Головна  /  Не вмикається  /  Платформа фільтрації windows. Брандмауер Windows в режимі підвищеної безпеки - діагностика і вирішення проблем

Платформа фільтрації windows. Брандмауер Windows в режимі підвищеної безпеки - діагностика і вирішення проблем

Не вмикається
04.09.2020

Починаючи з Server 2008 і Vista в вінду був вбудований механізм WFP,
представляє собою набір API і системних сервісів. За допомогою нього стало можна
забороняти і дозволяти підключення, управляти окремими пакетами. ці
нововведення були призначені для спрощення життя розробників різних
захистів. Внесені в мережеву архітектуру зміни торкнулися як kernel-mode, так
і user-mode частини системи. У першому випадку необхідні функції експортуються
fwpkclnt.sys, у другому - fwpuclnt.dll (літери "k" і "u" в назвах бібліотек
означають kernel і user відповідно). У цій статті ми розповімо про застосування
WFP для перехоплення і фільтрації трафіку, а після ознайомлення з основними
визначеннями і можливостями WFP ми напишемо свій простий фільтр.

Основні поняття

Перед початком кодинга нам абсолютно необхідно ознайомитися з термінологією
Microsoft - і для розуміння статті буде корисно, і додаткову літературу
читати буде простіше :). Отже, поїхали.

Класифікація - процес визначення того, що потрібно робити з пакетом.
З можливих дій: дозволити, блокувати або викликати callout.

Callouts - це набір функцій в драйвері, які проводять інспекцію
пакетів. Вони мають спеціальну функцію, що виконує класифікацію пакетів. ця
функція може прийняти наступне рішення:

  • дозволити (FWP_ACTION_PERMIT);
  • блокувати (FWP_ACTION_BLOCK);
  • продовжити обробку;
  • запросити більше даних;
  • перервати з'єднання.

Фільтри (Filters) - правила, що вказують, в яких випадках викликається
той чи інший callout. Один драйвер може мати кілька callout'ов, а
розробкою драйвера з callout'ом ми і займемося в цій статті. До речі, колаути
є і вбудовані, наприклад, NAT-callout.

Layer - це ознака, за якою об'єднуються різні фільтри (або,
як кажуть в MSDN, "контейнер").

По правді кажучи, документація від Microsoft, виглядає досить мутно, поки
НЕ заглянеш в приклади в WDK. Тому, якщо раптом надумаєш розробляти щось
серйозне, потрібно неодмінно з ними ознайомитися. Ну що ж, тепер плавно
перейдемо до практики. Для успішної компіляції та тестів тобі потрібно WDK (Windows
Driver Kit), VmWare, віртуальна машина з встановленої Вистой і відладчик WinDbg.
Що стосується WDK, то у мене особисто встановлена \u200b\u200bверсія 7600.16385.0 - там є все
необхідні ліби (оскільки ми будемо розробляти драйвер, нам потрібні тільки
fwpkclnt.lib і ntoskrnl.lib) і приклади використання WFP. Посилання на весь
інструментарій вже неодноразово наводилися, тому повторюватися не будемо.

Coding

Для ініціалізації callout'а я написав функцію BlInitialize. Загальний алгоритм
створення callout і додавання фільтра такий:

  1. FWPMENGINEOPEN0 здійснює розпочати розмову;
  2. FWPMTRANSACTIONBEGIN0 - початок операції з WFP;
  3. FWPSCALLOUTREGISTER0 - створення нового callout;
  4. FWPMCALLOUTADD0 - додавання об'єкта callout'а в систему;
  5. FWPMFILTERADD0 - додавання нового фільтра (ів);
  6. FWPMTRANSACTIONCOMMIT0 - збереження змін (доданих
    фільтрів).

Зверни увагу, що функції закінчуються на 0. У Windows 7 деякі з цих
функцій були змінені, наприклад, з'явилася FwpsCalloutRegister1 (при
збереженої FwpsCalloutRegister0). Відрізняються вони аргументами і, як наслідок,
прототипами класифікують функцій, але для нас це зараз неважливо - 0-функції
універсальні.

FwpmEngineOpen0 і FwpmTransactionBegin0 не особливо нам цікаві - це
підготовчий етап. Найцікавіше починається з функції
FwpsCalloutRegister0:

прототип FwpsCalloutRegister0

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void * deviceObject,
__in const FWPS_CALLOUT0 * callout,
__out_opt UINT32 * calloutId
);

Я вже говорив, що callout - це набір функцій, тепер прийшов час
розповісти про це докладніше. Структура FWPS_CALLOUT0 містить покажчики на три
функції - классифицирующую (classifyFn) і дві уведомляющие (про
додаванні / видаленні фільтра (notifyFn) і закриття оброблюваного потоку (flowDeleteFn)).
Перші дві функції є обов'язковими, остання потрібна тільки в разі, якщо
ти хочеш моніторити самі пакети, а не тільки з'єднання. Також в структурі
міститься унікальний ідентифікатор, GUID колаута (calloutKey).

Код реєстрації callout

FWPS_CALLOUT sCallout \u003d (0);
sCallout.calloutKey \u003d * calloutKey;
sCallout.classifyFn \u003d BlClassify;
// класифікує функція
sCallout.notifyFn \u003d (FWPS_CALLOUT_NOTIFY_FN0) BlNotify;
// функція, яка повідомила про додавання / видалення фільтра
// створюємо новий колаут
status \u003d FwpsCalloutRegister (deviceObject, & sCallout, calloutId);

DWORD WINAPI FwpmCalloutAdd0 (
__in HANDLE engineHandle,
__in const FWPM_CALLOUT0 * callout,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 * id
);
typedef struct FWPM_CALLOUT0_ (
GUID calloutKey;
FWPM_DISPLAY_DATA0 displayData; // опис callout
UINT32 flags;
GUID * providerKey;
FWP_BYTE_BLOB providerData;
GUID applicableLayer;
UINT32 calloutId;
) FWPM_CALLOUT0;

У структурі FWPM_CALLOUT0 нам цікаво поле applicableLayer - унікальний
ідентифікатор рівня, на який додається callout. У нашому випадку це
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "V4" в назві ідентифікатора означає версію
протоколу Ipv4, є також FWPM_LAYER_ALE_AUTH_CONNECT_V6 для Ipv6. З огляду на
малу поширеність Ipv6 на справжній момент, працювати ми будемо тільки з
Ipv4. CONNECT в назві означає, що ми контролюємо тільки установку
з'єднання, про вхідні та вихідні на цю адресу пакетах мови не йде! взагалі
рівнів, крім використаного нами, багато - вони оголошені в заголовки
fwpmk.h з WDK.

Додавання об'єкта-callout в систему

// назву callout
displayData.name \u003d L "Blocker Callout";
displayData.description \u003d L "Blocker Callout";
mCallout.calloutKey \u003d * calloutKey;
mCallout.displayData \u003d displayData;
// опис callout
// FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer \u003d * layerKey;
status \u003d FwpmCalloutAdd (gEngineHandle, & mCallout, NULL, NULL);

Отже, після того, як callout успішно доданий в систему, потрібно створити
фільтр, тобто вказати, в яких випадках буде викликатися наш callout, а саме
- його класифікує функція. Новий фільтр створюється функцією FwpmFilterAdd0,
якої в якості аргументу передається структура FWPM_FILTER0.

У FWPM_FILTER0 є одна або декілька структур FWPM_FILTER_CONDITION0 (їх
число визначається полем numFilterConditions). Поле layerKey заповнюється GUID'ом
рівня (layer), до якого ми хочемо приєднатися. В даному випадку вказуємо
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Тепер докладніше розглянемо заповнення FWPM_FILTER_CONDITION0. По-перше, в
поле fieldKey потрібно явно вказати, що ми хочемо контролювати - порт, адреса,
додаток або щось ще. В даному випадку WPM_CONDITION_IP_REMOTE_ADDRESS
вказує системі, що нас цікавить IP-адреса. Значення fieldKey визначає,
значення якого типу будуть в структурі FWP_CONDITION_VALUE, що входить в
FWPM_FILTER_CONDITION0. В даному випадку в ній міститься ipv4-адреса. йдемо
далі. Поле matchType визначає, яким чином буде проводитися порівняння
значення в FWP_CONDITION_VALUE з тим, що прийшло по мережі. Тут варіантів багато:
можна вказати FWP_MATCH_EQUAL, що буде означати повну відповідність умові, а
можна - FWP_MATCH_NOT_EQUAL, тобто, фактично, ми можемо додати таким
чином виняток фільтрації (адреса, з'єднання з яким не відстежується).
Ще є варіанти FWP_MATCH_GREATER, FWP_MATCH_LESS і інші (див. Енума
FWP_MATCH_TYPE). В даному випадку у нас стоїть FWP_MATCH_EQUAL.

Я не став сильно заморочуватися і просто написав умова на блокування
одного обраного IP-адреси. У разі, коли якесь додаток спробує
встановити з'єднання з обраним адресою, буде викликана класифікує
функція нашого callout'а. Код, узагальнюючий сказане, ти можеш подивитися на
врізки "Додавання фільтра в систему".

Додавання фільтра в систему

filter.flags \u003d FWPM_FILTER_FLAG_NONE;
filter.layerKey \u003d * layerKey;
filter.displayData.name \u003d L "Blocker Callout";
filter.displayData.description \u003d L "Blocker Callout";
filter.action.type \u003d FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey \u003d * calloutKey;
filter.filterCondition \u003d filterConditions;
// одну умову фільтрації
filter.numFilterConditions \u003d 1;
//filter.subLayerKey \u003d FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type \u003d FWP_EMPTY; // auto-weight.
// додаємо фільтр на віддалений адресу
filterConditions.fieldKey \u003d FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType \u003d FWP_MATCH_EQUAL;
filterConditions.conditionValue.type \u003d FWP_UINT32;
filterConditions.conditionValue.uint32 \u003d ntohl (BLOCKED_IP_ADDRESS);
// додаємо фільтр
status \u003d FwpmFilterAdd (gEngineHandle, & filter, NULL, NULL);

Взагалі, звичайно, фільтруючих умов може бути багато. Наприклад, можна
вказати блокування з'єднань з певним віддаленим або локальним портом (FWPM_CONDITION_IP_REMOTE_PORT
і FWPM_CONDITION_IP_LOCAL_PORT відповідно). Можна виловлювати все пакети
певного протоколу або певної програми. І це ще не все! Можна, можливо,
наприклад, заблокувати трафік певного користувача. Загалом, є де
розгулятися.

Втім, повернемося до фільтру. Класифікує функція в нашому випадку просто
блокує з'єднання з вказаною адресою (BLOCKED_IP_ADDRESS), повертаючи
FWP_ACTION_BLOCK:

Код нашої classify-функції

void BlClassify (
const FWPS_INCOMING_VALUES * inFixedValues,
const FWPS_INCOMING_METADATA_VALUES * inMetaValues,
VOID * packet, IN const FWPS_FILTER * filter,
UINT64 flowContext, FWPS_CLASSIFY_OUT * classifyOut)
{
// заповнюємо структуру FWPS_CLASSIFY_OUT0
if (classifyOut) (// блокуємо пакет
classifyOut-\u003e actionType \u003d
FWP_ACTION_BLOCK;
// при блокуванні пакета потрібно
скидати FWPS_RIGHT_ACTION_WRITE
classifyOut-\u003e rights & \u003d ~ FWPS_RIGHT_ACTION_WRITE;
}
}

На практиці функція класифікації також може встановити FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE і ін.

І на закінчення при вивантаженні драйвера потрібно видалити всі встановлені
callout'и (вгадай, що буде, якщо система спробує викликати callout
розвантаженого драйвера? Правильно, BSOD). Для цього існує функція
FwpsCalloutUnregisterById. Як параметр їй передається 32-бітний
ідентифікатор callout'а, повернутий функцією FwpsCalloutRegister.

Завершення роботи callout'а

NTSTATUS BlUninitialize () (
NTSTATUS ns;
if (gEngineHandle) (
FwpmEngineClose (gEngineHandle);

}
if (gBlCalloutIdV4) (
ns \u003d FwpsCalloutUnregisterById (gBlCalloutIdV4);
}
return ns;
}

Як бачиш, програмування WFP-фільтра - не така складна задача, оскільки
MS надали нам дуже зручний API. До речі, в нашому випадку ми встановлювали
фільтр в драйвері, але це можна робити і з юзермода! Наприклад, семпл з wdk
msnmntr (монітор трафіку MSN Messenger-а) так і надходить - це дозволяє не
перевантажувати kernel-mode частина фільтра.

свій GUID

Для реєстрації callout йому потрібен унікальний ідентифікатор. Для того щоб
отримати свій GUID (Globally Unique Identifier), використовуй guidgen.exe, що входить
в Visual Studio. Лежить тулза в (VS_Path) \\ Common7 \\ Tools. імовірність колізії
дуже мала, оскільки довжина GUID становить 128 біт, і всього доступно 2 ^ 128
ідентифікаторів.

налагодження фільтра

Для налагодження дров зручно використовувати зв'язку Windbg + VmWare. Для цього потрібно
налаштувати як гостьову систему (у вигляді якої виступає Vista), так і відладчик
WinDbg. Якщо у WinXP для віддаленої налагодження потрібно було редагувати boot.ini, то
для Vista + є консольна утиліта bcdedit. Як завжди, потрібно включити налагодження:

BCDedit / dbgsettings SERIAL DEBUGPORT: 1 BAUDRATE: 115200 BCDedit / debug
ON (або BCDedit / set debug ON)

Тепер все готово! Запускаємо батник з нижченаведеними текстом:

start windbg -b -k com: pipe, port \u003d \\\\. \\ pipe \\ com_1, resets \u003d 0

і бачимо зневаджувальної у вікні windbg (див. малюнок).

висновок

Як бачиш, область застосування WFP досить широка. Тобі вирішувати, як
застосувати ці знання - на зло або на благо 🙂

Брандмауер (брандмауер або фаєрвол) Windows не викликає поваги. Злегка змінившись при переході з XP на Vista, він не погано справляється зі своєю простим завданням, однак йому не вистачає амбіцій, щоб стати кращим персональним файрволлом. Втім, незважаючи на те, що файрволл Windows 7 отримав кілька нових можливостей, все-таки він не отримав того, що я очікував в ньому побачити.

Звісно з Домашньої групою

Під час установки Windows 7 пропонує створити "домашню групу". У міру виявлення в мережі інших комп'ютерів з Windows 7, їм також пропонується приєднатися до групи. І все що їм для цього треба - це пароль до неї. Однак, маючи один комп'ютер під Windows 7, я не бачив процесу входу в групу інших комп'ютерів, хоча повідомлення про це не завадить. Втім, якщо будь-який комп'ютер з Windows 7 може приєднатися до домашньої групи, то комп'ютери під Windows 7 Home Basic і Windows 7 Starter не можуть створити її.

Комп'ютери в одній і тій же домашній групі можуть спільно використовувати (або, як кажуть "расшарівать") принтери і специфічні бібліотеки файлів. За замовчуванням, расшарівать бібліотеки малюнків, музики, відео та документів, проте користувач може обмежити їх на свій розсуд. Допомога в операційній системі дає ясні пояснення того, як виключити файл або папку з розшарювання, або як зробити їх доступними тільки для читання або як обмежити до них доступ.

У своїй домашній мережі користувач може расшарівать свій контент і для інших комп'ютерів і пристроїв, і навіть для комп'ютерів не під Windows 7 і навіть для не комп'ютер зовсім. Зокрема, Microsoft показувала приклади, як можна розшарити контент для Xbox 360. Втім, компанія не пропонує підключити до мережі Wii. На жаль, але Wii компанія не кваліфікувала, як пристрій потокового медіа.

Отже, наскільки ж домашня мережа в Windows 7 більш безпечна? Зазвичай користувачі, які потерпіли невдачу з расшаріваніє файлів і папок, починають відключати все навколо, включаючи файлволл, антивірус і т.п., що, на їхню думку, може заважати цьому процесу. У той же час, якщо зробити расшаріваніє простим, то відключення всього навколо можна і уникнути.

Якщо Vista розділяє мережі на публічні (Public) і приватні (Private), то Windows 7 розділяє приватну мережу на домашню (Home) і робочу (Work). Домашня група (HomeGroup) доступна тільки при виборі домашньої мережі. Однак і в робочій мережі ваш комп'ютер все-таки може бачити і підключатися до інших пристроїв в ній. У свою чергу в публічній мережі (на кшталт бездротової в інтернет-кафе), Windows 7 блокує доступ до вас і від вас до інших пристроїв, для вашої безпеки. Це невелика, але приємна можливість.

дворежимний фаєрвол

У Vista і XP управління файрволлом зводиться до його простому включення і виключення. У той же час Windows 7 пропонує користувачеві різні конфігурації налаштувань для приватних (домашніх і робочих) і громадських організацій мереж. При цьому користувачеві не треба входити в налаштування файрволла, щоб попрацювати, скажімо, в локальному кафе. Йому досить вибрати публічну мережу, і фаєрвол сам застосує весь набір обмежуючих параметрів. Найімовірніше, користувачі налаштують публічну мережу на блокування всіх вхідних з'єднань. У Vista цього не можна було зробити без обрізання також всього вхідного трафіку у власній мережі користувача.

Деякі користувачі не розуміють, навіщо потрібен файрвол. Якщо працює UAC, чи не є фаєрвол надмірністю? Насправді, ці програми мають абсолютно різними цілями. UAC стежить за програмами і їх роботою всередині локальної системи. Файрволл ж пильно вдивляється у вхідні та вихідні дані. Якщо уявити дві ці програми, як двох героїв, що стоять спина до спини і відображають атаки зомбі, то, можна сказати, майже не помилишся.

У перший момент мене заінтригувала нова можливість "Повідомляти мене, коли Windows Firewall блокує нову програму". Чи не є це ознакою того, що Windows Firewall отримав управління над програмами і став дійсним двостороннім файрволлом ?. Мене з'їдала бажання відключити цю можливість. І в результаті Windows Firewall не отримав більшої поваги, ніж мав.

Минуло вже десять років з тих пір, як компанія ZoneLabs популяризувала двосторонній персональний фаєрвол. Її програма ZoneAlarm приховувала всі порти комп'ютера (що вміє і Windows Firewall) і також дозволяла управляти доступом програм в Інтернет (цього Windows Firewall не вміє досі). Я не вимагаю інтелектуального моніторингу поведінки програм, як, наприклад, в Norton Internet Security 2010 і в інших пакетах. Але я сподіваюся, що до виходу Windows 8, Microsoft все-таки запровадить в свій файрволл набір можливостей десятирічної ZoneAlarm.

Microsoft прекрасно знає, що багато користувачів встановлюють сторонні файрволли і пакети безпеки і просто відключають Windows Firewall. У минулому багато програм безпеки третіх фірм автоматично відключали Windows Firewall щоб уникнути конфліктів. У Windows 7, Microsoft зробила це сама. При установці відомого їй файрволла операційна система відключає свій вбудований фаєрвол і повідомляє, що "настройки файрволла управляються такий-то програмою від такого-то виробника".

Чи будете ви його використовувати чи ні, Windows Firewall присутній в кожній Windows 7, володіючи при цьому грунтовної інтеграцією з операційною системою. Так може бути більш прийнятним, якщо додатки безпеки третіх фірм зможуть використовувати файлволл Windows в своїх цілях? Ця ідея лежить за інтерфейсом програмування, названим платформою фільтрації Windows - Windows Filtering Platform. Але чи будуть користуватися їй розробники? Про це в наступній частині.

Безпека Windows 7: Платформа фільтрації Windows - Windows Filtering Platform

Файрволли повинні працювати з Windows 7 на дуже низькому рівні, що абсолютно ненавидять програмісти Microsoft. Деякі технології Microsoft, на кшталт PatchGuard, присутні в 64-х бітних виданнях Windows 7 (64-х бітні Windows 7 мають ряд переваг в безпеці над 32-х бітними Windows 7), блокують зловмисників і також захищають ядро \u200b\u200bвід доступу до нього. І все-таки Microsoft не надає такого рівня безпеки, як у програм третіх осіб. Так що ж робити?

Вирішенням цієї проблеми є платформа фільтрації Windows - Windows Filtering Platform (WFP). Остання, за словами Microsoft, дозволяє засновувати файрволли третіх фірм на ключових можливостях Windows Firewall - дозволяє додавати в них настроюються можливості і вибірково вмикати або вимикати частини Windows Firewall. В результаті користувач може вибирати собі файрволл, який буде співіснувати з Windows Firewall.

Але наскільки це дійсно корисно для розробників програм безпеки? Чи стануть вони цим користуватися? Я опитав кількох людей і отримав масу відповідей.

BitDefender LLC

Менеджер з розробки продуктів Юліан Костаче (Iulian Costache) заявив, що його компанія в даний час використовує цю платформу в Windows 7. Однак вони зіткнулися зі значними витоками пам'яті. Помилка знаходиться на стороні Microsoft, що найбільший програмний гігант вже підтвердив. Проте, Юліан не знає, коли вона буде вирішена. Поки ж вони тимчасово замінили новий драйвер WFP на старий TDI.

Check Point Software Technologies Ltd

Менеджер зі зв'язків з громадськістю в Check Point Software Technologies Ltd Мирка Янус (Mirka Janus) заявив, що його компанія почала використовувати WFP ще з Vista. Також вони використовують платформу і під Windows 7. Це хороший, підтримуваний інтерфейс, але будь-яка шкідлива програма або несумісний драйвер можуть бути небезпечними для продукту безпеки, що спирається на нього. ZoneAlarm завжди спирався на два шари - шари мережевих з'єднань і пакетного рівня. Починаючи з Vista, Microsoft запропонувала WFP як підтримуваний спосіб фільтрації мережевих з'єднань. Починаючи з Windows 7 SP1, Microsoft повинна навчити WFP включених пакетних фільтрації.

"Використання підтримуваних API означає поліпшену стабільність і зменшене число BSOD. Багато драйвери можуть реєструватися і кожному розробнику драйверів не треба турбуватися про сумісність з іншими. Якщо який-небудь драйвер, скажімо, блокований, жоден інший зареєстрований не може обійти цю блокування. З іншого боку, несумісний драйвер може стати проблемою, обійшовши всі інші зареєстровані. Ми не спираємося на один лише WFP для мережевої безпеки ".

F-Secure Corporation

Старший дослідник в F-Secure Corporation Мікко Хиппонен (Mikko Hypponen) заявив, що з якоїсь причини WFP ніколи не ставав популярним серед розробників програм безпеки. У той же час його компанія досить довго використовувала WFP, і була від цього щаслива.

McAfee, Inc.

У свою чергу провідний архітектор McAfee Ахмед Салам (Ahmed Sallam) заявив, що WFP є більш потужним і гнучким інтерфейсом мережевої фільтрації, ніж попередній інтерфейс, заснований на NDIS. McAfee активно використовує WFP в своїх продуктах безпеки.

У той же час, не дивлячись на те, що WFP володіє позитивними можливостями, перевагами платформи можуть скористатися і кіберзлочинці. Платформа може дозволити шкідливій програмі увійти в мережевий стек рівня ядра Windows. Тому 64-х бітні драйвера Windows рівня ядра повинні мати цифрові підписи, щоб захистити ядро \u200b\u200bвід завантаження в нього шкідливих програм. Однак цифрові підписи не обов'язкові на 32-х бітових версіях.

Так, теоретично цифрові підписи є розумним захисним механізмом, але в реальності автори шкідливих програм все-таки можуть придбати собі і їх.

Panda Security

Представник Panda Security Педро Бустаманте (Pedro Bustamante) сказав, що його компанія стежить за платформою WFP, але в даний час її не використовує. Основними недоліками WFP компанія вважає, по-перше, відсутність можливості створити технологію, яка б комбінувала різні техніки для максимізації захисту. Технологія марна, якщо компанія не може поглянути під вхідні і вихідні пакети в машину. Також вона повинна виступати датчиком для інших технологій захисту. Жодну з цих можливостей не надає WFP. По-друге, WFP підтримується лише Vista і більш новими операційними системами. Забезпечення сумісності у платформи немає. І, по-третє, WFP є досить новою платформою, а компанія вважає за краще спиратися на більш старі і перевірені технології.

Symantec Corp.

Директор з менеджменту споживчих продуктів в Symantec Ден Надир (Dan Nadir) заявив, що WFP поки не використовується в їх продуктах через відносну новизни. Проте, з часом компанія планує мігрувати на неї, тому що старі інтерфейси, на які вони спираються зараз, не зможуть надати всю повноту необхідної ними функціональності. WFP вони вважають хорошою платформою, тому що вона була спеціально розроблена для забезпечення функціональної сумісності між безліччю програм третіх фірм. В принципі, в майбутньому проблем сумісності у платформи повинні бути ще менше. WFP також хороша тому, що інтегрована з Microsoft Network Diagnostic Framework. Це надзвичайно корисно, тому що значно полегшує пошук специфічних програм, які є перешкодою для мережевого трафіку. І, нарешті, WFP повинна привести до поліпшення продуктивності і стабільності операційної системи, тому що платформа уникає емуляції і проблем з конфліктами або стабільністю драйверів.

Втім, з іншого боку, на думку Надіра, WFP може створювати певні проблеми, які існують в будь-якій структурі - розробники, спираються на WFP не можуть закрити уразливості всередині самої WFP, як не можуть і розширити специфічні можливості, пропоновані WFP. Також якщо багато програм будуть спиратися на WFP, то творці шкідливих програм теоретично можуть спробувати атакувати саму WFP.

Trend Micro Inc.

Директор з досліджень в Trend Micro Inc. Дале Льао (Dale Liao) сказав, що величезним перевагою платформи є сумісність з операційною системою. Також стандартний фаєрвол зараз став корисним. Тому тепер вони можуть сфокусуватися на справді значущих його можливості для користувача. Погано ж в WFP те, що при виявленні в платформі помилки, компанії доводиться чекати її виправлення від Microsoft.

WFP: Висновок

В результаті, велика частина опитаних мною розробників програм безпеки вже використовує WFP. Правда, деякі паралельно з іншими технологіями. Їм подобається функціональна сумісність, подобається документованість і офіційність платформи і також передбачувана стабільність її роботи. З іншого, негативного боку, якщо всі розробники стануть спиратися на WFP, то платформа потенційно може стати для всіх вразливою точкою. І для її виправлення їм доведеться спиратися на Microsoft. Крім того, платформа поки не пропонує фільтрації рівня пакетів.

Великим недоліком WFP також є те, що її немає в Windows XP. Тому розробникам, які хочуть підтримувати XP, доведеться вести два паралельні проекти. Втім, у міру того, як XP буде йти з ринку, я думаю, WFP стане більш популярною серед розробників.

Оснащення консолі управління (MMC) ОС Windows Vista ™ - це брандмауер, реєструючий стан мережі, для робочих станцій, фільтруючий вхідні і витікаючі з'єднання відповідно до заданих настройками. Тепер можна налаштовувати параметри брандмауера і протоколу IPsec за допомогою однієї оснастки. У цій статті описується робота брандмауера Windows у режимі підвищеної безпеки, типові проблеми та засоби їх вирішення.

Як працює брандмауер Windows в режимі підвищеної безпеки

Брандмауер Windows в режимі підвищеної безпеки - це брандмауер, реєструючий стан мережі, для робочих станцій. На відміну від брандмауерів для маршрутизаторів, які розгортають на шлюзі між локальною мережею та Інтернетом, брандмауер Windows створений для роботи на окремих комп'ютерах. Він відстежує тільки трафік робочої станції: трафік, що приходить на IP-адресу вашого комп'ютера, і вихідний трафік самого комп'ютера. Брандмауер Windows в режимі підвищеної безпеки виконує наступні основні операції:

    Вхідний пакет перевіряється і порівнюється зі списком дозволеного трафіку. Якщо пакет відповідає одному зі значень списку, брандмауер Windows передає пакет протоколу TCP / IP для подальшої обробки. Якщо пакет не відповідає жодному із значень списку, брандмауер Windows блокує пакет, і в тому випадку, якщо включено протоколювання, створює запис у файлі журналу.

Список дозволеного трафіку формується двома шляхами:

    Коли підключення, контрольоване брандмауером Windows в режимі підвищеної безпеки, відправляє пакет, брандмауер створює значення в списку дозволяє прийом відповідного трафіку. Для відповідного вхідного трафіку буде потрібно додатковий дозвіл.

    Коли Ви створюєте дозволяє правило брандмауера Windows у режимі підвищеної безпеки, трафік, для якого створено відповідне правило, буде дозволений на комп'ютері з працюючим брандмауером Windows. Цей комп'ютер буде приймати явно дозволений вхідний трафік в режимах роботи в якості сервера, клієнтського комп'ютера або вузла однораноговой мережі.

Першим кроком у вирішенні проблем, пов'язаних з брандмауера Windows, є перевірка того, який профіль є активним. Брандмауер Windows в режимі підвищеної безпеки є додатком, який відслідковує мережеве оточення. Профіль брандмауера Windows змінюється при зміні мережевого оточення. Профіль являє собою набір налаштувань і правил, який застосовується в залежності від мережевого оточення і діючих мережевих підключень.

Брандмауер розрізняє три типи мережевого оточення: домен, публічна і приватна мережі. Доменом є мережеве оточення, в якому підключення проходять аутентифікацію на контролері домену. За замовчуванням всі інші типи мережевих підключень розглядаються як публічні мережі. При виявленні нового підключення Windows Vista пропонує користувачеві вказати, чи є дана мережа приватної або публічної. Загальний профіль призначений для використання в громадських місцях, наприклад, в аеропортах або кафе. Приватний профіль призначений для використання вдома або в офісі, а також в захищеної мережі. Щоб визначити мережу як приватну, користувач повинен володіти відповідними адміністративними повноваженнями.

Хоча комп'ютер може бути підключений одночасно до мереж різного типу, активним може бути тільки один профіль. Вибір активного профілю залежить від наступних причин:

    Якщо для всіх інтерфейсів застосовується аутентифікація на контролері домену, використовується профіль домену.

    Якщо хоча б один з інтерфейсів підключений до приватної мережі, а всі інші - до домену або до приватних мереж, використовується приватний профіль.

    У всіх інших випадках використовується загальний профіль.

Щоб перевірити, яке профілю натисніть вузол спостереження в оснащенні Брандмауер Windows в режимі підвищеної безпеки. над текстом стан брандмауера буде вказано, який профіль активний. Наприклад, якщо активний профіль домену, нагорі буде відображено напис Профіль домену активний.

За допомогою профілів брандмауер Windows може автоматично дозволяти вхідний трафік для спеціальних засобів управління комп'ютером, коли комп'ютер знаходиться в домені, і блокувати той же трафік, коли комп'ютер підключений до публічної чи приватної мережі. Таким чином, визначення типу мережевого оточення забезпечує захист вашої локальної мережі без шкоди безпеці мобільних користувачів.

Типові проблеми при роботі брандмауера Windows у режимі підвищеної безпеки

Нижче перераховані основні проблеми, що виникають при роботі брандмауера Windows у режимі підвищеної безпеки:

У тому випадку, якщо трафік блокується, спочатку слід перевірити, чи включений брандмауер, і який профіль є активним. Якщо будь-яка з додатків блокується, переконайтеся в тому, що в оснащенні Брандмауер Windows в режимі підвищеної безпеки існує активне дозволяє правило для поточного профілю. Щоб переконається в наявності дозволяючого правила, двічі клацніть вузол спостереження, А потім виберіть розділ брандмауер. Якщо для даної програми немає активних дозвільних правил, перейдіть до вузла і створіть нове правило для даної програми. Створіть правило для програми або служби, або вкажіть групу правил, яка застосовується до даної функції, і переконайтеся в тому, що всі правила даної групи включені.

Для перевірки того, що дозволяє правило не перекривається блокуючим правилом, виконайте наступні дії:

    У дереві оснащення Брандмауер Windows в режимі підвищеної безпеки клацніть вузол спостереження, А потім виберіть розділ брандмауер.

    Перегляньте список всіх активних правил локальної та групової політик. Заборонні правила перекривають дозволяють правила навіть у тому випадку, якщо останні визначено більш точно.

Групова політика перешкоджає застосуванню локальних правил

Якщо брандмауер Windows в режимі підвищеної безпеки налаштовується за допомогою групової політики, адміністратор може вказати, чи будуть використовуватися правила брандмауера або правила безпеки підключення, створені локальними адміністраторами. Це має сенс в тому випадку, якщо існують налаштовані локальні правила брандмауера або правила безпеки підключення, відсутні у відповідному розділі налаштувань.

Для з'ясування причин, за якими локальні правила брандмауера або правила безпеки підключення відсутні в розділі «Спостереження», виконайте наступні дії:

    В оснащенні Брандмауер Windows в режимі підвищеної безпеки, Клацніть посилання Властивості брандмауера Windows.

    Виберіть вкладку активного профілю.

    В розділі параметри, натисніть кнопку налаштувати.

    Якщо застосовуються локальні правила, розділ об'єднання правил буде активний.

Правила, що вимагають використання безпечних підключень, можуть блокувати трафік

При створенні правила брандмауера для вхідного або вихідного трафіку, одним з параметрів є. Якщо обрана дана функція, необхідна наявність відповідного правила безпеки підключення або окремої політики IPSec, яка визначає, який трафік є захищеним. В іншому випадку даний трафік блокується.

Для перевірки того, що одне або кілька правил для програми вимагають безпечних підключень, виконайте наступні дії:

    У дереві оснащення Брандмауер Windows в режимі підвищеної безпеки клацніть розділ Правила для вхідних підключень. Виберіть правило, яке необхідно перевірити і оберіть пункт властивості в області дії консолі.

    Виберіть вкладку загальні і перевірте, чи є обраним значення перемикача Дозволити лише безпечні підключення.

    Якщо для правила вказано параметр Дозволити лише безпечні підключення, Розгорніть розділ спостереження в дереві оснащення і виберіть розділ. Переконайтеся в тому, що для трафіку, визначеного в правилі брандмауера, існують відповідні правила безпеки підключення.

    попередження:

    При наявності активної політики IPSec переконайтеся в тому, що ця політика захищає необхідний трафік. Не створюйте правил безпеки підключень, щоб уникнути конфлікту політики IPSec і правил безпеки підключень.

Неможливо дозволити вихідні підключення

    У дереві оснащення Брандмауер Windows в режимі підвищеної безпеки виберіть розділ спостереження. Виберіть вкладку активного профілю і в розділі стан брандмауераперевірте, що вихідні підключення, що не підпадають під дозволяє правило, дозволені.

    В розділі спостереження виберіть розділ брандмауер, Щоб переконатися в тому, що необхідні вихідні підключення не вказані в забороняють правила.

Змішані політики можуть призвести до блокування трафіку

Ви можете налаштовувати брандмауер і параметри IPSec за допомогою різних інтерфейсів ОС Windows.

Створення політик в декількох місцях може призвести до конфліктів і блокування трафіку. В наявності є таке точки настройки:

    Брандмауер Windows в режимі підвищеної безпеки. Дана політика налаштовується за допомогою відповідного оснащення локально або як частина групової політики. Дана політика визначає параметри брандмауера і IPSec на комп'ютерах під управлінням ОС Windows Vista.

    Адміністративний шаблон брандмауера Windows. Дана політика налаштовується за допомогою редактора об'єктів групової політики в розділі. Даний інтерфейс містить параметри брандмауера Windows, які були доступні до появи Windows Vista, і призначений для настройки об'єкта групової політики, який управляє попередніми версіями Windows. Хоча дані параметри можуть бути використані для комп'ютерів під управлінням Windows Vista, рекомендується використовувати замість цього політику Брандмауер Windows в режимі підвищеної безпеки, Оскільки вона забезпечує більшу гнучкість і безпеку. Зверніть увагу на те, що деякі з налаштувань доменного профілю є загальними для адміністративного шаблону брандмауера Windows і політики Брандмауер Windows в режимі підвищеної безпеки, Тому Ви можете побачити тут параметри, налаштовані в доменному профілі за допомогою оснастки Брандмауер Windows в режимі підвищеної безпеки.

    Політики IPSec. Дана політика налаштовується за допомогою локальної оснастки Управління політиками IPSec або редактора об'єктів групової політики в розділі Конфігурація комп'ютера \\ Конфігурація Windows \\ Параметри безпеки \\ Політики IP безпеки на «Локальний комп'ютер». Дана політика визначає параметри IPSec, які можуть бути використані як попередніми версіями Windows, так і Windows Vista. Не слід застосовувати одночасно на одному і тому ж комп'ютері дану політику і правила безпеки підключення, визначені в політиці Брандмауер Windows в режимі підвищеної безпеки.

Для перегляду всіх цих параметрів у відповідних оснащеннях створіть власну оснастку консолі управління і додайте в неї оснащення Брандмауер Windows в режимі підвищеної безпеки, і Безпека IP.

Для створення власної оснащення консолі управління виконайте наступні дії:

    Натисніть кнопку Пуск, Перейдіть в меню всі програми, Потім в меню стандартні і виберіть пункт виконати.

    У текстовому полі відкрити ENTER.

    продовжити.

    У меню консоль виберіть пункт.

    В списку доступні оснастки виберіть оснастку Брандмауер Windows в режимі підвищеної безпеки і натисніть кнопку Додати.

    Натисніть кнопку ОК.

    Повторіть кроки з 1 по 6, щоб додати оснащення Управління груповою політикою і Монітор IP безпеки.

Для перевірки того, які політики активні в активному профілі, використовуйте наступну процедуру:

Для перевірки того, які політики застосовуються, виконайте наступні дії:

    У командному рядку введіть mmc і натисніть клавішу ENTER.

    Якщо з'явиться діалогове вікно керування обліковими записами користувачів, підтвердіть виконання запитуваної дії і натисніть кнопку продовжити.

    У меню консоль виберіть пункт Додати або видалити оснастку.

    В списку доступні оснастки виберіть оснастку Управління груповою політикою і натисніть кнопку Додати.

    Натисніть кнопку ОК.

    Розкрийте вузол в дереві (зазвичай це дерево лісу, в якому знаходиться даний комп'ютер) і двічі клацніть розділ в області відомостей консолі.

    Виберіть значення перемикача Відображати параметри політики для зі значень поточного користувача або іншого користувача. Якщо не потрібно відображати параметри політики для користувачів, а тільки параметри політики для комп'ютера, виберіть значення перемикача Чи не відображати політику користувача (перегляд тільки політики комп'ютера) і двічі натисніть кнопку далі.

    Натисніть кнопку Готово. Майстер результатів групової політики створить звіт в області відомостей консолі. Звіт містить вкладки зведення, параметри і події політики.

    Для перевірки того, що конфлікт з політиками IP безпеки відсутня, після створення звіту виберіть вкладку параметри і відкрийте розділ Конфігурація комп'ютера \\ Конфігурація Windows \\ Параметри безпеки \\ Параметри IP безпеки в службі каталогів Active Directory. Якщо останній розділ відсутній, значить, політика IP безпеки не задана. В іншому випадку будуть відображені назва і опис політики, а також об'єкт групової політики, якому вона належить. При одночасному використанні політики IP безпеки і політики брандмауера Windows у режимі підвищеної безпеки з правилами безпеки підключень можливий конфлікт даних політик. Рекомендується використовувати тільки одну з цих політик. Оптимальним рішенням буде використання політик IP безпеки разом з правилами брандмауера Windows у режимі підвищеної безпеки для вхідного або вихідного трафіку. У тому випадку, якщо параметри налаштовуються в різних місцях і не узгоджені між собою, можуть виникати складні в рішенні конфлікти політик.

    Також можуть виникати конфлікти між політиками, визначеними в локальних об'єктах групової політики і сценаріями, налаштованими ІТ-відділом. Перевірте всі політики IP безпеки за допомогою програми «Монітор IP безпеки» або ввівши таку команду в командному рядку:

    Для перегляду параметрів, визначених в адміністративному шаблоні брандмауера Windows, розкрийте розділ Конфігурація комп'ютера \\ Адміністративні шаблони \\ Мережа \\ Мережеві підключення \\ Брандмауер Windows.

    Для перегляду останніх подій, пов'язаних з поточною політикою, Ви можете перейти на вкладку Policy Events в тій же консолі.

    Для перегляду політики, використовуваної брандмауером Windows в режимі підвищеної безпеки, відкрийте оснащення на діагностується комп'ютері і перегляньте налаштування в розділі спостереження.

Для перегляду адміністративних шаблонів відкрийте оснащення групова політика і в розділі Результати групової політики перегляньте, чи присутні параметри, успадковані від групової політики, які можуть привести до відхилення трафіку.

Для перегляду політик IP безпеки відкрийте оснащення монітора IP безпеки. Виберіть в дереві локальний комп'ютер. В області дії консолі виберіть посилання активна політика, основний режим або Швидкий режим. Перевірте наявність конкуруючих політик, які можуть привести в блокуванні трафіку.

В розділі спостереження оснащення Брандмауер Windows в режимі підвищеної безпеки Ви можете переглянути та впорядкувати існуючі правила як локальної, так і груповий політики. Для отримання додаткової інформації зверніться до розділу « Використання функції спостереження в оснащенні Брандмауер Windows в режимі підвищеної безпеки »Даного документа.

Для зупинки агента політики IPSec виконайте наступні дії:

    Натисніть кнопку Пуск і виберіть розділ Панель управління.

    Натисніть піктограму Система й обслуговування і виберіть розділ адміністрування.

    Двічі клацніть значок служби. продовжити.

    Знайдіть у списку службу Агент політики IPSec

    якщо служба агент IPSec запущена, клацніть по ній правою кнопкою миші і виберіть в меню пункт зупинити. Також Ви можете зупинити службу агент IPSec з командного рядка за допомогою команди

Політика тимчасової мережі може призвести до відхилення трафіку

Для підключень, які використовують IPSec, обидва комп'ютера повинні мати сумісні політики IP безпеки. Ці політики можуть визначатися за допомогою правил безпеки підключень брандмауера Windows, оснащення IP безпеку або іншого постачальника IP безпеки.

Для перевірки параметрів політики IP безпеки в тимчасової мережі виконайте наступні дії:

    В оснащенні Брандмауер Windows в режимі підвищеної безпеки виберіть вузол спостереження і Правила безпеки підключення, Щоб переконатися в тому, що на обох вузлах мережі налаштована політика IP безпеки.

    Якщо один з комп'ютерів в тимчасової мережі працює під управлінням більш ранньої версії Windows, ніж Windows Vista, переконайтеся в тому, що, по крайней мере, один з наборів шифрування в основному режимі і один з наборів шифрування в швидкому режимі використовують алгоритми, які підтримуються обома вузлами .

    1. клацніть розділ основний режим, В області відомостей консолі виберіть підключення для перевірки, потім натисніть посилання властивості в області дії консолі. Перегляньте властивості підключення для обох вузлів, щоб переконатися в їх сумісності.

      Повторіть крок 2.1 для розділу Швидкий режим. Перегляньте властивості підключення для обох вузлів, щоб переконатися в їх сумісності.

    Якщо використовується аутентифікація Kerberos версії 5, переконайтеся в тому, що вузол знаходиться в тому ж або довіреному домені.

    Якщо використовуються сертифікати, переконайтеся в тому, що Ви настроїли прапорці. Для сертифікатів, які використовують обмін ключами IPSec в Інтернеті (Internet Key Exchange, IKE), необхідна цифровий підпис. Для сертифікатів, які використовують протокол IP з перевіркою достовірності (AuthIP), необхідна аутентифікація клієнтів (залежить від типу аутентифікації сервера). Для отримання додаткової інформації про сертифікати AuthIP зверніться до статті Протокол IP з перевіркою достовірності в Windows VistaAuthIP in Windows Vista на веб-сайті Microsoft.

Неможливо налаштувати брандмауер Windows в режимі підвищеної безпеки

Налаштування брандмауера Windows у режимі підвищеної безпеки недоступні (затінені), в наступних випадках:

    Комп'ютер підключений до мережі з централізованим управлінням, і мережевий адміністратор використовує групові політики для настройки параметрів брандмауера Windows у режимі підвищеної безпеки. В цьому випадку вгорі оснащення Брандмауер Windows в режимі підвищеної безпеки Ви побачите повідомлення «Деякі параметри управляються груповою політикою». Ваш адміністратор налаштовує політику, тим самим, позбавляючи Вас можливості змінювати параметри брандмауера Windows.

    Комп'ютер під керуванням Windows Vista не підключений до мережі з централізованим управлінням, проте параметри брандмауера Windows визначаються локальної групової політикою.

Для зміни параметрів брандмауера Windows у режимі підвищеної безпеки за допомогою локальної групової політики використовуйте оснащення Політика локального комп'ютера. Щоб відкрити цю оснастку, введіть у командному рядку secpol. Якщо з'явиться діалогове вікно керування обліковими записами користувачів, підтвердіть виконання запитуваної дії і натисніть кнопку продовжити. Перейдіть до розділу Конфігурація комп'ютера \\ Конфігурація Windows \\ Параметри безпеки \\ Брандмауер Windows в режимі підвищеної безпеки, щоб налаштувати параметри політики брандмауера Windows у режимі підвищеної безпеки.

Комп'ютер не відповідає на запити перевірки зв'язку

Основним способом перевірки підключення між комп'ютерами є використання утиліти Ping для перевірки підключення до певного IP-адресою. Під час перевірки зв'язку відправляється луна-повідомлення ICMP (також відоме як запит відлуння ICMP), і у відповідь запитується відповідь луна ICMP. За замовчуванням брандмауер Windows відхиляє входять луна-повідомлення ICMP, тому комп'ютер не може відправити відповідь луна ICMP.

Дозвіл входять луна-повідомлень ICMP дозволить іншим комп'ютерам виконувати перевірку зв'язку (ping) з Вашим комп'ютером. З іншого боку, це зробить комп'ютер вразливим для атак, що використовують луна-повідомлення ICMP. Проте, рекомендується тимчасово дозволити вхідні луна-повідомлення ICMP в разі необхідності, після чого відключити їх.

Для вирішення луна-повідомлень ICMP створіть нові правила для вхідного трафіку, що дозволяють пакети запитів відлуння ICMPv4 і ICMPv6.

Для вирішення запитів відлуння ICMPv4 і ICMPv6 виконайте наступні дії:

    У дереві оснащення Брандмауер Windows в режимі підвищеної безпеки виберіть вузол Правила для вхідних підключень і клацніть посилання нове правило в області дій консолі.

    настроюються і натисніть кнопку далі.

    Вкажіть значення перемикача всі програми і натисніть кнопку далі.

    У списку Тип протоколу виберіть значення ICMPv4.

    Натисніть кнопку налаштувати для пункту Параметри протоколу ICMP.

    Встановіть перемикач в значення Певні типи ICMP, Відзначте прапорець Відлуння-запит, натисніть кнопку ОК і натисніть кнопку далі.

    На етапі вибору локальних і віддалених IP-адрес, відповідних даному правилу, встановіть перемикачі в значення Будь-IP-адреса або Зазначені IP-адреси. Якщо Ви виберете значення Зазначені IP-адреси, Вкажіть необхідні IP-адреси, натисніть кнопку Додати і натисніть кнопку далі.

    Вкажіть значення перемикача дозволити підключенняі натисніть кнопку далі.

    На етапі вибору профілів відзначте один або кілька профілів (профіль домену, приватний або загальний профіль), в якому Ви хочете використовувати це правило, і натисніть кнопку далі.

    В полі ім'я введіть ім'я правила, а в поле опис - необов'язкове опис. Натисніть кнопку Готово.

    Повторіть перераховані вище кроки для протоколу ICMPv6, вибравши на етапі Тип протоколу значення списку ICMPv6 замість ICMPv4.

У разі наявності активних правил безпеки підключень допомогти у вирішенні проблем може тимчасове виключення протоколу ICMP з вимог IPsec. Для цього відкрийте в оснащенні Брандмауер Windows в режимі підвищеної безпеки діалогове вікно властивості, Перейдіть на вкладку параметри IPSec і вкажіть в списку значення Так для параметра Виключити ICMP з IPSec.

Примітка

Налаштування брандмауера Windows можуть змінювати тільки адміністратори та оператори мережі.

Неможливо отримати загальний доступ до файлів і принтерів

Якщо не вдається отримати загальний доступ до файлів і принтерів на комп'ютері з активним брандмауером Windows, переконайтеся в тому, що включені всі правила групи Доступ до файлів і принтерів Брандмауер Windows в режимі підвищеної безпеки виберіть вузол Правила для вхідних підключень Доступ до файлів і принтерів включити правило в області дії консолі.

Увага:

Настійно не рекомендується включати загальний доступ до файлів і принтерів на комп'ютерах, підключених до Інтернету безпосередньо, оскільки зловмисники можуть спробувати отримати доступ до загальних файлів і нанести Вам збиток, пошкодивши Ваші особисті файли.

Неможливо віддалене адміністрування брандмауера Windows

Якщо не вдається віддалено адмініструвати комп'ютер з активним брандмауером Windows, переконайтеся в тому, що включені всі правила в налаштованої за замовчуванням групі Віддалене управління брандмауер Windows активного профілю. В оснащенні Брандмауер Windows в режимі підвищеної безпеки виберіть вузол Правила для вхідних підключень і перейдіть правил до групи Віддалене управління. Переконайтеся в тому, що ці правила включені. Виберіть кожне з відключених правил і клацніть кнопку включити правило в області дії консолі. Додатково переконайтеся в тому, що включена служба агента політики IPSec. Ця служба необхідна для віддаленого управління брандмауер Windows.

Для перевірки того, що агент політики IPSec запущений, виконайте наступні дії:

    Натисніть кнопку Пуск і виберіть розділ Панель управління.

    Натисніть піктограму Система й обслуговування і виберіть розділ адміністрування.

    Двічі клацніть значок служби.

    Якщо з'явиться діалогове вікно керування обліковими записами користувачів, введіть необхідні дані користувача з відповідними повноваженнями і натисніть кнопку продовжити.

    Знайдіть у списку службу Агент політики IPSec і переконайтеся, що вона має статус «Працює».

    якщо служба агент IPSec зупинена, клацніть по ній правою кнопкою миші і виберіть в контекстному меню пункт запустити. Також Ви можете запустити службу агент IPSec з командного рядка за допомогою команди net start policy agent.

Примітка

За замовчуванням служба Агент політики IPSec запущена. Дана служба повинна працювати якщо вона не була зупинена вручну.

Засоби усунення неполадок в роботі брандмауера Windows

У цьому розділі описані засоби і методи, що використовуються при вирішенні типових проблем. Цей розділ складається з наступних підрозділів:

Використання функцій спостереження в оснащенні «Брандмауер Windows в режимі підвищеної безпеки»

Першим кроком у вирішенні проблем пов'язаних з брандмауером Windows є перегляд поточних правил. функція спостереження дозволяє переглядати правила використовуються на основі локальної та групової політик. Для перегляду поточних правил вхідного і вихідного трафіку в дереві оснащення Брандмауер Windows в режимі підвищеної безпеки виберіть розділ спостереження, І потім виберіть розділ брандмауер. У цьому розділі Ви також можете переглянути поточні правила безпеки підключення і зіставлення безпеки (Основний і Швидкий режими).

Включення і використання аудиту безпеки за допомогою засобу командного рядка auditpol

За умовчанням параметри аудиту неактивні. Для їх налаштування використовуйте засіб командного рядка auditpol.exe, змінює настройки політики аудиту на локальному комп'ютері. Аuditpol можна використовувати для включення або відключення відображення різних категорій подій і їх подальшого перегляду в оснащенні Перегляд подій.

    Щоб переглянути список категорій, які підтримує програма auditpol, введіть у командному рядку:

  • Щоб переглянути список підкатегорій, що входять в дану категорію (наприклад, в категорію Зміна політики), введіть у командному рядку:

    auditpol.exe / list / category: "Зміна політики"

  • Для включення відображення категорії або підкатегорії введіть у командному рядку:

    / SubCategory: " ІмяКатегоріі"

Наприклад, для того щоб задати політики аудиту для категорії і її підкатегорії, необхідно ввести наступну команду:

auditpol.exe / set / category: "Зміна політики" / subcategory: "Зміна політики на рівні правил MPSSVC" / success: enable / failure: enable

зміна політики

Зміна політики на рівні правил MPSSVC

Зміна політики фільтрування пакетів

Вхід вихід

Основний режим IPsec

Швидкий режим IPsec

Розширений режим IPsec

система

драйвер IPSEC

Інші системні події

Доступ до об'єктів

Відкидання пакету платформою фільтрації

Підключення фільтрування пакетів

Щоб зміни політики аудиту безпеки вступили в силу, необхідно перезавантажити локальний комп'ютер або примусово оновити політику вручну. Для примусового поновлення політики введіть у командному рядку:

secedit / refreshpolicy<название_политики>

Після завершення діагностики, Ви можете відключити аудит подій, замінивши в вищенаведених командах параметр enable на disable і запустивши команди повторно.

Перегляд подій, пов'язаних з аудитом безпеки, в журналі подій

Після включення аудиту, використовуйте оснащення Перегляд подій для перегляду подій аудиту в журналі подій безпеки.

Для відкриття оснащення «Перегляд подій» в папці «Адміністрування» виконайте наступні дії:

  1. Натисніть кнопку Пуск.

    Виберіть розділ Панель управління. Натисніть піктограму Система й обслуговування і виберіть розділ адміністрування.

    Двічі клацніть значок Перегляд подій.

Для додавання оснащення «Перегляд подій» в консоль MMC виконайте наступні дії:

    Натисніть кнопку Пуск, Перейдіть в меню всі програми, Потім в меню стандартні і виберіть пункт виконати.

    У текстовому полі відкрити введіть mmc і натисніть клавішу ENTER.

    Якщо з'явиться діалогове вікно керування обліковими записами користувачів, підтвердіть виконання запитуваної дії і натисніть кнопку продовжити.

    У меню консоль виберіть пункт Додати або видалити оснастку.

    В списку доступні оснастки виберіть оснастку Перегляд подій і натисніть кнопку Додати.

    Натисніть кнопку ОК.

    Перед тим як закрити оснастку, збережіть консоль для подальшого використання.

В оснащенні Перегляд подій розкрийте розділ журнали Windows і виберіть вузол Безпека. У робочій області консолі Ви можете переглядати події аудиту безпеки. Всі події відображаються в верхній частині робочої області консолі. Клацніть на подію у верхній частині робочої області консолі для відображення докладної інформації внизу панелі. на вкладці загальні розміщено опис подій у вигляді зрозумілого тексту. на вкладці подробиці доступні наступні параметри відображення події: ясна уявлення і режим XML.

Налаштування журналу брандмауера для профілю

До того як Ви зможете переглядати журнали брандмауера, необхідно налаштувати брандмауер Windows в режимі підвищеної безпеки для створення файлів журналу.

Щоб налаштувати ведення журналу для профілю брандмауера Windows у режимі підвищеної безпеки, виконайте наступні дії:

    У дереві оснащення Брандмауер Windows в режимі підвищеної безпеки виберіть розділ Брандмауер Windows в режимі підвищеної безпеки і натисніть кнопку властивості в області дії консолі.

    Виберіть вкладку профілю, для якого необхідно налаштувати ведення журналу (профіль домену, приватний або загальний профіль), і потім натисніть кнопку налаштувати в розділі ведення журналу.

    Вкажіть ім'я та розміщення файлу журналу.

    Вкажіть максимальний розмір файлу журналу (від 1 до 32767 кілобайт)

    У списку Записувати пропущені пакети вкажіть значення Так.

    У списку Записувати успішні підключення вкажіть значення Так і потім натисніть кнопку ОК.

Перегляд файлів журналу брандмауера

Відкрийте файл, зазначеним Вами під час попередньої процедури «Налаштування журналу брандмауера для профілю». Для доступу до журналу брандмауера Ви повинні володіти правами локального адміністратора.

Ви можете переглядати файл журналу за допомогою програми «Блокнот» або будь-якого текстового редактора.

Аналіз файлів журналу брандмауера

Інформація, що реєструється в журналі, наведена в наступній таблиці. Деякі дані вказуються тільки для певних протоколів (прапори TCP, тип і код ICMP і т. Д.), А деякі дані вказуються тільки для відкинутих пакетів (розмір).

поле

опис

приклад

Показує рік, місяць і день, в який було зроблено запис події. Дата записується у форматі РРРР-ММ-ДД, де РРРР - рік, MM - місяць, а ДД - день.

Показує годину, хвилину і секунду, в яку було зроблено запис події. Час записується у форматі ГГ: ХХ: СС, де ГГ - година в 24-годинному форматі, ММ - хвилина, а СС - секунда.

Дія

Позначає дію, виконане брандмауером. Існують наступні дії: OPEN, CLOSE, DROP і INFO-EVENTS-LOST. Дія INFO-EVENTS-LOST позначає, що сталося кілька подій, але вони не були записані в журнал.

протокол

Відображає протокол, який використовували для підключення. Даний запис також може являти собою число пакетів, що не використовують протоколи TCP, UDP або ICMP.

Показує IP-адреса комп'ютера-відправника.

Показує IP-адреса комп'ютера-одержувача.

Відображає номер порту джерела комп'ютера-відправника. Значення порту джерела записується в формі цілого числа від 1 до 65535. Коректне значення порту джерела відображається тільки для протоколів TCP і UDP. Для інших протоколів в якості порту джерела записується «-».

Відображає номер порту комп'ютера-одержувача. Значення порту призначення записується в формі цілого числа від 1 до 65535. Коректне значення порту призначення відображається тільки для протоколів TCP і UDP. Для інших протоколів в якості порту призначення записується «-».

Показує розмір пакета в байтах.

Відображає контрольні прапори керування TCP, виявлені в TCP-заголовку IP-пакета.

    Ack. Acknowledgment field significant
    (Поле підтвердження)

    Fin. No more data from sender
    (Немає більше даних для передачі)

    Psh. Push function
    (Функція проштовхування)

    Rst. Reset the connection

  • Syn. Synchronize sequence numbers
    (Синхронізація номерів черги)

    Urg. Urgent Pointer field significant
    (Поле термінового покажчика задіяне)

Прапор позначається першою великою літерою своєї назви. Наприклад, прапор Fin позначається як F.

Відображає номер черги TCP в пакеті.

Відображає номер підтвердження TCP у пакеті.

Показує розмір вікна TCP пакету в байтах.

Тип в повідомленні ICMP.

Показує число, що позначає поле код в повідомленні ICMP.

Відображає інформацію в залежності від виконаної дії. Наприклад, для дії INFO-EVENTS-LOST значення даного поля позначає число подій, що сталися, але не записаних в журнал за час, що минув з моменту попереднього появи події даного типу.

Примітка

Дефіс (-) використовується в полях поточного запису, що не містять ніякої інформації.

Створення текстових файлів netstat і tasklist

Ви можете створити два настроюються файлу журналу, один - для перегляду мережевий статистики (список всіх прослуховує портів) і інший - для перегляду списків завдань служб і додатків. Список завдань містить Код процесу (process identifier, PID) для подій, що містяться в файлі мережевий статистики. Нижче описана процедура створення цих двох файлів.

Для створення текстових файлів мережевої статистики та списку завдань виконайте наступні дії:

    У командному рядку введіть netstat -ano\u003e netstat.txt і натисніть клавішу ENTER.

    У командному рядку введіть tasklist\u003e tasklist.txt і натисніть клавішу ENTER. Якщо необхідно створити текстовий файл зі списком служб, введіть tasklist / svc\u003e tasklist.txt.

    Відкрийте файли tasklist.txt і netstat.txt.

    Знайдіть у файлі tasklist.txt код процесу, який Ви діагностуєте і порівняйте його зі значенням, що містяться в файлі netstat.txt. Запишіть використовуються протоколи.

Приклад видачі файлів Tasklist.txt і Netstat.txt

Netstat.txt
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:XXX 0.0.0.0:0 LISTENING 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 LISTENING 322
Tasklist.txt
Image Name PID Session Name Session # Mem Usage
==================== ======== ================ =========== ============
svchost.exe 122 Services 0 7,172 K
XzzRpc.exe 322 Services 0 5,104 K

Примітка

Реальні IP-адреси змінені на «X», а служба RPC - на «z».

Переконайтеся в тому, що запущені основні служби

Повинні бути запущені наступні служби:

    Служба базової фільтрації

    Клієнт групової політики

    Модулі ключів IPsec для обміну ключами в Інтернеті і протоколу IP з перевіркою достовірності

    Допоміжна служба IP

    Служба агента політики IPSec

    Служба мережевого розташування

    Служба списку мереж

    брандмауер Windows

Для відкриття оснащення «Служби» і перевірки того, що необхідні служби запущені, виконайте наступні дії:

    Натисніть кнопку Пуск і виберіть розділ Панель управління.

    Натисніть піктограму Система й обслуговування і виберіть розділ адміністрування.

    Двічі клацніть значок служби.

    Якщо з'явиться діалогове вікно керування обліковими записами користувачів, введіть необхідні дані користувача з відповідними повноваженнями і натисніть кнопку продовжити.

    Переконайтеся в тому, що служби, перераховані вище, запущені. Якщо одна або кілька служб не запущені, клацніть правою кнопкою по назві служби в списку і виберіть команду запустити.

Додатковий спосіб вирішення проблем

В якості останнього засобу Ви можете відновити настройки брандмауера Windows за замовчуванням. Після відновлення заводських налаштувань буде втрачено всі налаштування, зроблені після установки ОС Windows Vista. Це може привести до того, що деякі програми перестануть працювати. Також, якщо Ви керуєте комп'ютером віддалено, підключення до нього буде розірвано.

Перед відновленням заводських налаштувань переконайтеся в тому, що Ви зберегли поточну конфігурацію брандмауера. Це дозволить відновити Ваші настройки в разі потреби.

Нижче описані дії по збереженню конфігурації брандмауера і відновленню налаштувань за замовчуванням.

Для збереження поточної конфігурації брандмауера виконайте наступні дії:

    В оснащенні Брандмауер Windows в режимі підвищеної безпеки клацніть посилання політика експортув області дії консолі.

Для відновлення налаштувань брандмауера виконайте наступні дії:

    В оснащенні Брандмауер Windows в режимі підвищеної безпеки клацніть посилання Відновити значення за замовчуванням в області дії консолі.

    При отриманні запиту брандмауера Windows у режимі підвищеної безпеки натисніть кнопку Так для відновлення стандартних налаштувань.

висновок

Існує безліч способів діагностики і вирішення проблем, пов'язаних з брандмауером Windows в режимі підвищеної безпеки. В тому числі:

    Використання функції спостереження для перегляду дій брандмауера, правил безпеки підключень і зіставлень безпеки.

    Аналіз подій аудиту безпеки, пов'язаних з брандмауером Windows.

    Створення текстових файлів tasklist і netstat для порівняльного аналізу.