Обход узлов брандмауэр windows что это
Перейти к содержимому

Обход узлов брандмауэр windows что это

Рекомендации по настройке Защитник Windows брандмауэра

Защитник Windows брандмауэра с расширенной безопасностью обеспечивает двунаправленную фильтрацию сетевого трафика на основе узла и блокирует несанкционированный сетевой трафик, входящий в локальное устройство или исходящий из нее. Настройка брандмауэра Windows на основе приведенных ниже рекомендаций поможет оптимизировать защиту устройств в сети. Эти рекомендации охватывают широкий спектр развертываний, включая домашние сети и корпоративные настольные системы или серверные системы.

Чтобы открыть брандмауэр Windows, перейдите в меню " Пуск", выберите "Выполнить ", введите WF.msc и нажмите кнопку "ОК". См. также открытие брандмауэра Windows.

Сохранение параметров по умолчанию

При первом открытии Защитник Windows брандмауэра отображаются параметры по умолчанию, применимые к локальному компьютеру. На панели обзора отображаются параметры безопасности для каждого типа сети, к которой устройство может подключаться.

Защитник Windows брандмауэр с функцией расширенной безопасности при первом открытии.

Рис. 1. Защитник Windows брандмауэра

Профиль домена: используется для сетей, в которых существует система проверки подлинности учетной записи в контроллере домена (DC), например в контроллере домена Azure Active Directory.

Частный профиль: предназначен и лучше всего используется в частных сетях, таких как домашняя сеть

Общедоступный профиль: разработан с учетом более высокого уровня безопасности для общедоступных сетей, таких как Wi-Fi, кафе, аэропорты, гостиницы или магазины

Просмотрите подробные параметры для каждого профиля, щелкнув правой кнопкой **** мыши брандмауэр верхнего Защитник Windows с узлом "Расширенная безопасность" в левой области и выбрав пункт "Свойства".

По возможности сохраните параметры по умолчанию в Защитник Windows брандмауэра. Эти параметры предназначены для защиты устройства для использования в большинстве сетевых сценариев. Одним из ключевых примеров является поведение блока по умолчанию для входящих подключений.

Снимок экрана: автоматически созданное описание мобильного телефона.

Рис. 2. Параметры для входящего и исходящего трафика по умолчанию

Чтобы обеспечить максимальную безопасность, не изменяйте параметр блокировки по умолчанию для входящих подключений.

Дополнительные сведения о настройке основных параметров брандмауэра см. в разделе "Включение брандмауэра Windows и настройка поведения по умолчанию и контрольный список: настройка основных параметров брандмауэра ".

Общие сведения о приоритете правил для входящих правил

Во многих случаях администраторам потребуется настроить эти профили с помощью правил (иногда называемых фильтрами), чтобы они могли работать с пользовательскими приложениями или другими типами программного обеспечения. Например, администратор или пользователь может добавить правило для размещения программы, открыть порт или протокол или разрешить предопределенный тип трафика.

Эту задачу добавления правил можно выполнить, щелкнув правой кнопкой мыши **** правила для входящего трафика или правила для исходящего трафика и выбрав "Создать правило". Интерфейс для добавления нового правила выглядит следующим образом:

Мастер создания правил.

Рис. 3. Мастер создания правил

В этой статье не рассматривается пошаговое руководство по настройке правил. Общие рекомендации по созданию политики см. в руководстве по развертыванию брандмауэра Windows с расширенной безопасностью.

Во многих случаях для работы приложений в сети требуется разрешение определенных типов входящего трафика. При разрешении этих входящих исключений администраторам следует учитывать следующие правила приоритета.

Явно определенные правила разрешения будут иметь приоритет над параметром блока по умолчанию.

Явные правила блокировки будут иметь приоритет над любыми конфликтующим правилами разрешения.

Более конкретные правила будут иметь приоритет над менее конкретными правилами, за исключением случаев, когда существуют явные правила блокировки, как упоминалось в 2. (Например, если параметры правила 1 включают диапазон IP-адресов, а параметры правила 2 включают один IP-адрес узла, приоритет будет иметь правило 2.)

Из-за 1 и 2 важно убедиться, что при разработке набора политик отсутствуют другие явные правила блокировки, которые могут случайно перекрываться, тем самым предотвращая поток трафика, который вы хотите разрешить.

Общая рекомендация по обеспечению безопасности при создании правил для входящего трафика должна быть максимально конкретной. Однако если необходимо создать новые правила, использующие порты или IP-адреса, рассмотрите возможность использования последовательных диапазонов или подсетей вместо отдельных адресов или портов, где это возможно. Такой подход позволяет избежать создания нескольких фильтров, снижает сложность и помогает избежать снижения производительности.

Защитник Windows брандмауэр не поддерживает традиционный упорядочение правил, назначаемых администратором. Эффективный набор политик с ожидаемым поведением можно создать, учитывая несколько, согласованных и логических поведений правил, описанных выше.

Создание правил для новых приложений перед первым запуском

Правила разрешения для входящего трафика

При первой установке сетевые приложения и службы выдают вызов прослушивания, указывающий сведения о протоколе или порте, необходимые для правильной работы. Так как в брандмауэре Защитник Windows есть действие блокировки по умолчанию, необходимо создать правила для входящего исключения, чтобы разрешить этот трафик. Это правило брандмауэра обычно добавляется в приложение или сам установщик приложения. В противном случае пользователю (или администратору брандмауэра от имени пользователя) необходимо вручную создать правило.

Если активных правил разрешения или правил разрешения, определенных администратором, нет, в диалоговом окне пользователю будет предложено разрешить или заблокировать пакеты приложения при первом запуске приложения или попытке обмена данными в сети.

Если у пользователя есть разрешения администратора, ему будет предложено. Если они отвечают "Нет " или отменяют запрос, будут созданы правила блокировки. Обычно создаются два правила: по одному для трафика TCP и UDP.

Если пользователь не является локальным администратором, ему не будет предложено. В большинстве случаев создаются правила блокировки.

В любом из описанных выше сценариев после добавления этих правил их необходимо удалить, чтобы снова создать запрос. В противном случае трафик будет по-прежнему блокироваться.

Параметры брандмауэра по умолчанию предназначены для обеспечения безопасности. Разрешение всех входящих подключений по умолчанию приводит к различным угрозам сети. Поэтому создание исключений для входящих подключений от стороннего программного обеспечения должно определяться доверенными разработчиками приложений, пользователем или администратором от имени пользователя.

Известные проблемы с автоматическим созданием правил

При разработке набора политик брандмауэра для сети рекомендуется настроить правила разрешения для всех сетевых приложений, развернутых на узле. Наличие этих правил перед первым запуском приложения поможет обеспечить бесперебойную работу.

Отсутствие этих промежуточных правил не обязательно означает, что в итоге приложение не сможет обмениваться данными по сети. Однако для действий, связанных с автоматическим созданием правил приложений во время выполнения, требуется взаимодействие с пользователем и права администратора. Если предполагается, что устройство будет использоваться пользователями без администрирования, следуйте рекомендациям и предоставьте эти правила перед первым запуском приложения, чтобы избежать непредвиденных проблем с сетью.

Чтобы определить, почему некоторые приложения не могут взаимодействовать в сети, проверьте наличие следующих экземпляров:

Пользователь с достаточными привилегиями получает уведомление о запросе, указывающее, что приложению необходимо внести изменения в политику брандмауэра. Не полностью понимая запрос, пользователь отменяет или закрывает запрос.

Пользователь не имеет достаточных привилегий и поэтому не предлагается разрешить приложению вносить соответствующие изменения в политику.

Слияние локальной политики отключено, что предотвращает создание локальных правил приложением или сетевой службой.

Создание правил приложения во время выполнения также может быть запрещено администраторами с помощью приложения "Параметры" или групповая политика.

Запрос брандмауэра Windows.

Рис. 4. Диалоговое окно для разрешения доступа

Установка локального слияния политик и правил приложений

Правила брандмауэра можно развернуть:

  1. Локальное использование оснастки брандмауэра (WF.msc)
  2. Локальное использование PowerShell
  3. Удаленное использование групповая политика, если устройство является членом имени Active Directory, System Center Configuration Manager или Intune (с использованием присоединения к рабочему месту).

Параметры слияния правил определяют, как можно объединять правила из разных источников политики. Администраторы могут настраивать различные действия слияния для доменных, частных и общедоступных профилей.

Параметры слияния правил разрешают или запрещают локальным администраторам создавать собственные правила брандмауэра в дополнение к правилам, полученным из групповая политика.

Настройка параметров.

Рис. 5. Параметр слияния правил

В поставщике службы конфигурации брандмауэра эквивалентным параметром является AllowLocalPolicyMerge. Этот параметр можно найти в каждом соответствующем узле профиля, DomainProfile, PrivateProfile и PublicProfile.

Если объединение локальных политик отключено, для любого приложения, для которого требуется входящее подключение, требуется централизованное развертывание правил.

Администраторы могут отключить LocalPolicyMerge в средах с высоким уровнем безопасности, чтобы обеспечить более строгий контроль над конечными точками. Этот параметр может повлиять на некоторые приложения и службы, которые автоматически создают локальную политику брандмауэра после установки, как описано выше. Для работы этих типов приложений и служб администраторы должны централизованно отправлять правила с помощью групповой политики (GP), мобильных Управление устройствами (MDM) или обоих типов (для гибридных сред или сред совместного управления).

Поставщик служб конфигурации брандмауэра и поставщик служб конфигурации политики также имеют параметры, которые могут повлиять на слияние правил.

Рекомендуется перечислить и занося в журнал такие приложения, включая сетевые порты, используемые для обмена данными. Как правило, вы можете узнать, какие порты должны быть открыты для данной службы на веб-сайте приложения. Для более сложных или клиентских развертываний приложений может потребоваться более тщательный анализ с помощью средств записи сетевых пакетов.

Как правило, для обеспечения максимальной безопасности администраторам следует отправлять исключения брандмауэра только для приложений и служб, определенных для выполнения законных целей.

Использование шаблонов с подстановочными знаками, таких как C:*\teams.exe не поддерживается в правилах приложений. В настоящее время поддерживаются только правила, созданные с использованием полного пути к приложениям.

Узнайте, как использовать режим "экранирование вверх" для активных атак

Важной функцией брандмауэра, которую можно использовать для устранения повреждения во время активной атаки, является режим "экранирования вверх". Это неформальный термин, ссылающийся на простой метод, который администратор брандмауэра может использовать для временного повышения безопасности в условиях активной атаки.

Экранирование можно выполнить, проверив блокировку всех входящих подключений, включая те , которые находятся в списке разрешенных приложений в приложении "Параметры Windows" или в устаревшем файле *firewall.cpl. *

Входящие подключения.

Рис. 6. Приложение параметров Windows/Безопасность Windows/Защита брандмауэра/тип сети

CPL брандмауэра.

Рис. 7. Устаревшие firewall.cpl

По умолчанию брандмауэр Защитник Windows блокирует все, если не создано правило исключения. Этот параметр переопределяет исключения.

Например, функция удаленного рабочего стола автоматически создает правила брандмауэра при включении. Однако при наличии активного эксплойта с использованием нескольких портов и служб на узле можно вместо отключения отдельных правил использовать режим экранирования для блокировки всех входящих подключений, переопределив предыдущие исключения, включая правила для удаленного рабочего стола. Правила удаленного рабочего стола остаются неизменными, но удаленный доступ не будет работать при активации экранов.

После завершения аварийного реагирования снимите флажок для восстановления обычного сетевого трафика.

Создание правил для исходящего трафика

Ниже приведено несколько общих рекомендаций по настройке правил для исходящего трафика.

Конфигурацию по умолчанию Blocked for Outbound rules можно рассматривать для определенных сред с высоким уровнем безопасности. Однако конфигурацию правила для входящего трафика никогда не следует изменить таким образом, чтобы трафик разрешались по умолчанию.

Рекомендуется разрешить исходящий трафик по умолчанию для большинства развертываний, чтобы упростить развертывание приложений, если только предприятие не предпочитает строгие средства управления безопасностью, а не простоту использования.

В средах с высоким уровнем безопасности все корпоративные приложения должны быть зарегистрированы администратором или администратором. Записи должны содержать сведения о том, требуется ли для используемого приложения сетевое подключение. Администраторам потребуется создать новые правила, относящиеся к каждому приложению, для которого требуется сетевое подключение, и отправить эти правила централизованно, с помощью групповой политики (GP), мобильных устройств Управление устройствами (MDM) или обоих (для гибридных сред или сред совместного управления).

Сведения о задачах, связанных с созданием правил для исходящего трафика, см. в разделе "Контрольный список. Создание правил брандмауэра для исходящего трафика".

Документирование изменений

При создании правила для входящего или исходящего трафика следует указать сведения о самом приложении, используемом диапазоне портов и важные примечания, такие как дата создания. Правила должны быть хорошо задокументированы для удобства проверки как вами, так и другими администраторами. Мы настоятельно рекомендуем упростить работу по проверке правил брандмауэра позже. И никогда не создавайте ненужные бреши в брандмауэре.

Варианты обхода брандмауэров

Когда атакующий находится на этапе разведки своей атаки, он пытается собрать как можно больше данных о сети, на которую он смотрит. Неизбежно, одна из вещей, о которой он хочет узнать больше, это то, с каким типом брандмауэра он имеет дело. Одна из первых вещей, которую они захотят сделать, — это снять отпечатки с брандмауэра. Так, например, HTTP-отпечатки серверов. Здесь он пытаются посмотреть, как ведет себя устройство. Например, какие порты и протоколы поддерживаются. Продукты брандмауэров конкретных производителей предоставляют службы через разные порты. Например, средства администрирования, как правило, имеют предсказуемые порты, и обнаружение этого порта часто является надежным индикатором того, кто производит продукт. Что-то вроде сканирования портов можно выполнить с помощью такого инструмента, как Nmap, и это действительно канонический продукт для сканирования сетей. Это хорошая отправная точка для сканирования портов и протоколов. Еще один распространенный метод — захват баннера. Это не сильно отличается от того, как мы видим захват баннера на веб-сервере. Сделайте запрос к устройству, получите ответ, и в этом ответе будет указано, кто производит продукт.

Таким образом, снятие отпечатков, использование этих открытых портов и протоколов и захват баннеров — это два простых способа выяснить, какой брандмауэр используется. Но хакерам часто требуется еще больше информации. Ему нужно знать такие вещи, как открытые порты за брандмауэром и на первом этапе он пытается пройти через каждый из шлюзов между ним и целевым хостом, и иногда вы можете видеть, что этот целевой хост называется метрикой. Путь может заключаться в запуске traceroute и манипулировании значением TTL, также известным как значение времени жизни, и он будет продолжать увеличивать его на единицу.

Каждый раз, когда он увеличивают TTL на единицу, он будет подключаться к другой точке соединения. Он не получет успешный ответ до тех пор, пока TTL не станет достаточно высоким, чтобы попасть на целевой хост. Это то, что известно как увеличение числа переходов. Он продолжают увеличивать TTL, пока не достигнет хоста назначения. Это первая фраза, которая помогает установить точки между хостами. Далее переходит ко второй фазе, и как только он поймет, где находится этот целевой хост с точки зрения правильного счетчика TTL, он могут начать отправлять пакеты TCP или UDP со сканирующего хоста на этот целевой хост, один порт за раз, увеличивая TTL. Атакующий просматривает доступные порты и проверяет каждую точку по пути, чтобы увидеть, будет ли она отвечать.

Получив эту информацию, злоумышленник может начать обходить средства защиты, установленные в брандмауэре. Начнем с методов уклонения.

Подмена IP-адреса

Злоумышленникам доступно несколько различных техник уклонения. По мере продвижения вы узнаете, что каждый из них будет иметь смысл в разных обстоятельствах. Начнем с подмены IP-адреса. Это можно использовать как средство запутывания исходного адреса, с которого поступает запрос, но его также можно использовать как способ указания исходного адреса, который брандмауэр разрешит, в отличие от адреса злоумышленников, который брандмауэр не может разрешать. Возьмем пример сценария, где злоумышленник находится на 10.10.2.1. У нас есть целевой хост, и он находится в другой подсети. Это на 10.10.1.1, а не на .2. Неизбежно у нас есть брандмауэр, расположенный между этими двумя устройствами, и в этом случае брандмауэр предназначен для предотвращения доступа подсети этого злоумышленника к целевому хосту. Однако неизбежно существуют и другие доверенные узлы, вероятно, в той же подсети, и узел назначения с радостью разрешит соединения с ними. В сценарии подмены IP-адреса злоумышленник собирается выдать запрос, в котором он указывает исходный адрес как адрес доверенного хоста. Если брандмауэр разрешает соединения на основе этого исходного IP-адреса и передается допустимый IP-адрес, то этот запрос вполне может пройти к хосту. Это довольно примитивная реализация.

Туннелирование

Это можно сделать с помощью различных подходов. Например, используя ICMP через эхо-запросы или трассировки, фазу ACK трехэтапного рукопожатия TCP или напрямую через HTTP. В то время как реализация различается для этих трех, это один и тот же фундаментальный принцип. У нас есть злоумышленник, и у нас есть целевой хост, и у нас есть брандмауэр между ними. Злоумышленник попытается здесь обернуть вредоносную полезную нагрузку внутри протокола. Например, ICMP — это полезная часть пакета ICMP. Некоторые брандмауэры не проверяют эту полезную нагрузку. Если злоумышленник может заставить эту полезную нагрузку пройти весь путь до хоста назначения, а цель распаковать ее, выполнить, повторно обернуть ответ и отправить обратно, то злоумышленник может связаться с хостом. Злоумышленник также должен скомпрометировать хост здесь. Большинство хостов не собираются разворачивать ICMP-пакет и выполнять полезную нагрузку. Поэтому сейчас мы говорим о сценарии, в котором злоумышленник пытается поддерживать связь со скомпрометированным хостом. Например, у них может быть запущено вредоносное программное обеспечение на хосте, и они хотят иметь возможность контролировать его за пределами целевой сети. Это очень часто тот сценарий, с которым пытаются работать злоумышленники. С точки зрения уклонения, подумайте о HTTP. Большинство брандмауэров пропускают протокол HTTP через порт 80. Это вполне может быть ответом на внутренние запросы, которые отправляются извне, потому что вам необходимо иметь возможность поддерживать сотрудников в сети, делающих интернет-запросы.

Но если бы вы могли обернуть команды внутри этих HTTP-запросов и ответов, а брандмауэр явно не проводил никакого анализа содержимого этих запросов, то это могло бы открыть для
злоумышленника туннель HTTP между внешней машиной и целевым узлом позади. брандмауэр. Продолжая тему частого присутствия за брандмауэром и необходимости выйти через него, давайте рассмотрим несколько других методов обхода заблокированного хоста. В этом сценарии я нахожусь в браузере, и определенный брандмауэр уровня шлюза не хочет разрешать запросы для определенного имени хоста, к которому я хотел бы получить доступ. Вместо того, чтобы идти к имени хоста, я просто перейду прямо к IP- адресу. Если я собираюсь просматривать IP-адрес, когда сервер получает этот запрос, он возвращает точно такой же контент, который у меня был бы на основе хоста. Это актуально в тех случаях, когда имя хоста будет заблокировано. Представьте, что это вредоносный сайт, и организация, управляющая брандмауэрами, подписалась на черный список запрещенных вредоносных веб-сайтов и блокирует этот хост, мы можем сделать запрос напрямую через IP-адрес. Это базовая реализация, и, несомненно, многие организации также будут блокировать IP-адрес.

Давайте рассмотрим несколько других подходов. Есть много разных способов обойти заблокированный брандмауэром хост. Мы только что рассмотрели уклонение хоста с помощью IP-адреса, но есть и другие способы, с помощью которых можно легко обойти шлюзы брандмауэра. Один из способов — использование прокси. Если вы направляете запрос через прокси-сервер, который затем обходит брандмауэр, это часто может быть жизнеспособным методом уклонения.

Другой вариант — использовать VPN, создавая зашифрованный туннель между хостом на одной стороне брандмауэра и выходным узлом VPN на другой стороне. Брандмауэр также может блокировать VPN-протоколы, но всегда есть возможность использовать Tor, он же The Onion Router. Маршрутизация через Tor может скрыть природу целевого сайта, к которому пытается подключиться злоумышленник. Вполне может быть, что брандмауэр также блокирует Tor, и проблема со всеми этими обходными каналами и всеми методами уклонения, которые мы рассматривали до сих пор, заключается в том, что у каждого из них есть контрмеры. Точно так же, как все они были жизнеспособны много раз в прошлом, и многие из них продолжают оставаться устойчивыми. Будут другие способы туннелирования, другие методы маршрутизации, другие обходные каналы, подобные тем, о которых мы только что говорили.

Инструменты уклонения

Существуют десятки инструментов уклонения, использующих многие из методов, которые мы только что рассмотрели. Я хочу затронуть лишь некоторые из них, чтобы дать вам представление о том, как обычно работают эти инструменты. Во-первых, давайте начнем с GTunnel, который использует прокси-сервер GTunnel. Трафик проходит через серверы GTunnel, а затем уходит на целевой сервер. Таким образом, GTunnel будет находиться посередине, пункт назначения не будет знать, кто такой пользователь, и когда пользователь запрашивает серверы GTunnel, любые брандмауэры, расположенные между пользователем и серверами, не будут видеть, где находится пользователь. Одна из замечательных особенностей GTunnel и любых продуктов для обхода брандмауэров или безопасности в целом заключается в том, что очень часто существует тонкая грань между инструментами, предназначенными для защиты отдельных лиц, и инструментами, которые используются для взлома организаций. GTunnel и многие другие методы обхода говорят об анти-цензуре, конфиденциальности в Интернете, правах человека, и что все это имеет общего с обходом брандмауэров, так это желание защитить характер трафика, который проходит через эти устройства безопасности. Имейте это в виду, когда будете искать инструменты уклонения. Очень часто вы увидите их классифицированными под лозунгами конфиденциальности и анти-цензуры.

HTTP-туннель — отличный пример туннелирования через HTTP, и вы можете найти этот проект на GitHub. Он разработан специально для пользователей, находящихся за ограничительными брандмауэрами. Подумайте о том, как эти контексты можно использовать по-разному. Хотя проект представляет этот инструмент как используемый для того, чтобы кто-то мог получить доступ к контенту, предположительно законным способом, вы можете видеть, насколько это было бы привлекательно для хакера, желающего вернуться через брандмауэр для эксфильтрации данных из организации.

Этот инструмент можно использовать в разумных целях, но он также удобен и для злонамеренных целей. Это очень важное замечание, с точки зрения класса инструмента HTTP-туннель является отличным примером программного обеспечения для туннелирования, специально предназначенного для обхода. Давайте рассмотрим еще один инструмент, который очень полезен, когда вы пытаетесь обойти брандмауэры. Одной из тем, о которой Nmap очень подробно говорит, является обход брандмауэра и IDS, но с его помощью также можно выполнить спуфинг. Nmap — отличный способ установить топологию сети, и не только топологию с точки зрения того, какие ресурсы находятся в этой сети, но и какие порты, протоколы, механизмы связи могут быть доступны для этих машин. В этом случае одна из вещей, на которые способен Nmap, — это фрагментация пакетов. Мы говорили о крошечных фрагментах немного ранее, и в Nmap есть механизм проверки устойчивости целевого брандмауэра к модели уклонения от мелких фрагментов. Есть много вещей, которые Nmap может вам помочь, с точки зрения возможности обхода не только брандмауэров, но и систем обнаружения вторжений. Конечно, этот инструмент — один из первых мест, с которого можно начать изучать методы уклонения.

Назначение брандмауэра Windows и его настройка

Так необходимая нам Всемирная глобальная сеть далеко не безопасное место. Через интернет мошенники активно распространяют откровенно вредоносные либо зараженные, с виду безобидные программы. Каждый из нас может нарваться на такой неприятный сюрприз, следствием которого является утечка личной информации и снятие средств с банковских счетов, злоумышленное шифрование данных, повреждение системных файлов и нарушение работы компьютера. Барьером для всех вышеперечисленных угроз выступает брандмауэр Windows, о котором мы подробно расскажем в нашей статье.

Функции брандмауэра Windows

В отличие от обычных браузерных или самостоятельных фаерволов, препятствующих проникновению вирусов извне в систему, брандмауэр работает в обе стороны. Он запрещает установленным на ПК программам обращаться к Сети без полученного на то разрешения от администратора или при отсутствии сертификатов безопасности. Проще говоря, если программа подозрительна и требует неоправданно больших полномочий ‒ она будет блокирована.

Данный защитный инструмент включен во все современные версии Windows, начиная с XP Service Pack 2. Помимо программ, брандмауэр проверяет запущенные службы и останавливает их при обнаружении опасной активности. Отдельным плюсом является то, что опытный пользователь может самостоятельно устанавливать правила проверки для определенного перечня IP-адресов, портов, сетевых профилей.

Несмотря на все преимущества, брандмауэр не заменяет антивирусное ПО, а лишь «купирует» деятельность вредоносного софта, поэтому не стоит целиком полагаться на него.

Включаем брандмауэр в Windows 7, 8, 10

После установки или восстановления Виндоус ее брандмауэр запущен по умолчанию. Поводом для его ручного отключения должна быть веская причина, например, выскакивающая ошибка 0х80070422, сообщающая о сбое защиты и конфликте служб.

Самостоятельно отключить (или запустить) брандмауэр в Windows 7, 8 и 10 можно двумя способами: через командную строку или панель управления.

Сначала рассмотрим первый вариант, как наиболее простой.

  1. Открываем меню «Пуск» и пишем в поисковой строке «cmd». Кликаем по нему правой кнопкой мыши и запускаем от имени администратора.

Владельцы десятки для открытия консоли могут сразу кликнуть ПКМ по значку «Пуска».

  1. Для выключения брандмауэра Windows в консоли вводим следующую команду: «netsh advfirewall set allprofiles state off» (без кавычек).

После нескольких секунд система уведомит об успешном отключении: «ОК».

  1. Включить его обратно можно той же командой, но с приставкой on: «netsh advfirewall set allprofiles state o.

Теперь разберем вариант №2.

  1. Переходим по адресу «Пуск/Панель управления/Система и безопасность/БрандмауэрWindows». В появившемся окне мы видим текущее состояние сетевого экрана. Для изменения его статуса кликаем по «Изменение параметров уведомлений».
  2. Для отключения защиты брандмауэра отмечаем соответствующие пункты и жмем по «ОК».

Включение производится в обратном порядке. После всех действий желательно перезагрузить компьютер.

Разрешаем запуск программ через брандмауэр

Работа межсетевого экрана не всегда корректна, и он может заблокировать вполне безобидную программу, требующую доступ к Сети. Такое часто случается при установке и первом запуске клиента онлайн-игры или загрузчика. В настройках можно самостоятельно добавить программу в исключения брандмауэра, но только если вы уверены в ее источнике.

Делается это следующим образом:

  1. Переходим в меню исключения брандмауэра по пути, описанному выше, и кликаем по отмеченной ссылке.

  1. В открывшемся окне разрешаем (или запрещаем) программе работать в той или иной сети, отмечая галочками нужный пункт. Подтверждаем свои действия кнопкой «ОК».
  2. Если вы не нашли нужный продукт в этом списке, то кликайте по кнопке внизу «Разрешить другую программу». Для добавления в исключения вам будут доступны все установленные программы и утилиты.

Но если и тут не оказалось искомого exe-файла ‒ укажите путь к нему через «Обзор».

  1. Используя меню «Типы сетевых размещений», вы сразу можете указать, для какой сети применяется исключение.

После подтверждения этих изменений перезагружать компьютер необязательно.

Настройка брандмауэра в режиме повышенной безопасности

Теперь стоит упомянуть альтернативный способ настройки брандмауэра, позволяющий, кроме всего прочего, открывать порты и устанавливать политику безопасности. В нем есть инструмент для создания новых правил ‒ алгоритмов действия межсетевого экрана при работе с некоторыми приложениями.

Чтобы попасть в расширенные настройки:

  1. Нажимаем левой кнопкой мыши по «Дополнительные параметры» в меню брандмауэра.
  2. Здесь вы можете увидеть статус каждого профиля подключения и ознакомиться с принципами их подробной настройки.
  3. Больше всего нас интересуют пункты правил для входящих и исходящих подключений.
  4. В меню «Свойства» каждый параметр настраивается до мелочей, но новичку обычно достаточно вкладки «Общие».
  5. Мастер создания правила для новых подключений вызывается пунктом «Создать правило» в правом верхнем углу окна режима повышенной безопасности.

Решаем проблемы с брандмауэром

Как описывалось выше, эта защита неидеальна тем, что может приводить к сбоям и конфликтам служб Windows. Также ее работа потребляет ресурсы компьютера, ощутимо «просаживая» производительность слабых машин. Из-за этого многие пользователи полностью отключают брандмауэр, оставаясь при этом уязвимыми. В результате люди, отключившие сетевой экран на своем ПК, могут увидеть сообщение такого рода: «ошибка 0х80070422 не удалось изменить некоторые параметры».

Проблема устраняется путем включения брандмауэра стандартным способом или через службы центра обновления и брандмауэра Windows.

  1. Заходим в «Пуск/Панель управления/Система и безопасность/Администрирование» и в списке консолей выбираем «Службы».
  2. Среди служб ищем «Центр обновленияWindows», кликаем по нему ПКМ и выбираем «Свойства».
  3. Устанавливаем тип запуска ‒ «Автоматически», выбираем состояние «Запустить» и жмем «ОК».
  4. Не выходя из консоли, сразу ищем службу «БрандмауэрWindows» и устанавливаем ей такой же тип запуска.

После всех манипуляций перезагружаем компьютер и анализируем результат.

Если брандмауэр не запускается ни обычным способом, ни через консоль служб, то проблема может крыться в заражении компьютера вирусами. Воспользуйтесь антивирусной программой (например, Dr.Web CureIt!) и сделайте полную проверку компьютера. Также мы рекомендуем воспользоваться службой поддержки Microsoft по ссылке, где эта проблема уже описывалась.

Вдобавок к вышесказанному

Из нашей статьи вы узнали, что такое брандмауэр Виндоус, почему он так важен для безопасности системы, где он находится и как настраивается. По традиции мы дадим вам полезный совет: не отключайте сетевой экран Windows без острой необходимости, так как он является первой и последней «линией обороны» на пути червей, троянов и прочей шпионской заразы, попадающей к нам из интернета. Даже при заражении компьютера вредоносная программа в большинстве случаев будет блокирована и не сможет осуществлять передачу данных.

Что такое брандмауэр. Что делает, как включить и отключить

photo

Многие пользователи (особенно начинающие) узнают о существовании брандмауэра только тогда, когда на экран выходит сообщение о неудачной попытке установки приложения либо с предупреждением об опасности. Здесь возникают вопросы — что это такое и зачем, как отключить либо правильно настроить. В статье вы узнаете важные вещи о брандмауэре и научитесь самостоятельно его использовать. Информация будет понятна даже новичкам в компьютерном мире.

Значение слова «брандмауэр»

В IT-сферу понятие пришло из области строительства. Там «брандмауэр» означает «противопожарная стена» и представляет собой сплошную негорючую стену, препятствующую распространению пламени. Похожую функцию одноименная программа выполняет и в компьютере — защищает ОС от несанкционированных проникновений (хакерских атак).

Немецкий вариант — brandmauer, английский — firewall, русский — сетевой или межсетевой экран. Продвинутые пользователи предпочитают называть фаерволами программы сторонних разработчиков, а брандмауэром — стандартную утилиту Windows. Также достаточно распространены определения «брандмауер», «браундмер», «файрвол», «брандмаузер». Понятия созвучны, хотя такое произношение неправильно. Но это не мешает пониманию, т. к. смысл этих слов предельно ясен.

Брандмауэр - что это?

Для чего нужен брандмауэр в «Виндовс»

Сегодня сетевые экраны выпускают все производители операционных систем в виде простых приложений и программно-аппаратных комплексов. Их главная задача — защита компьютера либо внутренней сети от проникновений извне. Для достижения этой цели брандмауэр тщательно контролирует и фильтрует трафик.

Контроль заключается в:

  • отслеживании подозрительных интернет-соединений;
  • прослушивании компьютерных портов, блокировке ненужных и изучении трафика с действующих точек;
  • мониторинге работающих программ и предупреждении об изменении важных данных приложений.

Брандмауэр с помощью особых фильтров, обрабатывающих информацию, отслеживает момент появления в системе подозрительной активности и блокирует все подключения, где присутствует вредоносный код. Этим он надежно обеспечивает сохранность личной информации пользователей. После обработки сведений сетевой экран пропускает или отбрасывает информацию. Во втором случае, если настроить функцию, то фаервол сообщит отправителю о недоступности сервиса для его пакета данных.

Брандмауэр

Фаервол — не антивирус

Фаервол и антивирус — разные вещи. Первый не дает вредоносным приложениям просочиться в систему, нейтрализуя их и сбрасывая соединение. Второй сражается с уже проникшими в ОС вирусами, червями, троянами, разыскивая и блокируя их. Почти полную безопасность гарантирует только совместное использование межсетевого экрана и сочетаемого с ним антивирусного ПО.

Дополнительные полезные функции брандмауэра

Брандмауэр блокирует попытки постороннего приложения подключиться к домашнему ПК или локальной сети. Одна из функций фаервола — ведение журнала, где отражается подозрительная активность и все сетевые подключения. Также межсетевой экран обладает следующими возможностями:

  • Защита конфиденциальных данных и запрет их передачи сторонним сайтам.
  • Блокирование рекламы и всплывающих окон, содержащих вирусные коды.
  • Запрет инсталлированным программам на самостоятельное подключение к интернету и скачивание обновлений.
  • Настройка подключения к компьютеру с одного IP, благодаря чему пользователь сможет на расстоянии зайти на домашний ПК, а посторонним лицам эти действия будут запрещены.
  • Защита ПК от соединения с Ботнетом. Это — сеть зараженных вирусами компьютеров, через которые хакер рассылает спам или производит атаки.

Брандмауэр также может контролировать передачу данных. В 2003 году правительство КНР запустило нашумевший проект «Великий китайский фаервол», официальное наименование которого — «Золотой щит». Он управляет трафиком, отвечает за сетевую безопасность, уведомляет о возможных нарушениях прав и блокирует доступ к некоторым зарубежным сайтам.

Современные приложения по умолчанию настроены на подключение к серверу разработчика и самостоятельную установку обновлений. Это может тормозить интернет-соединение. О проблеме пользователю также сообщит фаервол.

Зачем и как отключить брандмауэр в Windows 7, 8, 10

Межсетевой экран можно отключить, чтобы повысить скорость трафика и работы ОС и исключить блокировку сетевого соединения. Также фаервол иногда запрещает запуск некоторых сторонних приложений. Но брандмауэр потому так и назвали, что он выступает в роли своеобразной стены, защищающей компьютер от проникновения вредоносных кодов. Поэтому, прежде чем отключать фаервол, стоит взвесить все плюсы и минусы этого решения. Возможно, предпочтительнее правильно настроить утилиту, чтобы она выполняла свои функции и не препятствовала работе ОС.

Операционная система автоматически запускает брандмауэр. Чтобы его вручную отключить, необходимо иметь веский повод. Им может быть сообщение об ошибке 0х80070422, которое сигнализирует о конфликте служб и сбое защиты.

Есть 4 способа отключения брандмауэра с помощью стандартных утилит. Рассмотрим подробнее каждый из них. Главное условие — перезагрузка компьютера после изменения конфигурации. Только так утилита будет работать правильно.

Задействуем командную строку

Кликаем ПКМ по кнопке «Пуск» и запускаем командную строку от имени администратора. Это же можно сделать, открыв поисковую строку Windows и прописав в поле cmd.

Запуск командной строки

Перейдя в консоль, выключаем брандмауэр командой netsh advfirewall set allprofiles state off. Подтверждаем Enter. Система откликается сообщением OK.

Командная строка

Подключаем брандмауэр командой netsh advfirewall set allprofiles state on. Разница в последних словах — off и on.

Используем панель управления

Если пользователь привык работать с панелью управления, то здесь тоже можно легко отключить и включить брандмауэр. Кликаем по кнопке «Пуск» (ЛКМ либо ПКМ в зависимости от версии Windows), переходим по пути «Панель управления» → «Система и безопасность» → «Брандмауэр Windows». Выбираем пункт «Включение и отключение».

Панель управления

Переходим в следующее окно, где видим перечень конфигураций брандмауэра отдельно для частной и общественной сети.

Отключение брандмауэра Windows

Здесь есть настройки фаервола и метки включения и отключения. Деактивируем межсетевой экран в соответствующей сети (или в обоих сразу, если не знаем, какая из них в данный момент работает) и нажимаем OK. Включаем брандмауэр в этом же окне.

Действуем через интерфейс Защитника Windows 10

Кликаем ЛКМ по кнопке «Пуск» и переходим в «Параметры» (значок шестеренки). Далее следуем «Обновление и безопасность» и «Безопасность Windows» (в левой части окна).

Безопасность Windows

В правой части экрана выбираем «Брандмауэр и защита сети».

Брандмауэр и защита сети

Выбираем из перечня сетей ту, возле названия которой в скобках есть отметка «активный». Переходим в следующее окно.

Брандмауэр и защита сети

Переводим переключатель в положение «Откл.», получаем уведомление системы о деактивации сетевого экрана и закрываем все окна. Включаем брандмауэр здесь же.

Настраиваем фаервол через монитор брандмауэра

В Windows 10 у сетевого экрана есть особое окно, где можно различным образом настроить систему фильтров. Так же через этот монитор фаервол можно включить и отключить. Нажимаем кнопку «Пуск» и прокручиваем список программ вниз до папки «Средства администрирования Windows». Раскрываем ее и выбираем «Монитор брандмауэра Защитника Windows».

Монитор брандмауэра Защитника Windows

В открывшемся окне нажимаем строчку «Свойства брандмауэра Защитника Windows».

Свойства брандмауэра Защитника Windows

В следующем окне напротив строки «Брандмауэр» будет выпадающий перечень. Раскрыв его, выбираем «Отключить» и подтверждаем OK.

Отключение брандмауэра Windows

Этим же способом включаем фаервол, когда будет нужно. После внесения изменений обязательно перезагружаем ПК.

Как добавить программу в исключения брандмауэра

Сетевой экран не всегда работает корректно и может заблокировать даже безобидное приложение, желающее подключиться к сети. Такое часто происходит, когда мы впервые запускаем установленную программу (особенно это касается игровых клиентов и загрузчиков). Зайдя в настройки, мы можем самостоятельно добавить нужный софт в исключения фаервола. Главное — быть уверенным в источнике приложения.

Итак, следуем по пути «Панель управления»→«Система и безопасность»→«Брандмауэр Windows» и переходим в «Разрешить запуск через брандмауэр».

Исключения брандмауэра

В появившемся окне проставляем и убираем галочки везде, где нужно. Таким образом мы выдаем межсетевому экрану разрешение на запуск отмеченных программ. После внесения изменений нажимаем OK.

Исключения брандмауэра

Если в перечне нет нужного нам приложения, то кликаем по кнопкам «Изменить параметры» и «Разрешить другую программу».

Исключения брандмауэра

В окошке нет искомого приложения? Ищем его на компьютере через кнопку «Обзор». Также здесь можно выбрать типы сетевых размещений и отметить, для какой сети действует исключение.

Исключения брандмауэра

В конце нажимаем OK. Перезагрузку можно не делать.

Как устранить сбои в работе брандмауэра

Как мы говорили выше (и многие пользователи ощутили это на работе своего компьютера), межсетевой экран нередко вызывает сбои в работе и конфликты служб Windows. Из-за высокого потребления фаерволом ресурсов ПК производительность машины существенно просаживается. Поэтому юзеры полностью отключают брандмауэр, тем самым открывая вредоносным кодам уязвимые места.

После этого при внесении каких-либо изменений в программы на экран может выскочить сообщение «ошибка 0х80070422 не удалось изменить некоторые параметры». Проблему можно решить, включив фаервол обычным способом либо через службы «Центр обновления» и «Брандмауэр».

Делаем следующее. Нажимаем кнопку «Пуск», переходим в панель управления, а далее «Система и безопасность»→«Администрирование». В открывшемся окне выбираем «Службы».

Система и безопасность

Находим «Центр обновления Windows», нажимаем по названию ПКМ и открываем «Свойства». Из выпадающего окна выбираем автоматический тип запуска, подтверждаем нажатием на «Запустить» и OK.

Центр обновления Windows

В этой же консоли так же открываем службу «Брандмауэр Windows» и аналогично настраиваем ее. После перезагрузки компьютера проверяем, исчезла ли проблема.

Если не получается запустить фаервол ни одним из вышеперечисленных способов, то, возможно, в ПК проник вредоносный код. В этом случае необходимо просканировать компьютер антивирусом и поискать возможные решения, обратившись в службу поддержки Microsoft.

Заключение

Прочитав нашу статью, вы узнали, что такое «Брандмауэр Windows» и для чего он нужен в системе. Поняли, как включить и отключить фаервол, и что деактивировать его можно только в случае крайней необходимости, т. к. он надежно защищает компьютер от проникновения различных вредоносных программ. Если вы не уверены, что сможете обеспечить защиту корпоративных данных, или не знаете, где искать возможные решения проблемы, обратитесь в компанию «АйТиСпектр».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *