و command را انتخاب کنید اجرا کن.

یک راه اضافی برای حل مشکلات

به عنوان آخرین راه حل، می توانید تنظیمات پیش فرض فایروال ویندوز را بازیابی کنید. بازگرداندن تنظیمات پیش فرض، تنظیمات انجام شده از زمان نصب ویندوز ویستا را از دست می دهد. این ممکن است باعث شود برخی از برنامه ها کار نکنند. همچنین، اگر کامپیوتر را از راه دور مدیریت کنید، اتصال به آن قطع خواهد شد.

قبل از بازیابی تنظیمات پیش فرض، مطمئن شوید که پیکربندی فایروال فعلی خود را ذخیره کرده اید. این به شما امکان می دهد در صورت لزوم تنظیمات خود را بازیابی کنید.

مراحل ذخیره پیکربندی فایروال و بازیابی تنظیمات پیش فرض در زیر توضیح داده شده است.

برای ذخیره تنظیمات فایروال فعلی، موارد زیر را انجام دهید:

در یک لحظه فایروال ویندوز با امنیت پیشرفتهروی لینک کلیک کنید سیاست صادراتدر محدوده کنسول

برای بازیابی تنظیمات پیش فرض فایروال، موارد زیر را انجام دهید:

در یک لحظه فایروال ویندوز با امنیت پیشرفتهروی لینک کلیک کنید بازیابی پیش فرض هادر محدوده کنسول

هنگامی که فایروال ویندوز با امنیت پیشرفته از شما خواسته شد، کلیک کنید آرهبرای بازیابی مقادیر پیش فرض

نتیجه

راه های زیادی برای تشخیص و رفع مشکلات فایروال ویندوز با امنیت پیشرفته وجود دارد. از جمله:

استفاده از عملکرد مشاهدهبرای مشاهده فعالیت فایروال، قوانین امنیتی اتصال و ارتباطات امنیتی.

رویدادهای ممیزی امنیتی مربوط به فایروال ویندوز را تجزیه و تحلیل کنید.

ایجاد فایل های متنی فهرست وظیفه یا لیست کارو netstatبرای تحلیل تطبیقی

فایروال (دیوار آتش یا فایروال) ویندوز احترامی ندارد. کمی از XP به Vista تغییر کرده است، کار خود را به خوبی انجام می دهد، اما جاه طلبی برای بهترین فایروال شخصی را ندارد. با این حال، با وجود این واقعیت که فایروال ویندوز 7 چندین ویژگی جدید دریافت کرد، هنوز آن چیزی که انتظار داشتم در آن ببینم را دریافت نکرد.

همراه با HomeGroup

در حین نصب، ویندوز 7 از شما می خواهد که یک «گروه خانگی» ایجاد کنید. از آنجایی که رایانه های ویندوز 7 بیشتری در شبکه کشف می شوند، از آنها نیز خواسته می شود که به گروه بپیوندند. و تنها چیزی که آنها برای این کار نیاز دارند یک رمز عبور برای آن است. با این حال، با یک رایانه دارای ویندوز 7، من روند ورود به گروهی از رایانه‌های دیگر را ندیدم، اگرچه اعلان در این مورد آسیبی نخواهد داشت. با این حال، در حالی که هر رایانه ویندوز 7 می تواند به یک گروه خانگی بپیوندد، رایانه های Windows 7 Home Basic و Windows 7 Starter نمی توانند یکی را ایجاد کنند.

رایانه‌های موجود در همان گروه خانگی می‌توانند چاپگرها و کتابخانه‌های فایل خاصی را به اشتراک بگذارند (یا، همانطور که می‌گویند، «اشتراک بگذارند»). به‌طور پیش‌فرض، کتابخانه‌های تصاویر، موسیقی، ویدیوها و اسناد به اشتراک گذاشته می‌شوند، اما کاربر می‌تواند بنا به صلاحدید خود آنها را محدود کند. راهنما در سیستم عامل توضیحات واضحی در مورد نحوه حذف یک فایل یا پوشه از اشتراک گذاری، یا نحوه تبدیل آن فقط خواندنی یا محدود کردن دسترسی به آن ارائه می دهد.

کاربر در شبکه خانگی خود می‌تواند محتوای خود را با رایانه‌ها و دستگاه‌های دیگر و حتی با رایانه‌هایی که از ویندوز 7 استفاده نمی‌کنند و حتی برای غیر رایانه‌ها به اشتراک بگذارد. به طور خاص، مایکروسافت نمونه هایی از نحوه اشتراک گذاری محتوا برای Xbox 360 را نشان داد. با این حال، این شرکت اتصال Wii را به شبکه ارائه نمی دهد. متأسفانه، این شرکت Wii را به عنوان یک دستگاه رسانه استریم صلاحیت نکرد.

بنابراین امنیت شبکه خانگی در ویندوز 7 چقدر بیشتر است؟ معمولاً کاربرانی که موفق به اشتراک گذاری فایل ها و پوشه ها نمی شوند شروع به غیرفعال کردن همه چیز از جمله دیوار فایل، آنتی ویروس و غیره می کنند که به نظر آنها می تواند در این روند اختلال ایجاد کند. در عین حال، اگر اشتراک گذاری را ساده کنید، می توان از خاموش کردن همه چیز در اطراف جلوگیری کرد.

اگر ویستا شبکه ها را به عمومی (Public) و خصوصی (Private) تقسیم کند، ویندوز 7 شبکه خصوصی را به خانه (خانه) و محل کار (Work) تقسیم می کند. HomeGroup تنها زمانی در دسترس است که یک شبکه خانگی را انتخاب کنید. با این حال، حتی در یک شبکه کاری، رایانه شما همچنان می‌تواند دستگاه‌های دیگر را در آن ببیند و به آن متصل شود. به نوبه خود، در یک شبکه عمومی (مانند یک کافی نت بی سیم)، ویندوز 7 دسترسی شما و سایر دستگاه ها را برای ایمنی شما مسدود می کند. این یک فرصت کوچک اما خوب است.

فایروال دو حالته

در Vista و XP، مدیریت فایروال به سادگی روشن و خاموش کردن آن است. در عین حال، ویندوز 7 تنظیمات پیکربندی متفاوتی را برای شبکه های خصوصی (خانه و محل کار) و شبکه های عمومی به کاربر ارائه می دهد. در عین حال، کاربر برای کار مثلاً در یک کافه محلی نیازی به وارد کردن تنظیمات فایروال ندارد. کافی است او یک شبکه عمومی را انتخاب کند و فایروال خود کل مجموعه پارامترهای محدود کننده را اعمال می کند. به احتمال زیاد، کاربران شبکه عمومی را برای مسدود کردن تمام اتصالات ورودی پیکربندی خواهند کرد. در ویستا، این کار بدون قطع تمام ترافیک ورودی در شبکه خود کاربر امکان پذیر نیست.

برخی از کاربران نمی دانند که چرا فایروال نیاز است. اگر UAC کار می کند، آیا فایروال زیاده روی نمی کند؟ در واقع، این برنامه ها اهداف بسیار متفاوتی را دنبال می کنند. UAC برنامه ها و عملکرد آنها را در سیستم محلی پیگیری می کند. از سوی دیگر، فایروال، داده های ورودی و خروجی را به دقت بررسی می کند. اگر این دو برنامه را به عنوان دو قهرمان تصور کنید که پشت به هم ایستاده اند و حملات زامبی ها را دفع می کنند، تقریباً می توانید بگویید که نمی توانید اشتباه کنید.

در ابتدا، ویژگی جدید "به من اطلاع بده وقتی فایروال ویندوز یک برنامه جدید را مسدود می کند" برایم جالب بود. آیا این نشانه آن نیست که فایروال ویندوز کنترل برنامه ها را در دست گرفته و به یک فایروال دو طرفه واقعی تبدیل شده است؟ میل به غیرفعال کردن این ویژگی من را بلعید. و در نتیجه، فایروال ویندوز بیش از آنچه که داشت مورد احترام قرار نگرفت.

ده سال از زمانی که ZoneLabs فایروال شخصی دو طرفه را محبوب کرده است می گذرد. برنامه ZoneAlarm او تمام پورت های کامپیوتر را مخفی می کرد (که فایروال ویندوز می تواند انجام دهد) و همچنین به شما اجازه می داد دسترسی برنامه ها به اینترنت را کنترل کنید (Windows Firewall هنوز نمی تواند این کار را انجام دهد). من نیازی به نظارت هوشمند بر رفتار برنامه ها ندارم، به عنوان مثال، در Norton Internet Security 2010 و بسته های دیگر. اما من امیدوارم که با انتشار ویندوز 8، مایکروسافت همچنان یک ویژگی ZoneAlarm یک دهه را در فایروال خود پیاده سازی کند.

مایکروسافت به خوبی می داند که بسیاری از کاربران فایروال ها و بسته های امنیتی شخص ثالث را نصب می کنند و به سادگی فایروال ویندوز را غیرفعال می کنند. در گذشته، بسیاری از برنامه های امنیتی شخص ثالث به طور خودکار فایروال ویندوز را غیرفعال می کردند تا از درگیری جلوگیری کنند. در ویندوز 7، مایکروسافت این کار را خودش انجام داده است. هنگام نصب یک فایروال شناخته شده، سیستم عامل فایروال داخلی خود را غیرفعال می کند و گزارش می دهد که "تنظیمات فایروال توسط فلان برنامه از فلان سازنده کنترل می شود."

چه از آن استفاده کنید یا نه، فایروال ویندوز با یکپارچگی عمیق با سیستم عامل در هر ویندوز 7 وجود دارد. بنابراین آیا بهتر نیست که برنامه های امنیتی شخص ثالث بتوانند از دیوار فایل ویندوز برای اهداف خود استفاده کنند؟ این ایده پشت یک رابط برنامه نویسی به نام پلتفرم فیلترینگ ویندوز نهفته است. اما آیا توسعه دهندگان از آن استفاده خواهند کرد؟ بیشتر در این مورد در بخش بعدی.

Windows 7 Security: Windows Filtering Platform - Windows Filtering Platform

فایروال ها باید با ویندوز 7 در سطح بسیار پایینی کار کنند که برنامه نویسان مایکروسافت کاملا از آن متنفرند. برخی از فناوری‌های مایکروسافت مانند PatchGuard که در نسخه‌های 64 بیتی ویندوز 7 یافت می‌شوند (ویندوز 7 64 بیتی مزایای امنیتی زیادی نسبت به ویندوز 7 32 بیتی دارد)، مزاحمان را مسدود می‌کند و همچنین هسته را از دسترسی به آن محافظت می‌کند. با این حال، مایکروسافت به اندازه برنامه های شخص ثالث از امنیت برخوردار نیست. خوب چه کار کنیم؟

راه حل این مشکل پلتفرم فیلترینگ ویندوز (WFP) است. طبق گفته مایکروسافت، دومی اجازه می دهد تا فایروال های شخص ثالث بر اساس ویژگی های اصلی فایروال ویندوز باشد - به آنها اجازه می دهد ویژگی های سفارشی اضافه کنند و به طور انتخابی بخش هایی از فایروال ویندوز را فعال یا غیرفعال کنند. در نتیجه کاربر می تواند فایروالی را انتخاب کند که با فایروال ویندوز همزیستی داشته باشد.

اما این واقعا چقدر برای توسعه دهندگان نرم افزار امنیتی مفید است؟ آیا از آن استفاده خواهند کرد؟ با چند نفر مصاحبه کردم و جواب های زیادی گرفتم.

BitDefender LLC

مدیر توسعه محصول Iulian Costache اظهار داشت که شرکت او در حال حاضر این پلتفرم را بر روی ویندوز 7 اجرا می کند. با این حال، آنها با نشت حافظه قابل توجهی مواجه شده اند. همانطور که بزرگترین غول نرم افزاری قبلاً تأیید کرده است، باگ در سمت مایکروسافت است. با این حال، جولیان نمی داند چه زمانی این مشکل حل می شود. در این بین، آنها به طور موقت درایور جدید WFP را با TDI قدیمی جایگزین کردند.

Check Point Software Technologies Ltd

میرکا جانوس، مدیر روابط عمومی Check Point Software Technologies Ltd، گفت که شرکت او از زمان ویستا از WFP استفاده می کند. آنها همچنین از این پلت فرم تحت ویندوز 7 نیز استفاده می کنند. این یک رابط خوب و با پشتیبانی خوب است، اما هر بدافزار یا درایور ناسازگار می تواند برای یک محصول امنیتی که به آن متکی است خطرناک باشد. ZoneAlarm همیشه بر دو لایه متکی بوده است - لایه اتصال شبکه و لایه بسته. از زمان ویستا، مایکروسافت WFP را به عنوان یک روش پشتیبانی شده برای فیلتر کردن اتصالات شبکه ارائه کرده است. با شروع ویندوز 7 SP1، مایکروسافت باید به WFP آموزش دهد تا فیلتر بسته را فعال کند.

استفاده از API های پشتیبانی شده به معنای بهبود ثبات و BSOD های کمتر است. بسیاری از درایورها را می توان ثبت کرد و هر توسعه دهنده درایور نیازی به نگرانی در مورد سازگاری با دیگران ندارد. اگر هر راننده ای، مثلاً مسدود شده باشد، هیچ راننده ثبت شده دیگری نمی تواند از این مسدود شدن عبور کند. از سوی دیگر، یک درایور ناسازگار می‌تواند مشکل ساز شود و همه درایورهای ثبت شده دیگر را دور بزند. ما برای امنیت شبکه تنها به WFP متکی نیستیم.»

F-Secure Corporation

Mikko Hypponen، محقق ارشد در F-Secure Corporation، اظهار داشت که بنا به دلایلی، WFP هرگز با توسعه دهندگان نرم افزار امنیتی مواجه نشد. در همان زمان، شرکت او مدتی بود که از WFP استفاده می کرد و از آن راضی بود.

شرکت مک آفی

به نوبه خود، معمار اصلی McAfee Ahmed Sallam (احمد سالام) گفت که WFP یک رابط فیلتر شبکه قدرتمندتر و انعطاف پذیرتر از رابط قبلی مبتنی بر NDIS است. McAfee از WFP در محصولات امنیتی خود استفاده گسترده ای می کند.

در عین حال، علیرغم اینکه WFP دارای ویژگی های مثبت است، مجرمان سایبری نیز می توانند از این پلتفرم بهره ببرند. این پلتفرم ممکن است به بدافزار اجازه ورود به پشته شبکه سطح هسته ویندوز را بدهد. بنابراین، درایورهای 64 بیتی در سطح هسته ویندوز باید به صورت دیجیتالی امضا شوند تا از بارگیری هسته با بدافزار محافظت شود. با این حال، امضای دیجیتال در نسخه های 32 بیتی مورد نیاز نیست.

بله، در تئوری، امضای دیجیتال یک مکانیسم دفاعی معقول است، اما در واقعیت، نویسندگان بدافزار هنوز هم می‌توانند آن‌ها را به دست آورند.

امنیت پاندا

پدرو بوستامانت، سخنگوی Panda Security گفت که شرکت او در حال نظارت بر پلتفرم WFP است اما در حال حاضر از آن استفاده نمی کند. این شرکت معتقد است که معایب اصلی WFP، اولاً، ناتوانی در ایجاد فناوری است که تکنیک های مختلف را برای به حداکثر رساندن محافظت ترکیب کند. اگر شرکت نتواند بسته های ورودی و خروجی را به دستگاه نگاه کند، فناوری بی فایده است. همچنین باید به عنوان یک سنسور برای سایر فناوری های حفاظتی عمل کند. هیچ یک از این ویژگی ها توسط WFP ارائه نشده است. دوم اینکه WFP فقط توسط ویستا و سیستم عامل های جدیدتر پشتیبانی می شود. پلتفرم با عقب سازگار نیست. و ثالثاً، WFP یک پلتفرم نسبتاً جدید است و این شرکت ترجیح می‌دهد بر اساس فناوری‌های قدیمی‌تر و جاافتاده‌تر ساخته شود.

شرکت سیمانتک

مدیر مدیریت محصولات مصرفی سیمانتک، دن نادر، گفت که WFP به دلیل تازگی نسبی هنوز در محصولات آنها استفاده نمی شود. با این حال، با گذشت زمان، این شرکت قصد دارد به آن مهاجرت کند، زیرا. رابط های قدیمی که اکنون به آنها تکیه می کنند، نمی توانند عملکرد کامل مورد نیاز خود را ارائه دهند. آنها WFP را پلتفرم خوبی می دانند زیرا به طور خاص برای ارائه قابلیت همکاری بین انواع نرم افزارهای شخص ثالث طراحی شده است. در اصل، پلتفرم باید در آینده مشکلات سازگاری کمتری داشته باشد. WFP همچنین خوب است زیرا با چارچوب تشخیصی شبکه مایکروسافت یکپارچه شده است. این بسیار مفید است به عنوان جستجوی برنامه های خاصی را که مانعی برای ترافیک شبکه هستند بسیار تسهیل می کند. در نهایت، WFP باید به بهبود عملکرد و ثبات سیستم عامل منجر شود پلتفرم از تقلید و تضاد راننده یا مسائل پایداری جلوگیری می کند.

با این حال، از سوی دیگر، به گفته Nadir، WFP می تواند مشکلات خاصی را ایجاد کند که در هر ساختاری وجود دارد - توسعه دهندگان متکی به WFP نمی توانند آسیب پذیری ها را در خود WFP ببندند، و همچنین نمی توانند ویژگی های خاص ارائه شده توسط WFP را گسترش دهند. همچنین، اگر بسیاری از برنامه‌ها به WFP متکی باشند، سازندگان بدافزار از نظر تئوری می‌توانند سعی کنند به خود WFP حمله کنند.

TrendMicro Inc.

مدیر تحقیقات Trend Micro Inc. دیل لیائو گفت که بزرگترین مزیت این پلتفرم سازگاری با سیستم عامل است. همچنین فایروال استاندارد اکنون مفید است. بنابراین اکنون آنها می توانند روی آنچه واقعا برای کاربر مهم است تمرکز کنند. نکته بد در مورد WFP این است که وقتی یک باگ در پلتفرم پیدا می شود، شرکت باید منتظر بماند تا مایکروسافت آن را برطرف کند.

WFP: نتیجه گیری

در نتیجه، اکثر توسعه دهندگان نرم افزار امنیتی که من با آنها مصاحبه کردم، در حال حاضر از WFP استفاده می کنند. درست است، برخی به موازات سایر فن آوری ها. آنها قابلیت همکاری را دوست دارند، ماهیت مستند و رسمی پلت فرم و همچنین ثبات فرضی عملکرد آن را دوست دارند. از سوی دیگر، اگر همه توسعه‌دهندگان به WFP تکیه کنند، این پلتفرم به طور بالقوه می‌تواند به یک نقطه آسیب‌پذیر برای همه تبدیل شود. و آنها باید برای رفع آن به مایکروسافت تکیه کنند. علاوه بر این، این پلتفرم هنوز فیلتر در سطح بسته را ارائه نمی دهد.

عیب بزرگ WFP نیز این است که در ویندوز XP در دسترس نیست. بنابراین، توسعه دهندگانی که می خواهند از XP پشتیبانی کنند، باید دو پروژه موازی را اجرا کنند. با این حال، با خارج شدن XP از بازار، من فکر می کنم WFP در بین توسعه دهندگان محبوب تر خواهد شد.