A Windows szűrőplatformja blokkolta a csomagot. Windows tűzfal Speciális biztonsággal – Diagnosztizálja és megoldja a problémákat. A számítógép nem válaszol a ping kérésekre

Snap-in Management Console (MMC) operációs rendszer Windows Vista A ™ egy hálózati naplózó tűzfal munkaállomásokhoz, amely az Ön által konfigurált beállításoknak megfelelően szűri a bejövő és kimenő kapcsolatokat. Mostantól egyetlen beépülő modullal konfigurálhatja a tűzfalat és az IPsec-beállításokat. Ez a cikk a fokozott biztonságú Windows tűzfalat, a gyakori problémákat és megoldásokat ismerteti.

Hogyan működik a Windows tűzfal speciális biztonsággal

A Windows Firewall Advanced Security egy hálózati állapotnaplózó tűzfal munkaállomásokhoz. Az útválasztók tűzfalaival ellentétben, amelyeket a helyi hálózat és az internet közötti átjáróban telepítenek, a Windows tűzfalat egyedi számítógépeken való futtatásra tervezték. Csak a munkaállomás forgalmát figyeli: ennek a számítógépnek az IP-címére érkező forgalmat és magához a számítógéphez kimenő forgalmat. A Windows Firewall with Advanced Security a következő alapvető műveleteket hajtja végre:

A bejövő csomagot ellenőrzi és összehasonlítja a megengedett forgalom listájával. Ha a csomag megegyezik a listában szereplő értékekkel, a Windows tűzfal továbbítja a csomagot a TCP/IP-nek további feldolgozás céljából. Ha a csomag nem egyezik a lista egyik értékével sem, a Windows tűzfal blokkolja a csomagot, és ha a naplózás engedélyezve van, bejegyzést hoz létre a naplófájlban.

A megengedett forgalom listája kétféleképpen készül:

Amikor egy, a Speciális biztonságú Windows tűzfal által vezérelt kapcsolat csomagot küld, a tűzfal létrehoz egy értéket a listában, amely lehetővé teszi a forgalom visszatérését. A megfelelő bejövő forgalom további engedélyt igényel.

Ha Windows tűzfalat hoz létre Speciális biztonsági engedélyezési szabállyal, a forgalom, amelyhez a szabály létrejött, engedélyezett lesz a Windows tűzfalat futtató számítógépen. Ez a számítógép fogadja a kifejezetten engedélyezett bejövő forgalmat, ha kiszolgálóként, ügyfélszámítógépként vagy peer-to-peer hálózati csomópontként működik.

A Windows tűzfallal kapcsolatos problémák megoldásának első lépése annak ellenőrzése, hogy melyik profil aktív. A Windows Firewall Advanced Security egy olyan alkalmazás, amely figyeli a hálózati környezetet. A Windows tűzfal profilja megváltozik, ha a hálózati környezet megváltozik. A profil beállítások és szabályok összessége, amely a hálózati környezettől és a működéstől függően kerül alkalmazásra hálózati kapcsolatok.

A tűzfal háromféle hálózati környezetet különböztet meg: tartományi, nyilvános és magánhálózatokat. A tartomány olyan hálózati környezet, ahol a kapcsolatokat egy tartományvezérlő hitelesíti. Alapértelmezés szerint minden más típusú hálózati kapcsolat nyilvános hálózatként kezelendő. Új felfedezésekor Windows kapcsolatok A Vista felkéri a felhasználót, hogy jelezze, hogy ezt a hálózatot magán vagy nyilvános. Az általános profil nyilvános helyeken, például repülőtereken vagy kávézókban való használatra készült. A privát profilt otthoni vagy irodai használatra, valamint biztonságos hálózaton való használatra tervezték. A hálózat privátként történő meghatározásához a felhasználónak rendelkeznie kell a megfelelő rendszergazdai jogosultságokkal.

Bár előfordulhat, hogy a számítógép egyidejűleg csatlakozik a hálózatokhoz különböző típusú, csak egy profil lehet aktív. Az aktív profil kiválasztása a következő okoktól függ:

Ha minden interfész tartományvezérlő hitelesítést használ, akkor a tartományprofil használatos.

Ha legalább az egyik interfész magánhálózathoz, az összes többi pedig egy tartományhoz vagy magánhálózatokhoz csatlakozik, a privát profil kerül felhasználásra.

Minden más esetben az általános profilt használjuk.

Az aktív profil meghatározásához kattintson a csomópontra Megfigyelés egy pillanat alatt Windows tűzfal fokozott biztonsággal. A szöveg felett Tűzfal állapota jelzi, hogy melyik profil aktív. Például, ha egy tartományprofil aktív, a felirat felül jelenik meg Domain profil aktív.

A profilok használatával a Windows tűzfal automatikusan engedélyezi a bejövő forgalmat a speciális számítógép-kezelő eszközök számára, ha a számítógép egy tartományban van, és blokkolja ugyanezt a forgalmat, ha a számítógép nyilvános vagy magánhálózathoz csatlakozik. Így a hálózati környezet típusának meghatározása biztosítja az Ön védelmét helyi hálózat a mobilfelhasználók biztonságának veszélyeztetése nélkül.

Gyakori problémák a Windows tűzfal Speciális biztonsággal futtatásakor

A Windows tűzfal Speciális biztonsággal futtatása során a következő főbb problémák merülnek fel:

Abban az esetben, ha a forgalom le van tiltva, először ellenőrizze, hogy a tűzfal engedélyezve van-e, és melyik profil aktív. Ha valamelyik alkalmazás blokkolva van, győződjön meg róla, hogy a pillanatban Windows tűzfal fokozott biztonsággal van egy aktív engedélyezési szabály az aktuális profilhoz. Az engedélyezési szabály létezésének ellenőrzéséhez kattintson duplán a csomópontra Megfigyelés, majd válasszon egy szakaszt Tűzfal. Ha ehhez a programhoz nincsenek aktív engedélyezési szabályok, lépjen a csomópontra, és hozzon létre egy új szabályt ehhez a programhoz. Hozzon létre egy szabályt egy programhoz vagy szolgáltatáshoz, vagy adjon meg egy szabálycsoportot, amely erre a szolgáltatásra vonatkozik, és győződjön meg arról, hogy a csoport összes szabálya engedélyezve van.

Ha ellenőrizni szeretné, hogy egy engedélyezési szabályt nem ír-e felül blokkolási szabály, kövesse az alábbi lépéseket:

A szerszámfán Windows tűzfal fokozott biztonsággal kattintson a csomópontra Megfigyelés, majd válasszon egy szakaszt Tűzfal.

Tekintse meg az összes aktív helyi és csoportszabályzat. A szabályok megtagadása felülbírálja az engedélyezési szabályokat, még akkor is, ha az utóbbiak pontosabban vannak meghatározva.

A csoportházirend megakadályozza a helyi szabályok betartatását

Ha a fokozott biztonságú Windows tűzfal csoportházirend segítségével van konfigurálva, a rendszergazda megadhatja, hogy a tűzfalszabályokat vagy a helyi rendszergazdák által létrehozott kapcsolatbiztonsági szabályokat használja-e a rendszer. Ennek akkor van értelme, ha vannak olyan konfigurált helyi tűzfalszabályok vagy kapcsolatbiztonsági szabályok, amelyek nem szerepelnek a megfelelő beállítások részben.

Ha meg szeretné tudni, hogy a helyi tűzfalszabályok vagy a kapcsolatbiztonsági szabályok miért hiányoznak a Monitoring szakaszból, tegye a következőket:

egy pillanat alatt Windows tűzfal fokozott biztonsággal, kattintson a linkre Windows tűzfal tulajdonságai.

Válassza ki az aktív profil lapot.

fejezetben Lehetőségek, nyomja meg a gombot Dallam.

Ha a helyi szabályok érvényesek, szakasz A szabályok kombinálása aktív lesz.

A biztonságos kapcsolatokat megkövetelő szabályok blokkolhatják a forgalmat

Amikor tűzfalszabályt hoz létre a bejövő vagy kimenő forgalomhoz, az egyik lehetőség a következő. Ha kiválasztják adott funkciót, rendelkeznie kell megfelelő kapcsolatbiztonsági szabállyal vagy külön IPSec házirenddel, amely meghatározza, hogy milyen forgalom biztonságos. Ellenkező esetben ez a forgalom le van tiltva.

Ha ellenőrizni szeretné, hogy egy vagy több alkalmazásszabály biztonságos kapcsolatot igényel-e, kövesse az alábbi lépéseket:

A szerszámfán Windows tűzfal fokozott biztonsággal kattintson a szakaszra A bejövő kapcsolatok szabályai. Válassza ki az ellenőrizni kívánt szabályt, és kattintson a hivatkozásra Tulajdonságok a konzol hatókörén belül.

Válassza ki a lapot Tábornokés ellenőrizze, hogy a választógomb értéke ki van-e választva Csak biztonságos kapcsolatokat engedélyezzen.

Ha a paraméter a szabályhoz meg van adva Csak biztonságos kapcsolatokat engedélyezzen, bontsa ki a részt Megfigyelés a beépülő fában, és válassza ki a szakaszt. Győződjön meg arról, hogy a tűzfalszabályban meghatározott forgalom rendelkezik a megfelelő kapcsolatbiztonsági szabályokkal.

Figyelem:

Ha aktív IPSec-házirendje van, győződjön meg arról, hogy a házirend védelmet nyújt szükséges forgalom. Ne hozzon létre kapcsolatbiztonsági szabályokat az IPSec-házirend és a kapcsolatbiztonsági szabályok közötti ütközés elkerülése érdekében.

Nem engedélyezhető a kimenő kapcsolatok

A szerszámfán Windows tűzfal fokozott biztonsággal Válasszon egy szakaszt Megfigyelés. Válassza ki az aktív profil fület és alatta Tűzfal állapota ellenőrizze, hogy az engedélyezési szabálynak nem megfelelő kimenő kapcsolatok engedélyezettek-e.

fejezetben Megfigyelés Válasszon egy szakaszt Tűzfal annak biztosítása érdekében, hogy a szükséges kimenő kapcsolatok ne szerepeljenek a tiltási szabályok között.

A vegyes irányelvek blokkolhatják a forgalmat

A tűzfal és az IPSec beállításait különféle Windows operációs rendszer interfészekkel konfigurálhatja.

Az irányelvek több helyen történő létrehozása konfliktusokhoz és forgalomblokkoláshoz vezethet. A következő beállítási pontok állnak rendelkezésre:

Windows tűzfal fokozott biztonsággal. Ez a házirend a megfelelő beépülő modul segítségével helyileg vagy egy csoportházirend részeként van konfigurálva. Ez a házirend szabályozza a tűzfal és az IPSec beállításait a Windows Vista rendszert futtató számítógépeken.

Windows tűzfal felügyeleti sablon. Ez a házirend a csoportházirend-objektumszerkesztővel van konfigurálva a szakaszban. Ez a felület tartalmazza a Windows tűzfal korábban elérhető beállításait a Windows megjelenése Vista, és a kezelő csoportházirend-objektum konfigurálására szolgál előző verziók Ablakok. Bár ezek a beállítások használhatók futó számítógépekhez Windows vezérlés Vista esetén javasolt a házirend használata helyette Windows tűzfal fokozott biztonsággal mert nagyobb rugalmasságot és biztonságot nyújt. Vegye figyelembe, hogy a tartományprofil-beállítások egy része meg van osztva a Windows tűzfal felügyeleti sablonja és a Windows tűzfal házirendje között. Windows tűzfal fokozott biztonsággal, így itt láthatja a tartományprofilban a beépülő modul segítségével konfigurált beállításokat Windows tűzfal fokozott biztonsággal.

IPSec irányelvek. Ez a házirend a helyi beépülő modul segítségével van konfigurálva IPSec házirend-kezelés vagy a Csoportházirend-objektumszerkesztőben a Számítógép konfigurációja\Windows-beállítások\Biztonsági beállítások\IP-biztonsági házirendek helyi számítógépen alatt. Ez a házirend olyan IPSec-beállításokat határoz meg, amelyeket a Windows és a Windows Vista korábbi verziói is használhatnak. Ne alkalmazza egyszerre ezt a házirendet és a házirendben meghatározott kapcsolatbiztonsági szabályokat ugyanazon a számítógépen. Windows tűzfal fokozott biztonsággal.

Ha meg szeretné tekinteni ezeket a lehetőségeket a megfelelő beépülő modulokban, hozzon létre saját Kezelőkonzol beépülő modult, és adja hozzá a beépülő modulokat Windows tűzfal fokozott biztonsággal, és IP-biztonság.

Saját felügyeleti konzol beépülő modul létrehozásához kövesse az alábbi lépéseket:

Kattintson a gombra Rajt, lépjen a menübe Minden program, majd a menüben Alapértelmezettés válassza ki az elemet Fuss.

Szövegdobozban Nyisd ki BELÉP.

Folytassa.

A menün Konzol válassza ki.

Listázott Elérhető beépülő modulok válasszon egy pillanatot Windows tűzfal fokozott biztonsággalés nyomja meg a gombot Hozzáadás.

Kattintson a gombra rendben.

Kapcsok hozzáadásához ismételje meg az 1–6. lépéseket Csoportházirend-kezelésés IP biztonsági monitor.

Az alábbi eljárással ellenőrizheti, hogy mely házirendek aktívak az aktív profilban:

Az alkalmazott házirendek ellenőrzéséhez kövesse az alábbi lépéseket:

NÁL NÉL parancs sorírja be az mmc-t, és nyomja meg a gombot BELÉP.

Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg a kért műveletet, és kattintson a gombra Folytassa.

A menün Konzol tárgy kiválasztása Snap hozzáadása vagy eltávolítása.

Listázott Elérhető beépülő modulok válasszon egy pillanatot Csoportházirend-kezelésés nyomja meg a gombot Hozzáadás.

Kattintson a gombra rendben.

Bontsa ki a csomópontot a fában (általában az erdő fája, ahol a ez a számítógép), és kattintson duplán a szakaszra a konzol részletes ablakában.

Válassza ki a kapcsoló értékét A következőhöz tartozó házirend-beállítások megjelenítéseértékekből jelenlegi felhasználó vagy egy másik felhasználó. Ha nem szeretné megjeleníteni a házirend-beállításokat a felhasználók számára, hanem csak a számítógép házirend-beállításait, válassza ki a választógomb értékét Ne jelenítse meg a felhasználói szabályzatot (csak a számítógépes szabályzat megtekintése)és kattintson duplán a gombra További.

Kattintson a gombra Kész. A Csoportházirend-eredmények varázsló jelentést hoz létre a konzol részletes ablakában. A jelentés füleket tartalmaz Összegzés, Lehetőségekés Politikai események.

Annak ellenőrzéséhez, hogy nincs-e ütközés az IP-biztonsági szabályzatokkal, a jelentés létrehozása után válassza ki a lehetőséget Lehetőségekés nyissa meg a Számítógép konfigurációja\Windows-beállítások\Biztonsági beállítások\IP-biztonsági beállításokat a Címtárszolgáltatásban Active Directory. Ha az utolsó szakasz hiányzik, akkor nincs beállítva IP biztonsági házirend. Ellenkező esetben megjelenik a házirend neve és leírása, valamint az a csoportházirend-objektum, amelyhez tartozik. Ha egy IP-biztonsági házirendet és egy Windows Firewall with Advanced Security házirendet használ egyidejűleg a kapcsolatbiztonsági szabályokkal, ezek a házirendek ütközhetnek egymással. Javasoljuk, hogy csak az egyik házirendet használja. Az optimális megoldás IP-biztonsági házirendeket fog használni a Windows Firewall Advanced Security szabályokkal együtt a bejövő vagy kimenő forgalomhoz. Ha a beállítások különböző helyeken vannak konfigurálva, és nem konzisztensek egymással, akkor nehezen megoldható házirend-ütközések léphetnek fel.

A helyi csoportházirend-objektumokban meghatározott házirendek és az informatikai részleg által konfigurált szkriptek között is lehetnek ütközések. Ellenőrizze az összes IP biztonsági szabályzatot az IP Security Monitor programmal vagy a következő parancs beírásával a parancssorba:

A Windows tűzfal felügyeleti sablonjában megadott beállítások megtekintéséhez bontsa ki a részt Számítógép konfigurációja\Felügyeleti sablonok\Hálózat\Hálózati kapcsolatok\Windows tűzfal.

Az aktuális szabályzattal kapcsolatos legfrissebb események megtekintéséhez lépjen a lapra politikai események ugyanabban a konzolban.

A Windows tűzfal Speciális biztonsággal által használt házirend megtekintéséhez nyissa meg a beépülő modult a diagnosztizált számítógépen, és tekintse át a beállításokat Megfigyelés.

Az adminisztrációs sablonok megtekintéséhez nyissa meg a beépülő modult Csoportházirendés a szakaszban Csoportházirend eredményei Nézze meg, vannak-e a csoportházirendből örökölt beállítások, amelyek a forgalom elutasítását okozhatják.

Az IP biztonsági házirendek megtekintéséhez nyissa meg az IP Security Monitor beépülő modult. Válassza ki a fán helyi számítógép. A konzol hatókörében válassza ki a hivatkozást Aktív politika, Alapvető mód vagy Gyors mód. Keressen olyan versengő irányelveket, amelyek a forgalom blokkolását eredményezhetik.

fejezetben Megfigyelés csattan Windows tűzfal fokozott biztonsággal Megtekintheti a meglévő helyi és csoportházirend-szabályokat. Megszerzéséért további információ olvassa el a " részt Az óra funkció használata beépülő modulban Windows tűzfal fokozott biztonsággal » e dokumentumból.

Az IPSec Policy Agent leállításához kövesse az alábbi lépéseket:

Kattintson a gombra Rajtés válassza ki a szakaszt Vezérlőpult.

Kattintson az ikonra Rendszer és karbantartásaés válassza ki a szakaszt Adminisztráció.

Kattintson duplán az ikonra Szolgáltatások. Folytassa.

Keressen egy szolgáltatást a listában IPSec Policy Agent

Ha a szolgáltatás IPSec ügynök fut, kattintson rá jobb gombbal, és válassza ki a menüpontot Állj meg. Leállíthatja a szolgáltatást is IPSec ügynök a parancssorból a paranccsal

A peer-to-peer hálózati házirend a forgalom elutasítását okozhatja

Az IPSec-et használó kapcsolatokhoz mindkét számítógépnek kompatibilis IP-biztonsági szabályzattal kell rendelkeznie. Ezeket a házirendeket a Windows Firewall Connection Security Rules beépülő modul segítségével lehet meghatározni IP biztonság vagy más IP-biztonsági szolgáltató.

Az IP biztonsági házirend beállításainak ellenőrzéséhez egyenrangú hálózatban kövesse az alábbi lépéseket:

egy pillanat alatt Windows tűzfal fokozott biztonsággal válasszon csomópontot Megfigyelésés Kapcsolatbiztonsági szabályok hogy megbizonyosodjon arról, hogy a hálózat mindkét gazdagépén be van állítva IP biztonsági házirend.

Ha a peer-to-peer hálózat egyik számítógépén egy korábbi fut Windows verziók mint a Windows Vista esetében, győződjön meg arról, hogy a natív módú titkosítási csomagok legalább egyike és az egyik gyorsmódú titkosítócsomag mindkét gazdagép által támogatott algoritmusokat használ.

1. Kattintson a szakaszra Alapvető mód, a konzol részletes ablakában válassza ki a tesztelni kívánt kapcsolatot, majd kattintson a hivatkozásra Tulajdonságok a konzol hatókörén belül. Tekintse át mindkét csomópont csatlakozási tulajdonságait, hogy megbizonyosodjon arról, hogy kompatibilisek.

   Ismételje meg a 2.1 lépést a szakaszhoz Gyors mód. Tekintse át mindkét csomópont csatlakozási tulajdonságait, hogy megbizonyosodjon arról, hogy kompatibilisek.

Ha Kerberos 5-ös verziójú hitelesítést használ, győződjön meg arról, hogy a gazdagép ugyanabban vagy megbízható tartományban van.

Ha tanúsítványokat használ, győződjön meg arról, hogy a szükséges jelölőnégyzetek be vannak jelölve. Az IPSec Internet Key Exchange (IKE) szolgáltatást használó tanúsítványokhoz digitális aláírásra van szükség. Az Authenticated Internet Protocolt (AuthIP) használó tanúsítványok ügyfélhitelesítést igényelnek (a kiszolgáló hitelesítési típusától függően). Az AuthIP tanúsítványokkal kapcsolatos további információkért tekintse meg a cikket Hitelesített IP a Windows Vista rendszerben AuthIP Windows Vista rendszerben a Microsoft webhelyén.

Nem lehet konfigurálni a Windows tűzfalat speciális biztonsággal

A Windows Firewall with Advanced Security beállítások szürkén jelennek meg a következő esetekben:

A számítógép központilag felügyelt hálózathoz csatlakozik, és a hálózati rendszergazda a csoportházirendek segítségével konfigurálja a Windows tűzfalat speciális biztonsági beállításokkal. Ebben az esetben a csattanó tetején Windows tűzfal fokozott biztonsággal Megjelenik az "Egyes beállításokat a csoportházirend szabályozza" üzenet. A hálózati rendszergazda konfigurálja a házirendet, így megakadályozza, hogy módosítsa a Windows tűzfal beállításait.

A Windows Vista rendszert futtató számítógép nem csatlakozik központilag felügyelt hálózathoz, de a Windows tűzfal beállításait a helyi csoportházirend határozza meg.

A Windows Firewal with Advanced Security beállításainak helyi csoportházirend segítségével történő módosításához használja a Helyi számítógép házirend. A beépülő modul megnyitásához írja be a secpol parancsot a parancssorba. Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg a kért műveletet, és kattintson a gombra Folytassa. Nyissa meg a Számítógép konfigurációja\Windows-beállítások\Biztonsági beállítások\Windows-tűzfal speciális biztonsággal elemet a Windows tűzfal speciális biztonsággal házirend-beállításainak konfigurálásához.

A számítógép nem válaszol a ping kérésekre

A számítógépek közötti kapcsolat tesztelésének fő módja a Ping segédprogram használata egy adott IP-címhez való kapcsolódás tesztelésére. A ping során egy ICMP-visszhang-üzenet (más néven ICMP-visszhang-kérés) kerül elküldésre, és válaszként egy ICMP-visszhang-választ kérünk. A Windows tűzfal alapértelmezés szerint elutasítja a bejövő ICMP-visszhang-üzeneteket, így a számítógép nem tud ICMP-visszhangválaszt küldeni.

Ha engedélyezi a bejövő ICMP visszhangüzeneteket, más számítógépek is pingelni tudják az Ön számítógépét. Másrészt ezzel a számítógépet sebezhetővé teszi az ICMP visszhangüzeneteket használó támadásokkal szemben. Javasoljuk azonban, hogy szükség esetén ideiglenesen engedélyezze, majd tiltsa le a bejövő ICMP visszhangokat.

Az ICMP-visszhang-üzenetek engedélyezéséhez hozzon létre új bejövő szabályokat, amelyek engedélyezik az ICMPv4 és ICMPv6 visszhangkérési csomagokat.

Az ICMPv4 és ICMPv6 echo kérések engedélyezéséhez kövesse az alábbi lépéseket:

A szerszámfán Windows tűzfal fokozott biztonsággal válasszon csomópontot A bejövő kapcsolatok szabályaiés kattintson a linkre új szabály a konzol hatókörében.

Testreszabhatóés nyomja meg a gombot További.

Adja meg a választógomb értékét Minden programés nyomja meg a gombot További.

Csepp protokoll típusa válasszon értéket ICMPv4.

Kattintson a gombra Dallam tételhez ICMP protokoll paraméterei.

Állítsa a rádiógombot állásba Az ICMP bizonyos típusai, jelölje be a négyzetet visszhang kérés, nyomja meg a gombot rendbenés nyomja meg a gombot További.

A megfelelő helyi és távoli IP-címek kiválasztásának szakaszában ezt a szabályt, állítsa be a rádiógombokat értékekre Bármilyen IP-cím vagy Meghatározott IP-címek. Ha az értéket választja Meghatározott IP-címek, adja meg a szükséges IP-címeket, kattintson a gombra Hozzáadásés nyomja meg a gombot További.

Adja meg a választógomb értékét Csatlakozás engedélyezéseés nyomja meg a gombot További.

A profilválasztási szakaszban jelöljön be egy vagy több profilt (domainprofil, privát vagy nyilvános profil), amelyben használni kívánja ezt a szabályt, majd kattintson a gombra. További.

A terepen Névírja be a szabály nevét, és a mezőbe Leírás egy opcionális leírás. Kattintson a gombra Kész.

Ismételje meg a fenti lépéseket az ICMPv6 protokollhoz, és válassza ki a lépésben protokoll típusa legördülő érték ICMPv6 ahelyett ICMPv4.

Ha aktív kapcsolatbiztonsági szabályai vannak, az ICMP ideiglenes kizárása az IPsec-követelményekből segíthet a problémák megoldásában. Ehhez nyissa meg azonnal Windows tűzfal fokozott biztonsággal párbeszédablak Tulajdonságok, lépjen a lapra IPSec beállításokés állítsa be az értéket a legördülő listában Igen paraméterhez Az ICMP kizárása az IPSec-ből.

jegyzet

A Windows tűzfal beállításait csak rendszergazdák és hálózati szolgáltatók módosíthatják.

Nem lehet fájlokat és nyomtatókat megosztani

Ha nem tud kapni általános hozzáférés aktív Windows tűzfallal rendelkező számítógépen lévő fájlokhoz és nyomtatókhoz, győződjön meg arról, hogy az összes csoportszabály engedélyezve van Hozzáférés a fájlokhoz és nyomtatókhoz Windows tűzfal fokozott biztonsággal válasszon csomópontot A bejövő kapcsolatok szabályai Hozzáférés a fájlokhoz és nyomtatókhoz Szabály engedélyezése a konzol hatókörén belül.

Figyelem:

Erősen ajánlott, hogy ne engedélyezze a fájl- és nyomtatómegosztást azokon a számítógépeken, amelyek közvetlenül csatlakoznak az internethez, mivel a támadók megpróbálhatnak hozzáférni a megosztott fájlokhoz, és kárt tehetnek Önben a személyes fájlok sérülésével.

Nem lehet távolról felügyelni a Windows tűzfalat

Ha nem tud távolról felügyelni egy aktív Windows tűzfallal rendelkező számítógépet, győződjön meg arról, hogy az alapértelmezett konfigurált csoport összes szabálya engedélyezve van A Windows tűzfal távirányítója aktív profil. egy pillanat alatt Windows tűzfal fokozott biztonsággal válasszon csomópontot A bejövő kapcsolatok szabályaiés görgessük a szabályok listáját a csoporthoz Távirányító. Győződjön meg arról, hogy ezek a szabályok engedélyezve vannak. Válassza ki az egyes letiltott szabályokat, és kattintson a gombra Szabály engedélyezése a konzol hatókörén belül. Ezenkívül ellenőrizze, hogy az IPSec Policy Agent szolgáltatás engedélyezve van-e. Ez a szolgáltatás szükséges távirányító Windows tűzfal.

Az IPSec Policy Agent futásának ellenőrzéséhez kövesse az alábbi lépéseket:

Kattintson a gombra Rajtés válassza ki a szakaszt Vezérlőpult.

Kattintson az ikonra Rendszer és karbantartásaés válassza ki a szakaszt Adminisztráció.

Kattintson duplán az ikonra Szolgáltatások.

Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, adja meg a szükséges hitelesítő adatokat a megfelelő jogosultságokkal rendelkező felhasználóhoz, majd kattintson a Folytassa.

Keressen egy szolgáltatást a listában IPSec Policy Agentés győződjön meg arról, hogy az állapota „Futó”.

Ha a szolgáltatás IPSec ügynök leállt, kattintson rá jobb gombbal, és válassza ki helyi menü bekezdés Fuss. A szolgáltatást is elindíthatja IPSec ügynök parancssorból a segítségével net parancsok start politikai ügynök.

jegyzet

Alapértelmezett szolgáltatás IPSec Policy Agent elindított. Ez a szolgáltatás működnie kell, hacsak nem manuálisan leállították.

Windows tűzfal hibaelhárítók

Ez a rész a megoldáshoz használt eszközöket és módszereket ismerteti tipikus problémák. Ez a szakasz a következő alszakaszokból áll:

Felügyeleti szolgáltatások használata a Speciális biztonsággal rendelkező Windows tűzfalban

A Windows tűzfallal kapcsolatos problémák megoldásának első lépése az aktuális szabályok megtekintése. Funkció Megfigyelés lehetővé teszi a helyi és csoportházirendek alapján használt szabályok megtekintését. Az aktuális bejövő és kimenő forgalmi szabályok megtekintése a beépülő fában Windows tűzfal fokozott biztonsággal Válasszon egy szakaszt Megfigyelés, majd válasszon egy szakaszt Tűzfal. Ebben a részben az aktuális állapotot is megtekintheti csatlakozásbiztonsági szabályokatés Biztonsági társítások (alap és gyors módok).

Biztonsági auditálás engedélyezése és használata az auditpol parancssori eszközzel

Alapértelmezés szerint az ellenőrzési beállítások le vannak tiltva. Beállításukhoz használja az auditpol.exe parancssori eszközt, amely módosítja a naplózási házirend beállításait a helyi számítógépen. Az auditpol segítségével engedélyezhető vagy letiltható a különböző kategóriájú események megjelenítése és további megtekintésük a beépülő modulban Eseménynéző.

Az auditpol program által támogatott kategóriák listájának megtekintéséhez írja be a parancssorba:

• Ha meg szeretné tekinteni az adott kategóriában (például az Irányelvmódosítás kategóriában) szereplő alkategóriák listáját, írja be a parancssorba:

  auditpol.exe /list /category:"Irányelv módosítása"

• Egy kategória vagy alkategória megjelenítésének engedélyezéséhez írja be a következőt a parancssorba:

  /Alkategória:" NévKategória"

Például egy kategória és annak alkategóriája ellenőrzési szabályzatának beállításához írja be a következő parancsot:

auditpol.exe /set /category:"Irányelv módosítása" /subcategory:"Irányelv módosítása az MPSSVC-szabály szintjén" /success:enable /failure:enable

A politika változása

Házirend módosítása az MPSSVC szabály szintjén

A szűrési platform házirendjének módosítása

Írja be a kijáratot

IPsec alap mód

Gyors IPsec mód

Speciális IPsec mód

Rendszer

IPSec illesztőprogram

Egyéb rendszeresemények

Hozzáférés az objektumokhoz

Csomag eldobása a szűrőplatformon keresztül

A szűrőplatform csatlakoztatása

A biztonsági naplózási szabályzat módosításainak életbe léptetéséhez újra kell indítania a helyi számítógépet, vagy ki kell kényszerítenie a házirend manuális frissítését. A házirend-frissítés kényszerítéséhez írja be a parancssorba:

secedit /refreshpolicy<название_политики>

A diagnosztika befejezése után letilthatja az eseménynaplózást úgy, hogy a fenti parancsokban az enable paramétert a disable-ra cseréli, és újra lefuttatja a parancsokat.

Biztonsági ellenőrzési események megtekintése az eseménynaplóban

A megfigyelés engedélyezése után használja az Eseménynapló beépülő modult a megfigyelési események megtekintéséhez a biztonsági eseménynaplóban.

Az Eseménynapló beépülő moduljának a Felügyeleti eszközök mappában való megnyitásához kövesse az alábbi lépéseket:

1. Kattintson a gombra Rajt.

   Válasszon egy szakaszt Vezérlőpult. Kattintson az ikonra Rendszer és karbantartásaés válassza ki a szakaszt Adminisztráció.

   Kattintson duplán az ikonra Eseménynéző.

Az Eseménynéző beépülő modul MMC-hez adásához kövesse az alábbi lépéseket:

Kattintson a gombra Rajt, lépjen a menübe Minden program, majd a menüben Alapértelmezettés válassza ki az elemet Fuss.

Szövegdobozban Nyisd kiírja be az mmc-t, és nyomja meg a gombot BELÉP.

Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg a kért műveletet, és kattintson a gombra Folytassa.

A menün Konzol tárgy kiválasztása Snap hozzáadása vagy eltávolítása.

Listázott Elérhető beépülő modulok válasszon egy pillanatot Eseménynézőés nyomja meg a gombot Hozzáadás.

Kattintson a gombra rendben.

A beépülő modul bezárása előtt mentse el a konzolt későbbi használatra.

egy pillanat alatt Eseménynéző szakasz bővítése Windows naplók és válassza ki a csomópontot Biztonság. A biztonsági naplózási eseményeket a konzol munkaterületén tekintheti meg. Az összes esemény a konzol munkaterületének tetején jelenik meg. Kattintson az eseményre a konzol munkaterületének tetején a megjelenítéshez részletes információk a panel alján. A lapon Tábornok az események leírását érthető szöveg formájában helyezzük el. A lapon Részletek A következő eseménymegjelenítési lehetőségek állnak rendelkezésre: Világos prezentációés XML mód.

Tűzfalnapló beállítása egy profilhoz

A tűzfalnaplók megtekintése előtt konfigurálnia kell a Windows tűzfalat Speciális biztonsággal a naplófájlok létrehozásához.

A naplózás konfigurálásához speciális biztonsági profillal rendelkező Windows tűzfalhoz, kövesse az alábbi lépéseket:

A szerszámfán Windows tűzfal fokozott biztonsággal Válasszon egy szakaszt Windows tűzfal fokozott biztonsággalés nyomja meg a gombot Tulajdonságok a konzol hatókörén belül.

Válassza ki azt a profillapot, amelyhez be szeretné állítani a naplózást (domain profil, privát profil vagy nyilvános profil), majd kattintson a gombra Dallam fejezetben Fakitermelés.

Adja meg a naplófájl nevét és helyét.

Adja meg a naplófájl maximális méretét (1 és 32767 kilobájt között)

Csepp Az elmulasztott csomagok naplózása adjon meg egy értéket Igen.

Csepp Rögzítse a sikeres kapcsolatokat adjon meg egy értéket Igen majd kattintson a gombra rendben.

A tűzfal naplófájljainak megtekintése

Nyissa meg az előző eljárás során megadott fájlt, „A profil tűzfalnaplójának konfigurálása”. A tűzfalnapló eléréséhez helyi rendszergazdai jogokkal kell rendelkeznie.

A naplófájlt megtekintheti a Jegyzettömbbel vagy bármilyen szövegszerkesztővel.

A tűzfal naplófájljainak elemzése

A naplózott információk a következő táblázatban láthatók. Egyes adatok csak bizonyos protokollokhoz (TCP zászlók, ICMP típus és kód stb.) vannak megadva, egyes adatok pedig csak eldobott csomagokhoz (méret) vannak megadva.

jegyzet

Kötőjelet (-) használunk az aktuális rekord olyan mezőiben, amelyek nem tartalmaznak információt.

Netstat és feladatlista szövegfájlok létrehozása

Létrehozhat két egyéni naplófájlt, az egyiket a hálózati statisztikák (az összes figyelőport listája), a másik pedig a szolgáltatások és alkalmazások feladatlistáinak megtekintéséhez. A feladatlista tartalmazza a folyamatazonosítót (folyamatazonosító, PID) a hálózati statisztikai fájlban található eseményekhez. A két fájl létrehozásának eljárását az alábbiakban ismertetjük.

Az alkotáshoz szöveges fájlok hálózati statisztikák és feladatlista végezze el a következőket:

A parancssorba írja be netstat -ano > netstat.txtés nyomja meg a gombot BELÉP.

A parancssorba írja be feladatlista > feladatlista.txtés nyomja meg a gombot BELÉP. Ha szöveges fájlt szeretne létrehozni a szolgáltatások listájával, írja be feladatlista /svc > tasklist.txt.

Nyissa meg a tasklist.txt és netstat.txt fájlokat.

Keresse meg a diagnosztizálandó folyamat azonosítóját a tasklist.txt fájlban, és hasonlítsa össze a netstat.txt fájlban található értékkel. Jegyezze fel a használt protokollokat.

Példa Tasklist.txt és Netstat.txt fájlok kiadására

netstat.txt
Proto Helyi cím Külföldi cím Állapot PID
TCP 0.0.0.0:XXX 0.0.0.0:0 HALLGATÁS 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 HALLGATÁS 322
Tasklist.txt
Kép neve PID munkamenet neve Session# Mem Usage
==================== ======== ================ =========== ============
svchost.exe 122 Szolgáltatások 0 7,172 K
XzzRpc.exe 322 Szolgáltatások 0 5,104 K

jegyzet

A valódi IP-címek "X"-re, az RPC-szolgáltatás pedig "z"-re változott.

Győződjön meg arról, hogy az alapvető szolgáltatások futnak

A következő szolgáltatásoknak futniuk kell:

Alapvető szűrési szolgáltatás

Csoportházirend-ügyfél

IPsec kulcsmodulok az internetes kulcscseréhez és a hitelesített IP-címhez

IP Helper szolgáltatás

IPSec Policy Agent szolgáltatás

Hálózati helyszolgáltatás

Hálózati lista szolgáltatás

Windows tűzfal

A Szolgáltatások beépülő modul megnyitásához és a szükséges szolgáltatások futásának ellenőrzéséhez kövesse az alábbi lépéseket:

Kattintson a gombra Rajtés válassza ki a szakaszt Vezérlőpult.

Kattintson az ikonra Rendszer és karbantartásaés válassza ki a szakaszt Adminisztráció.

Kattintson duplán az ikonra Szolgáltatások.

Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, adja meg a szükséges hitelesítő adatokat a megfelelő jogosultságokkal rendelkező felhasználóhoz, majd kattintson a Folytassa.

Győződjön meg arról, hogy a fent felsorolt ​​szolgáltatások futnak. Ha egy vagy több szolgáltatás nem fut, kattintson a jobb gombbal a szolgáltatás nevére a listában, és válassza ki a parancsot Fuss.

A problémák megoldásának további módja

Végső megoldásként visszaállíthatja a Windows tűzfal alapértelmezett beállításait. Az alapértelmezett beállítások visszaállítása elveszíti a Windows Vista telepítése óta végzett összes beállítást. Emiatt egyes programok leállhatnak. Ezenkívül, ha távolról kezeli a számítógépet, a kapcsolat megszakad.

Az alapértelmezett beállítások visszaállítása előtt győződjön meg arról, hogy elmenti az aktuális tűzfalkonfigurációt. Ez lehetővé teszi a beállítások visszaállítását, ha szükséges.

A tűzfalkonfiguráció mentésének és az alapértelmezett beállítások visszaállításának lépései az alábbiakban találhatók.

Az aktuális tűzfalkonfiguráció mentéséhez tegye a következőket:

egy pillanat alatt Windows tűzfal fokozott biztonsággal kattintson a linkre Exportpolitika a konzol hatókörén belül.

Az alapértelmezett tűzfalbeállítások visszaállításához tegye a következőket:

egy pillanat alatt Windows tűzfal fokozott biztonsággal kattintson a linkre Alapértelmezések visszaállítása a konzol hatókörén belül.

Amikor a Windows Firewall with Advanced Security kéri, kattintson a gombra Igen az alapértelmezett értékek visszaállításához.

Következtetés

Számos módja van a Windows tűzfal Speciális biztonsággal problémáinak diagnosztizálására és megoldására. Közöttük:

Funkcióhasználat Megfigyelés a tűzfaltevékenység, a kapcsolatbiztonsági szabályok és a biztonsági társítások megtekintéséhez.

A Windows tűzfalhoz kapcsolódó biztonsági ellenőrzési események elemzése.

Szöveges fájlok létrehozása feladat listaés netstatösszehasonlító elemzéshez.

A Server 2008-tól és a Vista-tól kezdve a WFP-mechanizmus beépült a Windowsba,
amely API és rendszerszolgáltatások halmaza. Ezzel lehetségessé vált
kapcsolatok letiltása és engedélyezése, egyedi csomagok kezelése. Ezek
az újítások célja a különféle fejlesztők életét volt egyszerűsíteni
védelem A hálózati architektúrán végrehajtott változtatások egyaránt érintették a kernel módot és a
és a rendszer felhasználói módú részei. Az első esetben a szükséges függvények exportálásra kerülnek
fwpkclnt.sys, a másodikban - fwpuclnt.dll ("k" és "u" betűk a könyvtárak nevében
a kernel és a felhasználó rövidítése). Ebben a cikkben a felhasználásról fogunk beszélni
WFP a forgalom elfogására és szűrésére, valamint az alapokkal való megismerkedést követően
A WFP definícióival és lehetőségeivel megírjuk a saját egyszerű szűrőnket.

Alapfogalmak

A kódolás megkezdése előtt feltétlenül meg kell ismerkednünk a terminológiával
Microsoft - és a cikk megértéséhez hasznos lesz, és további irodalom
könnyebb lesz olvasni :) Akkor gyerünk.

Osztályozás- a csomaggal való teendők meghatározásának folyamata.
A lehetséges műveletek közül: kiemelés engedélyezése, blokkolása vagy meghívása.

Feliratok a járművezetőben az ellenőrzést végző funkciók halmaza
csomagokat. Különleges funkciójuk van, amely a csomagok osztályozását végzi. Ez
a függvény a következő döntést hozhatja:

• engedélyezés(FWP_ACTION_PERMIT);
• blokk(FWP_ACTION_BLOCK);
• a feldolgozás folytatása;
• több adat kérése;
• szakítsa meg a kapcsolatot.

Szűrők- szabályok, amelyek meghatározzák, hogy mikor kell hívni
ezt vagy azt a feliratot. Egy járművezetőnek több felirata is lehet, és
ebben a cikkben egy kiemelő illesztőprogram fejlesztésével foglalkozunk. Apropó, színezők
vannak beépítettek is, például NAT-kiemelés.

réteg olyan funkció, amellyel különböző szűrőket kombinálnak (vagy
ahogy az MSDN-ben mondják, "container").

Valójában a Microsoft dokumentációja meglehetősen homályosnak tűnik
nem tudod megnézni a példákat a WDK-ban. Ezért, ha hirtelen úgy dönt, hogy fejleszt valamit
Komolyan, mindenképp nézd meg őket. Hát most sima
menjünk tovább a gyakorlásra. A sikeres fordításhoz és tesztekhez szüksége lesz a WDK-ra (Windows
Driver Kit), VmWare, Virtuális gép telepített Vista és WinDbg hibakeresővel.
Ami a WDK-t illeti, nekem személy szerint a 7600.16385.0 verzió van telepítve - minden megvan
szükséges lib-ek (mivel illesztőprogramot fogunk fejleszteni, csak a
fwpkclnt.lib és ntoskrnl.lib) és WFP példák. Linkek az egészhez
Az eszközöket már többször idéztük, ezért nem ismételjük magunkat.

Kódolás

A kiemelés inicializálásához a BlInitialize függvényt írtam. Általános algoritmus
A kiemelés létrehozása és a szűrő hozzáadása a következő:

1. FWPMENGINEOPEN0 elvégzi a foglalkozás megnyitóját;
2. FWPMTRANSACTIONBEGIN0- a működés megkezdése a WFP-vel;
3. FWPSCALLOUTREGISTER0- új felirat létrehozása;
4. FWPMCALLOUTADD0- kiemelő objektum hozzáadása a rendszerhez;
5. FWPMFILTERADD0- új szűrő(k) hozzáadása;
6. FWPMTRANSACTIONCOMMIT0- változtatások mentése (hozzáadva
   szűrők).

Vegye figyelembe, hogy a függvények 0-ra végződnek. Windows 7 rendszerben ezek közül néhány
A funkciók megváltoztak, például megjelent az FwpsCalloutRegister1 (amikor
mentve FwpsCalloutRegister0). Az érvek különböznek egymástól, és ennek eredményeként
osztályozó függvények prototípusai, de számunkra ez most nem számít - 0-függvények
egyetemes.

Az FwpmEngineOpen0 és a FwpmTransactionBegin0 nem érdekel minket különösebben – ezek
előkészítő szakasz. A móka a funkcióval kezdődik
FwpsCalloutRegister0:

FwpsCalloutRegister0 prototípus

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *kiemelés,
__out_opt UINT32 *calloutId
);

Már mondtam, hogy a kiírás egy függvénykészlet, most itt az ideje
beszélj róla részletesebben. Az FWPS_CALLOUT0 szerkezet három mutatót tartalmaz
funkciók - osztályozó (classifyFn) és két értesítő (about
szűrő hozzáadása/eltávolítása (notifyFn) és a feldolgozott adatfolyam bezárása (flowDeleteFn)).
Az első két függvény kötelező, az utolsó csak akkor szükséges
magukat a csomagokat szeretné figyelni, nem csak a kapcsolatokat. Szerkezetében is
tartalmazott egyedi azonosító, Kiemelés GUID (calloutKey).

kiemelés regisztrációs kódja

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// osztályozó függvény
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// szűrő hozzáadásával/eltávolításával kapcsolatos értesítés
// új kiemelés létrehozása
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

WINAPI DWORD FwpmCalloutAdd0(
__in HANDLE engineHandle,
__in const FWPM_CALLOUT0 *kiemelés,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struktúra FWPM_CALLOUT0_(
calloutKey GUID;
FWPM_DISPLAY_DATA0 displayData; // kiemelés leírása
UINT32 zászlók;
GUID *providerKey;
FWP_BYTE_BLOB szolgáltatóData;
ApplicationLayer GUID;
UINT32 calloutId;
) FWPM_CALLOUT0;

Az FWPM_CALLOUT0 struktúrában az ApplicationLayer mező érdekel minket - egyedi
annak a szintnek az azonosítója, amelyhez a felirat hozzá lett adva. A mi esetünkben ez
FWPM_LAYER_ALE_AUTH_CONNECT_V4. Az azonosító nevében szereplő "v4" a verziót jelenti
Ipv4 protokoll, az Ipv6-hoz is létezik FWPM_LAYER_ALE_AUTH_CONNECT_V6. Figyelembe véve
Jelenleg alacsony az Ipv6 prevalenciája, csak ezzel fogunk dolgozni
ipv4. A CONNECT a névben azt jelenti, hogy csak a telepítést irányítjuk
kapcsolat, szó sincs bejövő és kimenő csomagokról erre a címre! Általában
sok szint van az általunk használton kívül - ezek a fejlécfájlban vannak deklarálva
fwpmk.h a WDK-tól.

Kijelző objektum hozzáadása a rendszerhez

// kiemelés neve
displayData.name = L"Blocker Callout";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// kiemelés leírása
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Tehát miután a kiemelést sikeresen hozzáadta a rendszerhez, létre kell hoznia
szűrőt, azaz adja meg, hogy mely esetekben hívja meg a kiírásunkat, mégpedig
- osztályozó funkciója. Az új szűrőt az FwpmFilterAdd0 függvény hozza létre,
amelyhez az FWPM_FILTER0 struktúra argumentumként kerül átadásra.

A FWPM_FILTER0 egy vagy több FWPM_FILTER_CONDITION0 struktúrát tartalmaz (a
a számot a numFilterConditions mező határozza meg). A layerKey mezőt egy GUID tölti ki
réteg (réteg), amelyhez csatlakozni szeretnénk. Ebben az esetben megadjuk
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Most nézzük meg közelebbről az FWPM_FILTER_CONDITION0 kitöltését. Először is, be
a fieldKey mezőben kifejezetten meg kell adni, hogy mit akarunk szabályozni - port, cím,
alkalmazás vagy valami más. Ebben az esetben WPM_CONDITION_IP_REMOTE_ADDRESS
közli a rendszerrel, hogy érdeklődünk egy IP-cím iránt. A fieldKey értéke határozza meg
milyen típusú értékek lesznek a benne foglalt FWP_CONDITION_VALUE struktúrában
FWPM_FILTER_CONDITION0. Ebben az esetben ipv4 címet tartalmaz. Gyerünk
messzebb. A matchType mező határozza meg az összehasonlítás módját.
értékeket FWP_CONDITION_VALUE-ban a hálózaton keresztül érkezővel. Itt sok lehetőség van:
megadhatja az FWP_MATCH_EQUAL-t, ami azt jelenti, hogy teljes egyezést jelent a feltétellel, és
akkor - FWP_MATCH_NOT_EQUAL, vagyis valójában ezt is hozzáadhatjuk
így szűrve a kivételt (cím, amelyhez a kapcsolat nincs nyomon követve).
Vannak még FWP_MATCH_GREATER, FWP_MATCH_LESS és mások opciók (lásd a felsorolást
FWP_MATCH_TYPE). Ebben az esetben van FWP_MATCH_EQUAL.

Nem sokat törődtem, és csak egy blokkoló feltételt írtam
egy kiválasztott IP-címet. Abban az esetben, ha valamelyik alkalmazás megpróbálja
kapcsolatot létesít a kiválasztott címmel, akkor a rendszer meghív egy osztályozót
kiemelő funkciónk. Az elmondottakat összefoglaló kód a címen látható
Lásd a "Szűrő hozzáadása a rendszerhez" oldalsávot.

Szűrő hozzáadása a rendszerhez

filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker Callout";
filter.displayData.description = L"Blocker Callout";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// egy szűrőfeltétel
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // automatikus súly.
// szűrő hozzáadása a távoli címhez
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// szűrő hozzáadása
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);

Általában természetesen sok szűrési feltétel lehet. Például megteheti
blokkoló kapcsolatok megadása egy adott távoli vagy helyi porthoz (FWPM_CONDITION_IP_REMOTE_PORT
és FWPM_CONDITION_IP_LOCAL_PORT). Minden csomagot elkaphat
konkrét protokoll vagy alkalmazás. És ez még nem minden! Tud,
például blokkolja egy adott felhasználó forgalmát. Általában van hol
kóborol.

Azonban vissza a szűrőhöz. Az osztályozó függvény esetünkben egyszerűen
blokkolja a kapcsolatot a megadott címre (BLOCKED_IP_ADDRESS), visszatérve
FWP_ACTION_BLOCK:

Osztályozó funkciókódunk

void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* inMetaValues,
VOID* csomag, IN const FWPS_FILTER* szűrő,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// töltse ki az FWPS_CLASSIFY_OUT0 struktúrát
if(classifyOut)( // blokkolja a csomagot
classifyOut->actionType =
FWP_ACTION_BLOCK;
// csomag blokkolásakor szüksége van
visszaállítása FWPS_RIGHT_ACTION_WRITE
classifyOut->jogok&=~FWPS_RIGHT_ACTION_WRITE;
}
}

A gyakorlatban az osztályozási függvény beállíthatja az FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE stb.

És végül az illesztőprogram eltávolításakor el kell távolítania az összes telepített fájlt
callouts (találd ki, mi történik, ha a rendszer megpróbálja hívni a kiírást
kirakott driver? Így van, BSOD). Erre van egy funkció
FwpsCalloutUnregisterById. Paraméterként egy 32 bites paramétert ad át.
az FwpsCalloutRegister függvény által visszaadott kiemelési azonosító.

A felirat kitöltése

NTSTATUS BlUninitialize()(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
return ns;
}

Mint látható, a WFP szűrő programozása nem olyan nehéz feladat, mert
Az MS egy nagyon praktikus API-t biztosított számunkra. A mi esetünkben egyébként beállítjuk
szűrő a driverben, de a usermod-ból is megtehető! Például egy minta a wdk-ből
Az msnmntr (MSN Messenger forgalomfigyelő) pont ezt teszi – lehetővé teszi, hogy ne
túlterheli a szűrő kernel módú részét.

Az Ön GUID-je

A kiemelés regisztrálásához egyedi azonosítóra van szüksége. Nak nek
szerezze be a GUID-jét (globálisan egyedi azonosító), használja a mellékelt guidgen.exe fájlt
ban ben vizuális Stúdió. Az eszköz a (VS_Path)\Common7\Tools mappában található. Ütközés valószínűsége
nagyon kicsi, mivel a GUID 128 bit hosszú, és 2^128 áll rendelkezésre
azonosítók.

Szűrő hibakeresés

A tűzifa hibakereséséhez kényelmes a Windbg + VmWare csomag használata. Ehhez kell
konfigurálja mind a vendégrendszert (amelynek formájában a Vista működik), mind a hibakeresőt
windbg. Ha a WinXP-nek szerkesztenie kellett a boot.ini fájlt a távoli hibakereséshez, akkor
A Vista+-hoz van bcdedit konzol segédprogram. A szokásos módon engedélyeznie kell a hibakeresést:

BCDedit /dbgsettings SOROS DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
BE (vagy BCDedit / set debug ON)

Most minden készen áll! Elindítunk egy kötegfájlt a következő szöveggel:

start windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

és nézze meg a hibakeresési kimenetet a windbg ablakban (lásd a képet).

Következtetés

Mint látható, a WFP hatóköre meglehetősen széles. Te döntöd el, hogyan
alkalmazza ezt a tudást - rosszra vagy jóra 🙂

Tűzfal (tűzfal vagy tűzfal) A Windows nem parancsol tiszteletet. Kicsit változtatva XP-ről Vistára, jól teszi a dolgát, de hiányzik belőle az ambíció, hogy a legjobb személyi tűzfal legyen. Azonban annak ellenére, hogy a Windows 7 tűzfal több újdonságot is kapott, mégsem azt kapta, amit vártam benne.

Hanging with HomeGroup

Alatt Windows telepítés 7 egy „otthoni csoport” létrehozását javasolja. Ahogy egyre több Windows 7 számítógépet fedeznek fel a hálózaton, a rendszer felkéri őket, hogy csatlakozzanak a csoporthoz. Ehhez pedig csak egy jelszóra van szükségük. Egy Windows 7 operációs rendszert futtató számítógépen azonban nem láttam a másik számítógépcsoportba való bejelentkezés folyamatát, bár nem ártana egy értesítés erről. Bár bármely Windows 7 rendszerű számítógép csatlakozhat otthoni csoporthoz, a Windows 7 Home Basic és Windows 7 Starter számítógépek nem hozhatók létre.

Az ugyanabban az otthoni csoportban lévő számítógépek megoszthatnak (vagy, ahogy mondják, „megoszthatják”) a nyomtatókat és bizonyos fájlkönyvtárakat. Alapértelmezés szerint a képek, zenék, videók és dokumentumok könyvtárai meg vannak osztva, de a felhasználó saját belátása szerint korlátozhatja ezeket. Az operációs rendszer súgója világos magyarázatot ad arra vonatkozóan, hogyan lehet kizárni egy fájlt vagy mappát a megosztásból, illetve hogyan teheti csak olvashatóvá, illetve hogyan korlátozhatja a hozzáférést.

Az övében otthoni hálózat a felhasználó megoszthatja tartalmát más számítógépekkel és eszközökkel, sőt nem Windows 7-es számítógépekkel, sőt egyáltalán nem számítógépekkel is. A Microsoft különösen arra mutatott példákat, hogyan lehet tartalmat megosztani az Xbox 360-hoz. A cég azonban nem ajánlja fel a Wii hálózathoz való csatlakoztatását. Sajnos a cég nem minősítette a Wii-t streaming médiaeszköznek.

Tehát mennyivel biztonságosabb az otthoni hálózat a Windows 7 rendszerben? Általában azok a felhasználók, akik nem osztanak meg fájlokat és mappákat, elkezdenek letiltani mindent, beleértve a fájlfalat, a víruskeresőt stb., amelyek véleményük szerint zavarhatják ezt a folyamatot. Ugyanakkor, ha egyszerűvé teszi a megosztást, akkor elkerülhető, hogy mindent leállítson.

Ha a Vista a hálózatokat nyilvános (nyilvános) és privát (Private) részekre osztja, akkor a Windows 7 a magánhálózatot otthoni (Otthon) és munkahelyi (Work) részre osztja. A HomeGroup csak akkor érhető el, ha otthoni hálózatot választ. A számítógép azonban még munkahelyi hálózaton is képes látni és csatlakozni a rajta lévő többi eszközhöz. Nyilvános hálózaton (például vezeték nélküli internetkávézóban) viszont a Windows 7 az Ön biztonsága érdekében blokkolja a hozzáférést Önhöz és Öntől más eszközökhöz. Ez egy kicsi, de jó lehetőség.

Kettős módú tűzfal

Vistában és XP-ben a tűzfal kezelése olyan egyszerű, mint a be- és kikapcsolása. Ugyanazon a Windows idő A 7 különböző konfigurációs beállításokat kínál a felhasználónak a magán (otthoni és munkahelyi) és nyilvános hálózatokhoz. Ugyanakkor a felhasználónak nem kell megadnia a tűzfal beállításait, ha például egy helyi kávézóban szeretne dolgozni. Neki elég választani nyilvános hálózat, és maga a tűzfal fogja alkalmazni a korlátozó paraméterek teljes készletét. Valószínűleg a felhasználók úgy konfigurálják a nyilvános hálózatot, hogy blokkolják az összes bejövő kapcsolatot. Vistában ez nem lehetséges anélkül, hogy a felhasználó saját hálózatán ne vágja le az összes bejövő forgalmat.

Egyes felhasználók nem értik, miért van szükség tűzfalra. Ha az UAC működik, nem túlzás a tűzfal? Valójában ezek a programok nagyon különböző célokat szolgálnak. Az UAC nyomon követi a programokat és azok munkáját helyi rendszer. A tűzfal viszont szorosan figyel a bejövő és kimenő adatokra. Ha úgy képzeled el ezt a két programot, mint két hős, akik egymásnak háttal állnak, és visszaverik a zombitámadásokat, akkor szinte azt mondhatod, hogy nem hibázhatsz.

Eleinte kíváncsi voltam új lehetőség„Értesítést kérek, ha a Windows tűzfal blokkol új program". Nem annak a jele, hogy a Windows tűzfal átvette a programok irányítását, és igazi kétirányú tűzfallá vált? Felemésztett a vágy, hogy kikapcsoljam ezt a funkciót. Ennek eredményeként a Windows tűzfal nem kapott nagyobb tiszteletet, mint amilyen volt.

Tíz év telt el azóta, hogy a ZoneLabs népszerűsítette a kétirányú személyi tűzfalat. A ZoneAlarm programja elrejtette az összes számítógép portot (amire a Windows tűzfal képes), és lehetővé tette a programok internethez való hozzáférésének szabályozását is (a Windows tűzfal ezt továbbra sem tudja megtenni). Nincs szükségem a program viselkedésének intelligens megfigyelésére, mint például a Nortonnál internet biztonság 2010 és egyéb csomagok. De remélem, hogy a Windows 8 megjelenéséig a Microsoft továbbra is beépíti a tűzfalába egy évtizedes ZoneAlarm funkciót.

A Microsoft jól tudja, hogy sok felhasználó harmadik féltől származó tűzfalakat és biztonsági csomagokat telepít, és egyszerűen letiltja a Windows tűzfalat. Korábban sok harmadik féltől származó biztonsági program automatikusan letiltotta a Windows tűzfalat az ütközések elkerülése érdekében. A Windows 7 rendszerben a Microsoft ezt maga csinálta. Az általa ismert tűzfal telepítésekor az operációs rendszer letiltja a beépített tűzfalát, és azt jelenti, hogy "a tűzfal beállításait ilyen-olyan gyártó ilyen-olyan programja szabályozza".

Akár használja, akár nem, a Windows tűzfal minden Windows 7-ben megtalálható, mélyreható integrációval operációs rendszer. Tehát nem lenne jobb, ha a harmadik féltől származó biztonsági alkalmazások saját céljaikra használhatnák a Windows fájlfalat? Ez az ötlet a Windows Filtering Platform nevű programozási felület mögött rejlik. De a fejlesztők használni fogják? Erről bővebben a következő részben.

Windows 7 biztonság: Windows szűrőplatform – Windows szűrőplatform

A tűzfalaknak nagyon alacsony szinten kell működniük a Windows 7 rendszerrel, amit a Microsoft programozói kifejezetten utálnak. Egyes Microsoft-technológiák, például a PatchGuard, amelyek a Windows 7 64 bites kiadásaiban találhatók (a 64 bites Windows 7 számos biztonsági előnnyel rendelkezik a 32 bites Windows 7-hez képest), blokkolja a behatolókat, és megvédi a kernelt a hozzáféréstől. Ennek ellenére a Microsoft nem nyújt ugyanolyan szintű biztonságot, mint a harmadik féltől származó programok. Szóval mit kéne tenni?

A probléma megoldása a Windows Filtering Platform (WFP). Ez utóbbi a Microsoft szerint lehetővé teszi, hogy a harmadik féltől származó tűzfalak kulcson alapuljanak ablakok jellemzői Tűzfal – lehetővé teszi, hogy egyéni funkciókat adjon hozzájuk, és szelektíven engedélyezze vagy letiltja a Windows tűzfal egyes részeit. Ennek eredményeként a felhasználó választhat egy tűzfalat, amely a Windows tűzfallal együtt működik.

De mennyire hasznos ez valójában a biztonsági szoftverfejlesztők számára? Használják? Több embert megkérdeztem, és sok választ kaptam.

BitDefender LLC

Iulian Costache termékfejlesztési menedzser kijelentette, hogy cége jelenleg Windows 7-en futtatja a platformot. Azonban jelentős memóriaszivárgásba ütköztek. A hiba a Microsoft oldalán van, ezt már a legnagyobb szoftveróriás is megerősítette. Julian azonban nem tudja, mikor oldják meg. Időközben ideiglenesen lecserélték az új WFP drivert a régi TDI-re.

Check Point Software Technologies Ltd

Mirka Janus, a Check Point Software Technologies Ltd PR-menedzsere elmondta, hogy cége a Vista óta használja a WFP-t. Windows 7 alatt is használják a platformot, jó, jól támogatott felület, de minden rosszindulatú program vagy inkompatibilis illesztőprogram veszélyes lehet az arra építő biztonsági termékekre. A ZoneAlarm mindig is két rétegre – rétegre – támaszkodott hálózati kapcsolatokés kötegszint. A Vista óta a Microsoft a WFP-t kínálja a hálózati kapcsolatok szűrésének támogatott módjaként. A Windows 7 SP1-től kezdve a Microsoftnak meg kell tanítania a WFP-t a csomagszűrés engedélyezésére.

„A támogatott API-k használata jobb stabilitást és kevesebb BSOD-t jelent. Sok illesztőprogram regisztrálható, és minden illesztőprogram-fejlesztőnek nem kell aggódnia a másokkal való kompatibilitás miatt. Ha egy illesztőprogramot mondjuk blokkolnak, akkor egyetlen más regisztrált illesztőprogram sem tudja megkerülni ezt a blokkolást. Másrészt az inkompatibilis illesztőprogramok problémát okozhatnak, megkerülve az összes többi regisztrált illesztőprogramot. Nem hagyatkozunk egyedül a WFP-re a hálózat biztonsága érdekében.”

F-Secure Corporation

Mikko Hypponen, az F-Secure Corporation vezető kutatója kijelentette, hogy a WFP valamilyen oknál fogva soha nem értette meg a biztonsági szoftverfejlesztőket. Ugyanakkor a cége már jó ideje használta a WFP-t, és elégedett volt vele.

McAfee Inc.

A vezető építész, McAfee Ahmed Sallam (Ahmed Sallam) viszont azt mondta, hogy a WFP erősebb és rugalmasabb hálózati szűrőfelület, mint az előző NDIS-en alapuló interfész. A McAfee széles körben használja a WFP-t biztonsági termékeiben.

Ugyanakkor annak ellenére, hogy a WFP rendelkezik pozitív tulajdonságokkal, a kiberbűnözők is kihasználhatják a platform előnyeit. A platform lehetővé teheti a rosszindulatú programok belépését a hálózati réteg veremébe Windows kernel. Ezért 64 bites Windows illesztőprogramok kernel szinten kell lennie digitális aláírások hogy megvédje a kernelt a beletöltéstől rosszindulatú. A 32 bites verziókban azonban nincs szükség digitális aláírásra.

Igen, elméletben a digitális aláírás ésszerű védekezési mechanizmus, de a valóságban a rosszindulatú programok szerzői továbbra is megszerezhetik őket.

panda biztonság

A Panda Security szóvivője, Pedro Bustamante elmondta, hogy cége figyeli a WFP platformot, de jelenleg nem használja. A vállalat úgy véli, hogy a WFP fő hátrányai egyrészt az, hogy képtelenség olyan technológiát létrehozni, amely különféle technikákat kombinálna a védelem maximalizálása érdekében. A technológia hiábavaló, ha a cég nem tudja megnézni a gépbe érkező és kimenő csomagokat. Más védelmi technológiák érzékelőjeként is kell működnie. Ezen funkciók egyikét sem biztosítja a WFP. Másodszor, a WFP-t csak a Vista és az újabb operációs rendszerek támogatják. A platform nem kompatibilis visszafelé. Harmadszor pedig a WFP eléggé új platform, és a cég inkább a régebbi és bevált technológiákra támaszkodik.

Symantec Corp.

A Symantec fogyasztói termékek kezeléséért felelős igazgatója, Dan Nadir elmondta, hogy a WFP-t még nem használják termékeikben annak viszonylagos újszerűsége miatt. Idővel azonban a cég azt tervezi, hogy áttér rá, mert. a régi interfészek, amelyekre most támaszkodnak, nem fogják tudni biztosítani a szükséges teljes funkcionalitást. A WFP-t jó platformnak tartják, mert kifejezetten úgy lett kialakítva, hogy interoperabilitást biztosítson számos harmadik féltől származó szoftver között. Elvileg a jövőben még kevesebb kompatibilitási problémával kell szembenéznie a platformnak. A WFP azért is jó, mert integrálva van a Microsoft Network Diagnostic Framework rendszerrel. Ez rendkívül hasznos, mivel nagyban megkönnyíti a hálózati forgalmat akadályozó konkrét programok keresését. Végül a WFP-nek az operációs rendszer teljesítményének és stabilitásának javulását kell eredményeznie, mint pl a platform elkerüli az emulációt és az illesztőprogram-ütközést vagy a stabilitási problémákat.

Másrészt azonban Nadir szerint a WFP előidézhet bizonyos problémákat, amelyek bármilyen struktúrában léteznek - a WFP-re támaszkodó fejlesztők nem tudják bezárni magán a WFP-n belüli sebezhetőségeket, és nem bővíthetik ki a WFP által kínált speciális funkciókat. Ezenkívül, ha sok program támaszkodik a WFP-re, akkor a rosszindulatú programok készítői elméletileg megpróbálhatják magát a WFP-t megtámadni.

TrendMicro Inc.

A Trend Micro Inc. kutatási igazgatója. Dale Liao elmondta, hogy a platform legnagyobb előnye az operációs rendszerrel való kompatibilitás. A szabványos tűzfal is hasznos. Így most arra koncentrálhatnak, ami igazán számít a felhasználó számára. A WFP-ben az a rossz, hogy ha hibát találnak a platformon, a cégnek meg kell várnia, amíg a Microsoft kijavítja.

WFP: Következtetés

Ennek eredményeként az általam megkérdezett biztonsági szoftverfejlesztők többsége már WFP-t használ. Igaz, néhány párhuzamosan más technológiákkal. Kedvelik az átjárhatóságot, szeretik a platform dokumentált és hivatalos jellegét, valamint működésének feltételezett stabilitását. Másrészt, ha minden fejlesztő a WFP-re támaszkodik, akkor a platform potenciálisan mindenki számára sebezhető ponttá válhat. És a Microsoftra kell hagyatkozniuk a javításban. Ráadásul a platform még nem kínál csomagszintű szűrést.

A WFP nagy hátránya az is, hogy Windows XP alatt nem érhető el. Ezért azoknak a fejlesztőknek, akik támogatni akarják az XP-t, két párhuzamos projektet kell futtatniuk. Azonban ahogy az XP kikerül a piacról, úgy gondolom, hogy a WFP egyre népszerűbb lesz a fejlesztők körében.