Platforma de filtrare Windows a blocat pachetul. Paravan de protecție Windows cu securitate avansată - Diagnosticați și rezolvați problemele. Computerul nu răspunde la solicitările ping

Complet-in Consola de gestionare a sistemului de operare (MMC). Windows Vista™ este un firewall de stare de rețea pentru stațiile de lucru care filtrează conexiunile de intrare și de ieșire în funcție de setările specificate. Acum puteți configura setările pentru firewall și IPsec folosind un singur snap-in. Acest articol descrie cum funcționează Windows Firewall cu securitate avansată, problemele comune și soluțiile.

Cum funcționează Windows Firewall cu securitate avansată

Windows Firewall cu Advanced Security este un firewall de înregistrare a stării rețelei pentru stațiile de lucru. Spre deosebire de firewall-urile de ruter, care sunt implementate la gateway-ul dintre rețeaua locală și Internet, Windows Firewall este proiectat să ruleze pe computere individuale. Acesta monitorizează numai traficul stației de lucru: traficul care intră către adresa IP a acelui computer și traficul care iese de la computerul însuși. Paravanul de protecție Windows cu securitate avansată efectuează următoarele operațiuni de bază:

Pachetul de intrare este verificat și comparat cu lista de trafic permis. Dacă pachetul se potrivește cu una dintre valorile listei, Windows Firewall transmite pachetul către TCP/IP pentru procesare ulterioară. Dacă pachetul nu se potrivește cu niciuna dintre valorile din listă, Windows Firewall blochează pachetul și, dacă înregistrarea este activată, creează o intrare în fișierul jurnal.

Lista traficului permis se formează în două moduri:

Când o conexiune controlată de Windows Firewall cu Advanced Security trimite un pachet, firewall-ul creează o valoare în listă pentru a permite acceptarea traficului de retur. Traficul de intrare relevant va necesita permisiune suplimentară.

Când creați o regulă de permis pentru Windows Firewall cu Advanced Security, traficul pentru care ați creat regula va fi permis pe un computer care rulează Windows Firewall. Acest computer va accepta traficul de intrare permis în mod explicit atunci când operează ca server, computer client sau gazdă de rețea peer-to-peer.

Primul pas pentru rezolvarea problemelor cu Windows Firewall este să verificați ce profil este activ. Windows Firewall with Advanced Security este o aplicație care monitorizează mediul de rețea. Profilul Windows Firewall se modifică pe măsură ce mediul de rețea se modifică. Un profil este un set de setări și reguli care sunt aplicate în funcție de mediul de rețea și curent conexiuni de retea.

Firewall-ul distinge între trei tipuri de medii de rețea: rețele de domeniu, rețele publice și private. Un domeniu este un mediu de rețea în care conexiunile sunt autentificate de un controler de domeniu. În mod implicit, toate celelalte tipuri de conexiune la rețea sunt tratate ca rețele publice. Când se descoperă unul nou Conexiuni Windows Vista solicită utilizatorului să indice dacă această rețea privat sau public. Profilul general este destinat utilizării în locuri publice, cum ar fi aeroporturi sau cafenele. Profilul privat este destinat utilizării acasă sau la birou, precum și într-o rețea securizată. Pentru a defini o rețea ca fiind privată, utilizatorul trebuie să aibă privilegii administrative adecvate.

Deși computerul poate fi conectat la rețele simultan tipuri diferite, un singur profil poate fi activ. Alegerea profilului activ depinde de următoarele motive:

Dacă toate interfețele folosesc autentificarea controlerului de domeniu, se folosește profilul de domeniu.

Dacă cel puțin una dintre interfețe este conectată la o rețea privată și toate celelalte sunt conectate la un domeniu sau rețele private, se folosește profilul privat.

În toate celelalte cazuri, se utilizează profilul general.

Pentru a determina profilul activ, faceți clic pe nod Observareîntr-o clipă Firewall Windows cu securitate avansată. Deasupra textului Stare firewall va indica ce profil este activ. De exemplu, dacă un profil de domeniu este activ, acesta se va afișa în partea de sus Profilul domeniului este activ.

Prin utilizarea profilurilor, Windows Firewall poate permite automat traficul de intrare pentru anumite instrumente de gestionare a computerului atunci când computerul se află într-un domeniu și poate bloca același trafic atunci când computerul este conectat la o rețea publică sau privată. Astfel, determinarea tipului de mediu de rețea vă protejează retea locala fără a compromite securitatea utilizatorilor de telefonie mobilă.

Probleme frecvente la rularea Windows Firewall cu Advanced Security

Următoarele sunt principalele probleme care apar când rulează Windows Firewall cu Advanced Security:

În cazul în care traficul este blocat, ar trebui să verificați mai întâi dacă firewall-ul este activat și ce profil este activ. Dacă vreuna dintre aplicații este blocată, asigurați-vă că snap-in-ul Firewall Windows cu securitate avansată Există o regulă de autorizare activă pentru profilul curent. Pentru a verifica dacă există o regulă de autorizare, faceți dublu clic pe nod Observare, apoi selectați secțiunea Firewall. Dacă nu există reguli active de permitere pentru acest program, accesați site-ul și creați o nouă regulă pentru acest program. Creați o regulă pentru un program sau serviciu sau specificați un grup de reguli care se aplică acestei caracteristici și asigurați-vă că toate regulile din acel grup sunt activate.

Pentru a verifica dacă o regulă de autorizare nu este înlocuită de o regulă de blocare, urmați acești pași:

În arborele snap Firewall Windows cu securitate avansată faceți clic pe nodul Observare, apoi selectați secțiunea Firewall.

Vizualizați o listă a tuturor regulilor active locale și de grup. Regulile de interzicere prevalează asupra regulilor de autorizare, chiar dacă acestea din urmă sunt definite mai precis.

Politica de grup împiedică aplicarea regulilor locale

Dacă Paravanul de protecție Windows cu securitate avansată este configurat utilizând Politica de grup, administratorul poate specifica dacă vor fi utilizate regulile de firewall sau regulile de securitate a conexiunii create de administratorii locali. Acest lucru are sens dacă există reguli de firewall locale sau reguli de securitate a conexiunii configurate care nu sunt în secțiunea de setări corespunzătoare.

Pentru a determina de ce regulile de firewall locale sau regulile de securitate a conexiunii lipsesc din secțiunea Monitorizare, urmați acești pași:

Într-o clipă Firewall Windows cu securitate avansată, dă click pe link Proprietăți Windows Firewall.

Selectați fila profil activ.

În capitolul Opțiuni, apasa butonul Ton.

Dacă se aplică regulile locale, secțiunea Combinarea regulilor va fi activ.

Regulile care necesită conexiuni securizate pot bloca traficul

Când creați o regulă de firewall pentru traficul de intrare sau de ieșire, unul dintre parametri este . Dacă este selectat această funcție, trebuie să aveți o regulă adecvată de securitate a conexiunii sau o politică IPSec separată care să determine ce trafic este sigur. În caz contrar, acest trafic este blocat.

Pentru a verifica dacă una sau mai multe reguli de aplicație necesită conexiuni securizate, urmați acești pași:

În arborele snap Firewall Windows cu securitate avansată faceți clic pe secțiunea Reguli pentru conexiunile de intrare. Selectați regula pe care doriți să o verificați și faceți clic pe link Proprietățiîn domeniul consolei.

Selectați o filă Sunt comuneși verificați dacă valoarea butonului radio este selectată Permiteți numai conexiuni securizate.

Dacă regula este specificată cu parametrul Permiteți numai conexiuni securizate, extindeți secțiunea Observareîn arborele snap-in și selectați secțiunea. Asigurați-vă că traficul definit în regula firewall are reguli adecvate de securitate a conexiunii.

Avertizare:

Dacă aveți o politică IPSec activă, asigurați-vă că politica protejează traficul necesar. Nu creați reguli de securitate a conexiunii pentru a evita politicile IPSec conflictuale și regulile de securitate a conexiunii.

Nu se pot permite conexiunile de ieșire

În arborele snap Firewall Windows cu securitate avansată Alegeți o secțiune Observare. Selectați fila profil activ și în secțiune Stare firewall verificați dacă sunt permise conexiunile de ieșire care nu se încadrează în regula de autorizare.

În capitolul Observare Alegeți o secțiune Firewall pentru a se asigura că conexiunile de ieșire necesare nu sunt specificate în regulile de refuzare.

Politicile mixte pot duce la blocarea traficului

Puteți configura firewall și setările IPSec folosind diferite interfețe Windows.

Crearea de politici în mai multe locuri poate duce la conflicte și blocarea traficului. Sunt disponibile următoarele puncte de setare:

Firewall Windows cu securitate avansată. Această politică este configurată folosind snap-in-ul corespunzător la nivel local sau ca parte a politicii de grup. Această politică definește setările firewall și IPSec pe computerele care rulează Windows Vista.

Șablon administrativ Windows Firewall. Această politică este configurată utilizând Editorul de obiecte de politică de grup din secțiunea. Această interfață conține setări Windows Firewall care erau disponibile înainte apariția Windowsului Vista și este conceput pentru a configura un GPO care controlează Versiuni anterioare Windows. Deși acești parametri pot fi utilizați pentru computerele care rulează Control Windows Vista, este recomandat să utilizați politica în schimb Firewall Windows cu securitate avansată, deoarece oferă o mai mare flexibilitate și securitate. Vă rugăm să rețineți că unele dintre setările profilului de domeniu sunt comune șablonului administrativ și politicii Windows Firewall Firewall Windows cu securitate avansată, deci puteți vedea aici parametrii configurați în profilul de domeniu folosind snap-in-ul Firewall Windows cu securitate avansată.

Politici IPSec. Această politică este configurată folosind snap-in-ul local Managementul politicilor IPSec sau Editorul de obiecte de politică de grup din secțiunea Configurare computer\Configurație Windows\Setări de securitate\Politici de securitate IP din „Computer local”. Această politică definește setările IPSec care pot fi utilizate de ambele versiuni anterioare de Windows și Windows Vista. Această politică și regulile de securitate a conexiunii definite în politică nu trebuie aplicate simultan pe același computer Firewall Windows cu securitate avansată.

Pentru a vedea toate aceste opțiuni în snap-in-urile corespunzătoare, creați-vă propriul snap-in Consola de administrare și adăugați-i snap-in-urile Firewall Windows cu securitate avansată, Și Securitate IP.

Pentru a vă crea propriul snap-in pentru consolă de management, urmați acești pași:

Faceți clic pe butonul start, accesați meniu Toate programele, apoi la meniu Standardși selectați A executa.

Într-un câmp de text Deschis INTRODUCE.

Continua.

În meniu Consolă selectați elementul.

Pe listă Accesorii disponibile selectați echipamentul Firewall Windows cu securitate avansatăși apăsați butonul Adăuga.

Faceți clic pe butonul Bine.

Repetați pașii de la 1 la 6 pentru a adăuga clipuri Control Politica de grup Și Monitor de securitate IP.

Pentru a verifica ce politici sunt active într-un profil activ, utilizați următoarea procedură:

Pentru a verifica ce politici sunt aplicate, urmați acești pași:

ÎN Linie de comanda introduceți mmc și apăsați tasta INTRODUCE.

Dacă apare caseta de dialog Control cont utilizator, confirmați acțiunea solicitată și faceți clic Continua.

În meniu Consolă selectați elementul Adăugați sau eliminați un snap-in.

Pe listă Accesorii disponibile selectați echipamentul Managementul politicii de grupși apăsați butonul Adăuga.

Faceți clic pe butonul Bine.

Extindeți un nod într-un copac (de obicei arborele pădurii în care se află) acest calculator) și faceți dublu clic pe secțiunea din panoul de detalii ale consolei.

Selectați valoarea butonului radio Afișați setările politicii pentru din valori utilizator curent sau alt utilizator. Dacă nu doriți să afișați setările de politică pentru utilizatori, ci doar setările de politică pentru computer, selectați butonul radio Nu afișați politica utilizatorului (vezi doar politica computerului)și apăsați butonul de două ori Mai departe.

Faceți clic pe butonul Gata. Expertul privind rezultatele politicii de grup generează un raport în panoul de detalii al consolei. Raportul conține file rezumat, OpțiuniȘi Evenimente politice.

Pentru a verifica dacă nu există niciun conflict cu politicile de securitate IP, după generarea raportului, selectați fila Opțiuniși deschideți Configurare computer\Configurație Windows\Setări de securitate\Setări de securitate IP în serviciul de director Director activ. Dacă ultima secțiune lipsește, atunci politica de securitate IP nu a fost setată. În caz contrar, vor fi afișate numele și descrierea politicii și GPO-ul căruia îi aparține. Dacă utilizați o politică de securitate IP și o politică Windows Firewall cu securitate avansată în același timp cu regulile de securitate a conexiunii, aceste politici pot intra în conflict. Este recomandat să utilizați doar una dintre aceste politici. Soluția optimă va folosi politicile de securitate IP împreună cu Windows Firewall cu reguli avansate de securitate pentru traficul de intrare sau de ieșire. Dacă parametrii sunt configurați în locuri diferite și nu sunt consecvenți unul cu celălalt, pot apărea conflicte de politică greu de rezolvat.

De asemenea, pot exista conflicte între politicile definite în obiectele locale de politică de grup și scripturile configurate de departamentul IT. Verificați toate politicile de securitate IP utilizând programul IP Security Monitor sau introducând următoarea comandă la promptul de comandă:

Pentru a vedea setările definite în șablonul administrativ Windows Firewall, extindeți secțiunea Configurație computer\Șabloane administrative\Rețea\Conexiuni de rețea\Paravan de protecție Windows.

Pentru a vedea cele mai recente evenimente legate de politica actuală, puteți accesa fila Evenimente politiceîn aceeași consolă.

Pentru a vedea politica utilizată de Windows Firewall cu Advanced Security, deschideți snap-in-ul pe computerul pe care îl diagnosticați și examinați setările de sub Observare.

Pentru a vizualiza șabloanele administrative, deschideți snap-in-ul Politica de grup iar in sectiunea Rezultatele politicii de grup Verificați dacă există setări moștenite din politica de grup care ar putea cauza respingerea traficului.

Pentru a vedea politicile de securitate IP, deschideți programul de completare IP Security Monitor. Selectați în arbore calculator local. În domeniul consolei, selectați linkul Politică activă, Mod de bază sau Mod rapid. Verificați politicile concurente care ar putea duce la blocarea traficului.

În capitolul Observare tachelaj Firewall Windows cu securitate avansată Puteți vedea regulile existente atât pentru politica locală, cât și pentru politica de grup. Pentru obtinerea Informații suplimentare consultați secțiunea " Utilizarea funcției ceas într-un snap-in Firewall Windows cu securitate avansată » din acest document.

Pentru a opri IPSec Policy Agent, urmați acești pași:

Faceți clic pe butonul startși selectați o secțiune Panou de control.

Faceți clic pe pictogramă Sistemul și întreținerea acestuiași selectați o secțiune Administrare.

Faceți dublu clic pe pictogramă Servicii. Continua.

Găsiți un serviciu în listă Agent de politici IPSec

Dacă serviciul Agent IPSec rulează, faceți clic dreapta pe el și selectați elementul de meniu Stop. De asemenea, puteți opri serviciul Agent IPSec din linia de comandă folosind comanda

Politica peer-to-peer poate determina respingerea traficului

Pentru conexiunile care folosesc IPSec, ambele computere trebuie să aibă politici de securitate IP compatibile. Aceste politici pot fi definite folosind snap-in-ul pentru regulile de securitate a conexiunii Windows Firewall securitate IP sau alt furnizor de securitate IP.

Pentru a verifica setările politicii de securitate IP într-o rețea peer-to-peer, urmați acești pași:

Într-o clipă Firewall Windows cu securitate avansată selectați nodul ObservareȘi Reguli de securitate a conexiunii pentru a vă asigura că politica de securitate IP este configurată pe ambele noduri de rețea.

Dacă unul dintre computerele din rețeaua peer-to-peer rulează unul mai vechi versiuni Windows decât Windows Vista, asigurați-vă că cel puțin una dintre suitele de criptare în mod nativ și una dintre suitele de criptare în mod rapid utilizează algoritmi care sunt acceptați de ambele noduri.

1. Faceți clic pe secțiune Mod de bază, în panoul de detalii ale consolei, selectați conexiunea pe care doriți să o testați, apoi faceți clic pe link Proprietățiîn domeniul consolei. Examinați proprietățile conexiunii pentru ambele noduri pentru a vă asigura că sunt compatibile.

   Repetați pasul 2.1 pentru partiție Mod rapid. Examinați proprietățile conexiunii pentru ambele noduri pentru a vă asigura că sunt compatibile.

Dacă utilizați autentificarea Kerberos versiunea 5, asigurați-vă că gazda se află în același domeniu sau într-un domeniu de încredere.

Dacă utilizați certificate, asigurați-vă că sunt selectate casetele necesare. Certificatele care utilizează Internet Key Exchange (IKE) IPSec necesită o semnătură digitală. Certificatele care utilizează protocolul Internet autentificat (AuthIP) necesită autentificarea clientului (în funcție de tipul de autentificare al serverului). Pentru mai multe informații despre certificatele AuthIP, consultați articolul Autentificare IP în Windows Vista AuthIP în Windows Vista pe site-ul Microsoft.

Paravanul de protecție Windows cu securitate avansată nu poate fi configurat

Paravanul de protecție Windows cu setări de securitate avansată sunt incolore (gri) în următoarele cazuri:

Computerul este conectat la o rețea gestionată central, iar administratorul de rețea utilizează Politica de grup pentru a configura Windows Firewall cu setări de securitate avansată. În acest caz, în partea de sus a snap-ului Firewall Windows cu securitate avansată Veți vedea mesajul „Unele setări sunt controlate de politica de grup”. Administratorul dvs. de rețea configurează politica, împiedicându-vă astfel să modificați setările Windows Firewall.

Un computer care rulează Windows Vista nu este conectat la o rețea gestionată central, dar setările Windows Firewall sunt determinate de politica de grup locală.

Pentru a modifica setările de paravan de protecție Windows cu securitate avansată folosind Politica de grup locală, utilizați snap-in-ul Politica locală pentru calculatoare. Pentru a deschide acest snap-in, introduceți secpol la promptul de comandă. Dacă apare caseta de dialog Control cont utilizator, confirmați acțiunea solicitată și faceți clic Continua. Accesați Configurație computer\Configurație Windows\Setări de securitate\Paravan de protecție Windows cu securitate avansată pentru a configura setările de politică de paravan de protecție Windows cu securitate avansată.

Computerul nu răspunde la solicitările ping

Principala modalitate de a testa conectivitatea între computere este să utilizați utilitarul Ping pentru a testa conectivitatea la o anumită adresă IP. În timpul unui ping, este trimis un mesaj ecou ICMP (cunoscut și ca cerere de ecou ICMP) și este solicitat în schimb un răspuns ecou ICMP. În mod implicit, Windows Firewall respinge mesajele ecou ICMP primite, astfel încât computerul nu poate trimite un răspuns ecou ICMP.

Permiterea mesajelor eco ICMP primite va permite altor computere să pună ping pe computer. Pe de altă parte, acest lucru va face computerul vulnerabil la atacuri care utilizează mesaje eco ICMP. Cu toate acestea, se recomandă să permiteți temporar mesajele ecou ICMP primite dacă este necesar și apoi să le dezactivați.

Pentru a permite mesajele ecou ICMP, creați reguli noi de intrare care să permită pachetele de solicitare ecou ICMPv4 și ICMPv6.

Pentru a rezolva solicitările ecou ICMPv4 și ICMPv6, urmați acești pași:

În arborele snap Firewall Windows cu securitate avansată selectați nodul Reguli pentru conexiunile de intrareși faceți clic pe link Regulă nouăîn zona de acțiune a consolei.

Personalizatși apăsați butonul Mai departe.

Specificați valoarea comutatorului Toate programeleși apăsați butonul Mai departe.

În lista derulantă Tip de protocol selectați valoarea ICMPv4.

Faceți clic pe butonul Ton pentru articol Parametrii protocolului ICMP.

Setați butonul radio la Tipuri ICMP specifice, bifeaza casuta Solicitare ecou, apasa butonul Bineși apăsați butonul Mai departe.

În etapa de selectare a adreselor IP locale și la distanță corespunzătoare această regulă, setați comutatoarele la valori Orice adresă IP sau Adresele IP specificate. Dacă selectați valoarea Adresele IP specificate, specificați adresele IP necesare, faceți clic pe butonul Adăugași apăsați butonul Mai departe.

Specificați valoarea comutatorului Permite conectareași apăsați butonul Mai departe.

În etapa de selecție a profilului, selectați unul sau mai multe profiluri (profil de domeniu, profil privat sau public) în care doriți să utilizați această regulă și faceți clic pe butonul Mai departe.

În câmp Nume introduceți numele regulii și în câmp Descriere– descriere opțională. Faceți clic pe butonul Gata.

Repetați pașii de mai sus pentru protocolul ICMPv6, selectând Tip de protocol valoarea drop-down ICMPv6în loc de ICMPv4.

Dacă aveți reguli active de securitate a conexiunii, excluderea temporară a ICMP din cerințele IPsec poate ajuta la rezolvarea problemelor. Pentru a face acest lucru, deschideți rapid Firewall Windows cu securitate avansată fereastra de dialog Proprietăți, accesați fila Setări IPSecși specificați valoarea în lista verticală da pentru parametru Excludeți ICMP din IPSec.

Notă

Setările Windows Firewall pot fi modificate numai de administratori și operatorii de rețea.

Nu se pot partaja fișiere și imprimante

Dacă nu puteți partaja fișiere și imprimante pe un computer cu Windows Firewall activ, asigurați-vă că toate regulile de grup sunt activate Acces la fișiere și imprimante Firewall Windows cu securitate avansată selectați nodul Reguli pentru conexiunile de intrare Acces la fișiere și imprimante Activați regulaîn domeniul consolei.

Atenţie:

Se recomandă insistent să nu activați partajarea fișierelor și a imprimantei pe computere care sunt conectate direct la Internet, deoarece atacatorii pot încerca să acceseze fișierele partajate și să vă facă rău prin deteriorarea fișierelor personale.

Windows Firewall nu poate fi administrat de la distanță

Dacă nu puteți administra de la distanță un computer cu Windows Firewall activ, asigurați-vă că toate regulile din grupul implicit sunt activate Gestionarea paravanului de protecție Windows la distanță profil activ. Într-o clipă Firewall Windows cu securitate avansată selectați nodul Reguli pentru conexiunile de intrareși derulați lista de reguli la grup Telecomandă. Asigurați-vă că aceste reguli sunt activate. Selectați fiecare dintre regulile dezactivate și faceți clic pe butonul Activați regulaîn domeniul consolei. În plus, asigurați-vă că serviciul IPSec Policy Agent este activat. Acest serviciu este necesar pentru telecomandă Windows Firewall.

Pentru a verifica dacă IPSec Policy Agent rulează, urmați acești pași:

Faceți clic pe butonul startși selectați o secțiune Panou de control.

Faceți clic pe pictogramă Sistemul și întreținerea acestuiași selectați o secțiune Administrare.

Faceți dublu clic pe pictogramă Servicii.

Dacă apare caseta de dialog Control cont utilizator, introduceți informațiile necesare despre utilizator cu permisiunile corespunzătoare și faceți clic Continua.

Găsiți un serviciu în listă Agent de politici IPSecși asigurați-vă că are starea „Running”.

Dacă serviciul Agent IPSec oprit, faceți clic dreapta pe el și selectați în meniul contextual paragraf Lansa. De asemenea, puteți începe serviciul Agent IPSec din linia de comandă folosind comenzile net porniți agentul de politică.

Notă

Serviciu implicit Agent de politici IPSec lansat. Acest serviciu ar trebui să funcționeze dacă nu a fost oprit manual.

Instrumente de depanare Windows Firewall

Această secțiune descrie instrumentele și metodele utilizate pentru a rezolva probleme tipice. Această secțiune constă din următoarele subsecțiuni:

Utilizați funcțiile de monitorizare în Windows Firewall cu Advanced Security

Primul pas pentru rezolvarea problemelor Windows Firewall este revizuirea regulilor actuale. Funcţie Observare vă permite să vizualizați regulile utilizate pe baza politicilor locale și de grup. Pentru a vizualiza regulile curente de intrare și de ieșire în arborele snap-in Firewall Windows cu securitate avansată Alegeți o secțiune Observare, apoi selectați secțiunea Firewall. În această secțiune puteți vizualiza și curentul regulile de securitate a conexiuniiȘi asociații de securitate (modurile Principal și Rapid).

Activați și utilizați auditarea de securitate folosind instrumentul de linie de comandă auditpol

În mod implicit, opțiunile de audit sunt dezactivate. Pentru a le configura, utilizați instrumentul de linie de comandă auditpol.exe, care modifică setările politicii de audit pe computerul local. Auditpol poate fi folosit pentru a activa sau dezactiva afișarea diferitelor categorii de evenimente și apoi le puteți vizualiza mai târziu în snap-in Vizualizator de eveniment.

Pentru a vedea o listă de categorii acceptate de auditpol, introduceți la linia de comandă:

• Pentru a vizualiza o listă de subcategorii care sunt incluse într-o anumită categorie (de exemplu, categoria de modificare a politicii), introduceți la linia de comandă:

  auditpol.exe /list /category:„Modificări ale politicii”

• Pentru a activa afișarea unei categorii sau subcategorii, introduceți în linia de comandă:

  /SubCategorie:" NumeCategorie"

De exemplu, pentru a seta politici de audit pentru o categorie și subcategoria ei, trebuie să introduceți următoarea comandă:

auditpol.exe /set /category:"Schimbarea politicii" /subcategory:"Schimbarea politicii la nivel de regulă MPSSVC" /success:enable /failure:enable

Schimbarea politicii

Schimbarea politicii la nivel de regulă MPSSVC

Modificarea politicii platformei de filtrare

Intrați în ieșire

Modul de bază IPsec

Mod rapid IPsec

Modul îmbunătățit IPsec

Sistem

Driver IPSEC

Alte evenimente de sistem

Accesul la obiecte

Scăderea pachetelor după platforma de filtrare

Conectarea platformei de filtrare

Pentru ca modificările politicii de audit de securitate să aibă efect, trebuie să reporniți computerul local sau să forțați o actualizare manuală a politicii. Pentru a forța o actualizare a politicii, introduceți la promptul de comandă:

secedit/refreshpolicy<название_политики>

După finalizarea diagnosticării, puteți dezactiva auditarea evenimentelor înlocuind parametrul de activare din comenzile de mai sus cu dezactivare și rulând din nou comenzile.

Vizualizați evenimentele de audit de securitate în jurnalul de evenimente

După ce activați auditarea, utilizați Vizualizatorul evenimentelor pentru a vizualiza evenimentele de audit în Jurnalul evenimentelor de securitate.

Pentru a deschide Vizualizatorul de evenimente în folderul Instrumente administrative, urmați acești pași:

1. Faceți clic pe butonul start.

   Alegeți o secțiune Panou de control. Faceți clic pe pictogramă Sistemul și întreținerea acestuiași selectați o secțiune Administrare.

   Faceți dublu clic pe pictogramă Vizualizator de eveniment.

Pentru a adăuga Event Viewer la MMC, urmați acești pași:

Faceți clic pe butonul start, accesați meniu Toate programele, apoi la meniu Standardși selectați A executa.

Într-un câmp de text Deschis introduceți mmc și apăsați tasta INTRODUCE.

Dacă apare caseta de dialog Control cont utilizator, confirmați acțiunea solicitată și faceți clic Continua.

În meniu Consolă selectați elementul Adăugați sau eliminați un snap-in.

Pe listă Accesorii disponibile selectați echipamentul Vizualizator de evenimentși apăsați butonul Adăuga.

Faceți clic pe butonul Bine.

Înainte de a închide snap-in-ul, salvați consola pentru utilizare ulterioară.

Într-o clipă Vizualizator de eveniment extinde secțiunea Jurnalele Windows și selectați un nod Siguranță. În zona de lucru consolă, puteți vizualiza evenimentele de audit de securitate. Toate evenimentele sunt afișate în partea de sus a zonei de lucru a consolei. Faceți clic pe un eveniment din partea de sus a zonei de lucru a consolei pentru a fi afișat informatii detaliateîn partea de jos a panoului. Pe fila Sunt comune Există o descriere a evenimentelor sub formă de text clar. Pe fila Detalii Sunt disponibile următoarele opțiuni de afișare a evenimentelor: Prezentare clarăȘi Modul XML.

Configurați jurnalul de firewall pentru un profil

Înainte de a putea vizualiza jurnalele de firewall, trebuie să configurați Windows Firewall cu Advanced Security pentru a genera fișiere de jurnal.

Pentru a configura înregistrarea pentru un paravan de protecție Windows cu profil de securitate avansată, urmați acești pași:

În arborele snap Firewall Windows cu securitate avansată Alegeți o secțiune Firewall Windows cu securitate avansatăși apăsați butonul Proprietățiîn domeniul consolei.

Selectați fila profil pentru care doriți să configurați înregistrarea (profil de domeniu, profil privat sau profil public), apoi faceți clic TonÎn capitolul Logare.

Specificați numele și locația fișierului jurnal.

Specificați dimensiunea maximă a fișierului jurnal (de la 1 la 32767 kiloocteți)

În lista derulantă Înregistrați pachetele lipsă introduceți valoarea da.

În lista derulantă Înregistrați conexiunile reușite introduceți valoarea dași apoi faceți clic pe butonul Bine.

Vizualizați fișierele jurnal de firewall

Deschideți fișierul pe care l-ați specificat în timpul procedurii anterioare, „Configurarea jurnalului de firewall pentru un profil”. Pentru a accesa jurnalul de firewall, trebuie să aveți drepturi de administrator local.

Puteți vizualiza fișierul jurnal folosind Notepad sau orice editor de text.

Analizarea fișierelor jurnal de firewall

Informațiile înregistrate în jurnal sunt prezentate în tabelul următor. Unele date sunt specificate numai pentru anumite protocoale (steaguri TCP, tip și cod ICMP etc.), iar unele date sunt specificate numai pentru pachetele abandonate (dimensiune).

Notă

Cratima (-) este folosită în câmpurile înregistrării curente care nu conţin nicio informaţie.

Crearea fișierelor text netstat și tasklist

Puteți crea două fișiere jurnal personalizate, unul pentru a vizualiza statisticile rețelei (o listă cu toate porturile de ascultare) și altul pentru a vizualiza listele de activități de servicii și aplicații. Lista de activități conține identificatorul de proces (PID) pentru evenimentele conținute în fișierul de statistici de rețea. Procedura pentru crearea acestor două fișiere este descrisă mai jos.

Pentru a crea fișiere text statisticile rețelei și lista de activități, urmați acești pași:

La promptul de comandă, introduceți netstat -ano > netstat.txtși apăsați tasta INTRODUCE.

La promptul de comandă, introduceți tasklist > tasklist.txtși apăsați tasta INTRODUCE. Dacă trebuie să creați un fișier text cu o listă de servicii, introduceți tasklist /svc > tasklist.txt.

Deschideți fișierele tasklist.txt și netstat.txt.

Găsiți codul procesului pe care îl diagnosticați în fișierul tasklist.txt și comparați-l cu valoarea conținută în fișierul netstat.txt. Înregistrați protocoalele utilizate.

Exemplu de emitere a fișierelor Tasklist.txt și Netstat.txt

Netstat.txt
Proto Adresă locală Adresă străină PID de stat
TCP 0.0.0.0:XXX 0.0.0.0:0 ASCULTARE 122
TCP 0.0.0.0:XXXX 0.0.0.0:0 ASCULTARE 322
Tasklist.txt
Nume imagine PID Nume sesiune Nr. sesiune Utilizare mem
==================== ======== ================ =========== ============
svchost.exe 122 Servicii 0 7.172 K
XzzRpc.exe 322 Servicii 0 5.104 K

Notă

Adresele IP reale sunt schimbate în „X”, iar serviciul RPC este schimbat în „z”.

Asigurați-vă că funcționează serviciile esențiale

Următoarele servicii trebuie să funcționeze:

Serviciu de filtrare de bază

Client politică de grup

Module de cheie IPsec pentru schimbul de chei pe Internet și autentificare IP

Serviciul auxiliar IP

Serviciul agent de politici IPSec

Serviciul de localizare în rețea

Serviciul Listă de rețele

Windows Firewall

Pentru a deschide snap-in-ul Servicii și a verifica dacă serviciile necesare rulează, urmați acești pași:

Faceți clic pe butonul startși selectați o secțiune Panou de control.

Faceți clic pe pictogramă Sistemul și întreținerea acestuiași selectați o secțiune Administrare.

Faceți dublu clic pe pictogramă Servicii.

Dacă apare caseta de dialog Control cont utilizator, introduceți informațiile necesare despre utilizator cu permisiunile corespunzătoare și faceți clic Continua.

Asigurați-vă că funcționează serviciile enumerate mai sus. Dacă unul sau mai multe servicii nu rulează, faceți clic dreapta pe numele serviciului din listă și selectați Lansa.

Mod suplimentar de rezolvare a problemelor

Ca ultimă soluție, puteți restabili setările Windows Firewall la valorile implicite. Restabilirea setărilor implicite va pierde toate setările făcute după instalarea Windows Vista. Acest lucru poate face ca unele programe să nu mai funcționeze. De asemenea, dacă controlați computerul de la distanță, conexiunea la acesta se va pierde.

Înainte de a restabili setările implicite, asigurați-vă că ați salvat configurația curentă a firewall-ului. Acest lucru vă va permite să vă restabiliți setările dacă este necesar.

Mai jos sunt pașii pentru a salva configurația firewall-ului și a restabili setările implicite.

Pentru a salva configurația curentă a firewall-ului, urmați acești pași:

Într-o clipă Firewall Windows cu securitate avansată faceți clic pe link Politica de exportîn domeniul consolei.

Pentru a restabili setările firewall-ului la valorile implicite, urmați acești pași:

Într-o clipă Firewall Windows cu securitate avansată faceți clic pe link Restabiliti setarile de bazaîn domeniul consolei.

Când primiți un prompt Windows Firewall cu securitate avansată, faceți clic da pentru a restabili valorile implicite.

Concluzie

Există multe modalități de a diagnostica și rezolva problemele cu Windows Firewall cu Advanced Security. Printre ei:

Folosind funcția Observare pentru a vedea acțiunile firewall, regulile de securitate a conexiunii și asocierile de securitate.

Analizați evenimentele de audit de securitate legate de Windows Firewall.

Crearea de fișiere text lista de sarciniȘi netstat pentru analiza comparativă.

Începând cu Server 2008 și Vista, mecanismul WFP a fost încorporat în Windows,
care este un set de API-uri și servicii de sistem. Cu ajutorul lui a devenit posibil
interzice și permite conexiuni, gestionează pachete individuale. Aceste
inovațiile au fost menite să simplifice viața dezvoltatorilor de diverse
protecţie Modificările aduse arhitecturii rețelei au afectat atât modul kernel, cât și
și părți ale sistemului în modul utilizator. În primul caz, funcțiile necesare sunt exportate
fwpkclnt.sys, în al doilea - fwpuclnt.dll (literele „k” și „u” din numele bibliotecii
reprezintă kernel și, respectiv, utilizator). În acest articol vom vorbi despre aplicație
WFP pentru interceptarea și filtrarea traficului și după familiarizarea cu elementele de bază
Folosind definițiile și capacitățile WFP, vom scrie propriul nostru filtru simplu.

Noțiuni de bază

Înainte de a începe codificarea, este absolut necesar să ne familiarizăm cu terminologia
Microsoft - și literatura suplimentară vor fi utile pentru înțelegerea articolului
Va fi mai usor de citit :). Deci să mergem.

Clasificare- procesul de determinare a ce să facă cu un pachet.
Acțiuni posibile: permiteți, blocați sau înștiințați.

Înștiințări este un set de funcții în șofer care efectuează inspecția
pachete. Au o funcție specială care realizează clasificarea pachetelor. Acest
funcția poate decide următoarele:

• permit(FWP_ACTION_PERMIT);
• bloc (FWP_ACTION_BLOCK);
• continua prelucrarea;
• solicita mai multe date;
• întrerupeți conexiunea.

Filtre- reguli care indică în ce cazuri se numește
cutare sau cutare înștiințare. Un șofer poate avea mai multe înștiințări și
Vom dezvolta un driver cu înștiințări în acest articol. Apropo, colautas
Există și unele încorporate, de exemplu, NAT-callout.

Strat- acesta este un semn prin care sunt combinate diferite filtre (sau,
după cum se spune în MSDN, „container”).

Pentru a spune adevărul, documentația de la Microsoft pare destul de neclară, până acum
nu poți să te uiți la exemplele din WDK. Prin urmare, dacă te hotărăști brusc să dezvolți ceva
serios, trebuie neapărat să vă familiarizați cu ei. Ei bine, acum e lin
Să trecem la practică. Pentru o compilare și teste de succes, veți avea nevoie de WDK (Windows
Kit de drivere), VmWare, mașină virtuală cu Vista instalată și depanatorul WinDbg.
În ceea ce privește WDK, personal am instalată versiunea 7600.16385.0 - totul este acolo
bibliotecile necesare (deoarece vom dezvolta driverul, avem nevoie doar de
fwpkclnt.lib și ntoskrnl.lib) și exemple de utilizare a WFP. Link-uri către toate
Instrumentele au fost deja prezentate de mai multe ori, așa că nu le vom repeta.

Codificare

Pentru a inițializa înștiințarea, am scris funcția BlInitialize. Algoritm general
crearea unui înștiințare și adăugarea unui filtru este astfel:

1. FWPMENGINEOPEN0 deschide o sesiune;
2. FWPMTRANSACTIONBEGIN0- începerea funcționării cu PAM;
3. FWPSCALLOUTREGISTER0- crearea unui nou înștiințare;
4. FWPMCALLOUTADD0- adăugarea unui obiect de referință la sistem;
5. FWPMFILTERADD0- adăugarea unui nou filtru(i);
6. FWPMTRANSACTIONCOMMIT0- salvarea modificărilor (adăugat
   filtre).

Rețineți că funcțiile se termină cu 0. În Windows 7, unele dintre acestea
funcțiile au fost modificate, de exemplu, a apărut FwpsCalloutRegister1 (cu
salvat de FwpsCalloutRegister0). Ele diferă în argumente și, în consecință,
prototipuri de funcții de clasificare, dar pentru noi acest lucru nu este important acum - 0-funcții
universal.

FwpmEngineOpen0 și FwpmTransactionBegin0 nu sunt deosebit de interesante pentru noi - acestea sunt
etapa pregătitoare. Distracția începe cu funcția
FwpsCalloutRegister0:

Prototipul FwpsCalloutRegister0

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *calout,
__out_opt UINT32 *calloutId
);

Am spus deja că callout este un set de funcții, acum este timpul
spune-ne mai multe despre asta. Structura FWPS_CALLOUT0 conține pointeri către trei
funcții - clasificare (classifyFn) și două de notificare (aproximativ
adăugarea/eliminarea unui filtru (notifyFn) și închiderea fluxului procesat (flowDeleteFn)).
Primele două funcții sunt obligatorii, ultima este necesară doar dacă
doriți să monitorizați pachetele în sine, nu doar conexiunile. De asemenea, în structură
conținea identificator unic, Callout GUID (calloutKey).

Cod de înregistrare a înștiințării

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// functie de clasificare
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// funcția de notificare despre adăugarea/eliminarea unui filtru
// creează un nou înștiințare
stare = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

DWORD WINAPI FwpmCalloutAdd0(
__în motor HANDLEHandle,
__in const FWPM_CALLOUT0 *calout,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_ (
GUID calloutKey;
FWPM_DISPLAY_DATA0 displayData; // descrierea înștiințării
steaguri UINT32;
GUID *providerKey;
FWP_BYTE_BLOB providerData;
GUID aplicabilLayer;
UINT32 calloutId;
) FWPM_CALLOUT0;

În structura FWPM_CALLOUT0 ne interesează câmpul aplicabilLayer - unic
ID-ul nivelului la care este adăugat înștiințarea. În cazul nostru este
FWPM_LAYER_ALE_AUTH_CONNECT_V4. „v4” în numele identificatorului înseamnă versiune
Protocolul Ipv4, există și FWPM_LAYER_ALE_AUTH_CONNECT_V6 pentru Ipv6. Luand in considerare
prevalență scăzută a IPv6 în acest moment, vom lucra doar cu
IPv4. CONNECT în nume înseamnă că controlăm doar instalarea
conexiuni, nu se vorbește despre pachetele de intrare sau de ieșire către această adresă! Deloc
Există multe niveluri în afară de cel pe care l-am folosit - sunt declarate în fișierul antet
fwpmk.h de la WDK.

Adăugarea unui obiect de înștiințare în sistem

// nume înștiințare
displayData.name = L"Blocker Callout";
displayData.description = L"Blocker Callout";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// descrierea înștiințării
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
stare = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Deci, după ce înștiințarea a fost adăugată cu succes în sistem, trebuie să creați
filtru, adică să indicați în ce cazuri va fi numit înștiințarea noastră, și anume
- funcţia sa de clasificare. Un nou filtru este creat de funcția FwpmFilterAdd0,
care trece structura FWPM_FILTER0 ca argument.

FWPM_FILTER0 are una sau mai multe structuri FWPM_FILTER_CONDITION0 (ale lor
numărul este determinat de câmpul numFilterConditions). Câmpul layerKey este completat cu un GUID
stratul pe care vrem să-l unim. În acest caz indicăm
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Acum să aruncăm o privire mai atentă la completarea FWPM_FILTER_CONDITION0. În primul rând, în
fieldKey trebuie specificat în mod explicit cu privire la ceea ce dorim să controlăm - port, adresă,
aplicație sau altceva. În acest caz, WPM_CONDITION_IP_REMOTE_ADDRESS
indică sistemului că suntem interesați de adresa IP. Valoarea fieldKey determină dacă
în ce tip de valori vor fi incluse în structura FWP_CONDITION_VALUE
FWPM_FILTER_CONDITION0. În acest caz, conține adresa ipv4. Să mergem
mai departe. Câmpul matchType determină modul în care va fi făcută comparația
valorile în FWP_CONDITION_VALUE cu ceea ce a venit prin rețea. Există multe opțiuni aici:
puteți specifica FWP_MATCH_EQUAL, ceea ce va însemna respectarea deplină a condiției și
poți - FWP_MATCH_NOT_EQUAL, adică, de fapt, putem adăuga asta
excluzând astfel filtrarea (adresa, conexiunea la care nu este monitorizată).
Există, de asemenea, opțiunile FWP_MATCH_GREATER, FWP_MATCH_LESS și altele (vezi enumerarea
FWP_MATCH_TYPE). În acest caz, avem FWP_MATCH_EQUAL.

Nu m-am deranjat prea mult și am scris doar o condiție pentru blocare
o adresă IP selectată. În cazul în care o aplicație încearcă
stabiliți o conexiune la adresa selectată, va fi apelat clasificatorul
funcția noastră de înștiințări. Puteți vedea codul care rezumă ceea ce s-a spus la
Consultați bara laterală „Adăugarea unui filtru la sistem”.

Adăugarea unui filtru la sistem

filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blocker Callout";
filter.displayData.description = L"Anunț de blocare";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterCondition;
// o condiție de filtru
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // auto-greutate.
// adaugă un filtru la adresa de la distanță
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// adaugă un filtru
stare = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);

În general, desigur, pot exista multe condiții de filtrare. De exemplu, poți
specificați blocarea conexiunilor la un anumit port la distanță sau local (FWPM_CONDITION_IP_REMOTE_PORT
și, respectiv, FWPM_CONDITION_IP_LOCAL_PORT). Puteți prinde toate pachetele
un anumit protocol sau o anumită aplicație. Și asta nu este tot! Poate sa,
de exemplu, blocați traficul unui anumit utilizator. În general, există unde
Fă o plimbare.

Cu toate acestea, să revenim la filtru. Funcția de clasificare în cazul nostru este simplă
blochează conexiunea la adresa specificată (BLOCKED_IP_ADDRESS), revenind
FWP_ACTION_BLOCK:

Codul funcției noastre de clasificare

void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* înMetaValues,
VOID* pachet,IN const FWPS_FILTER* filtru,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// umple structura FWPS_CLASSIFY_OUT0
if(classifyOut)( // blochează pachetul
classifyOut->actionType =
FWP_ACTION_BLOCK;
// când blocați un pachet de care aveți nevoie
resetați FWPS_RIGHT_ACTION_WRITE
classifyOut->drepturi&=~FWPS_RIGHT_ACTION_WRITE;
}
}

În practică, funcția de clasificare poate seta și FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE etc.

Și, în sfârșit, atunci când descărcați driverul, trebuie să eliminați toate instalatele
înștiințări (ghiciți ce se va întâmpla dacă sistemul încearcă să apeleze înștiințări
șofer descărcat? Așa este, BSOD). Există o funcție pentru asta
FwpsCalloutUnregisterById. Ca parametru este trecut pe 32 de biți
identificatorul de înștiințare returnat de funcția FwpsCalloutRegister.

Încheierea unei înștiințări

NTSTATUS BlUninitialize())(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
returnare ns;
}

După cum puteți vedea, programarea unui filtru WFP nu este o sarcină atât de dificilă, deoarece
MS ne-a oferit un API foarte convenabil. Apropo, în cazul nostru am instalat
filtru în driver, dar acest lucru se poate face și din usermod! De exemplu, eșantion de la wdk
msnmntr (monitorul de trafic MSN Messenger) face exact asta - acest lucru vă permite să nu o faceți
supraîncărcați partea din modul kernel a filtrului.

GUID-ul dvs

Pentru a înregistra o înștiințare, are nevoie de un identificator unic. Pentru a
obțineți-vă GUID (identificatorul unic global), utilizați guidgen.exe inclus
V Studio vizual. Instrumentul se află în (VS_Path)\Common7\Tools. Probabilitatea de coliziune
este foarte mic, deoarece lungimea GUID-ului este de 128 de biți și sunt 2^128 disponibili în total
identificatori.

Depanarea filtrului

Pentru a depana lemnul de foc, este convenabil să folosiți combinația Windbg+VmWare. Pentru asta ai nevoie
configurați atât sistemul oaspete (care este Vista) cât și depanatorul
WinDbg. Dacă în WinXP trebuia să editați boot.ini pentru depanare la distanță, atunci
Pentru Vista+ există un utilitar de consolă numit bcdedit. Ca de obicei, trebuie să activați depanarea:

BCDedit /dbgsettings DEBUGPORT SERIAL:1 BAUDRATE:115200 BCDedit /debug
ON (sau BCDedit /set debug ON)

Acum totul este gata! Lansăm un fișier batch cu textul de mai jos:

start windbg -b -k com:pipe,port=\\.\pipe\com_1,reset=0

și vedeți rezultatul de depanare în fereastra windbg (vezi imaginea).

Concluzie

După cum puteți vedea, domeniul de aplicare al PAM este destul de larg. Depinde de tine să decizi cum
aplica aceste cunostinte - pentru rau sau pentru bine :)

Firewall-ul Windows (firewall sau firewall) nu inspiră respect. Puțin schimbat de la XP la Vista, își face bine treaba simplă, dar îi lipsește ambiția de a fi cel mai bun firewall personal. Cu toate acestea, în ciuda faptului că firewall-ul Windows 7 a primit câteva funcții noi, tot nu a primit ceea ce mă așteptam să văd în el.

Ieșire cu Homegroup

Pe parcursul Instalări Windows 7 sugerează crearea unui „grup de acasă”. Pe măsură ce alte computere cu Windows 7 sunt descoperite în rețea, acestea sunt, de asemenea, invitate să se alăture grupului. Și tot ce au nevoie pentru asta este o parolă. Cu toate acestea, având un computer care rulează Windows 7, nu am văzut procesul de conectare la un grup de alte computere, deși o notificare despre acest lucru nu ar strica. Cu toate acestea, dacă orice computer cu Windows 7 se poate alătura unui grup de acasă, atunci computerele care rulează Windows 7 Acasă Basic iar Windows 7 Starter nu îl poate crea.

Calculatoarele din același grup de domiciliu pot partaja (sau, după cum se spune, „partajează”) imprimante și biblioteci de fișiere specifice. În mod implicit, bibliotecile de imagini, muzică, videoclipuri și documente sunt partajate, dar utilizatorul le poate limita la propria discreție. Ajutorul în sistemul de operare oferă explicații clare despre cum să excludeți un fișier sau un folder de la partajare sau cum să îl faceți doar pentru citire sau cum să restricționați accesul la el.

În a lui rețeaua de acasă utilizatorul își poate partaja conținutul altor computere și dispozitive și chiar și computerelor care nu rulează Windows 7 și chiar altor computere care nu sunt deloc. În special, Microsoft a arătat exemple despre cum puteți partaja conținut pe Xbox 360. Cu toate acestea, compania nu oferă conectarea Wii la rețea. Din păcate, compania nu a calificat Wii ca dispozitiv media de streaming.

Deci, cât de mult mai sigură este rețeaua dvs. de acasă în Windows 7? De obicei, utilizatorii care nu reușesc să partajeze fișiere și foldere încep să dezactiveze tot ce le înconjoară, inclusiv paravanul de fișiere, antivirusul etc., ceea ce, în opinia lor, poate interfera cu acest proces. În același timp, dacă faci partajarea simplă, atunci dezactivarea totul în jurul tău poate fi evitată.

Dacă Vista împarte rețelele în publice (Publice) și private (Private), atunci Windows 7 împarte rețeaua privată în acasă (Acasă) și serviciu (La muncă). Grupul de acasă(HomeGroup) este disponibil numai atunci când selectați o rețea de domiciliu. Cu toate acestea, chiar și într-o rețea de lucru, computerul poate vedea și se poate conecta la alte dispozitive de pe acesta. La rândul său, pe o rețea publică (cum ar fi una wireless într-un Internet cafe), Windows 7 blochează accesul către și de la tine către alte dispozitive, pentru siguranța ta. Aceasta este o oportunitate mică, dar frumoasă.

Firewall cu mod dublu

În Vista și XP, gestionarea paravanului de protecție este la fel de simplă ca și pornirea și dezactivarea acestuia. La acelasi Ora Windows 7 oferă utilizatorului diverse setări de configurare pentru rețelele private (acasă și serviciu) și publice. În același timp, utilizatorul nu trebuie să introducă setările firewall-ului pentru a lucra, să zicem, într-o cafenea locală. Tot ce trebuie să facă este să aleagă retea publica, iar firewall-ul însuși va aplica întregul set de parametri limitatori. Cel mai probabil, utilizatorii vor configura rețeaua publică pentru a bloca toate conexiunile de intrare. În Vista, acest lucru nu s-ar putea face fără a întrerupe tot traficul de intrare în rețeaua proprie a utilizatorului.

Unii utilizatori nu înțeleg de ce este nevoie de un firewall. Dacă UAC funcționează, un firewall nu este exagerat? În realitate, aceste programe au scopuri complet diferite. UAC monitorizează programele și modul în care acestea funcționează intern sistem local. Firewall-ul analizează îndeaproape datele de intrare și de ieșire. Dacă vă imaginați aceste două programe ca doi eroi stând spate în spate și respingând atacurile zombie, atunci, s-ar putea spune, cu greu puteți greși.

La început am fost intrigat noua oportunitate„Anunțați-mă când Windows Firewall se blochează program nou" Este acesta un semn că Windows Firewall a câștigat controlul asupra programelor și a devenit un adevărat firewall cu două sensuri? Am fost consumat de dorința de a dezactiva această funcție. Și, ca urmare, Windows Firewall nu a primit mai mult respect decât a avut.

Au trecut zece ani de când ZoneLabs a popularizat firewall-ul personal cu două sensuri. Programul ei ZoneAlarm a ascuns toate porturile computerului (ceea ce Windows Firewall le poate face) și, de asemenea, vă permitea să controlați accesul programelor la Internet (ceea ce Windows Firewall încă nu poate face). Nu am nevoie de monitorizare inteligentă a comportamentului programului, cum ar fi în Norton securitatea internetului 2010 și în alte pachete. Dar sper că, până la lansarea Windows 8, Microsoft va introduce totuși un set de capabilități ale ZoneAlarm vechi de zece ani în firewall-ul său.

Microsoft știe foarte bine că mulți utilizatori instalează firewall-uri și pachete de securitate de la terți și pur și simplu dezactivează Windows Firewall. În trecut, multe programe de securitate terță parte au dezactivat automat Windows Firewall pentru a evita conflictele. În Windows 7, Microsoft a făcut singur acest lucru. Când instalează un firewall cunoscut, sistemul de operare își dezactivează firewall-ul încorporat și raportează că „setările paravanului sunt controlate de un astfel de program de la un astfel de producător”.

Indiferent dacă îl folosiți sau nu, Windows Firewall este prezent în fiecare Windows 7, cu o integrare solidă cu sistem de operare. Deci, nu ar fi mai bine dacă aplicațiile de securitate ale terților ar putea folosi peretele de fișiere Windows în propriile lor scopuri? Aceasta este ideea din spatele unei interfețe de programare numită Windows Filtering Platform. Dar îl vor folosi dezvoltatorii? Mai multe despre asta în partea următoare.

Securitate Windows 7: Platformă de filtrare Windows

Firewall-urile trebuie să funcționeze cu Windows 7 la un nivel foarte scăzut, ceea ce programatorii Microsoft îl urăsc absolut. Unele tehnologii Microsoft, precum PatchGuard, prezente în edițiile pe 64 de biți ale Windows 7 (Windows 7 pe 64 de biți au o serie de avantaje de securitate față de Windows 7 pe 32 de biți), blochează atacatorii și, de asemenea, protejează kernel-ul de accesul la acesta. Totuși, Microsoft nu oferă același nivel de securitate ca programele terțe. Deci ce să fac?

Soluția la această problemă este Windows Filtering Platform (WFP). Acesta din urmă, conform Microsoft, permite firewall-urilor terților să se bazeze pe cheie Capacitățile Windows Firewall - vă permite să adăugați capabilități personalizate acestora și să activați și să dezactivați selectiv părți ale paravanului de protecție Windows. Ca rezultat, utilizatorul poate alege un firewall care va coexista cu Windows Firewall.

Dar cât de util este cu adevărat pentru dezvoltatorii de securitate? O vor folosi? Am întrebat câteva persoane și am primit o mulțime de răspunsuri.

BitDefender LLC

Managerul de dezvoltare de produse, Iulian Costache, a declarat că compania sa folosește în prezent această platformă în Windows 7. Cu toate acestea, au întâlnit pierderi semnificative de memorie. Eroarea este de partea Microsoft, pe care cel mai mare gigant de software a confirmat-o deja. Cu toate acestea, Julian nu știe când se va rezolva. Între timp, au înlocuit temporar noul driver WFP cu vechiul TDI.

Check Point Software Technologies Ltd

Managerul PR al Check Point Software Technologies Ltd, Mirka Janus, a declarat că compania sa folosește WFP încă de la Vista. De asemenea, folosesc platforma sub Windows 7. Este o interfață bună, acceptată, dar orice malware sau driver incompatibil ar putea fi periculos pentru un produs de securitate care se bazează pe el. ZoneAlarm s-a bazat întotdeauna pe două straturi - straturi conexiuni de reteași la nivel de pachet. Începând cu Vista, Microsoft a oferit WFP ca modalitate acceptată de filtrare a conexiunilor de rețea. Începând cu Windows 7 SP1, Microsoft trebuie să învețe WFP să activeze filtrarea pachetelor.

„Folosirea API-urilor acceptate înseamnă o stabilitate îmbunătățită și mai puține BSOD. Multe drivere pot fi înregistrate și fiecare dezvoltator de drivere nu trebuie să-și facă griji cu privire la compatibilitatea cu alții. Dacă vreun șofer este, de exemplu, blocat, niciun alt șofer înregistrat nu poate ocoli această blocare. Pe de altă parte, un șofer incompatibil poate deveni o problemă, ocolind toate celelalte înregistrate. Nu ne bazăm doar pe WFP pentru securitatea rețelei.”

F-Secure Corporation

Cercetătorul principal la F-Secure Corporation Mikko Hypponen a spus că, dintr-un anumit motiv, WFP nu a devenit niciodată popular printre dezvoltatorii de software de securitate. În același timp, compania sa a folosit WFP pentru o perioadă destul de lungă de timp și a fost mulțumit de el.

McAfee, Inc.

La rândul său, arhitectul principal McAfee Ahmed Sallam a spus că WFP este o interfață de filtrare a rețelei mai puternică și mai flexibilă decât interfața anterioară bazată pe NDIS. McAfee utilizează în mod activ WFP în produsele sale de securitate.

În același timp, în ciuda faptului că WFP are capacități pozitive, infractorii cibernetici pot profita și de avantajele platformei. Platforma ar putea permite malware-ului să intre în stiva de rețea de nivel Kernel-urile Windows. Prin urmare, pe 64 de biți Drivere Windows nivelul nucleului trebuie să aibă semnături digitale pentru a proteja nucleul de încărcare în el malware. Cu toate acestea, semnăturile digitale nu sunt necesare pentru versiunile pe 32 de biți.

Da, în teorie, semnăturile digitale sunt un mecanism de securitate rezonabil, dar, în realitate, autorii de programe malware le pot achiziționa singuri.

Panda Security

Purtătorul de cuvânt al Panda Security, Pedro Bustamante, a declarat că compania sa monitorizează platforma WFP, dar nu o folosește în prezent. Compania consideră că principalele dezavantaje ale WFP sunt, în primul rând, incapacitatea de a crea o tehnologie care să combine diverse tehnici pentru a maximiza protecția. Tehnologia este inutilă dacă o companie nu se poate uita la pachetele care intră și ies din mașină. De asemenea, ar trebui să acționeze ca un senzor pentru alte tehnologii de securitate. Niciuna dintre aceste caracteristici nu este furnizată de PAM. În al doilea rând, WFP este acceptat doar de Vista și de sistemele de operare mai noi. Platforma nu este compatibilă cu versiunea inversă. Și în al treilea rând, WFP este destul de noua platforma, iar compania preferă să se bazeze pe tehnologii mai vechi și dovedite.

Symantec Corp.

Dan Nadir, director de management al produselor de larg consum la Symantec, a declarat că WFP nu este încă folosit în produsele lor din cauza noutății sale relative. Cu toate acestea, în timp, compania intenționează să migreze la acesta, deoarece... vechile interfețe pe care se bazează în prezent nu vor putea oferi funcționalitatea completă de care au nevoie. Ei consideră WFP o platformă bună pentru că... a fost conceput special pentru a oferi interoperabilitate între o varietate de programe terțe. În principiu, platforma ar trebui să aibă și mai puține probleme de compatibilitate în viitor. WFP este, de asemenea, grozav, deoarece este integrat cu cadrul Microsoft Network Diagnostic. Acest lucru este extrem de util deoarece... facilitează foarte mult căutarea unor programe specifice care reprezintă un obstacol în calea traficului în rețea. Și, în sfârșit, WFP ar trebui să conducă la îmbunătățirea performanței și stabilității sistemului de operare, deoarece... Platforma evită emularea și problemele legate de conflictele șoferului sau de stabilitate.

Cu toate acestea, pe de altă parte, potrivit lui Nadir, WFP poate crea anumite probleme care există în orice structură - dezvoltatorii care se bazează pe WFP nu pot închide vulnerabilitățile în cadrul WFP în sine și nici nu pot extinde capacitățile specifice oferite de WFP. De asemenea, dacă multe programe se bazează pe WFP, creatorii de programe malware ar putea încerca teoretic să atace WFP în sine.

Trend Micro Inc.

Director de cercetare la Trend Micro Inc. Dale Liao a spus că cel mai mare avantaj al platformei este compatibilitatea cu sistemul de operare. De asemenea, un firewall standard a devenit acum util. Așa că acum se pot concentra pe ceea ce contează cu adevărat pentru utilizator. Lucrul rău la WFP este că atunci când o eroare este descoperită în platformă, compania trebuie să aștepte ca aceasta să fie remediată de Microsoft.

PAM: Concluzie

Drept urmare, majoritatea dezvoltatorilor de securitate pe care i-am intervievat folosesc deja WFP. Adevărat, unele în paralel cu alte tehnologii. Le place interoperabilitatea, precum documentația și formalitatea platformei, precum și stabilitatea percepută a funcționării acesteia. Pe de altă parte, dacă toți dezvoltatorii se bazează pe WFP, atunci platforma ar putea deveni un punct slab pentru toată lumea. Și vor trebui să se bazeze pe Microsoft pentru a o repara. În plus, platforma nu oferă încă filtrare la nivel de pachet.

Un alt mare dezavantaj al WFP este că nu este disponibil în Windows XP. Prin urmare, dezvoltatorii care doresc să susțină XP vor trebui să ruleze două proiecte paralele. Cu toate acestea, pe măsură ce XP părăsește piața, cred că WFP va deveni mai popular în rândul dezvoltatorilor.