• Windows 7 filtreleme platformu nasıl devre dışı bırakılır Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı - Sorunları teşhis edin ve çözün. Windows Güvenlik Duvarı Gelişmiş Güvenlik ile yapılandırılamıyor

    Windows Vista™ Microsoft Yönetim Konsolu (MMC) ek bileşeni, yapılandırılan ayarlara göre gelen ve giden bağlantıları filtreleyen iş istasyonları için bir ağ durumu güvenlik duvarıdır. Artık güvenlik duvarı ve IPsec ayarlarını tek bir ek bileşenle yapılandırabilirsiniz. Bu makalede, Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı, yaygın sorunlar ve çözümler anlatılmaktadır.

    Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı nasıl çalışır?

    Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı, iş istasyonları için bir ağ durumu günlüğe kaydetme güvenlik duvarıdır. Yerel ağınız ile İnternet arasındaki ağ geçidinde dağıtılan yönlendiriciler için güvenlik duvarlarının aksine, Windows Güvenlik Duvarı ayrı bilgisayarlarda çalışacak şekilde tasarlanmıştır. Yalnızca iş istasyonu trafiğini izler: bu bilgisayarın IP adresine gelen trafik ve bilgisayarın kendisine giden trafik. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı aşağıdaki temel işlemleri gerçekleştirir:

      Gelen paket kontrol edilir ve izin verilen trafik listesiyle karşılaştırılır. Paket, listedeki değerlerden biriyle eşleşirse, Windows Güvenlik Duvarı paketi daha fazla işlenmek üzere TCP/IP'ye iletir. Paket, listedeki değerlerden hiçbiriyle eşleşmiyorsa, Windows Güvenlik Duvarı paketi engeller ve günlük kaydı etkinse, günlük dosyasında bir giriş oluşturur.

    İzin verilen trafiğin listesi iki şekilde oluşturulur:

      Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı tarafından kontrol edilen bir bağlantı bir paket gönderdiğinde, güvenlik duvarı dönüş trafiğine izin vermek için listede bir değer oluşturur. Uygun gelen trafik ek izin gerektirecektir.

      Gelişmiş Güvenlik Özellikli bir Windows Güvenlik Duvarı izin verme kuralı oluşturduğunuzda, kuralın oluşturulduğu trafiğe Windows Güvenlik Duvarı çalıştıran bir bilgisayarda izin verilir. Bu bilgisayar bir sunucu, istemci bilgisayar veya eşler arası ağ düğümü olarak çalışırken açıkça izin verilen gelen trafiği kabul edecektir.

    Windows Güvenlik Duvarı ile ilgili sorunları çözmenin ilk adımı, hangi profilin etkin olduğunu kontrol etmektir. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı, ağ ortamınızı izleyen bir uygulamadır. Ağ ortamı değiştiğinde Windows Güvenlik Duvarı profili de değişir. Profil, ağ ortamına ve etkin ağ bağlantılarına bağlı olarak uygulanan bir dizi ayar ve kuraldır.

    Güvenlik duvarı, üç tür ağ ortamını birbirinden ayırır: etki alanı, genel ve özel ağlar. Etki alanı, bağlantıların kimliğinin bir etki alanı denetleyicisi tarafından doğrulandığı bir ağ ortamıdır. Varsayılan olarak, diğer tüm ağ bağlantısı türleri genel ağlar olarak değerlendirilir. Yeni bir bağlantı algılandığında, Windows Vista kullanıcıdan ağın özel mi yoksa genel mi olduğunu belirtmesini ister. Genel profil, havaalanları veya kafeler gibi halka açık yerlerde kullanılmak üzere tasarlanmıştır. Özel bir profil, evde veya ofiste ve güvenli bir ağda kullanılmak üzere tasarlanmıştır. Bir ağı özel olarak tanımlamak için kullanıcının uygun yönetici ayrıcalıklarına sahip olması gerekir.

    Bir bilgisayar aynı anda farklı ağ türlerine bağlanabilse de yalnızca bir profil etkin olabilir. Etkin profil seçimi aşağıdaki nedenlere bağlıdır:

      Tüm arabirimler etki alanı denetleyicisi kimlik doğrulaması kullanıyorsa, etki alanı profili kullanılır.

      Arayüzlerden en az biri özel bir ağa bağlıysa ve diğerleri bir etki alanına veya özel ağlara bağlıysa, özel profil kullanılır.

      Diğer tüm durumlarda, genel profil kullanılır.

    Etkin profili belirlemek için düğüme tıklayın Gözlem Bir anda Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı. Metnin üstünde Güvenlik Duvarı Durumu hangi profilin aktif olduğunu gösterir. Örneğin, bir alan adı profili etkinse, başlık en üstte görüntülenecektir. Etki alanı profili etkin.

    Windows Güvenlik Duvarı, profilleri kullanarak bilgisayar bir etki alanındayken özel bilgisayar yönetim araçları için gelen trafiğe otomatik olarak izin verebilir ve bilgisayar genel veya özel bir ağa bağlıyken aynı trafiği engelleyebilir. Böylece ağ ortamı türünün belirlenmesi, mobil kullanıcıların güvenliğinden ödün vermeden yerel ağınızın korunmasını sağlar.

    Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı çalıştırılırken sık karşılaşılan sorunlar

    Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı çalıştırılırken ortaya çıkan ana sorunlar şunlardır:

    Trafiğin engellenmesi durumunda öncelikle güvenlik duvarının etkin olup olmadığını ve hangi profilin etkin olduğunu kontrol etmelisiniz. Uygulamalardan herhangi biri engellenirse, ekte olduğundan emin olun. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı geçerli profil için etkin bir izin verme kuralı var. Bir izin verme kuralının var olduğunu doğrulamak için düğümü çift tıklayın. Gözlem ve ardından bir bölüm seçin güvenlik duvarı. Bu program için etkin izin verme kuralı yoksa, düğüme gidin ve bu program için yeni bir kural oluşturun. Bir program veya hizmet için bir kural oluşturun ya da bu özellik için geçerli olan bir kural grubu belirtin ve o gruptaki tüm kuralların etkinleştirildiğinden emin olun.

    Bir izin verme kuralının bir engelleme kuralı tarafından geçersiz kılınmadığını kontrol etmek için şu adımları izleyin:

      araç ağacında Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı düğümü tıklayın Gözlem ve ardından bir bölüm seçin güvenlik duvarı.

      Tüm etkin yerel ve grup ilkesi kurallarının bir listesini görüntüleyin. Reddetme kuralları izin verme kurallarını geçersiz kılar, ikincisi daha kesin olarak tanımlanmış olsa bile.

    Grup İlkesi, yerel kuralların uygulanmasını engeller

    Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı, Grup İlkesi kullanılarak yapılandırılırsa, bir yönetici, yerel yöneticiler tarafından oluşturulan güvenlik duvarı kurallarının mı yoksa bağlantı güvenliği kurallarının mı kullanılacağını belirtebilir. İlgili ayarlar bölümünde olmayan yapılandırılmış yerel güvenlik duvarı kuralları veya bağlantı güvenliği kuralları varsa bu mantıklıdır.

    İzleme bölümünde yerel güvenlik duvarı kurallarının veya bağlantı güvenliği kurallarının neden eksik olduğunu öğrenmek için aşağıdakileri yapın:

      Bir anda Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı, linke tıklayınız Windows Güvenlik Duvarı Özellikleri.

      Etkin profil sekmesini seçin.

      Bölümde Seçenekler, düğmesine basın akort.

      Yerel kurallar geçerliyse, bölüm Birleştirme Kuralları aktif olacak

    Güvenli bağlantılar gerektiren kurallar trafiği engelleyebilir

    Gelen veya giden trafik için bir güvenlik duvarı kuralı oluştururken, seçeneklerden biri . Bu seçenek işaretlenirse, hangi trafiğin korunduğunu tanımlayan uygun bir bağlantı güvenlik kuralı veya ayrı bir IPSec ilkesi olmalıdır. Aksi takdirde bu trafik engellenir.

    Bir veya daha fazla uygulama kuralının güvenli bağlantı gerektirdiğini kontrol etmek için şu adımları izleyin:

      araç ağacında Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı bölümü tıklayın Gelen bağlantılar için kurallar. Kontrol etmek istediğiniz kuralı seçin ve bağlantıya tıklayın Özellikler konsol kapsamında.

      Sekmeyi seçin yaygın ve radyo düğmesi değerinin seçilip seçilmediğini kontrol edin Yalnızca güvenli bağlantılara izin ver.

      Kural için parametre belirtilmişse Yalnızca güvenli bağlantılara izin ver, bölümü genişlet Gözlem ek bileşen ağacında ve bölümü seçin. Güvenlik duvarı kuralında tanımlanan trafiğin uygun bağlantı güvenlik kurallarına sahip olduğundan emin olun.

      Uyarı:

      Aktif bir IPSec politikanız varsa, politikanın gerekli trafiği koruduğundan emin olun. IPSec ilkesi ile bağlantı güvenliği kuralları arasında çakışmayı önlemek için bağlantı güvenliği kuralları oluşturmayın.

    Giden bağlantılara izin verilemez

      araç ağacında Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Bir bölüm seçin Gözlem. Etkin profil sekmesini seçin ve altında Güvenlik Duvarı Durumu izin verme kuralıyla eşleşmeyen giden bağlantılara izin verilip verilmediğini kontrol edin.

      Bölümde Gözlem Bir bölüm seçin güvenlik duvarı gerekli giden bağlantıların reddetme kurallarında listelenmediğinden emin olmak için.

    Karma Politikalar Trafiği Engelleyebilir

    Çeşitli Windows işletim sistemi arabirimlerini kullanarak güvenlik duvarı ve IPSec ayarlarını yapılandırabilirsiniz.

    Birden fazla yerde politika oluşturmak, çakışmalara ve trafiğin engellenmesine yol açabilir. Aşağıdaki ayar noktaları mevcuttur:

      Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı. Bu ilke, yerel olarak uygun ek bileşen kullanılarak veya bir grup ilkesinin parçası olarak yapılandırılır. Bu ilke, Windows Vista çalıştıran bilgisayarlardaki güvenlik duvarı ve IPSec ayarlarını denetler.

      Windows Güvenlik Duvarı Yönetim Şablonu. Bu ilke, bölümündeki Grup İlkesi Nesne Düzenleyicisi kullanılarak yapılandırılır. Bu arabirim, Windows Vista'dan önce kullanılabilen Windows Güvenlik Duvarı ayarlarını içerir ve Windows'un önceki sürümlerini denetleyen GPO'yu yapılandırmak için kullanılır. Bu ayarlar Windows Vista çalıştıran bilgisayarlarda kullanılabilse de, Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarıçünkü daha fazla esneklik ve güvenlik sağlar. Etki alanı profili ayarlarından bazılarının Windows Güvenlik Duvarı Yönetim Şablonu ile Windows Güvenlik Duvarı ilkesi arasında paylaşıldığını unutmayın. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı, böylece ek bileşen kullanılarak etki alanı profilinde yapılandırılan ayarları burada görebilirsiniz Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı.

      IPSec ilkeleri. Bu politika, yerel ek bileşen kullanılarak yapılandırılır IPSec ilke yönetimi veya Yerel Bilgisayarda Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\IP Güvenlik İlkeleri altındaki Grup İlkesi Nesne Düzenleyicisi. Bu ilke, hem önceki Windows sürümleri hem de Windows Vista tarafından kullanılabilen IPSec ayarlarını tanımlar. Bu politikayı ve politikada tanımlanan bağlantı güvenliği kurallarını aynı bilgisayarda aynı anda uygulamayın. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı.

    Tüm bu seçenekleri uygun ek bileşenlerde görüntülemek için kendi Yönetim Konsolu ek bileşeninizi oluşturun ve ek bileşenleri ona ekleyin Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı, Ve IP Güvenliği.

    Kendi yönetim konsolu ek bileşeninizi oluşturmak için şu adımları izleyin:

      Düğmeye bas Başlangıç, menüye git Tüm programlar, ardından menüde Standart ve öğeyi seçin Koşmak.

      Bir metin alanında Açık GİRMEK.

      Devam etmek.

      Menüde Konsol seçme .

      Listelenmiş Kullanılabilir ek bileşenler bir çırpıda seçin Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı ve düğmeye basın Eklemek.

      Düğmeye bas TAMAM.

      Enstantane eklemek için 1'den 6'ya kadar olan adımları tekrarlayın Grup İlkesi Yönetimi Ve IP Güvenlik Monitörü.

    Aktif profilde hangi politikaların aktif olduğunu kontrol etmek için aşağıdaki prosedürü kullanın:

    Hangi politikaların uygulandığını kontrol etmek için şu adımları izleyin:

      Komut isteminde mmc yazın ve tuşuna basın GİRMEK.

      Bir Kullanıcı Hesabı Denetimi iletişim kutusu görünürse, istenen eylemi onaylayın ve tıklayın. Devam etmek.

      Menüde KonsolÖğeyi seçin Snap ekle veya kaldır.

      Listelenmiş Kullanılabilir ek bileşenler bir çırpıda seçin Grup İlkesi Yönetimi ve düğmeye basın Eklemek.

      Düğmeye bas TAMAM.

      Ağaçtaki düğümü genişletin (genellikle bu bilgisayarın bulunduğu ormanın ağacı) ve konsolun ayrıntılar bölmesindeki bölüme çift tıklayın.

      Anahtar değerini seçin Şunun için politika ayarlarını göster: değerlerden şu anki kullanıcı veya Başka kullanıcı. Kullanıcılar için ilke ayarlarını değil, yalnızca bilgisayar için ilke ayarlarını görüntülemek istiyorsanız, radyo düğmesi değerini seçin Kullanıcı ilkesini görüntüleme (yalnızca bilgisayar ilkesini görüntüleyin) ve düğmeye çift tıklayın Daha öte.

      Düğmeye bas Hazır. Grup İlkesi Sonuçları Sihirbazı, konsolun ayrıntılar bölmesinde bir rapor oluşturur. Rapor sekmeler içeriyor Özet, Seçenekler Ve Politika Olayları.

      Raporu oluşturduktan sonra IP güvenlik ilkeleriyle çakışma olmadığını doğrulamak için Seçenekler ve Active Directory dizin hizmetinde Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\IP Güvenlik Ayarları öğesini açın. Son bölüm eksikse, herhangi bir IP güvenlik politikası ayarlanmamış demektir. Aksi takdirde, politikanın adı ve açıklaması ile ait olduğu GPO görüntülenecektir. Bağlantı güvenliği kurallarıyla aynı anda bir IP güvenlik ilkesi ve Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı ilkesi kullanırsanız, bu ilkeler çakışabilir. Bu ilkelerden yalnızca birini kullanmanız önerilir. En iyi çözüm, gelen veya giden trafik için Gelişmiş Güvenlik özellikli Windows Güvenlik Duvarı kurallarıyla birlikte IP güvenlik ilkelerini kullanmaktır. Ayarlar farklı yerlerde yapılandırılmışsa ve birbiriyle tutarlı değilse çözülmesi zor ilke çakışmaları meydana gelebilir.

      Yerel GPO'larda tanımlanan ilkeler ile BT departmanı tarafından yapılandırılan komut dosyaları arasında da çakışmalar olabilir. IP Security Monitor programını kullanarak veya bir komut istemine aşağıdaki komutu yazarak tüm IP güvenlik politikalarını kontrol edin:

      Windows Güvenlik Duvarı Yönetim Şablonunda tanımlanan ayarları görüntülemek için bölümü genişletin. Bilgisayar Yapılandırması\Yönetim Şablonları\Ağ\Ağ Bağlantıları\Windows Güvenlik Duvarı.

      Mevcut politikayla ilgili en son olayları görüntülemek için sekmeye gidebilirsiniz. politika olayları aynı konsolda.

      Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı tarafından kullanılan ilkeyi görüntülemek için, tanılanan bilgisayarda ek bileşeni açın ve altındaki ayarları gözden geçirin. Gözlem.

    Yönetim şablonlarını görüntülemek için ek bileşeni açın Grup ilkesi ve bölümde Grup İlkesi Sonuçları Grup İlkesi'nden devralınan ve trafiğin reddedilmesine neden olabilecek ayarlar olup olmadığına bakın.

    IP güvenlik ilkelerini görüntülemek için IP Security Monitor ek bileşenini açın. Ağaçta yerel bilgisayarı seçin. Konsol kapsamında bağlantıyı seçin aktif politika, Basit mod veya Hızlı mod. Trafiğin engellenmesine neden olabilecek rakip politikaları kontrol edin.

    Bölümde Gözlem patlatmak Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Mevcut yerel ve grup ilkesi kurallarını görüntüleyebilirsiniz. Daha fazla bilgi için lütfen " İzleme işlevini bir ek bileşende kullanma Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı » bu belgenin

    IPSec İlke Aracısını durdurmak için şu adımları izleyin:

      Düğmeye bas Başlangıç ve bölümü seçin Kontrol Paneli.

      simgesine tıklayın Sistem ve bakımı ve bölümü seçin Yönetim.

      simgeye çift tıklayın Hizmetler. Devam etmek.

      Listede bir hizmet bulun IPSec İlke Aracısı

      eğer hizmet IPSec Aracısıçalışıyor, üzerine sağ tıklayın ve menü öğesini seçin Durmak. Ayrıca hizmeti durdurabilirsiniz IPSec Aracısı komutunu kullanarak komut satırından

    Eşler arası ağ ilkesi, trafiğin reddedilmesine neden olabilir

    IPSec kullanan bağlantılar için her iki bilgisayarın da uyumlu IP güvenlik ilkelerine sahip olması gerekir. Bu ilkeler, Windows Güvenlik Duvarı Bağlantısı Güvenlik Kuralları ek bileşeni kullanılarak tanımlanabilir. IP Güvenliği veya başka bir IP güvenlik sağlayıcısı.

    Eşler arası bir ağda IP güvenlik ilkesi ayarlarını kontrol etmek için şu adımları izleyin:

      Bir anda Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı düğüm seç Gözlem Ve Bağlantı güvenliği kuralları ağdaki her iki ana bilgisayarın da yapılandırılmış bir IP güvenlik ilkesine sahip olduğundan emin olmak için.

      Eşler arası ağdaki bilgisayarlardan biri Windows Vista'dan önceki bir Windows sürümünü çalıştırıyorsa, yerel mod şifre takımlarından en az birinin ve hızlı mod şifre takımlarından birinin her iki düğüm tarafından desteklenen algoritmaları kullandığından emin olun.

      1. Bölümü tıklayın Basit mod, konsolun ayrıntılar bölmesinde test edilecek bağlantıyı seçin ve ardından bağlantıya tıklayın Özellikler konsol kapsamında. Uyumlu olduklarından emin olmak için her iki düğümün bağlantı özelliklerini inceleyin.

        bölüm için 2.1 adımını tekrarlayın Hızlı mod. Uyumlu olduklarından emin olmak için her iki düğümün bağlantı özelliklerini inceleyin.

      Kerberos sürüm 5 kimlik doğrulaması kullanıyorsanız, ana bilgisayarın aynı veya güvenilir etki alanında olduğundan emin olun.

      Sertifikalar kullanılıyorsa gerekli onay kutularının seçili olduğundan emin olun. IPSec Internet Anahtar Değişimi (IKE) kullanan sertifikalar için dijital imza gerekir. Kimliği Doğrulanmış İnternet Protokolü (AuthIP) kullanan sertifikalar, istemci kimlik doğrulaması gerektirir (sunucu kimlik doğrulama türüne bağlı olarak). AuthIP sertifikaları hakkında daha fazla bilgi için lütfen makaleye bakın. Windows Vista'da kimliği doğrulanmış IP Microsoft web sitesinde Windows Vista'da AuthIP.

    Windows Güvenlik Duvarı Gelişmiş Güvenlik ile yapılandırılamıyor

    Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı ayarları aşağıdaki durumlarda devre dışı bırakılır:

      Bilgisayar, merkezi olarak yönetilen bir ağa bağlıdır ve ağ yöneticisi, Windows Güvenlik Duvarı Gelişmiş Güvenlik ayarlarını yapılandırmak için Grup İlkelerini kullanır. Bu durumda, çıtçıtın üst kısmında Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı"Bazı ayarlar Grup İlkesi tarafından kontrol ediliyor" mesajını göreceksiniz. Ağ yöneticiniz ilkeyi yapılandırarak Windows Güvenlik Duvarı ayarlarını değiştirmenizi engeller.

      Windows Vista çalıştıran bir bilgisayar merkezi olarak yönetilen bir ağa bağlı değildir, ancak Windows Güvenlik Duvarı ayarları yerel grup ilkesi tarafından belirlenir.

    Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı ayarlarını yerel grup ilkesini kullanarak değiştirmek için, Yerel Bilgisayar Politikası. Bu ek bileşeni açmak için komut istemine secpol yazın. Bir Kullanıcı Hesabı Denetimi iletişim kutusu görünürse, istenen eylemi onaylayın ve tıklayın. Devam etmek. Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı ilke ayarlarını yapılandırmak için Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'na gidin.

    Bilgisayar ping isteklerine yanıt vermiyor

    Bilgisayarlar arasındaki bağlantıyı test etmenin ana yolu, belirli bir IP adresine olan bağlantıyı test etmek için Ping yardımcı programını kullanmaktır. Ping sırasında, bir ICMP yankı mesajı (ICMP yankı isteği olarak da bilinir) gönderilir ve yanıt olarak bir ICMP yankı yanıtı istenir. Varsayılan olarak, Windows Güvenlik Duvarı gelen ICMP yankı mesajlarını reddeder, bu nedenle bilgisayar bir ICMP yankı yanıtı gönderemez.

    Gelen ICMP yankı mesajlarına izin vermek, diğer bilgisayarların sizin bilgisayarınıza ping yapmasına izin verecektir. Öte yandan bu, bilgisayarı ICMP yankı mesajlarını kullanan saldırılara karşı savunmasız bırakacaktır. Ancak, gerekirse gelen ICMP ekolarını geçici olarak etkinleştirmeniz ve ardından devre dışı bırakmanız önerilir.

    ICMP yankı mesajlarına izin vermek için, ICMPv4 ve ICMPv6 yankı istek paketlerine izin verecek yeni gelen kuralları oluşturun.

    ICMPv4 ve ICMPv6 yankı isteklerine izin vermek için şu adımları izleyin:

      araç ağacında Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı düğüm seç Gelen bağlantılar için kurallar ve bağlantıyı tıklayın yeni kural konsolun kapsamında.

      özelleştirilebilir ve düğmeye basın Daha öte.

      Bir radyo düğmesi değeri belirtin Tüm programlar ve düğmeye basın Daha öte.

      Düşürmek protokol tipi Değeri seç ICMPv4.

      Düğmeye bas akortöğe için ICMP protokol parametreleri.

      Radyo düğmesini şuna ayarlayın: Bazı ICMP türleri, kutuyu kontrol et yankı isteği, düğmesine basın TAMAM ve düğmeye basın Daha öte.

      Bu kurala uyan yerel ve uzak IP adreslerini seçme aşamasında, radyo düğmelerini şu şekilde ayarlayın: Herhangi bir IP adresi veya Belirtilen IP adresleri. değeri seçerseniz Belirtilen IP adresleri, gerekli IP adreslerini belirtin, düğmesine tıklayın Eklemek ve düğmeye basın Daha öte.

      Bir radyo düğmesi değeri belirtin Bağlantıya izin ver ve düğmeye basın Daha öte.

      Profil seçimi aşamasında, bu kuralı kullanmak istediğiniz bir veya birden fazla profili (domain profili, özel veya genel profil) işaretleyin ve düğmesine tıklayın. Daha öte.

      sahada İsim kuralın adını girin ve alana Tanım isteğe bağlı bir açıklamadır. Düğmeye bas Hazır.

      Adımda seçim yaparak, ICMPv6 protokolü için yukarıdaki adımları tekrarlayın. protokol tipi açılır değer ICMPv6 yerine ICMPv4.

    Etkin bağlantı güvenlik kurallarınız varsa, ICMP'nin IPsec gereksinimlerinden geçici olarak hariç tutulması sorunların çözülmesine yardımcı olabilir. Bunu yapmak için, çırpıda açın Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı diyalog penceresi Özellikler, sekmeye git IPSec ayarları ve açılır listedeki değeri ayarlayın Evet parametre için ICMP'yi IPSec'ten hariç tutun.

    Not

    Windows Güvenlik Duvarı ayarları yalnızca yöneticiler ve ağ operatörleri tarafından değiştirilebilir.

    Dosyalar ve yazıcılar paylaşılamıyor

    Windows Güvenlik Duvarı etkin olan bir bilgisayarda dosya ve yazıcıları paylaşamıyorsanız, tüm grup kurallarının etkinleştirildiğinden emin olun. Dosyalara ve yazıcılara erişim Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı düğüm seç Gelen bağlantılar için kurallar Dosyalara ve yazıcılara erişim kuralı etkinleştir konsol kapsamında.

    Dikkat:

    Saldırganlar paylaşılan dosyalara erişmeye çalışabileceğinden ve kişisel dosyalarınıza zarar vererek size zarar verebileceğinden, doğrudan İnternet'e bağlı bilgisayarlarda dosya ve yazıcı paylaşımını etkinleştirmemeniz önemle tavsiye edilir.

    Windows Güvenlik Duvarı uzaktan yönetilemiyor

    Windows Güvenlik Duvarı etkin olan bir bilgisayarı uzaktan yönetemiyorsanız, varsayılan yapılandırılmış gruptaki tüm kuralların etkinleştirildiğinden emin olun. Windows Güvenlik Duvarı'nın uzaktan kontrolü aktif profil Bir anda Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı düğüm seç Gelen bağlantılar için kurallar ve kural listesini gruba kaydırın Uzaktan kumanda. Bu kuralların etkinleştirildiğinden emin olun. Devre dışı bırakılan kuralların her birini seçin ve düğmesine tıklayın kuralı etkinleştir konsol kapsamında. Ek olarak, IPSec İlke Aracısı hizmetinin etkinleştirildiğini doğrulayın. Bu hizmet, Windows Güvenlik Duvarı'nın uzaktan yönetimi için gereklidir.

    IPSec İlke Aracısının çalıştığını doğrulamak için şu adımları izleyin:

      Düğmeye bas Başlangıç ve bölümü seçin Kontrol Paneli.

      simgesine tıklayın Sistem ve bakımı ve bölümü seçin Yönetim.

      simgeye çift tıklayın Hizmetler.

      Bir Kullanıcı Hesabı Denetimi iletişim kutusu görünürse, uygun izinlere sahip bir kullanıcı için gerekli kimlik bilgilerini girin ve ardından Devam etmek.

      Listede bir hizmet bulun IPSec İlke Aracısı ve "Çalışıyor" durumunda olduğundan emin olun.

      eğer hizmet IPSec Aracısı durdu, üzerine sağ tıklayın ve içerik menüsünden öğeyi seçin Koşmak. Ayrıca hizmeti başlatabilirsiniz IPSec Aracısı net start Policy Agent komutunu kullanarak komut satırından.

    Not

    Varsayılan Hizmet IPSec İlke Aracısı başlattı. Bu hizmet, manuel olarak durdurulmamışsa çalışıyor olmalıdır.

    Windows Güvenlik Duvarı Sorun Gidericileri

    Bu bölümde, yaygın sorunları çözmek için kullanılan araçlar ve yöntemler açıklanmaktadır. Bu bölüm aşağıdaki alt bölümlerden oluşmaktadır:

    Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı'ndaki izleme özelliklerini kullanma

    Windows Güvenlik Duvarı ile ilgili sorunları çözmenin ilk adımı, geçerli kuralları görüntülemektir. İşlev Gözlem yerel ve grup ilkelerine göre kullanılan kuralları görüntülemenizi sağlar. Geçerli gelen ve giden trafik kurallarını ek bileşen ağacında görüntülemek için Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Bir bölüm seçin Gözlem ve ardından bir bölüm seçin güvenlik duvarı. Bu bölümde ayrıca güncel bilgileri de görüntüleyebilirsiniz. bağlantı güvenlik kuralları Ve Güvenlik İlişkileri (Temel ve Hızlı Modlar).

    Auditpol komut satırı aracıyla güvenlik denetimini etkinleştirme ve kullanma

    Denetim seçenekleri varsayılan olarak devre dışıdır. Bunları yapılandırmak için, yerel bilgisayardaki denetim ilkesi ayarlarını değiştiren auditpol.exe komut satırı aracını kullanın. Auditpol, farklı olay kategorilerinin görüntülenmesini ve bunların ek bileşende daha fazla görüntülenmesini etkinleştirmek veya devre dışı bırakmak için kullanılabilir. Etkinlik göstericisi.

      Auditpol programı tarafından desteklenen kategorilerin listesini görüntülemek için komut isteminde şunu yazın:

    • Belirli bir kategoriye (örneğin, İlke Değişikliği kategorisinde) dahil edilen alt kategorilerin listesini görüntülemek için komut istemine şunu yazın:

      auditpol.exe /list /category:"İlkeyi değiştir"

    • Bir kategori veya alt kategorinin görüntülenmesini etkinleştirmek için komut satırına şunu girin:

      /AltKategori:" İsimKategorisi"

    Örneğin, bir kategori ve alt kategorisi için denetim ilkeleri ayarlamak üzere aşağıdaki komutu girin:

    auditpol.exe /set /category:"Politikayı değiştir" /subcategory:"MPSSVC kural düzeyinde politikayı değiştir" /success:enable /failure:enable

    Politika değişikliği

    MPSSVC kural düzeyinde ilke değiştirme

    Filtreleme platformu politikasını değiştirme

    Giriş çıkış

    IPsec Temel Modu

    Hızlı IPsec Modu

    Gelişmiş IPsec Modu

    Sistem

    IPSec sürücüsü

    Diğer sistem olayları

    Nesnelere erişim

    Filtreleme platformu tarafından bir paket bırakma

    Filtreleme platformunun bağlanması

    Güvenlik denetimi ilkesinde yapılan değişikliklerin etkili olması için, yerel bilgisayarı yeniden başlatmanız veya ilkeyi manuel olarak güncellemeye zorlamanız gerekir. İlke yenilemesini zorlamak için komut isteminde şunu yazın:

    secedit /yenileme politikası<название_политики>

    Teşhis tamamlandıktan sonra, yukarıdaki komutlarda enable parametresini disable ile değiştirerek ve komutları tekrar çalıştırarak olay denetimini devre dışı bırakabilirsiniz.

    Güvenlik Denetimi Olaylarını Olay Günlüğünde Görüntüleme

    Denetimi etkinleştirdikten sonra, güvenlik olay günlüğündeki denetim olaylarını görüntülemek için Olay Görüntüleyici ek bileşenini kullanın.

    Olay Görüntüleyici ek bileşenini Yönetimsel Araçlar klasöründe açmak için şu adımları izleyin:

    1. Düğmeye bas Başlangıç.

      Bir bölüm seçin Kontrol Paneli. simgesine tıklayın Sistem ve bakımı ve bölümü seçin Yönetim.

      simgeye çift tıklayın Etkinlik göstericisi.

    Olay Görüntüleyici ek bileşenini MMC'ye eklemek için şu adımları izleyin:

      Düğmeye bas Başlangıç, menüye git Tüm programlar, ardından menüde Standart ve öğeyi seçin Koşmak.

      Bir metin alanında Açık mmc yazın ve tuşuna basın GİRMEK.

      Bir Kullanıcı Hesabı Denetimi iletişim kutusu görünürse, istenen eylemi onaylayın ve tıklayın. Devam etmek.

      Menüde KonsolÖğeyi seçin Snap ekle veya kaldır.

      Listelenmiş Kullanılabilir ek bileşenler bir çırpıda seçin Etkinlik göstericisi ve düğmeye basın Eklemek.

      Düğmeye bas TAMAM.

      Ek bileşeni kapatmadan önce, ileride kullanmak üzere konsolu kaydedin.

    Bir anda Etkinlik göstericisi bölümü genişlet Windows günlükleri ve düğümü seçin Emniyet. Güvenlik denetimi olaylarını konsol çalışma alanında görüntüleyebilirsiniz. Tüm olaylar, konsol çalışma alanının üst kısmında görüntülenir. Panelin alt kısmında ayrıntılı bilgileri görüntülemek için konsol çalışma alanının üst kısmındaki bir olayı tıklayın. sekmesinde yaygın olayların açıklaması anlaşılır bir metin biçiminde yerleştirilmiştir. sekmesinde Detaylar Aşağıdaki olay görüntüleme seçenekleri mevcuttur: Net sunum Ve XML Modu.

    Bir profil için güvenlik duvarı günlüğünü ayarlama

    Güvenlik duvarı günlüklerini görüntüleyebilmeniz için, Windows Güvenlik Duvarı'nı Gelişmiş Güvenlik özellikli günlük dosyaları oluşturacak şekilde yapılandırmanız gerekir.

    Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı profili için günlüğe kaydetmeyi yapılandırmak üzere şu adımları izleyin:

      araç ağacında Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı Bir bölüm seçin Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı ve düğmeye basın Özellikler konsol kapsamında.

      Günlüğe kaydetmeyi yapılandırmak istediğiniz profil sekmesini (etki alanı profili, özel profil veya genel profil) seçin ve ardından düğmesine tıklayın. akort Bölümde Kerestecilik.

      Günlük dosyası için bir ad ve konum belirtin.

      Maksimum günlük dosyası boyutunu belirtin (1 ila 32767 kilobayt arası)

      Düşürmek Kaçırılan paketleri günlüğe kaydet bir değer girin Evet.

      Düşürmek Başarılı bağlantıları kaydedin bir değer girin Evet ve ardından düğmesine tıklayın TAMAM.

    Güvenlik Duvarı Günlük Dosyalarını Görüntüleme

    "Bir Profil İçin Güvenlik Duvarı Günlüğünü Yapılandırma" adlı önceki prosedürde belirttiğiniz dosyayı açın. Güvenlik duvarı günlüğüne erişmek için yerel yönetici haklarına sahip olmanız gerekir.

    Günlük dosyasını Not Defteri veya herhangi bir metin düzenleyici ile görüntüleyebilirsiniz.

    Güvenlik Duvarı Günlük Dosyalarını Analiz Etme

    Günlüğe kaydedilen bilgiler aşağıdaki tabloda gösterilmektedir. Bazı veriler yalnızca belirli protokoller için (TCP bayrakları, ICMP türü ve kodu vb.) ve bazı veriler yalnızca bırakılan paketler (boyut) için belirtilir.

    Alan

    Tanım

    Örnek

    Olayın kaydedildiği yılı, ayı ve günü görüntüler. Tarih YYYY-AA-GG biçiminde yazılır, burada YYYY yıl, MM ay ve DD gündür.

    Olayın kaydedildiği saati, dakikayı ve saniyeyi görüntüler. Saat SS:DD:SS biçiminde yazılır; burada SS 24 saat biçiminde saat, DD dakika ve SS saniyedir.

    Aksiyon

    Güvenlik duvarı tarafından gerçekleştirilen bir eylemi gösterir. Aşağıdaki eylemler mevcuttur: AÇ, KAPAT, BIRAK ve BİLGİ-EVENTS-KAYIP. BİLGİ-OLAYLAR-KAYIP eylemi, birden fazla olayın meydana geldiğini ancak günlüğe kaydedilmediğini gösterir.

    Protokol

    Bağlantı için kullanılan protokolü görüntüler. Bu giriş, TCP, UDP veya ICMP kullanmayan paketlerin sayısı da olabilir.

    Gönderen bilgisayarın IP adresini görüntüler.

    Hedef bilgisayarın IP adresini görüntüler.

    Gönderen bilgisayarın kaynak bağlantı noktası numarasını görüntüler. Kaynak port değeri 1 ile 65535 arasında bir tamsayı olarak yazılır. Geçerli bir kaynak port değeri sadece TCP ve UDP protokolleri için görüntülenir. Diğer protokoller için kaynak port olarak "-" yazılır.

    Hedef bilgisayarın bağlantı noktası numarasını görüntüler. Hedef port değeri 1 ile 65535 arasında bir tamsayı olarak yazılır. Geçerli bir hedef port değeri sadece TCP ve UDP protokolleri için görüntülenir. Diğer protokoller için hedef port olarak "-" yazılır.

    Paket boyutunu bayt cinsinden görüntüler.

    Bir IP paketinin TCP başlığında bulunan TCP protokol kontrol bayraklarını görüntüler.

      ak. Onay alanı önemli
      (onay alanı)

      Fin. Gönderenden başka veri yok
      (aktarılacak daha fazla veri yok)

      Pşt. itme işlevi
      (itme işlevi)

      Rst. Bağlantıyı sıfırla

    • Senkronizasyon Sıra numaralarını senkronize et
      (kuyruk numaralarının senkronizasyonu)

      acil Acil İşaretçi alanı önemli
      (acil işaretçi alanı etkin)

    Bayrak, adının ilk harfi ile gösterilir. Örneğin, bayrak Fin olarak gösterilir F.

    Paketteki TCP sıra numarasını görüntüler.

    Paketteki TCP onay numarasını görüntüler.

    TCP paket pencere boyutunu bayt cinsinden görüntüler.

    Tip bir ICMP mesajında.

    Alanı temsil eden bir sayı görüntüler kod bir ICMP mesajında.

    Yapılan işleme dayalı bilgileri görüntüler. Örneğin, BİLGİ-OLAYLAR-KAYIP eylemi için, bu alanın değeri, bu türden bir olayın önceki oluşumundan bu yana geçen süre içinde meydana gelen ancak günlüğe kaydedilmeyen olayların sayısını gösterir.

    Not

    Güncel kayıtta herhangi bir bilgi içermeyen alanlarda kısa çizgi (-) kullanılır.

    netstat ve görev listesi metin dosyaları oluşturma

    Biri ağ istatistiklerini (tüm dinleme bağlantı noktalarının listesi) görüntülemek için, diğeri ise hizmet ve uygulama görev listelerini görüntülemek için olmak üzere iki özel günlük dosyası oluşturabilirsiniz. Görev listesi, ağ istatistikleri dosyasında yer alan olaylar için İşlem Kimliğini (işlem tanımlayıcısı, PID) içerir. Bu iki dosyayı oluşturma prosedürü aşağıda açıklanmıştır.

    Ağ istatistikleri ve görev listesi için metin dosyaları oluşturmak üzere şu adımları izleyin:

      Komut satırında şunu yazın netstat -ano > netstat.txt ve tuşuna basın GİRMEK.

      Komut satırında şunu yazın görev listesi > görev listesi.txt ve tuşuna basın GİRMEK. Hizmetlerin listesini içeren bir metin dosyası oluşturmak istiyorsanız, şunu yazın: görev listesi /svc > görev listesi.txt.

      tasklist.txt ve netstat.txt dosyalarını açın.

      Tanılamakta olduğunuz işlemin kimliğini tasklist.txt dosyasında bulun ve netstat.txt dosyasındaki değerle karşılaştırın. Kullanılan protokolleri kaydedin.

    Tasklist.txt ve Netstat.txt dosyalarını yayınlama örneği

    netstat.txt
    Proto Yerel Adres Yabancı Adres Durumu PID
    TCP 0.0.0.0:XXX 0.0.0.0:0 DİNLEME 122
    TCP 0.0.0.0:XXXXX 0.0.0.0:0 DİNLEME 322
    görev listesi.txt
    Resim Adı PID Oturum Adı Oturum# Mem Kullanımı
    ==================== ======== ================ =========== ============
    svchost.exe 122 Hizmetler 0 7.172 K
    XzzRpc.exe 322 Hizmetler 0 5.104 K

    Not

    Gerçek IP adresleri "X" ve RPC hizmeti "z" olarak değiştirilmiştir.

    Temel hizmetlerin çalıştığından emin olun

    Aşağıdaki hizmetler çalışıyor olmalıdır:

      Temel Filtreleme Hizmeti

      Grup İlkesi İstemcisi

      İnternet Anahtar Değişimi ve Doğrulanmış IP için IPsec Anahtar Modülleri

      IP Yardımcı Hizmeti

      IPSec İlke Aracı Hizmeti

      Ağ Konum Hizmeti

      Ağ Listesi Hizmeti

      Windows Güvenlik Duvarı

    Hizmetler ek bileşenini açmak ve gerekli hizmetlerin çalıştığını doğrulamak için şu adımları izleyin:

      Düğmeye bas Başlangıç ve bölümü seçin Kontrol Paneli.

      simgesine tıklayın Sistem ve bakımı ve bölümü seçin Yönetim.

      simgeye çift tıklayın Hizmetler.

      Bir Kullanıcı Hesabı Denetimi iletişim kutusu görünürse, uygun izinlere sahip bir kullanıcı için gerekli kimlik bilgilerini girin ve ardından Devam etmek.

      Yukarıda listelenen hizmetlerin çalıştığından emin olun. Bir veya daha fazla hizmet çalışmıyorsa, listedeki hizmet adına sağ tıklayın ve komutu seçin Koşmak.

    Sorunları çözmenin ek bir yolu

    Son çare olarak, varsayılan Windows Güvenlik Duvarı ayarlarını geri yükleyebilirsiniz. Varsayılan ayarların geri yüklenmesi, Windows Vista'nın yüklenmesinden bu yana yapılan tüm ayarları kaybedecektir. Bu, bazı programların çalışmamasına neden olabilir. Ayrıca, bilgisayarı uzaktan yönetirseniz, bilgisayarla olan bağlantı da kesilecektir.

    Varsayılan ayarları geri yüklemeden önce mevcut güvenlik duvarı yapılandırmanızı kaydettiğinizden emin olun. Bu, gerekirse ayarlarınızı geri yüklemenizi sağlar.

    Güvenlik duvarı yapılandırmasını kaydetme ve varsayılan ayarları geri yükleme adımları aşağıda açıklanmıştır.

    Geçerli güvenlik duvarı yapılandırmasını kaydetmek için aşağıdakileri yapın:

      Bir anda Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı linke tıklayınız İhracat politikası konsol kapsamında.

    Varsayılan güvenlik duvarı ayarlarını geri yüklemek için aşağıdakileri yapın:

      Bir anda Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı linke tıklayınız Varsayılanları Geri Yükle konsol kapsamında.

      Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı tarafından istendiğinde, Evet varsayılan değerleri geri yüklemek için.

    Çözüm

    Gelişmiş Güvenlik Özellikli Windows Güvenlik Duvarı ile ilgili sorunları tanılamanın ve çözmenin birçok yolu vardır. Aralarında:

      fonksiyon kullanımı Gözlem güvenlik duvarı etkinliğini, bağlantı güvenlik kurallarını ve güvenlik ilişkilerini görüntülemek için.

      Windows Güvenlik Duvarı ile ilgili güvenlik denetimi olaylarını analiz edin.

      Metin dosyaları oluşturma görev listesi Ve netstat Karşılaştırmalı analiz için.

    Server 2008 ve Vista'dan başlayarak, WFP mekanizması Windows'a yerleştirilmiştir.
    bir dizi API ve sistem hizmetidir. Onunla mümkün oldu
    bağlantıları reddedin ve izin verin, ayrı paketleri yönetin. Bunlar
    yenilikler, çeşitli geliştiricilerin hayatını basitleştirmeyi amaçlıyordu.
    koruma Ağ mimarisinde yapılan değişiklikler hem çekirdek modunu hem de
    ve sistemin kullanıcı modu parçaları. İlk durumda, gerekli işlevler dışa aktarılır.
    fwpkclnt.sys, ikinci - fwpuclnt.dll (kitaplık adlarında "k" ve "u" harfleri
    sırasıyla çekirdek ve kullanıcı anlamına gelir). Bu yazımızda kullanımdan bahsedeceğiz.
    Trafiği yakalamak ve filtrelemek için ve temel bilgileri öğrendikten sonra WFP
    WFP'nin tanımları ve yetenekleri ile kendi basit filtremizi yazacağız.

    Temel konseptler

    Kodlamaya başlamadan önce mutlaka terminolojiye aşina olmamız gerekiyor.
    Microsoft - ve makaleyi anlamak için faydalı olacaktır ve ek literatür
    okumak daha kolay olacak :) O zaman hadi gidelim.

    sınıflandırma- paketle ne yapılacağını belirleme süreci.
    Olası eylemlerden: bir belirtme çizgisine izin verin, engelleyin veya çağırın.

    açıklamalar sürücüde denetim gerçekleştiren bir dizi işlevdir
    paketler. Paket sınıflandırmasını gerçekleştiren özel bir işlevi vardır. Bu
    fonksiyon aşağıdaki kararı verebilir:

    • izin ver(FWP_ACTION_PERMIT);
    • blok(FWP_ACTION_BLOCK);
    • işleme devam;
    • daha fazla veri talep edin;
    • bağlantıyı sonlandırın.

    Filtreler- ne zaman aranacağını belirten kurallar
    bu veya bu açıklama. Bir sürücünün birden fazla belirtme çizgisi olabilir ve
    Bu yazıda belirtme çizgisi sürücüsünün geliştirilmesini ele alacağız. Bu arada, kollar
    NAT belirtme çizgisi gibi yerleşik olanlar da vardır.

    katman farklı filtrelerin birleştirildiği bir özelliktir (veya,
    MSDN'de dedikleri gibi, "konteyner").

    Gerçekte, Microsoft'tan gelen belgeler oldukça belirsiz görünüyor, ancak
    WDK'daki örneklere bakamazsınız. Bu nedenle, aniden bir şey geliştirmeye karar verirseniz
    Cidden, kesinlikle kontrol etmelisin. Peki şimdi pürüzsüz
    hadi uygulamaya geçelim. Başarılı derleme ve testler için WDK'ye (Windows
    Sürücü Kiti), VmWare, Vista yüklü bir sanal makine ve WinDbg hata ayıklayıcı.
    WDK'ye gelince, kişisel olarak 7600.16385.0 sürümünü yükledim - her şey orada
    gerekli lib'ler (bir sürücü geliştireceğimiz için yalnızca
    fwpkclnt.lib ve ntoskrnl.lib) ve WFP örnekleri. Bütüne bağlantılar
    Araçlardan zaten birkaç kez alıntı yapıldı, bu yüzden kendimizi tekrar etmeyeceğiz.

    kodlama

    Belirtmeyi başlatmak için BlInitialize işlevini yazdım. Genel algoritma
    belirtme çizgisi oluşturmak ve filtre eklemek şu şekildedir:

    1. FWPMENGINEOPEN0 oturumun açılışını gerçekleştirir;
    2. FWPMTRANSACTIONBEGIN0- WFP ile operasyon başlangıcı;
    3. FWPSCALLOUTREGISTER0- yeni bir belirtme çizgisinin oluşturulması;
    4. FWPMCALLOUTADD0- sisteme bir açıklama nesnesi eklemek;
    5. FWPMFILTERAD0- yeni filtre(ler) ekleme;
    6. FWPMTRANSACTIONCOMMIT0- değişiklikleri kaydetme (eklendi
      filtreler).

    İşlevlerin 0 ile bittiğine dikkat edin. Windows 7'de bunlardan bazıları
    işlevler değiştirildi, örneğin, FwpsCalloutRegister1 belirdi (ne zaman
    kaydedilen FwpsCalloutRegister0). Argümanlarda farklılık gösterirler ve sonuç olarak,
    işlevleri sınıflandırmanın prototipleri, ancak bizim için artık önemli değil - 0-işlevler
    evrensel.

    FwpmEngineOpen0 ve FwpmTransactionBegin0 bizi özel olarak ilgilendirmiyor - bunlar
    hazırlık aşaması Eğlence işlevle başlar
    FwpsCalloutRegister0:

    FwpsCalloutRegister0 Prototip

    NTSTATUS NTAPI FwpsCalloutRegister0
    __inout geçersiz *deviceObject,
    __in const FWPS_CALLOUT0 *belirtme çizgisi,
    __out_opt UINT32 *belirtme kimliği
    );

    Belirtmenin bir dizi işlev olduğunu zaten söyledim, şimdi zamanı
    bunun hakkında daha ayrıntılı konuşun. FWPS_CALLOUT0 yapısı, üç işaretçi içerir
    işlevler - sınıflandırma (classifyFn) ve iki bildirim (yaklaşık
    filtre ekleme/kaldırma (notifyFn) ve işlenmekte olan akışı kapatma (flowDeleteFn)).
    İlk iki işlev zorunludur, sonuncusu yalnızca şu durumlarda gereklidir:
    sadece bağlantıları değil, paketleri de izlemek istiyorsunuz. Ayrıca yapı olarak
    benzersiz bir tanımlayıcı, belirtme çizgisi GUID'si (calloutKey) içerir.

    çağrı kayıt kodu

    FWPS_CALLOUT sCallout = (0);
    sCallout.calloutKey = *calloutKey;
    sCallout.classifyFn = BlClassify;
    // sınıflandırma işlevi
    sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
    // bir filtre ekleme/kaldırma hakkında bildirimde bulunan işlev
    // yeni bir belirtme çizgisi oluştur
    durum = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

    WINAPI DWORD FwpmCalloutAdd0(
    __in KOLU motorKol,
    __in const FWPM_CALLOUT0 *belirtme çizgisi,
    __in_opt PSECURITY_DESCRIPTOR sd,
    __out_opt UINT32 *kimliği
    );
    typedef yapısı FWPM_CALLOUT0_(
    belirtme çizgisiAnahtar GUID'i;
    FWPM_DISPLAY_DATA0 ekran verisi; // belirtme çizgisi açıklaması
    UINT32 bayrakları;
    GUID *sağlayıcıKey;
    FWP_BYTE_BLOB sağlayıcı Verileri;
    uygulanabilir Katman GUID'si;
    UINT32 açıklama kimliği;
    ) FWPM_CALLOUT0;

    FWPM_CALLOUT0 yapısında, uygulanabilir Katman alanıyla ilgileniyoruz - benzersiz
    belirtme çizgisinin eklendiği düzeyin tanımlayıcısı. Bizim durumumuzda, bu
    FWPM_LAYER_ALE_AUTH_CONNECT_V4. Tanımlayıcının adındaki "v4", sürüm anlamına gelir
    Ipv4 protokolü, ayrıca Ipv6 için FWPM_LAYER_ALE_AUTH_CONNECT_V6 vardır. Düşünen
    şu anda düşük IPv6 yaygınlığı, yalnızca
    ipv4. Adındaki CONNECT, yalnızca kurulumu kontrol ettiğimiz anlamına gelir.
    bağlantı, bu adrese gelen ve giden paketler söz konusu değil! hiç
    kullandığımızdan başka birçok seviye var - bunlar başlık dosyasında bildirildi
    WDK'dan fwpmk.h.

    Sisteme bir açıklama nesnesi ekleme

    // ek bilgi adı
    displayData.name = L"Engelleyici Bilgisi";
    displayData.description = L"Engelleyici Bilgisi";
    mCallout.calloutKey = *calloutKey;
    mCallout.displayData = displayData;
    // belirtme çizgisi açıklaması
    //FWPM_LAYER_ALE_AUTH_CONNECT_V4
    mCallout.applicableLayer = *layerKey;
    durum = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

    Bu nedenle, belirtme çizgisi sisteme başarıyla eklendikten sonra, oluşturmanız gerekir.
    filtre, yani belirtme çizgimizin hangi durumlarda çağrılacağını belirtin, yani
    - sınıflandırma işlevi. Yeni filtre, FwpmFilterAdd0 işlevi tarafından oluşturulur,
    FWPM_FILTER0 yapısının argüman olarak iletildiği.

    FWPM_FILTER0, bir veya daha fazla FWPM_FILTER_CONDITION0 yapısı içerir (bunların
    sayı, numFilterConditions alanı tarafından belirlenir). LayerKey alanı bir GUID ile doldurulur
    katılmak istediğimiz katman (katman). Bu durumda, belirtiyoruz
    FWPM_LAYER_ALE_AUTH_CONNECT_V4.

    Şimdi FWPM_FILTER_CONDITION0 doldurmaya daha yakından bakalım. İlk olarak, içinde
    fieldKey alanı, neyi kontrol etmek istediğimizi açıkça belirtmelidir - bağlantı noktası, adres,
    uygulama veya başka bir şey. Bu durumda WPM_CONDITION_IP_REMOTE_ADDRESS
    sisteme bir IP adresiyle ilgilendiğimizi söyler. fieldKey değeri belirler
    içerdiği FWP_CONDITION_VALUE yapısında ne tür değerler olacak?
    FWPM_FILTER_CONDITION0. Bu durumda, bir ipv4 adresi içerir. Hadi gidelim
    daha öte. MatchType alanı, karşılaştırmanın nasıl yapılacağını belirler.
    ağ üzerinden gelenlerle FWP_CONDITION_VALUE içindeki değerler. Burada birçok seçenek var:
    koşulla tam eşleşme anlamına gelecek olan FWP_MATCH_EQUAL belirtebilirsiniz ve
    yapabilirsiniz - FWP_MATCH_NOT_EQUAL, yani aslında bunu ekleyebiliriz
    böylece filtreleme istisnası (adres, bağlantının izlenmediği).
    FWP_MATCH_GREATER, FWP_MATCH_LESS ve diğer seçenekler de vardır (bkz.
    FWP_MATCH_TYPE). Bu durumda elimizde FWP_MATCH_EQUAL var.

    Fazla uğraşmadım ve sadece bir engelleme koşulu yazdım
    bir seçili IP adresi. Bazı uygulamaların denenmesi durumunda
    seçilen adresle bağlantı kurun, bir sınıflandırıcı çağrılacak
    açıklama fonksiyonumuz. Söylenenleri özetleyen kod şu adreste görülebilir:
    "Sisteme filtre ekleme" kenar çubuğuna bakın.

    Sisteme filtre ekleme

    filter.flags = FWPM_FILTER_FLAG_NONE;
    filter.layerKey = *layerKey;
    filter.displayData.name = L"Engelleyici Bilgisi";
    filter.displayData.description = L"Engelleyici Bilgisi";
    filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
    filter.action.calloutKey = *calloutKey;
    filter.filterCondition = filterConditions;
    // bir filtre koşulu
    filter.numFilterConditions = 1;
    //filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
    filter.weight.type = FWP_EMPTY; // otomatik ağırlık.
    // uzak adrese bir filtre ekleyin
    filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
    filterConditions.matchType = FWP_MATCH_EQUAL;
    filterConditions.conditionValue.type = FWP_UINT32;
    filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
    // filtre ekle
    durum = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);

    Genel olarak, elbette, birçok filtreleme koşulu olabilir. Örneğin, şunları yapabilirsiniz:
    belirli bir uzak veya yerel bağlantı noktasına (FWPM_CONDITION_IP_REMOTE_PORT) bağlantıların engellenmesini belirtin
    ve sırasıyla FWPM_CONDITION_IP_LOCAL_PORT). Tüm paketleri yakalayabilir
    özel protokol veya özel uygulama. Ve hepsi bu değil! Olabilmek,
    örneğin, belirli bir kullanıcının trafiğini engelleyin. Genel olarak, nerede
    dolaşmak.

    Ancak, filtreye geri dönün. Bizim durumumuzdaki sınıflandırma işlevi basitçe
    belirtilen adrese (BLOCKED_IP_ADDRESS) bağlantıyı engelleyerek,
    FWP_ACTION_BLOCK:

    Sınıflandırma fonksiyon kodumuz

    geçersiz BlClassify(
    Sabit Değerlerde sabit FWPS_INCOMING_VALUES*,
    sabit FWPS_INCOMING_METADATA_VALUES* inMetaValues,
    VOID* paketi,IN const FWPS_FILTER* filtresi,
    UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
    {
    // FWPS_CLASSIFY_OUT0 yapısını doldurun
    if(classifyOut)( // paketi engelle
    classifyOut->actionType =
    FWP_ACTION_BLOCK;
    // bir paketi bloke ederken ihtiyacınız olan
    FWPS_RIGHT_ACTION_WRITE'ı sıfırla
    classifyOut->haklar&=~FWPS_RIGHT_ACTION_WRITE;
    }
    }

    Uygulamada, sınıflandırma işlevi FWP_ACTION_PERMIT'i de ayarlayabilir,
    FWP_ACTION_CONTINUE vb.

    Ve son olarak, sürücüyü kaldırırken, kurulu olan her şeyi kaldırmanız gerekir.
    belirtme çizgileri (sistem belirtme çizgisini çağırmaya çalışırsa ne olacağını tahmin edin)
    yüksüz sürücü? Bu doğru, BSOD). Bunun için bir işlev var
    FwpsCalloutUnregisterById. Parametre olarak 32 bitlik bir parametre iletilir.
    FwpsCalloutRegister işlevi tarafından döndürülen belirtme çizgisi tanımlayıcısı.

    Belirtmenin tamamlanması

    NTSTATUS BlUninitialize()(
    NTSTATUS ns;
    eğer(gEngineHandle)(
    FwpmEngineClose(gEngineHandle);

    }
    eğer(gBlCalloutIdV4)(
    ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
    }
    dönüş ns;
    }

    Gördüğünüz gibi, WFP filtresini programlamak o kadar da zor bir iş değil çünkü
    MS bize çok kullanışlı bir API sağladı. Bu arada, bizim durumumuzda belirledik
    sürücüde filtreleme, ancak usermod'dan da yapılabilir! Örneğin, wdk'den bir örnek
    msnmntr (MSN Messenger trafik izleme) tam da bunu yapar;
    filtrenin çekirdek modu kısmını aşırı yükleyin.

    GUID'iniz

    Bir açıklama metninin kaydedilmesi için benzersiz bir tanımlayıcıya ihtiyacı vardır. İçin
    GUID'inizi (Globally Unique Identifier) ​​alın, dahil olan guidgen.exe'yi kullanın
    Visual Studio'da. Araç, (VS_Path)\Common7\Tools konumunda bulunur. Çarpışma Olasılığı
    GUID 128 bit uzunluğunda olduğundan ve 2^128 bit olduğundan çok küçük
    tanımlayıcılar

    Filtre Hata Ayıklama

    Yakacak odun hatalarını ayıklamak için Windbg + VmWare paketini kullanmak uygundur. Bunun için ihtiyacın var
    hem konuk sistemini (Vista'nın çalıştığı biçimde) hem de hata ayıklayıcıyı yapılandırın
    rüzgar böceği WinXP'nin uzaktan hata ayıklama için boot.ini'yi düzenlemesi gerekiyorsa, o zaman
    Vista+ için bcdedit konsol yardımcı programı vardır. Her zamanki gibi hata ayıklamayı etkinleştirmeniz gerekir:

    BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
    AÇIK (veya BCDedit / hata ayıklamayı AÇIK olarak ayarla)

    Şimdi her şey hazır! Aşağıdaki metinle bir toplu iş dosyası başlatıyoruz:

    Windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0'ı başlat

    ve windbg penceresinde hata ayıklama çıktısına bakın (resme bakın).

    Çözüm

    Gördüğünüz gibi, WFP'nin kapsamı oldukça geniştir. nasıl olacağına sen karar ver
    bu bilgiyi uygulayın - kötülük için veya iyilik için 🙂

    Güvenlik duvarı (güvenlik duvarı veya güvenlik duvarı) Windows saygı duymaz. XP'den Vista'ya biraz değişti, işini iyi yapıyor, ancak en iyi kişisel güvenlik duvarı olma hırsından yoksun. Bununla birlikte, Windows 7 güvenlik duvarının birkaç yeni özellik almasına rağmen, içinde görmeyi beklediğim şeyi hala alamadı.

    Ev Grubu ile takılma

    Yükleme sırasında, Windows 7 sizden bir "ev grubu" oluşturmanızı ister. Ağda daha fazla Windows 7 bilgisayarı keşfedildikçe, bu bilgisayarlardan da gruba katılmaları istenir. Ve bunun için ihtiyaç duydukları tek şey bunun için bir şifre. Bununla birlikte, Windows 7 çalıştıran bir bilgisayarda, bununla ilgili bir bildirim zarar vermese de, diğer bilgisayarlardan oluşan bir grupta oturum açma sürecini görmedim. Ancak, herhangi bir Windows 7 bilgisayarı bir Ev Grubuna katılabilirken, Windows 7 Home Basic ve Windows 7 Starter bilgisayarları bir Ev Grubu oluşturamaz.

    Aynı ev grubundaki bilgisayarlar, yazıcıları ve belirli dosya kitaplıklarını paylaşabilir (veya dedikleri gibi "paylaşabilir"). Varsayılan olarak resim, müzik, video ve belge kitaplıkları paylaşılır, ancak kullanıcı bunları kendi takdirine göre sınırlayabilir. İşletim sistemindeki yardım, bir dosya veya klasörün nasıl paylaşım dışında bırakılacağı veya nasıl salt okunur hale getirileceği veya ona erişimin nasıl kısıtlanacağı konusunda net açıklamalar verir.

    Kullanıcı, ev ağında içeriğini diğer bilgisayarlarla ve aygıtlarla ve hatta Windows 7 çalıştırmayan bilgisayarlarla ve hatta bilgisayar olmayanlarla paylaşabilir. Microsoft, özellikle Xbox 360 için nasıl içerik paylaşılacağına dair örnekler gösterdi. Ancak şirket, Wii'yi ağa bağlamayı teklif etmiyor. Ne yazık ki, şirket Wii'yi bir medya akışı cihazı olarak nitelendirmedi.

    Peki, Windows 7'de ev ağı ne kadar daha güvenli? Genellikle, dosya ve klasörleri paylaşamayan kullanıcılar, kendilerine göre bu sürece müdahale edebilecek dosya duvarı, antivirüs vb. Dahil olmak üzere etraftaki her şeyi devre dışı bırakmaya başlar. Aynı zamanda, paylaşımı basitleştirirseniz, etraftaki her şeyi kapatmaktan kaçınılabilir.

    Vista ağları genel (Genel) ve özel (Özel) olarak ayırıyorsa, Windows 7 özel ağı ev (Ev) ve iş (İş) olarak ayırır. Ev Grubu yalnızca bir ev ağı seçtiğinizde kullanılabilir. Ancak, bir iş ağında bile, bilgisayarınız yine de üzerindeki diğer cihazları görebilir ve bunlara bağlanabilir. Buna karşılık, genel bir ağda (kablosuz bir İnternet kafe gibi), Windows 7 güvenliğiniz için size ve sizden diğer cihazlara erişimi engeller. Bu küçük ama güzel bir fırsat.

    Çift modlu güvenlik duvarı

    Vista ve XP'de, güvenlik duvarını yönetmek onu açıp kapatmak kadar basittir. Aynı zamanda Windows 7, kullanıcıya özel (ev ve iş) ve genel ağlar için farklı yapılandırma ayarları sunar. Aynı zamanda, örneğin yerel bir kafede çalışmak için kullanıcının güvenlik duvarı ayarlarına girmesine gerek yoktur. Bir genel ağ seçmesi yeterlidir ve güvenlik duvarının kendisi tüm kısıtlayıcı parametreler kümesini uygulayacaktır. Büyük olasılıkla, kullanıcılar genel ağı gelen tüm bağlantıları engelleyecek şekilde yapılandıracaktır. Vista'da bu, kullanıcının kendi ağındaki tüm gelen trafiği de kesmeden yapılamaz.

    Bazı kullanıcılar neden bir güvenlik duvarına ihtiyaç duyulduğunu anlamıyor. UAC çalışırsa, bir güvenlik duvarı aşırı yüklenmez mi? Aslında bu programlar çok farklı amaçlara hizmet etmektedir. UAC, programları ve bunların yerel sistem içindeki işleyişini takip eder. Güvenlik duvarı ise gelen ve giden verilere yakından bakar. Bu iki programı, sırt sırta duran ve zombi saldırılarını püskürten iki kahraman olarak hayal ederseniz, neredeyse yanlış gidemezsiniz diyebilirsiniz.

    İlk başta, “Windows Güvenlik Duvarı yeni bir programı engellediğinde bana haber ver” yeni özelliği ilgimi çekmişti. Bu, Windows Güvenlik Duvarı'nın programların kontrolünü ele geçirdiğinin ve gerçek bir iki yönlü güvenlik duvarı haline geldiğinin bir işareti değil mi? Bu özelliği devre dışı bırakma arzusu beni yuttu. Sonuç olarak, Windows Güvenlik Duvarı eskisinden daha fazla saygı görmedi.

    ZoneLabs'in iki yönlü kişisel güvenlik duvarını yaygınlaştırmasının üzerinden on yıl geçti. ZoneAlarm programı, tüm bilgisayar bağlantı noktalarını sakladı (Windows Güvenlik Duvarı bunu yapabilir) ve ayrıca programların İnternet'e erişimini kontrol etmenize izin verdi (Windows Güvenlik Duvarı bunu hala yapamıyor). Örneğin Norton Internet Security 2010 ve diğer paketlerde olduğu gibi programların davranışlarının akıllı bir şekilde izlenmesini istemiyorum. Ancak, Windows 8'in piyasaya sürülmesiyle Microsoft'un güvenlik duvarına ayarlanmış on yıllık ZoneAlarm özelliğini uygulamaya devam edeceğini umuyorum.

    Microsoft, birçok kullanıcının üçüncü taraf güvenlik duvarları ve güvenlik paketleri yüklediğinin ve yalnızca Windows Güvenlik Duvarı'nı devre dışı bıraktığının farkındadır. Geçmişte, birçok üçüncü taraf güvenlik programı, çakışmaları önlemek için Windows Güvenlik Duvarı'nı otomatik olarak devre dışı bırakırdı. Windows 7'de Microsoft bunu kendisi yaptı. Bilinen bir güvenlik duvarını kurarken, işletim sistemi yerleşik güvenlik duvarını devre dışı bırakır ve "güvenlik duvarı ayarlarının şu ve bu üreticiden şu veya bu program tarafından kontrol edildiğini" bildirir.

    Kullansanız da kullanmasanız da Windows Güvenlik Duvarı, işletim sistemiyle derin entegrasyonla her Windows 7'de bulunur. Üçüncü taraf güvenlik uygulamalarının Windows dosya duvarını kendi amaçları için kullanması daha iyi olmaz mıydı? Bu fikir, Windows Filtreleme Platformu adı verilen bir programlama arabiriminin arkasında yatmaktadır. Ancak geliştiriciler bunu kullanacak mı? Bir sonraki bölümde bununla ilgili daha fazla bilgi.

    Windows 7 Güvenliği: Windows Filtreleme Platformu - Windows Filtreleme Platformu

    Güvenlik duvarları Windows 7 ile Microsoft programcılarının kesinlikle nefret ettiği çok düşük bir seviyede çalışmak zorundadır. Windows 7'nin 64-bit sürümlerinde bulunan PatchGuard gibi bazı Microsoft teknolojileri (64-bit Windows 7, 32-bit Windows 7'ye göre bir dizi güvenlik avantajına sahiptir), davetsiz misafirleri engeller ve ayrıca çekirdeğin ona erişmesini engeller. Yine de Microsoft, üçüncü taraf programlarla aynı düzeyde güvenlik sağlamaz. Peki ne yapmalı?

    Bu sorunun çözümü Windows Filtreleme Platformu'dur (WFP). İkincisi, Microsoft'a göre, üçüncü taraf güvenlik duvarlarının temel Windows Güvenlik Duvarı özelliklerini temel almasına izin vererek, özel özellikler eklemelerine ve Windows Güvenlik Duvarı'nın bazı kısımlarını seçmeli olarak etkinleştirmelerine veya devre dışı bırakmalarına olanak tanır. Sonuç olarak, kullanıcı, Windows Güvenlik Duvarı ile birlikte var olacak bir güvenlik duvarı seçebilir.

    Ancak bu, güvenlik yazılımı geliştiricileri için gerçekten ne kadar yararlı? Kullanacaklar mı? Birkaç kişiyle röportaj yaptım ve birçok cevap aldım.

    BitDefender LLC

    Ürün Geliştirme Müdürü Iulian Costache, şirketinin şu anda platformu Windows 7 üzerinde çalıştırdığını belirtti. Ancak önemli bellek sızıntılarıyla karşılaştılar. En büyük yazılım devinin zaten onayladığı gibi, hata Microsoft tarafında. Ancak Julian bunun ne zaman çözüleceğini bilmiyor. Bu arada, yeni WFP sürücüsünü geçici olarak eski TDI ile değiştirdiler.

    Check Point Yazılım Teknolojileri Ltd.

    Check Point Software Technologies Ltd'de halkla ilişkiler müdürü olan Mirka Janus, şirketinin Vista'dan beri WFP kullandığını söyledi. Platformu Windows 7 altında da kullanıyorlar.Bu iyi, iyi desteklenen bir arayüz, ancak herhangi bir kötü amaçlı yazılım veya uyumsuz sürücü, ona dayanan bir güvenlik ürünü için tehlikeli olabilir. ZoneAlarm her zaman iki katmana güvenmiştir - ağ bağlantı katmanı ve paket katmanı. Vista'dan beri Microsoft, ağ bağlantılarını filtrelemek için desteklenen bir yol olarak WFP'yi sunmaktadır. Windows 7 SP1'den başlayarak Microsoft, WFP'ye paket filtrelemeyi etkinleştirmeyi öğretmelidir.

    "Desteklenen API'leri kullanmak, gelişmiş kararlılık ve daha az BSOD anlamına gelir. Pek çok sürücü kaydedilebilir ve her sürücü geliştiricinin başkalarıyla uyumluluk konusunda endişelenmesine gerek yoktur. Herhangi bir sürücü, örneğin engellenirse, başka hiçbir kayıtlı sürücü bu engellemeyi atlayamaz. Öte yandan, uyumsuz bir sürücü, kayıtlı diğer tüm sürücüleri atlayarak sorun haline gelebilir. Ağ güvenliği için yalnızca WFP'ye güvenmiyoruz."

    F-Secure Şirketi

    F-Secure Corporation'da kıdemli bir araştırmacı olan Mikko Hypponen, nedense WFP'nin güvenlik yazılımı geliştiricilerini asla yakalayamadığını belirtti. Aynı zamanda, şirketi bir süredir WFP kullanıyordu ve bundan memnundu.

    McAfee Inc.

    Buna karşılık, baş mimar McAfee Ahmed Sallam (Ahmed Sallam), WFP'nin NDIS tabanlı önceki arabirimden daha güçlü ve esnek bir ağ filtreleme arabirimi olduğunu söyledi. McAfee, güvenlik ürünlerinde kapsamlı bir şekilde WFP kullanır.

    Aynı zamanda WFP'nin olumlu özellikleri olmasına rağmen siber suçlular da platformdan faydalanabilmektedir. Platform, kötü amaçlı yazılımın Windows çekirdek düzeyinde ağ yığınına girmesine izin verebilir. Bu nedenle, çekirdeğin kötü amaçlı yazılımlarla yüklenmesini önlemek için 64-bit Windows çekirdek düzeyindeki sürücülerin dijital olarak imzalanması gerekir. Ancak, 32 bit sürümlerde dijital imza gerekli değildir.

    Evet, teoride dijital imzalar makul bir savunma mekanizmasıdır, ancak gerçekte kötü amaçlı yazılım yazarları bunları yine de elde edebilir.

    panda güvenliği

    Panda Security sözcüsü Pedro Bustamante, şirketinin WFP platformunu izlediğini ancak şu anda kullanmadığını söyledi. Şirket, WFP'nin ana dezavantajlarının, öncelikle, korumayı en üst düzeye çıkarmak için çeşitli teknikleri birleştirecek bir teknoloji yaratamamak olduğuna inanıyor. Şirket makineye gelen ve giden paketlere bakamıyorsa teknoloji işe yaramaz. Ayrıca diğer koruma teknolojileri için bir sensör görevi görmelidir. Bu özelliklerin hiçbiri WFP tarafından sağlanmamaktadır. İkincisi, WFP yalnızca Vista ve daha yeni işletim sistemleri tarafından desteklenir. Platform geriye dönük uyumlu değildir. Üçüncüsü, WFP oldukça yeni bir platform ve şirket daha eski, daha köklü teknolojileri geliştirmeyi tercih ediyor.

    Symantec Corp.

    Symantec'in tüketici ürünleri yönetimi direktörü Dan Nadir, WFP'nin göreceli yeniliği nedeniyle ürünlerinde henüz kullanılmadığını söyledi. Ancak zamanla firma buna geçmeyi planlıyor çünkü. artık güvendikleri eski arayüzler, ihtiyaç duydukları tam işlevselliği sağlayamayacak. WFP'yi iyi bir platform olarak görüyorlar çünkü çeşitli üçüncü şahıs yazılımları arasında birlikte çalışabilirlik sağlamak için özel olarak tasarlanmıştır. Prensip olarak, platformun gelecekte daha da az uyumluluk sorunu yaşaması gerekir. WFP, Microsoft Network Diagnostic Framework ile entegre olduğu için de iyidir. Bu son derece kullanışlıdır, çünkü ağ trafiğine engel olan belirli programların aranmasını büyük ölçüde kolaylaştırır. Son olarak, WFP, işletim sistemi performansında ve kararlılığında iyileştirmelere yol açmalıdır. platform öykünme ve sürücü çakışması veya kararlılık sorunlarını önler.

    Ancak öte yandan Nadir'e göre WFP, herhangi bir yapıda var olan belirli sorunları yaratabilir - WFP'ye güvenen geliştiriciler, WFP'nin kendi içindeki güvenlik açıklarını kapatamazlar veya WFP'nin sunduğu belirli özellikleri genişletemezler. Ayrıca, birçok program WFP'ye güveniyorsa, kötü amaçlı yazılım oluşturucular teorik olarak WFP'nin kendisine saldırmayı deneyebilir.

    TrendMicro Inc.

    Trend Micro Inc.'de Araştırma Direktörü Dale Liao, platformun en büyük avantajının işletim sistemi ile uyumluluk olduğunu söyledi. Ayrıca standart güvenlik duvarı artık kullanışlıdır. Böylece artık kullanıcı için gerçekten önemli olan şeylere odaklanabilirler. WFP ile ilgili kötü olan şey, platformda bir hata bulunduğunda şirketin Microsoft'un düzeltmesini beklemek zorunda olmasıdır.

    WFP: Sonuç

    Sonuç olarak, görüştüğüm güvenlik yazılımı geliştiricilerinin çoğu zaten WFP kullanıyor. Doğru, bazıları diğer teknolojilerle paralel. Birlikte çalışabilirliği seviyorlar, platformun belgelenmiş ve resmi doğasını ve ayrıca işleyişinin sözde istikrarını seviyorlar. Öte yandan, tüm geliştiriciler WFP'ye güvenirse, platform potansiyel olarak herkes için savunmasız bir nokta haline gelebilir. Ve bunu düzeltmek için Microsoft'a güvenmek zorunda kalacaklar. Ayrıca platform henüz paket düzeyinde filtreleme sunmuyor.

    WFP'nin en büyük dezavantajı, Windows XP'de mevcut olmamasıdır. Bu nedenle, XP'yi desteklemek isteyen geliştiricilerin iki paralel proje yürütmesi gerekecektir. Ancak, XP piyasadan çekildikçe, WFP'nin geliştiriciler arasında daha popüler hale geleceğini düşünüyorum.

    Devamını oku: