Windows platforma za filtriranje blokirala je paket. Windows vatrozid s naprednom sigurnošću - dijagnosticirajte i riješite probleme. Računalo ne odgovara na ping zahtjeve

Dodatak OS Management Console (MMC). Windows Vista™ je vatrozid stanja mreže za radne stanice koji filtrira dolazne i odlazne veze prema određenim postavkama. Sada možete konfigurirati postavke vatrozida i IPsec koristeći jedan dodatak. Ovaj članak opisuje kako funkcionira vatrozid za Windows s naprednom sigurnošću, uobičajene probleme i rješenja.

Kako radi vatrozid za Windows s naprednom sigurnošću

Vatrozid za Windows s naprednom sigurnošću je vatrozid za bilježenje stanja mreže za radne stanice. Za razliku od vatrozida usmjerivača, koji se postavljaju na pristupniku između vaše lokalne mreže i interneta, vatrozid za Windows dizajniran je za rad na pojedinačnim računalima. Nadzire samo promet radne stanice: dolazni promet na IP adresu tog računala i odlazni promet sa samog računala. Vatrozid za Windows s naprednom sigurnošću izvodi sljedeće osnovne operacije:

Dolazni paket se provjerava i uspoređuje s popisom dopuštenog prometa. Ako paket odgovara jednoj od vrijednosti popisa, Vatrozid za Windows prosljeđuje paket TCP/IP-u na daljnju obradu. Ako paket ne odgovara nijednoj vrijednosti na popisu, Vatrozid za Windows blokira paket i, ako je bilježenje omogućeno, stvara unos u datoteci dnevnika.

Popis dopuštenog prometa formira se na dva načina:

Kada veza koju kontrolira Windows vatrozid s naprednom sigurnošću pošalje paket, vatrozid stvara vrijednost na popisu kako bi omogućio prihvaćanje povratnog prometa. Za relevantni dolazni promet bit će potrebna dodatna dozvola.

Kada stvorite pravilo dopuštanja za Vatrozid za Windows s naprednom sigurnošću, promet za koji ste stvorili pravilo bit će dopušten na računalu na kojem je pokrenut Vatrozid za Windows. Ovo računalo će prihvatiti eksplicitno dopušteni dolazni promet kada radi kao poslužitelj, klijentsko računalo ili domaćin mreže ravnopravnih.

Prvi korak u rješavanju problema s vatrozidom za Windows je provjeriti koji je profil aktivan. Vatrozid za Windows s naprednom sigurnošću je aplikacija koja nadzire vaše mrežno okruženje. Profil vatrozida za Windows mijenja se kako se mijenja vaše mrežno okruženje. Profil je skup postavki i pravila koja se primjenjuju ovisno o mrežnom okruženju i trenutnom stanju mrežne veze.

Vatrozid razlikuje tri vrste mrežnih okruženja: domene, javne i privatne mreže. Domena je mrežno okruženje u kojem veze provjerava autentičnost kontrolera domene. Prema zadanim postavkama, sve druge vrste mrežnih veza tretiraju se kao javne mreže. Kad se otkrije novi Windows veze Vista traži od korisnika da navede hoće li ovu mrežu privatni ili javni. Opći profil namijenjen je za korištenje na javnim mjestima, poput zračnih luka ili kafića. Privatni profil namijenjen je korištenju kod kuće ili u uredu, kao i na sigurnoj mreži. Da bi se mreža definirala kao privatna, korisnik mora imati odgovarajuće administrativne ovlasti.

Iako računalo može biti spojeno na mreže istovremeno različiti tipovi, samo jedan profil može biti aktivan. Odabir aktivnog profila ovisi o sljedećim razlozima:

Ako sva sučelja koriste autentifikaciju kontrolera domene, koristi se profil domene.

Ako je barem jedno od sučelja povezano s privatnom mrežom, a sva ostala su povezana s domenom ili privatnim mrežama, koristi se privatni profil.

U svim ostalim slučajevima koristi se opći profil.

Za određivanje aktivnog profila kliknite na čvor Promatranje u tren oka Vatrozid za Windows s naprednom sigurnošću. Iznad teksta Status vatrozida pokazat će koji je profil aktivan. Na primjer, ako je profil domene aktivan, prikazat će se na vrhu Profil domene je aktivan.

Korištenjem profila vatrozid za Windows može automatski dopustiti dolazni promet za određene alate za upravljanje računalom kada je računalo u domeni i blokirati isti promet kada je računalo spojeno na javnu ili privatnu mrežu. Dakle, određivanje vrste mrežnog okruženja štiti vaše lokalna mreža bez ugrožavanja sigurnosti mobilnih korisnika.

Uobičajeni problemi pri pokretanju vatrozida za Windows s naprednom sigurnošću

Sljedeći su glavni problemi koji se javljaju kada je pokrenut vatrozid za Windows s naprednom sigurnošću:

U slučaju da je promet blokiran, prvo provjerite je li vatrozid uključen i koji je profil aktivan. Ako je neka od aplikacija blokirana, provjerite je li dodatak Vatrozid za Windows s naprednom sigurnošću Za trenutni profil postoji aktivno dopušteno pravilo. Da biste provjerili postoji li dopuštajuće pravilo, dvokliknite čvor Promatranje, a zatim odaberite odjeljak Vatrozid. Ako nema aktivnih dopuštajućih pravila za ovaj program, idite na stranicu i izradite novo pravilo za ovaj program. Stvorite pravilo za program ili uslugu ili odredite grupu pravila koja se odnosi na ovu značajku i provjerite jesu li sva pravila u toj grupi omogućena.

Da biste provjerili da pravilo za dopuštanje nije nadjačano pravilom za blokiranje, slijedite ove korake:

U snap stablu Vatrozid za Windows s naprednom sigurnošću kliknite na čvor Promatranje, a zatim odaberite odjeljak Vatrozid.

Pogledajte popis svih aktivnih pravila lokalne i grupne politike. Pravila zabrane nadjačavaju pravila dopuštanja čak i ako su potonja preciznije definirana.

Pravila grupe sprječavaju primjenu lokalnih pravila

Ako je Vatrozid za Windows s naprednom sigurnošću konfiguriran korištenjem pravila grupe, vaš administrator može odrediti hoće li se koristiti pravila vatrozida ili sigurnosna pravila veze koje su izradili lokalni administratori. Ovo ima smisla ako su konfigurirana pravila lokalnog vatrozida ili sigurnosna pravila veze koja nisu u odgovarajućem odjeljku postavki.

Da biste utvrdili zašto pravila lokalnog vatrozida ili sigurnosna pravila povezivanja nedostaju u odjeljku Nadzor, slijedite ove korake:

U trenutku Vatrozid za Windows s naprednom sigurnošću, kliknite vezu Svojstva Windows vatrozida.

Odaberite karticu aktivnog profila.

U poglavlju Mogućnosti, pritisni gumb ugoditi.

Ako se primjenjuju lokalna pravila, odjeljak Pravila kombiniranjaće biti aktivan.

Pravila koja zahtijevaju sigurne veze mogu blokirati promet

Prilikom stvaranja pravila vatrozida za dolazni ili odlazni promet, jedan od parametara je . Ako je odabrano ovu funkciju, morate imati odgovarajuće sigurnosno pravilo veze ili zasebno IPSec pravilo koje određuje koji je promet siguran. U suprotnom, ovaj promet je blokiran.

Da biste provjerili zahtijevaju li jedno ili više pravila aplikacije sigurne veze, slijedite ove korake:

U snap stablu Vatrozid za Windows s naprednom sigurnošću kliknite odjeljak Pravila za dolazne veze. Odaberite pravilo koje želite provjeriti i kliknite vezu Svojstva u opsegu konzole.

Odaberite karticu Su česti i provjerite je li odabrana vrijednost radio gumba Dopusti samo sigurne veze.

Ako je pravilo navedeno s parametrom Dopusti samo sigurne veze, proširite odjeljak Promatranje u stablu snap-ina i odaberite odjeljak. Osigurajte da promet definiran u pravilu vatrozida ima odgovarajuća pravila sigurnosti veze.

Upozorenje:

Ako imate aktivnu politiku IPSec, provjerite štiti li politika potreban promet. Nemojte stvarati pravila sigurnosti veze kako biste izbjegli sukob pravila IPSec i pravila sigurnosti veze.

Nije moguće dopustiti odlazne veze

U snap stablu Vatrozid za Windows s naprednom sigurnošću Odaberite odjeljak Promatranje. Odaberite karticu aktivnog profila i u odjeljku Status vatrozida provjerite jesu li dopuštene odlazne veze koje ne potpadaju pod pravilo dopuštanja.

U poglavlju Promatranje Odaberite odjeljak Vatrozid kako bi se osiguralo da tražene odlazne veze nisu navedene u pravilima odbijanja.

Mješovita pravila mogu dovesti do blokiranja prometa

Možete konfigurirati postavke vatrozida i IPSec koristeći različita Windows sučelja.

Stvaranje pravila na više mjesta može dovesti do sukoba i blokiranog prometa. Dostupne su sljedeće postavke postavki:

Vatrozid za Windows s naprednom sigurnošću. Ovo se pravilo konfigurira pomoću odgovarajućeg snap-ina lokalno ili kao dio grupnih pravila. Ovo pravilo definira postavke vatrozida i IPSec na računalima sa sustavom Windows Vista.

Administrativni predložak Windows vatrozida. Ovo se pravilo konfigurira pomoću uređivača objekata pravila grupe u odjeljku. Ovo sučelje sadrži postavke vatrozida za Windows koje su prije bile dostupne pojava Windowsa Vista, i dizajniran je za konfiguriranje GPO-a koji kontrolira prethodne verzije Windows. Iako se ovi parametri mogu koristiti za računala koja rade Windows kontrola Vista, preporučuje se korištenje pravila umjesto toga Vatrozid za Windows s naprednom sigurnošću, jer pruža veću fleksibilnost i sigurnost. Imajte na umu da su neke od postavki profila domene zajedničke administrativnom predlošku i politici Windows vatrozida Vatrozid za Windows s naprednom sigurnošću, tako da ovdje možete vidjeti parametre konfigurirane u profilu domene pomoću snap-ina Vatrozid za Windows s naprednom sigurnošću.

IPSec pravila. Ovo se pravilo konfigurira pomoću lokalnog dodatka Upravljanje IPSec politikom ili uređivač objekata pravila grupe u odjeljku Konfiguracija računala\Konfiguracija sustava Windows\Sigurnosne postavke\Pravila sigurnosti IP-a na “Lokalno računalo”. Ovo pravilo definira IPSec postavke koje mogu koristiti i prethodne verzije sustava Windows i Windows Vista. Ovo pravilo i sigurnosna pravila povezivanja definirana u pravilu ne smiju se primjenjivati ​​istovremeno na istom računalu Vatrozid za Windows s naprednom sigurnošću.

Za prikaz svih ovih opcija u odgovarajućim snap-inovima, izradite vlastiti snap-in konzole za upravljanje i dodajte mu snap-ine Vatrozid za Windows s naprednom sigurnošću, I IP sigurnost.

Da biste izradili vlastiti dodatak upravljačke konzole, slijedite ove korake:

Pritisnite gumb Početak, idite na izbornik Svi programi, zatim na izbornik Standard i odaberite Izvršiti.

U tekstualnom polju Otvoren UNESI.

Nastaviti.

Na jelovniku Konzola odaberite stavku.

Na listi Dostupan pribor odaberite opremu Vatrozid za Windows s naprednom sigurnošću i pritisnite tipku Dodati.

Pritisnite gumb u redu.

Ponovite korake od 1 do 6 za dodavanje snimaka Kontrolirati pravila grupe I Nadzor IP sigurnosti.

Kako biste provjerili koja su pravila aktivna u aktivnom profilu, koristite sljedeći postupak:

Da biste provjerili koja su pravila primijenjena, slijedite ove korake:

U naredbeni redak unesite mmc i pritisnite tipku UNESI.

Ako se pojavi dijaloški okvir Kontrola korisničkog računa, potvrdite traženu radnju i kliknite Nastaviti.

Na jelovniku Konzola odaberite stavku Dodajte ili uklonite dodatak.

Na listi Dostupan pribor odaberite opremu Upravljanje grupnim pravilima i pritisnite tipku Dodati.

Pritisnite gumb u redu.

Proširite čvor u stablu (obično stablo šume u kojoj se nalazi) ovo računalo) i dvaput kliknite odjeljak u oknu s detaljima konzole.

Odaberite vrijednost radio gumba Prikaži postavke pravila za od vrijednosti trenutni korisnik ili drugi korisnik. Ako ne želite prikazati postavke pravila za korisnike, već samo postavke pravila za računalo, odaberite radio gumb Ne prikazuj korisnička pravila (samo pogledaj pravila računala) i dvaput pritisnite tipku Unaprijediti.

Pritisnite gumb Spreman. Čarobnjak za rezultate pravila grupe generira izvješće u oknu s detaljima na konzoli. Izvješće sadrži kartice Sažetak, Mogućnosti I Politički događaji.

Kako biste potvrdili da nema sukoba s IP sigurnosnim politikama, nakon generiranja izvješća odaberite karticu Mogućnosti i otvorite Computer Configuration\Windows Configuration\Security Settings\IP Security Settings u imeničkoj usluzi Aktivni direktorij. Ako posljednji odjeljak nedostaje, tada IP sigurnosna politika nije postavljena. U suprotnom će se prikazati naziv i opis politike i GPO-a kojemu ona pripada. Ako koristite IP sigurnosnu politiku i Windows Vatrozid s naprednom sigurnošću u isto vrijeme sa sigurnosnim pravilima veze, ta pravila mogu biti u sukobu. Preporuča se koristiti samo jedno od ovih pravila. Optimalno rješenje koristit će IP sigurnosna pravila zajedno s vatrozidom za Windows s naprednim sigurnosnim pravilima za dolazni ili odlazni promet. Ako su parametri konfigurirani na različitim mjestima i nisu međusobno usklađeni, mogu se pojaviti sukobi politika koje je teško riješiti.

Također može doći do sukoba između pravila definiranih u lokalnim objektima pravila grupe i skripti koje je konfigurirao IT odjel. Provjerite sva IP sigurnosna pravila pomoću programa IP Security Monitor ili unošenjem sljedeće naredbe u naredbeni redak:

Za prikaz postavki definiranih u administrativnom predlošku vatrozida za Windows proširite odjeljak Konfiguracija računala\Administrativni predlošci\Mreža\Mrežne veze\Windows vatrozid.

Za pregled najnovijih događaja vezanih uz trenutnu politiku, možete otići na karticu Politika događaja u istoj konzoli.

Da biste vidjeli pravila koja koristi vatrozid za Windows s naprednom sigurnošću, otvorite dodatak na računalu koje dijagnosticirate i pregledajte postavke pod Promatranje.

Za pregled administrativnih predložaka otvorite dodatak Pravila grupe i u odjeljku Rezultati pravila grupe Provjerite postoje li postavke naslijeđene iz pravila grupe koje mogu uzrokovati odbijanje prometa.

Za pregled politika IP sigurnosti otvorite dodatak IP Security Monitor. Odaberite u stablu lokalno računalo. U opsegu konzole odaberite vezu Aktivna politika, Osnovni način rada ili Brzi način rada. Provjerite konkurentska pravila koja mogu dovesti do blokiranja prometa.

U poglavlju Promatranje namještanje Vatrozid za Windows s naprednom sigurnošću Možete vidjeti postojeća pravila za lokalna i grupna pravila. Za dobivanje dodatne informacije pogledajte odjeljak " Korištenje značajke sata u dodatku Vatrozid za Windows s naprednom sigurnošću » ovog dokumenta.

Da biste zaustavili IPSec Policy Agent, slijedite ove korake:

Pritisnite gumb Početak i odaberite odjeljak Upravljačka ploča.

Pritisnite ikonu Sustav i njegovo održavanje i odaberite odjeljak administracija.

Dvaput pritisnite ikonu Usluge. Nastaviti.

Pronađite uslugu na popisu IPSec Policy Agent

Ako usluga IPSec agent pokrenut, desnom tipkom miša kliknite na njega i odaberite stavku izbornika Stop. Također možete zaustaviti uslugu IPSec agent iz naredbenog retka pomoću naredbe

Peer-to-peer politika može uzrokovati odbijanje prometa

Za veze koje koriste IPSec, oba računala moraju imati kompatibilna IP sigurnosna pravila. Ta se pravila mogu definirati pomoću dodatka sigurnosnih pravila povezivanja vatrozida za Windows IP sigurnost ili drugog pružatelja IP sigurnosti.

Za provjeru postavki politike IP sigurnosti na peer-to-peer mreži, slijedite ove korake:

U trenutku Vatrozid za Windows s naprednom sigurnošću odaberite čvor Promatranje I Pravila sigurnosti veze kako biste bili sigurni da je IP sigurnosna politika konfigurirana na oba mrežna čvora.

Ako jedno od računala na peer-to-peer mreži koristi stariji Windows verzije nego Windows Vista, provjerite koriste li barem jedan od skupova šifri izvornog načina rada i jedan od paketa šifri brzog načina rada algoritme koje podržavaju oba čvora.

1. Pritisnite odjeljak Osnovni način rada, u oknu s detaljima konzole odaberite vezu koju želite testirati, a zatim kliknite vezu Svojstva u opsegu konzole. Pregledajte svojstva veze za oba čvora kako biste bili sigurni da su kompatibilni.

   Ponovite korak 2.1 za particiju Brzi način rada. Pregledajte svojstva veze za oba čvora kako biste bili sigurni da su kompatibilni.

Ako koristite provjeru autentičnosti Kerberos verzije 5, provjerite je li host u istoj ili pouzdanoj domeni.

Ako koristite certifikate, provjerite jesu li odabrani potrebni okviri. Certifikati koji koriste Internet Key Exchange (IKE) IPSec zahtijevaju digitalni potpis. Certifikati koji koriste Authenticated Internet Protocol (AuthIP) zahtijevaju provjeru autentičnosti klijenta (ovisno o vrsti provjere autentičnosti poslužitelja). Za više informacija o AuthIP certifikatima pogledajte članak IP autentifikacija u sustavu Windows Vista AuthIP u sustavu Windows Vista na Microsoftovoj web stranici.

Vatrozid za Windows s naprednom sigurnošću nije moguće konfigurirati

Postavke vatrozida za Windows s naprednom sigurnošću zasivljene su (zasivljene) u sljedećim slučajevima:

Računalo je povezano s centralno upravljanom mrežom, a mrežni administrator koristi grupna pravila za konfiguraciju vatrozida za Windows s postavkama napredne sigurnosti. U ovom slučaju, na vrhu kopče Vatrozid za Windows s naprednom sigurnošću Vidjet ćete poruku "Neke postavke kontroliraju pravila grupe." Vaš mrežni administrator konfigurira pravila, čime vas sprječava da promijenite postavke Windows vatrozida.

Računalo s operativnim sustavom Windows Vista nije spojeno na centralno upravljanu mrežu, ali postavke Windows vatrozida određuju lokalna grupna pravila.

Da biste promijenili postavke vatrozida za Windows s naprednom sigurnošću pomoću pravila lokalne grupe, upotrijebite dodatak Politika lokalnog računala. Da biste otvorili ovaj dodatak, unesite secpol u naredbeni redak. Ako se pojavi dijaloški okvir Kontrola korisničkog računa, potvrdite traženu radnju i kliknite Nastaviti. Idite na Konfiguracija računala\Konfiguracija sustava Windows\Sigurnosne postavke\Vatrozid za Windows s naprednom sigurnošću da biste konfigurirali postavke pravila za vatrozid za Windows s naprednom sigurnošću.

Računalo ne odgovara na ping zahtjeve

Glavni način testiranja povezanosti između računala je korištenje uslužnog programa Ping za testiranje povezanosti s određenom IP adresom. Tijekom pinga šalje se ICMP echo poruka (također poznata kao ICMP echo zahtjev) i zauzvrat se traži ICMP echo odgovor. Vatrozid za Windows prema zadanim postavkama odbija dolazne ICMP echo poruke, tako da računalo ne može poslati ICMP echo odgovor.

Dopuštanje dolaznih ICMP echo poruka omogućit će drugim računalima da pingaju vaše računalo. S druge strane, ovo će računalo učiniti ranjivim na napade koji koriste ICMP echo poruke. Međutim, preporučuje se privremeno dopustiti dolazne ICMP echo poruke ako je potrebno, a zatim ih onemogućiti.

Da biste dopustili ICMP echo poruke, stvorite nova ulazna pravila koja dopuštaju ICMPv4 i ICMPv6 pakete echo zahtjeva.

Za rješavanje ICMPv4 i ICMPv6 echo zahtjeva, slijedite ove korake:

U snap stablu Vatrozid za Windows s naprednom sigurnošću odaberite čvor Pravila za dolazne veze i kliknite na vezu Novo pravilo u radnom području konzole.

Prilagodljiv i pritisnite tipku Unaprijediti.

Navedite vrijednost prekidača Svi programi i pritisnite tipku Unaprijediti.

Na padajućem popisu Vrsta protokola odaberite vrijednost ICMPv4.

Pritisnite gumb ugoditi za stavku Parametri ICMP protokola.

Postavite radio gumb na Specifični ICMP tipovi, potvrdite okvir Echo zahtjev, pritisni gumb u redu i pritisnite tipku Unaprijediti.

U fazi odabira lokalne i udaljene IP adrese odgovaraju ovo pravilo, postavite prekidače na vrijednosti Bilo koja IP adresa ili Navedene IP adrese. Ako odaberete vrijednost Navedene IP adrese, navedite potrebne IP adrese, kliknite gumb Dodati i pritisnite tipku Unaprijediti.

Navedite vrijednost prekidača Dopusti vezu i pritisnite tipku Unaprijediti.

U fazi odabira profila odaberite jedan ili više profila (profil domene, privatni ili javni profil) u kojima želite koristiti ovo pravilo i kliknite gumb Unaprijediti.

U polju Ime unesite naziv pravila i u polje Opis– izborni opis. Pritisnite gumb Spreman.

Ponovite gornje korake za ICMPv6 protokol, odabirom Vrsta protokola padajuća vrijednost ICMPv6 umjesto ICMPv4.

Ako imate aktivna pravila sigurnosti veze, privremeno isključivanje ICMP-a iz IPsec zahtjeva može pomoći u rješavanju problema. Da biste to učinili, otvorite u snap Vatrozid za Windows s naprednom sigurnošću dijaloški prozor Svojstva, idite na karticu IPSec postavke i odredite vrijednost na padajućem popisu Da za parametar Isključi ICMP iz IPSec-a.

Bilješka

Postavke vatrozida za Windows mogu promijeniti samo administratori i mrežni operateri.

Nije moguće dijeliti datoteke i pisače

Ako ne možete dijeliti datoteke i pisače na računalu s aktivnim vatrozidom za Windows, provjerite jesu li omogućena sva pravila grupe Pristup datotekama i pisačima Vatrozid za Windows s naprednom sigurnošću odaberite čvor Pravila za dolazne veze Pristup datotekama i pisačima Omogući pravilo u opsegu konzole.

Pažnja:

Strogo se preporučuje da ne omogućite dijeljenje datoteka i pisača na računalima koja su izravno povezana s internetom jer bi napadači mogli pokušati pristupiti dijeljenim datotekama i naštetiti vam tako što će oštetiti vaše osobne datoteke.

Vatrozidom za Windows nije moguće upravljati daljinski

Ako ne možete daljinski upravljati računalom s aktivnim vatrozidom za Windows, provjerite jesu li omogućena sva pravila u zadanoj grupi Udaljeno upravljanje Windows vatrozidom aktivni profil. U trenutku Vatrozid za Windows s naprednom sigurnošću odaberite čvor Pravila za dolazne veze i pomaknite se popisom pravila do grupe Daljinski upravljač. Provjerite jesu li ova pravila omogućena. Odaberite svako od onemogućenih pravila i kliknite gumb Omogući pravilo u opsegu konzole. Osim toga, provjerite je li omogućena usluga IPSec Policy Agent. Ova usluga je potrebna za daljinski upravljač Vatrozid za Windows.

Da biste provjerili radi li IPSec Policy Agent, slijedite ove korake:

Pritisnite gumb Početak i odaberite odjeljak Upravljačka ploča.

Pritisnite ikonu Sustav i njegovo održavanje i odaberite odjeljak administracija.

Dvaput pritisnite ikonu Usluge.

Ako se pojavi dijaloški okvir Kontrola korisničkog računa, unesite tražene korisničke podatke s odgovarajućim dopuštenjima i kliknite Nastaviti.

Pronađite uslugu na popisu IPSec Policy Agent i provjerite ima li status "U tijeku".

Ako usluga IPSec agent zaustavljen, desnom tipkom miša kliknite na njega i odaberite u kontekstni izbornik paragraf Pokreni. Također možete pokrenuti uslugu IPSec agent iz naredbenog retka pomoću net naredbe start policy agent.

Bilješka

Zadana usluga IPSec Policy Agent pokrenut. Ova usluga trebao bi raditi osim ako nije zaustavljen ručno.

Alati za rješavanje problema vatrozida za Windows

Ovaj odjeljak opisuje alate i metode korištene za rješavanje tipični problemi. Ovaj odjeljak sastoji se od sljedećih pododjeljaka:

Koristite značajke nadzora u Windows vatrozidu uz naprednu sigurnost

Prvi korak u rješavanju problema Windows vatrozida je pregledavanje trenutnih pravila. Funkcija Promatranje omogućuje pregled pravila koja se koriste na temelju lokalnih i grupnih pravila. Za prikaz trenutnih ulaznih i izlaznih pravila u snap-in stablu Vatrozid za Windows s naprednom sigurnošću Odaberite odjeljak Promatranje, a zatim odaberite odjeljak Vatrozid. U ovom odjeljku također možete vidjeti trenutne pravila sigurnosti veze I sigurnosne asocijacije (glavni i brzi načini).

Omogućite i koristite reviziju sigurnosti pomoću alata naredbenog retka auditpol

Prema zadanim postavkama opcije revizije su onemogućene. Da biste ih konfigurirali, upotrijebite alat naredbenog retka auditpol.exe koji mijenja postavke pravila revizije na lokalnom računalu. Auditpol se može koristiti za omogućavanje ili onemogućavanje prikaza različitih kategorija događaja, a zatim ih kasnije pregledati u snap-inu Preglednik događaja.

Za prikaz popisa kategorija koje auditpol podržava, unesite u naredbeni redak:

• Za prikaz popisa potkategorija koje su uključene u određenu kategoriju (na primjer, kategorija Promjena pravila), unesite u naredbeni redak:

  auditpol.exe /list /category:"Promjene pravila"

• Da biste omogućili prikaz kategorije ili potkategorije, unesite u naredbeni redak:

  /Potkategorija:" ImeKategorija"

Na primjer, da biste postavili pravila revizije za kategoriju i njezinu potkategoriju, unijeli biste sljedeću naredbu:

auditpol.exe /set /category:"Promjena pravila" /potkategorija:"Promjena pravila na razini MPSSVC pravila" /success:enable /failure:enable

Promjena politike

Promjena politike na razini pravila MPSSVC

Promjena politike platforme za filtriranje

Enter izlaz

Osnovni način rada IPsec

IPsec brzi način

IPsec poboljšani način rada

Sustav

IPSEC upravljački program

Ostali sistemski događaji

Pristup objektima

Ispuštanje paketa platformom za filtriranje

Spajanje platforme za filtriranje

Da bi promjene pravila sigurnosne revizije stupile na snagu, morate ponovno pokrenuti lokalno računalo ili prisiliti ručno ažuriranje pravila. Za prisilno ažuriranje pravila unesite u naredbeni redak:

secedit/refreshpolicy<название_политики>

Nakon dovršetka dijagnostike, možete onemogućiti reviziju događaja zamjenom parametra enable u gornjim naredbama s onemogućavanjem i ponovnim pokretanjem naredbi.

Pogledajte događaje sigurnosne revizije u dnevniku događaja

Nakon što omogućite reviziju, koristite Preglednik događaja za pregled revizijskih događaja u Zapisniku sigurnosnih događaja.

Da biste otvorili Preglednik događaja u mapi Administrativni alati, slijedite ove korake:

1. Pritisnite gumb Početak.

   Odaberite odjeljak Upravljačka ploča. Pritisnite ikonu Sustav i njegovo održavanje i odaberite odjeljak administracija.

   Dvaput pritisnite ikonu Preglednik događaja.

Za dodavanje Preglednika događaja na MMC, slijedite ove korake:

Pritisnite gumb Početak, idite na izbornik Svi programi, zatim na izbornik Standard i odaberite Izvršiti.

U tekstualnom polju Otvoren unesite mmc i pritisnite tipku UNESI.

Ako se pojavi dijaloški okvir Kontrola korisničkog računa, potvrdite traženu radnju i kliknite Nastaviti.

Na jelovniku Konzola odaberite stavku Dodajte ili uklonite dodatak.

Na listi Dostupan pribor odaberite opremu Preglednik događaja i pritisnite tipku Dodati.

Pritisnite gumb u redu.

Prije zatvaranja snap-ina, spremite konzolu za buduću upotrebu.

U trenutku Preglednik događaja proširite odjeljak Dnevnici sustava Windows i odaberite čvor Sigurnost. U radnom području konzole možete vidjeti događaje sigurnosne revizije. Svi događaji prikazani su na vrhu radnog područja konzole. Kliknite na događaj na vrhu radnog područja konzole za prikaz detaljne informacije na dnu ploče. Na kartici Su česti Postoji opis događaja u obliku jasnog teksta. Na kartici pojedinosti Dostupne su sljedeće opcije prikaza događaja: Jasna prezentacija I XML način.

Konfigurirajte zapisnik vatrozida za profil

Prije nego što možete pregledati zapisnike vatrozida, morate konfigurirati vatrozid za Windows s naprednom sigurnošću za generiranje datoteka dnevnika.

Da biste konfigurirali bilježenje za profil vatrozida za Windows s naprednom sigurnošću, slijedite ove korake:

U snap stablu Vatrozid za Windows s naprednom sigurnošću Odaberite odjeljak Vatrozid za Windows s naprednom sigurnošću i pritisnite tipku Svojstva u opsegu konzole.

Odaberite karticu profila za koju želite konfigurirati bilježenje (profil domene, privatni profil ili javni profil), a zatim kliknite ugoditi U poglavlju Sječa drva.

Navedite naziv i mjesto datoteke dnevnika.

Navedite maksimalnu veličinu datoteke dnevnika (od 1 do 32767 kilobajta)

Na padajućem popisu Zabilježi pakete koji nedostaju unesite vrijednost Da.

Na padajućem popisu Zabilježite uspješne veze unesite vrijednost Da a zatim kliknite gumb u redu.

Pregledajte datoteke dnevnika vatrozida

Otvorite datoteku koju ste naveli tijekom prethodnog postupka, "Konfiguriranje zapisnika vatrozida za profil." Za pristup dnevniku vatrozida morate imati prava lokalnog administratora.

Datoteku dnevnika možete pogledati koristeći Notepad ili bilo koji uređivač teksta.

Analiza datoteka dnevnika vatrozida

Podaci zabilježeni u dnevniku prikazani su u sljedećoj tablici. Neki podaci navedeni su samo za određene protokole (TCP zastavice, ICMP tip i kod itd.), a neki podaci samo za ispuštene pakete (veličina).

Bilješka

Crtica (-) se koristi u poljima trenutnog zapisa koja ne sadrže nikakve informacije.

Stvaranje tekstualnih datoteka netstat i tasklist

Možete stvoriti dvije prilagođene datoteke dnevnika, jednu za pregled mrežne statistike (popis svih priključaka za slušanje) i drugu za pregled popisa zadataka usluga i aplikacija. Popis zadataka sadrži identifikator procesa (PID) za događaje sadržane u datoteci mrežne statistike. Postupak za stvaranje ove dvije datoteke opisan je u nastavku.

Za stvaranje tekstualne datoteke mrežnu statistiku i popis zadataka, slijedite ove korake:

Na naredbenom retku unesite netstat -ano > netstat.txt i pritisnite tipku UNESI.

Na naredbenom retku unesite popis zadataka > popis zadataka.txt i pritisnite tipku UNESI. Ako trebate stvoriti tekstualnu datoteku s popisom usluga, unesite popis zadataka /svc > popis zadataka.txt.

Otvorite datoteke tasklist.txt i netstat.txt.

Pronađite kôd procesa koji dijagnosticirate u datoteci tasklist.txt i usporedite ga s vrijednošću sadržanom u datoteci netstat.txt. Zabilježite korištene protokole.

Primjer izdavanja datoteka Tasklist.txt i Netstat.txt

Netstat.txt
Proto lokalna adresa strana adresa država PID
TCP 0.0.0.0:XXX 0.0.0.0:0 SLUŠANJE 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 OSUĐIVANJE 322
Popis zadataka.txt
Naziv slike PID Naziv sesije Broj sesije Korištenje memorije
==================== ======== ================ =========== ============
svchost.exe 122 Usluge 0 7,172 K
XzzRpc.exe 322 Usluge 0 5,104 K

Bilješka

Stvarne IP adrese mijenjaju se u "X", a RPC usluga mijenja se u "z".

Provjerite rade li osnovne usluge

Sljedeće usluge moraju biti pokrenute:

Osnovna usluga filtriranja

Klijent pravila grupe

Moduli IPsec ključa za internetsku razmjenu ključeva i IP autentifikaciju

IP pomoćna usluga

IPSec Policy Agent Service

Usluga mrežne lokacije

Usluga popisa mreža

Vatrozid za Windows

Da biste otvorili dodatak za usluge i potvrdili da su potrebne usluge pokrenute, slijedite ove korake:

Pritisnite gumb Početak i odaberite odjeljak Upravljačka ploča.

Pritisnite ikonu Sustav i njegovo održavanje i odaberite odjeljak administracija.

Dvaput pritisnite ikonu Usluge.

Ako se pojavi dijaloški okvir Kontrola korisničkog računa, unesite tražene korisničke podatke s odgovarajućim dopuštenjima i kliknite Nastaviti.

Provjerite rade li gore navedene usluge. Ako jedna ili više usluga nije pokrenuto, desnom tipkom miša kliknite naziv usluge na popisu i odaberite Pokreni.

Dodatni način rješavanja problema

U krajnjem slučaju, možete vratiti postavke Vatrozida za Windows na zadane vrijednosti. Vraćanjem zadanih postavki izgubit ćete sve postavke napravljene nakon instalacije sustava Windows Vista. To može uzrokovati prestanak rada nekih programa. Također, ako daljinski upravljate računalom, veza s njim će se izgubiti.

Prije vraćanja zadanih postavki, provjerite jeste li spremili trenutnu konfiguraciju vatrozida. To će vam omogućiti vraćanje postavki ako je potrebno.

U nastavku su navedeni koraci za spremanje konfiguracije vatrozida i vraćanje zadanih postavki.

Da biste spremili trenutnu konfiguraciju vatrozida, slijedite ove korake:

U trenutku Vatrozid za Windows s naprednom sigurnošću kliknite vezu Izvozna politika u opsegu konzole.

Za vraćanje postavki vatrozida na zadane, slijedite ove korake:

U trenutku Vatrozid za Windows s naprednom sigurnošću kliknite vezu Vratiti zadane u opsegu konzole.

Kada dobijete upit Vatrozid za Windows s naprednom sigurnošću, kliknite Da za vraćanje zadanih vrijednosti.

Zaključak

Postoji mnogo načina za dijagnosticiranje i rješavanje problema s vatrozidom za Windows s naprednom sigurnošću. Među njima:

Korištenje funkcije Promatranje za pregled radnji vatrozida, sigurnosnih pravila veze i sigurnosnih asocijacija.

Analizirajte događaje sigurnosne revizije povezane s vatrozidom za Windows.

Stvaranje tekstualnih datoteka lista zadataka I netstat za komparativnu analizu.

Počevši od Servera 2008 i Viste, WFP mehanizam ugrađen je u Windows,
koji je skup API-ja i usluga sustava. Uz njegovu pomoć to je postalo moguće
zabraniti i dopustiti veze, upravljati pojedinačnim paketima. ove
inovacije su imale za cilj pojednostaviti živote programera raznih
zaštita Promjene napravljene na mrežnoj arhitekturi utjecale su i na kernel-mode i
i dijelovi sustava u korisničkom načinu rada. U prvom slučaju izvoze se potrebne funkcije
fwpkclnt.sys, u drugom - fwpuclnt.dll (slova "k" i "u" u imenima biblioteka
stoji za kernel i korisnika). U ovom ćemo članku govoriti o primjeni
WFP za presretanje i filtriranje prometa, a nakon upoznavanja s osn
Koristeći definicije i mogućnosti WFP-a, napisat ćemo vlastiti jednostavni filtar.

Osnovni koncepti

Prije nego što krenemo s kodiranjem, nužno je da se upoznamo s terminologijom
Microsoft - i dodatna literatura bit će korisna za razumijevanje članka
Lakše će se čitati :). Pa, idemo.

Klasifikacija- proces određivanja što učiniti s paketom.
Moguće akcije: dopustiti, blokirati ili oblačić.

Oblačići je skup funkcija u upravljačkom programu koje obavljaju pregled
paketi. Imaju posebnu funkciju koja obavlja klasifikaciju paketa. Ovaj
funkcija može odlučiti sljedeće:

• dopusti(FWP_ACTION_PERMIT);
• blokiraj(FWP_ACTION_BLOCK);
• nastaviti obradu;
• zatražiti više podataka;
• prekinuti vezu.

Filteri- pravila koja pokazuju u kojim slučajevima se poziva
ovaj ili onaj oblačić. Jedan vozač može imati nekoliko oblačića, i
U ovom ćemo članku razviti pokretački program s oblačićem. Usput, colautas
Postoje i ugrađeni, na primjer, NAT-oblačić.

Sloj- ovo je znak kojim se kombiniraju različiti filteri (ili,
kako kažu u MSDN-u, "kontejner").

Istini za volju, Microsoftova dokumentacija za sada izgleda prilično nejasno
ne možete pogledati primjere u WDK. Stoga, ako iznenada odlučite nešto razviti
ozbiljno, svakako se morate upoznati s njima. Pa, sada je glatko
Prijeđimo na praksu. Za uspješnu kompilaciju i testiranje trebat će vam WDK (Windows
Driver Kit), VmWare, virtualni stroj s instaliranom Vistom i WinDbg debuggerom.
Što se tiče WDK-a, ja osobno imam instaliranu verziju 7600.16385.0 - sve je tu
potrebne libs (budući da ćemo razvijati upravljački program, trebamo samo
fwpkclnt.lib i ntoskrnl.lib) i primjeri korištenja WFP-a. Linkovi na sve
Alati su već nekoliko puta predstavljeni, pa ih nećemo ponavljati.

Kodiranje

Kako bih inicijalizirao oblačić, napisao sam funkciju BlInitialize. Opći algoritam
stvaranje oblačića i dodavanje filtra je ovako:

1. FWPMENGINEOPEN0 otvara sjednicu;
2. FWPMTRANSACTIONBEGIN0- početak rada s WFP-om;
3. FWPSCALLOUTREGISTER0- stvaranje novog oblačića;
4. FWPMCALLOUTADD0- dodavanje objekta oblačića u sustav;
5. FWPMFILTERADD0- dodavanje novog(ih) filtera(a);
6. FWPMTRANSACTIONCOMMIT0- spremanje promjena (dodano
   filteri).

Imajte na umu da funkcije završavaju s 0. U sustavu Windows 7 neke od ovih
funkcije su promijenjene, na primjer, pojavio se FwpsCalloutRegister1 (s
spremio FwpsCalloutRegister0). Razlikuju se u argumentima i, kao posljedica toga,
prototipove klasifikacijskih funkcija, ali za nas to sada nije važno - 0-funkcije
univerzalni.

FwpmEngineOpen0 i FwpmTransactionBegin0 nam nisu posebno zanimljivi - ovo su
pripremna faza. Zabava počinje s funkcijom
FwpsCalloutRegister0:

FwpsCalloutRegister0 prototip

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *oblačić,
__out_opt UINT32 *calloutId
);

Već sam rekao da je callout skup funkcija, sada je vrijeme
reci nam više o ovome. Struktura FWPS_CALLOUT0 sadrži pokazivače na tri
funkcije - klasificiranje (classifyFn) i dvije obavijesti (o
dodavanje/uklanjanje filtera (notifyFn) i zatvaranje obrađenog toka (flowDeleteFn)).
Prve dvije funkcije su obvezne, posljednja je potrebna samo ako
želite nadzirati same pakete, a ne samo veze. Također u strukturi
sadržano jedinstveni identifikator, Callout GUID (calloutKey).

Registracijski kod oblačića

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// funkcija klasificiranja
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlObavijesti;
// funkcija koja obavještava o dodavanju/uklanjanju filtra
// kreiraj novi oblačić
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

DWORD WINAPI FwpmCalloutAdd0(
__u HANDLE engineHandle,
__in const FWPM_CALLOUT0 *oblačić,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_ (
GUID calloutKey;
FWPM_DISPLAY_DATA0 displayData; // opis oblačića
UINT32 zastavice;
GUID *providerKey;
FWP_BYTE_BLOB providerData;
GUID applyLayer;
UINT32 calloutId;
) FWPM_CALLOUT0;

U strukturi FWPM_CALLOUT0 zanima nas polje applyLayer - jedinstveno
ID razine na koju je dodan oblačić. U našem slučaju jest
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" u nazivu identifikatora znači verziju
Ipv4 protokol, postoji i FWPM_LAYER_ALE_AUTH_CONNECT_V6 za Ipv6. S obzirom
niska prevalencija IPv6 u ovom trenutku, mi ćemo raditi samo s
IPv4. CONNECT u nazivu znači da mi samo kontroliramo montažu
veze, nema govora o dolaznim ili odlaznim paketima na ovu adresu! Uopće
Postoje mnoge razine osim one koju smo koristili - one su deklarirane u datoteci zaglavlja
fwpmk.h od WDK.

Dodavanje objekta oblačića u sustav

// naziv oblačića
displayData.name = L"Blocker Callout";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// opis oblačića
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Dakle, nakon što je oblačić uspješno dodan u sustav, trebate izraditi
filtar, odnosno naznačiti u kojim slučajevima će se pozivati ​​naš callout, naime
- njegovu funkciju klasifikacije. Novi filtar stvara funkcija FwpmFilterAdd0,
koji prosljeđuje strukturu FWPM_FILTER0 kao argument.

FWPM_FILTER0 ima jednu ili više FWPM_FILTER_CONDITION0 struktura (njihove
broj je određen poljem numFilterConditions). Polje layerKey ispunjeno je GUID-om
sloj koji želimo spojiti. U ovom slučaju ukazujemo
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Sada pogledajmo pobliže punjenje FWPM_FILTER_CONDITION0. Prvo, u
fieldKey mora biti eksplicitno naveden što želimo kontrolirati - port, adresa,
aplikaciju ili nešto drugo. U ovom slučaju, WPM_CONDITION_IP_REMOTE_ADDRESS
ukazuje sustavu da nas zanima IP adresa. Vrijednost fieldKey određuje hoće li
koja vrsta vrijednosti će biti uključena u strukturu FWP_CONDITION_VALUE
FWPM_FILTER_CONDITION0. U ovom slučaju sadrži ipv4 adresu. Idemo
unaprijediti. Polje matchType određuje kako će se napraviti usporedba
vrijednosti u FWP_CONDITION_VALUE s onim što je stiglo putem mreže. Ovdje postoji mnogo opcija:
možete navesti FWP_MATCH_EQUAL, što će značiti punu usklađenost s uvjetom, i
možete - FWP_MATCH_NOT_EQUAL, to jest, zapravo, možemo dodati ovo
čime se isključuje filtriranje (adresa, veza s kojom se ne prati).
Također postoje opcije FWP_MATCH_GREATER, FWP_MATCH_LESS i druge (pogledajte enum
FWP_MATCH_TYPE). U ovom slučaju imamo FWP_MATCH_EQUAL.

Nisam se previše mučio i samo sam napisao uvjet za blokadu
jednu odabranu IP adresu. U slučaju da neka aplikacija pokuša
uspostavite vezu s odabranom adresom, bit će pozvan klasifikator
našu funkciju oblačića. Možete pogledati kod koji sažima ono što je rečeno
Pogledajte bočnu traku "Dodavanje filtra sustavu".

Dodavanje filtra u sustav

filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker Callout";
filter.displayData.description = L"Blocker Callout";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// jedan uvjet filtra
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // auto-težina.
// dodaj filter na udaljenu adresu
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOKIRANA_IP_ADRESA);
// dodaj filter
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);

Općenito, naravno, može postojati mnogo uvjeta filtriranja. Na primjer, možete
navedite blokiranje veza na određeni udaljeni ili lokalni priključak (FWPM_CONDITION_IP_REMOTE_PORT
odnosno FWPM_CONDITION_IP_LOCAL_PORT). Možete uhvatiti sve pakete
specifičan protokol ili specifična aplikacija. I to nije sve! Limenka,
na primjer, blokirati promet određenog korisnika. Općenito, postoji gdje
prošetati.

Ipak, vratimo se filteru. Funkcija klasifikacije u našem slučaju je jednostavna
blokira vezu na navedenu adresu (BLOCKED_IP_ADDRESS), vraćajući se
FWP_ACTION_BLOCK:

Kod naše funkcije klasificiranja

void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* inMetaValues,
VOID* paket,IN const FWPS_FILTER* filter,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// ispuni strukturu FWPS_CLASSIFY_OUT0
if(classifyOut)( // blokiraj paket
classifyOut->actionType =
FWP_ACTION_BLOCK;
// kada blokirate paket koji vam je potreban
resetiraj FWPS_RIGHT_ACTION_WRITE
classifyOut->prava&=~FWPS_RIGHT_ACTION_WRITE;
}
}

U praksi, funkcija klasifikacije također može postaviti FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE, itd.

I na kraju, kada istovarujete upravljački program, morate ukloniti sve instalirane
callouts (pogodite što će se dogoditi ako sustav pokuša pozvati callout
neopterećen vozač? Tako je, BSOD). Za to postoji funkcija
FwpsCalloutUnregisterById. Kao parametar prosljeđuje se 32-bit
identifikator oblačka koji vraća funkcija FwpsCalloutRegister.

Prekid oblačića

NTSTATUS BlUninitialize())(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
povratak ns;
}

Kao što vidite, programiranje WFP filtera nije tako težak zadatak, jer
MS nam je pružio vrlo praktičan API. Usput, u našem slučaju smo instalirali
filter u drajveru, ali to se može učiniti i iz usermoda! Na primjer, uzorak iz wdk
msnmntr (MSN Messenger monitor prometa) radi upravo to - to vam omogućuje da to ne učinite
preopteretiti dio filtra u kernel modu.

Vaš GUID

Za registraciju oblačića potreban mu je jedinstveni identifikator. Da bi
nabavite svoj GUID (Globally Unique Identifier), koristite guidgen.exe uključen
V Vizualni studio. Alat se nalazi u (VS_Path)\Common7\Tools. Vjerojatnost sudara
je vrlo mali jer je duljina GUID-a 128 bita i ukupno je dostupno 2^128
identifikatori.

Otklanjanje pogrešaka filtra

Za otklanjanje pogrešaka u ogrjevnom drvu, prikladno je koristiti kombinaciju Windbg+VmWare. Za ovo vam je potrebno
konfigurirajte i gostujući sustav (što je Vista) i program za ispravljanje pogrešaka
WinDbg. Ako ste u WinXP-u morali urediti boot.ini za daljinsko otklanjanje pogrešaka, onda
Za Vista+ postoji konzolni uslužni program koji se zove bcdedit. Kao i obično, trebate omogućiti uklanjanje pogrešaka:

BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ON (ili BCDedit /set debug ON)

Sada je sve spremno! Pokrećemo skupnu datoteku s tekstom ispod:

pokreni windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

i pogledajte ispravljanje grešaka u prozoru windbg (pogledajte sliku).

Zaključak

Kao što vidite, opseg WFP-a prilično je širok. Na vama je da odlučite kako
primijeni ovo znanje - za zlo ili za dobro :)

Windows vatrozid (firewall ili vatrozid) ne izaziva poštovanje. Malo promijenjen s XP-a na Vistu, dobro obavlja svoj jednostavan posao, ali nema ambicije da bude najbolji osobni vatrozid. Međutim, unatoč činjenici da je Windows 7 vatrozid dobio nekoliko novih značajki, još uvijek nije dobio ono što sam očekivao da ću vidjeti u njemu.

Druženje s matičnom grupom

Tijekom Windows instalacije 7 predlaže stvaranje "kućne grupe". Kako se druga računala sa sustavom Windows 7 otkriju na mreži, ona se također pozivaju da se pridruže grupi. A sve što im za to treba je lozinka. Međutim, s obzirom na to da jedno računalo pokreće Windows 7, nisam vidio proces prijave u grupu drugih računala, iako obavijest o tome ne bi škodila. Međutim, ako se bilo koje računalo sa sustavom Windows 7 može pridružiti matičnoj grupi, računala s operativnim sustavom Windows 7 Home Basic a Windows 7 Starter ga ne može stvoriti.

Računala u istoj matičnoj grupi mogu dijeliti (ili, kako oni kažu, "dijeliti") pisače i određene biblioteke datoteka. Prema zadanim postavkama, biblioteke slika, glazbe, videa i dokumenata se dijele, ali ih korisnik može ograničiti prema vlastitom nahođenju. Pomoć u operativnom sustavu daje jasna objašnjenja kako datoteku ili mapu isključiti iz dijeljenja, kako je učiniti samo za čitanje ili kako ograničiti pristup istoj.

U njegovom kućna mreža korisnik može dijeliti svoj sadržaj s drugim računalima i uređajima, pa čak i s računalima koja nemaju Windows 7 pa čak i s onima koji uopće nisu računala. Konkretno, Microsoft je pokazao primjere kako možete dijeliti sadržaj na Xbox 360. Međutim, tvrtka ne nudi povezivanje Wii na mrežu. Nažalost, tvrtka nije kvalificirala Wii kao uređaj za strujanje medija.

Dakle, koliko je sigurnija vaša kućna mreža u sustavu Windows 7? Tipično, korisnici koji ne uspiju dijeliti datoteke i mape počinju onemogućavati sve oko sebe, uključujući filewall, antivirus itd., što, po njihovom mišljenju, može ometati ovaj proces. U isto vrijeme, ako dijeljenje učinite jednostavnim, možete izbjeći gašenje svega oko sebe.

Ako Vista dijeli mreže na javne (Public) i privatne (Private), onda Windows 7 privatnu mrežu dijeli na kućnu (Home) i radnu (Work). Domaća grupa(HomeGroup) dostupno je samo pri odabiru kućne mreže. Međutim, čak i na radnoj mreži, vaše računalo može vidjeti i povezati se s drugim uređajima na njemu. S druge strane, na javnoj mreži (poput bežične u internetskom kafiću), Windows 7 blokira pristup drugim uređajima i od vas, radi vaše sigurnosti. Ovo je mala, ali lijepa prilika.

Dual-mode firewall

U Visti i XP, upravljanje vatrozidom jednostavno je poput njegovog uključivanja i isključivanja. Na isti Windows vrijeme 7 korisniku nudi razne konfiguracijske postavke za privatne (kućne i poslovne) i javne mreže. U isto vrijeme, korisnik ne treba ulaziti u postavke vatrozida da bi radio, recimo, u lokalnom kafiću. Preostaje mu samo odabrati javna mreža, a vatrozid će sam primijeniti cijeli skup ograničavajućih parametara. Najvjerojatnije će korisnici konfigurirati javnu mrežu da blokira sve dolazne veze. U Visti to nije moglo biti učinjeno a da se također ne prekine sav dolazni promet na vlastitoj mreži korisnika.

Neki korisnici ne razumiju zašto je potreban vatrozid. Ako UAC radi, nije li vatrozid pretjeran? U stvarnosti ti programi imaju potpuno različite ciljeve. UAC prati programe i njihov interni rad lokalni sustav. Vatrozid pomno prati dolazne i odlazne podatke. Zamislite li ova dva programa kao dva heroja koji stoje leđa uz leđa i odbijaju napade zombija, onda, moglo bi se reći, teško da možete pogriješiti.

Isprva sam bio zaintrigiran nova prilika“Obavijesti me kada vatrozid za Windows blokira novi program" Je li to znak da je vatrozid za Windows preuzeo kontrolu nad programima i postao pravi dvosmjerni vatrozid? Izjedala me želja da onemogućim ovu značajku. Kao rezultat toga, vatrozid za Windows nije dobio ništa više poštovanja nego što je bio.

Prošlo je deset godina otkako je ZoneLabs popularizirao dvosmjerni osobni vatrozid. Njezin program ZoneAlarm sakrio je sve priključke računala (što Windows vatrozid može), a također vam je omogućio da kontrolirate pristup programa internetu (što Windows vatrozid još uvijek ne može). Ne zahtijevam inteligentno praćenje ponašanja programa, kao što je Norton sigurnost na internetu 2010 i u ostalim paketima. Ali nadam se da će Microsoft do izlaska Windowsa 8 ipak u svoj firewall uvesti niz mogućnosti deset godina starog ZoneAlarma.

Microsoft je dobro svjestan da mnogi korisnici instaliraju vatrozid i sigurnosne pakete trećih strana i jednostavno onemoguće Windows vatrozid. U prošlosti su mnogi sigurnosni programi trećih strana automatski onemogućavali vatrozid za Windows kako bi izbjegli sukobe. U sustavu Windows 7 Microsoft je to učinio sam. Kada instalira vatrozid koji mu je poznat, operativni sustav onemogućuje svoj ugrađeni vatrozid i javlja da "postavke vatrozida kontrolira taj i taj program tog i tog proizvođača."

Bez obzira koristite li ga ili ne, vatrozid za Windows prisutan je u svakom sustavu Windows 7, uz solidnu integraciju s operacijski sustav. Pa zar ne bi bilo bolje da sigurnosne aplikacije trećih strana mogu koristiti Windows filewall za vlastite potrebe? Ovo je ideja iza programskog sučelja pod nazivom Windows Filtering Platform. Ali hoće li ga programeri koristiti? Više o tome u sljedećem dijelu.

Sigurnost sustava Windows 7: Platforma za filtriranje sustava Windows

Vatrozidi moraju raditi sa sustavom Windows 7 na vrlo niskoj razini, što Microsoftovi programeri apsolutno mrze. Neke Microsoftove tehnologije, kao što je PatchGuard, prisutne u 64-bitnim izdanjima sustava Windows 7 (64-bitni Windows 7 imaju niz sigurnosnih prednosti u odnosu na 32-bitni Windows 7), blokiraju napadače i također štite kernel od pristupa. Ipak, Microsoft ne pruža istu razinu sigurnosti kao programi trećih strana. Pa što učiniti?

Rješenje za ovaj problem je Windows Filtering Platform (WFP). Potonji, prema Microsoftu, omogućuje da se vatrozidi trećih strana temelje na ključu Mogućnosti sustava Windows Vatrozid - omogućuje vam da im dodate prilagođene mogućnosti i selektivno omogućite i onemogućite dijelove Windows vatrozida. Kao rezultat toga, korisnik može odabrati vatrozid koji će koegzistirati s Vatrozidom za Windows.

Ali koliko je to stvarno korisno za programere sigurnosti? Hoće li ga koristiti? Pitao sam nekoliko ljudi i dobio gomilu odgovora.

BitDefender LLC

Voditelj razvoja proizvoda Iulian Costache rekao je da njegova tvrtka trenutno koristi ovu platformu u sustavu Windows 7. Međutim, naišli su na značajno curenje memorije. Greška je na Microsoftovoj strani, što je najveći softverski div već potvrdio. Međutim, Julian ne zna kada će se to riješiti. U međuvremenu su novi WFP drajver privremeno zamijenili starim TDI.

Check Point Software Technologies Ltd

Voditeljica PR-a tvrtke Check Point Software Technologies Mirka Janus rekla je da njegova tvrtka koristi WFP od Viste. Oni također koriste platformu pod sustavom Windows 7. To je dobro, podržano sučelje, ali svaki zlonamjerni softver ili nekompatibilni upravljački program mogao bi biti opasan za sigurnosni proizvod koji se na njega oslanja. ZoneAlarm se uvijek oslanjao na dva sloja – slojeve mrežne veze i razini paketa. Počevši s Vistom, Microsoft je ponudio WFP kao podržani način za filtriranje mrežnih veza. Počevši od Windows 7 SP1, Microsoft mora naučiti WFP da omogući filtriranje paketa.

“Korištenje podržanih API-ja znači poboljšanu stabilnost i manje BSOD-ova. Mnogi upravljački programi mogu se registrirati i svaki razvijač upravljačkih programa ne mora brinuti o kompatibilnosti s drugima. Ako je bilo koji vozač, recimo, blokiran, niti jedan drugi registrirani vozač ne može zaobići to blokiranje. S druge strane, nekompatibilni upravljački program može postati problem, zaobilazeći sve ostale registrirane. Ne oslanjamo se samo na WFP za sigurnost mreže.”

F-Secure Corporation

Viši istraživač u korporaciji F-Secure Mikko Hypponen rekao je da iz nekog razloga WFP nikada nije postao popularan među programerima sigurnosnog softvera. U isto vrijeme, njegova tvrtka je dosta dugo koristila WFP i bila je zadovoljna njime.

McAfee, Inc.

S druge strane, McAfeejev vodeći arhitekt Ahmed Sallam rekao je da je WFP snažnije i fleksibilnije sučelje za mrežno filtriranje od prethodnog sučelja temeljenog na NDIS-u. McAfee aktivno koristi WFP u svojim sigurnosnim proizvodima.

U isto vrijeme, unatoč činjenici da WFP ima pozitivne mogućnosti, kibernetički kriminalci također mogu iskoristiti prednosti platforme. Platforma bi mogla dopustiti zlonamjernom softveru da uđe u skup mrežnog sloja Windows kerneli. Stoga, 64-bit Windows upravljački programi razina kernela mora imati digitalni potpisi kako bi se kernel zaštitio od učitavanja u njega malware. Međutim, digitalni potpisi nisu potrebni na 32-bitnim verzijama.

Da, u teoriji su digitalni potpisi razuman sigurnosni mehanizam, ali u stvarnosti ih autori zlonamjernog softvera još uvijek mogu nabaviti za sebe.

Panda Sigurnost

Glasnogovornik Panda Security Pedro Bustamante rekao je da njegova tvrtka nadzire WFP platformu, ali je trenutno ne koristi. Tvrtka glavnim nedostacima WFP-a smatra, prije svega, nemogućnost stvaranja tehnologije koja bi kombinirala različite tehnike za maksimalnu zaštitu. Tehnologija je beskorisna ako tvrtka ne može vidjeti pakete koji ulaze i izlaze iz stroja. Također bi trebao djelovati kao senzor za druge sigurnosne tehnologije. WFP ne nudi niti jednu od ovih značajki. Drugo, WFP podržavaju samo Vista i noviji operativni sustavi. Platforma nije unazad kompatibilna. I treće, WFP je prilično nova platforma, a tvrtka se radije oslanja na starije i provjerene tehnologije.

Symantec Corp.

Dan Nadir, direktor upravljanja potrošačkim proizvodima u Symantecu, rekao je da se WFP još ne koristi u njihovim proizvodima zbog njegove relativne novosti. Međutim, s vremenom tvrtka planira migrirati na njega, jer... stara sučelja na koja se trenutno oslanjaju neće moći pružiti punu funkcionalnost koja im je potrebna. WFP smatraju dobrom platformom jer... posebno je dizajniran za pružanje interoperabilnosti između raznih programa trećih strana. U principu, platforma bi u budućnosti trebala imati još manje problema s kompatibilnošću. WFP je također izvrstan jer je integriran s Microsoft Network Diagnostic Frameworkom. Ovo je izuzetno korisno jer... uvelike olakšava traženje određenih programa koji su prepreka mrežnom prometu. Konačno, WFP bi trebao dovesti do poboljšanih performansi i stabilnosti operativnog sustava jer... Platforma izbjegava emulaciju i probleme sa sukobima ili stabilnošću upravljačkih programa.

Međutim, s druge strane, prema Nadiru, WFP može stvoriti određene probleme koji postoje u bilo kojoj strukturi – programeri koji se oslanjaju na WFP ne mogu zatvoriti ranjivosti unutar samog WFP-a, niti mogu proširiti specifične mogućnosti koje nudi WFP. Također, ako se mnogi programi oslanjaju na WFP, kreatori malwarea bi teoretski mogli pokušati napasti sam WFP.

Trend Micro Inc.

Direktor istraživanja u Trend Micro Inc. Dale Liao rekao je da je najveća prednost platforme njezina kompatibilnost s operativnim sustavom. Također, standardni vatrozid sada je postao koristan. Tako da se sada mogu usredotočiti na ono što je stvarno važno korisniku. Loša stvar kod WFP-a je da kada se otkrije pogreška na platformi, tvrtka mora čekati da je popravi Microsoft.

WFP: Zaključak

Kao rezultat toga, većina sigurnosnih programera koje sam intervjuirao već koristi WFP. Istina, neke paralelno s drugim tehnologijama. Sviđa im se interoperabilnost, poput dokumentacije i formalnosti platforme, kao i percipirana stabilnost njezina rada. S druge strane, ako se svi programeri oslanjaju na WFP, tada bi platforma potencijalno mogla postati slaba točka za sve. I morat će se osloniti na Microsoft da to popravi. Osim toga, platforma još ne nudi filtriranje na razini paketa.

Drugi veliki nedostatak WFP-a je taj što nije dostupan u sustavu Windows XP. Stoga će programeri koji žele podržati XP morati pokrenuti dva paralelna projekta. Međutim, kako XP napušta tržište, mislim da će WFP postati popularniji među programerima.