Настройка параметров брандмауэра Windows
Параметры брандмауэра Windows сосредоточены в трех разделах:
Разрешать обход для прошедших проверку IPSec. Данный параметр применяется, когда организация использует протокол IPSec для защиты трафика совместно с включенным брандмауэром Windows.
Профиль домена. Данные параметры применяются на компьютерах, подключенными к домену, к сети, в которой находится контроллер этого домена.
Стандартный профиль. Данные параметры применяются компьютерами, не подключенными к сети, например, когда Вы путешествуете с ноутбуком.
Если Вы не настроите параметры стандартного профиля, будут использованы значения по умолчанию. Корпорация Microsoft рекомендует настраивать параметры как профиля домена, так и стандартного профиля, и включить брандмауэр Windows для обоих профилей. Исключение составляет случай, когда Вы уже используете брандмауэр стороннего производителя.
Если Вы уже используете брандмауэр стороннего производителя, корпорация Microsoft рекомендует отключить брандмауэр Windows.
Если Вы решите отключить Брандмауэр Windows во всей сети предприятия, на котором используются различные версии ОС Windows XP SP2, Windows XP SP1 и Windows XP без установленных пакетов обновления, Вам необходимо настроить следующие параметры групповой политики:
Запретить использование брандмауэра подключения к Интернету в сети DNS-домена – установите в значение Включен
Профиль домена – Брандмауэр Windows: Защитить все сетевые подключения – установите в значение Отключен
Стандартный профиль – Брандмауэр Windows: Защитить все сетевые подключения – установите в значение Отключен
Примечание. Данные настройки стандартного профиля гарантируют, что брандмауэр Windows не будет использоваться, вне зависимости от того, подключен ли компьютер к сети организации или нет. Чтобы не использовать брандмауэр Windows в сети организации, но использовать его, когда компьютер отключен от сети, измените значение параметра на Включен.
Параметры стандартного профиля, как правило, содержат больше ограничений, чем профиль домена, так как параметры стандартного профиля не содержат настроек приложений и служб, которые используются только в управляемой среде домена.
В объекте GPO профиль домена и стандартный профиль содержатся в одном и том же разделе настроек параметров брандмауэра Windows. ОС Windows XP SP2 определяет тип сетевого окружения для использования соответствующего профиля.
Примечание. Для получения дополнительной информации об определении типа сетевого окружения обратитесь к документу:
Определение типа сетевого окружения для выбора сетевых параметров групповой политики Network Determination Behavior for Network-Related Group Policy Settings (EN) на веб-узле Microsoft TechNet.
Данный раздел описывает доступные параметры брандмауэра Windows в объекте GPO, а также рекомендованные параметры для корпоративной сети, и демонстрирует, как включить четыре типа параметров.
Требования для выполнения данной задачи
Учетные данные: Вы должны войти в систему на компьютере под управлением ОС Windows XP SP2, входящем в домен, в качестве участника группы безопасности Администраторы домена и открыть объект групповой политики, который Вы изменяли в предыдущей задаче.
Средства: Консоль управления Microsoft (Microsoft Management Console, MMC) с установленной оснасткой Редактор объектов групповой политики.
Примечание. Чтобы открыть объект GPO, используйте либо консоль управления с установленной оснасткой Редактор объектов групповой политики, либо оснастку Active Directory – Пользователи и компьютеры. Для использования оснастки Active Directory – Пользователи и компьютеры на клиентском компьютере под управлением ОС Windows XP Вам необходимо запустить файл adminpak.msi с установочного компакт-диска ОС Windows Server 2003.
Настройка параметров Брандмауэр Windows при помощи групповой политики
Используйте оснастку Редактор объектов групповой политики или Active Directory – Пользователи и компьютеры для изменения параметров брандмауэра Windows в соответствующих объектах GPO.
После настройки параметров брандмауэра Windows следующее обновление конфигурации компьютера групповой политики загрузит новые параметры брандмауэра Windows и применит их к компьютерам под управлением ОС Windows XP SP2.
Для настройки параметров брандмауэра Windows выполните следующие действия:
1.
Нажмите кнопку Пуск, выберите меню Выполнить, введите mmc и затем нажмите кнопку ОК.
2.
В меню Консоль выберите пункт Добавить или удалить оснастку.
3.
На вкладке Изолированная оснастка нажмите кнопку Добавить.
4.
В списке Доступные изолированные оснастки выберите оснастку Редактор объекта групповой политики и нажмите кнопку Добавить.
5.
В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор.
6.
Укажите объект GPO, который необходимо настроить. Нажмите кнопку ОК и затем нажмите кнопку Готово, чтобы закрыть мастер групповой политики.
7.
В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть, затем нажмите кнопку ОК, чтобы закрыть диалоговое окно и вернуться в консоль управления.
8.
В дереве консоли последовательно откройте разделы Конфигурация компьютера, Административные шаблоны, Компоненты Windows и затем Брандмауэр Windows.
Рисунок 4 – Параметры брандмауэра Windows в окне групповой политики
9.
Дважды щелкните параметр Брандмауэр Windows: Разрешать обход для прошедших проверку IPSec.
Рисунок 5 – Параметр Разрешать обход для прошедших проверку IPSec
В таблице 1 собрано описание значений параметра Разрешать обход для прошедших проверку IPSec.
Таблица 1. Значения параметра Разрешать обход для прошедших проверку IPSec
Значение параметра
Описание
Примечание
Не задан
Данный объект GPO не меняет текущую конфигурацию Брандмауэр Windows.
Включен
Брандмауэр Windows разрешает получение незапрошенных входящих сообщений от указанных пользователей или групп, которые поддерживают проверку подлинности с помощью IPSec-транспорта.
Элементы списка пользователей и групп определяются с помощью строк, соответствующих синтаксису SDDL (Security Descriptor Definition Language). Для получения дополнительной информации обратитесь к документу
Язык Security Descriptor Definition Language на веб-узле MSDN.
Отключен
Брандмауэр Windows обрабатывает трафик, защищенный при помощи протокола IPSec.
10.
Используйте информацию в Таблице 1, чтобы выбрать необходимое значение параметра.
Примечание. Если Вы выберете для параметра значение Включен, появится возможность указать список пользователей или групп, которым разрешено отправлять со своего компьютера защищенный трафик IPSec.
11.
Нажмите кнопку ОК.
12.
Выберите раздел Профиль домена или Стандартный профиль.
Рисунок 6 – Параметры брандмауэра Windows в окне групповой политики
В Таблице 2 собраны рекомендованные значения параметров групповой политики брандмауэра Windows для профиля домена и стандартного профиля.
Таблица 2. Рекомендованные параметры брандмауэра Windows для корпоративной среды
Параметр
Описание
Профиль домена
Стандартный профиль
Защищать все сетевые подключения
Указывает, что брандмауэр Windows включен для всех сетевых подключений
Включен
Включен
Не разрешать исключения
Указывает, что брандмауэр Windows будет блокировать любые незапрошенные входящие сообщения, в том числе исключения
Не задан
Включен за исключением случаев, когда необходимо настроить исключения для программ
Задать исключения для программ
Задает исключения для программ в формате имени файла программы
Включен и настроен для программ (приложений и служб), использующихся на компьютерах под управлением ОС Windows XP SP2 в Вашей сети
Включен и настроен для программ (приложений и служб), использующихся на компьютерах под управлением ОС Windows XP SP2 в Вашей сети
Разрешать локальные исключения для программ
Разрешает локальную настройку исключений для программ
Отключен за исключением случаев, когда необходимо предоставить локальным администраторам право изменять исключения для программ локально
Отключен
Разрешать исключения для удаленного управления
Разрешает удаленное администрирование при помощи специализированного ПО
Отключен за исключением случаев, когда Вам необходимо удаленно администрировать компьютеры при помощи оснасток консоли управления
Отключен
Разрешать исключения для общего доступа к файлам и принтерам
Указывает, разрешен ли общий доступ к файлам и принтерам
Отключен за исключением случаев, когда на компьютерах под управлением ОС Windows XP SP2 созданы локальные общие ресурсы
Отключен
Разрешать исключения ICMP
Определяет разрешенный брандмауэром Windows набор сообщений ICMP
Отключен за исключением случаев, когда необходимо использовать проверку связи (ping) для решения проблем
Отключен
Разрешать исключения для удаленного рабочего стола
Разрешает компьютеру получать запросы на запуск удаленного рабочего стола.
Включен
Включен
Разрешать исключения для UpnP-инфраструктуры
Разрешает компьютеру получать незапрошенные сообщения PnP
Отключен
Отключен
Запретить уведомления
Запрещает брандмауэру Windows отображать уведомления пользователю о том, что программа посылает брандмауэру Windows запрос на добавление ее в список исключений
Отключен
Отключен
Разрешать ведение журнала
Разрешает ведение журнала и настройку параметров файла журнала
Не задан
Не задан
Запретить одноранговые ответы на многоадресные или широковещательные запросы
Запрещает компьютеру получать одноадресные ответы на свои многоадресные или широковещательные сообщения.
Включен
Включен
Задать исключения для портов
Определяет исключения для портов TCP и UDP
Отключен
Отключен
Разрешить локальные исключения для портов
Разрешает локальную настройку исключений для портов
Отключен
Отключен
Настройка исключений для портов
Чтобы задать исключения для портов выполните следующие действия:
В разделе групповой политики Профиль домена или Стандартный профиль дважды щелкните параметр Задать исключения для портов.
Рисунок 7 – Параметр Задать исключения для портов
Щелкните Включен и затем нажмите кнопку Показать.
Рисунок 8 – Вывод содержания
Нажмите кнопку Добавить.
Рисунок 9 – Добавление элемента
Введите информацию о порте, который необходимо заблокировать или разрешить, используя следующий синтаксис:
порт:транспорт:область:состояние:имя
, где порт – это номер порта, транспорт – это протокол TCP или UDP, область – это либо * (для всех сетей), либо список компьютеров, которым разрешен доступ к данному порту, состояние – это значение enabled (разрешен) или disabled (запрещен), а имя – это текстовая строка, использующаяся в качестве метки для данного элемента.
При использовании параметра область не поддерживаются DNS-имена или DNS-суффиксы. Для указания диапазона адресов протокола IP версии 4 можно использовать десятичную маску подсети, разделенную точками, или длину префикса. При использовании десятичной маски подсети, разделенной точками, можно указать в качестве идентификатора сети протокола IP версии 4 (например, 10.47.81.0/255.255.255.0) или использовать IP-адрес внутри диапазона (например, 10.47.81.231/255.255.255.0). При использовании длины префикса можно указать диапазон адресов в качестве идентификатора сети протокола IP версии 4 (например, 10.47.81.0/24) или использовать IP-адрес внутри диапазона (например, 10.47.81.231/24).
Для получения дополнительной информации об адресации TCP/IP и подсетях обратитесь к следующему документу:
Статья 164015 базы знаний Microsoft Microsoft Knowledge Base article 164015 (EN) на веб-узле справки и поддержки Microsoft.
Примечание. Если в списке содержимого между значениями будет присутствовать хотя бы один пробел или другие недопустимые символы, область будет пропущена, и параметр будет считаться отключенным. Поэтому внимательно проверьте синтаксис области перед сохранением изменений.
В приведенном примере используется исключение для порта с именем WebTest, разрешающее использование TCP-порт 80 для всех подключений.
Нажмите кнопку ОК, чтобы закрыть окно Добавление элемента.
Рисунок 10 - Вывод содержания
Нажмите кнопку ОК, чтобы закрыть окно Вывод содержания.
Нажмите кнопку ОК, чтобы закрыть окно Брандмауэр Windows: Задать исключения для портов.
Примечание. Если выбран параметр Не разрешать исключения, любые исключения для портов будут проигнорированы.
Настройка исключений для программ
Чтобы задать исключения для программ выполните следующие действия:
В разделе групповой политики Профиль домена или Стандартный профиль дважды щелкните параметр Задать исключения для программ.
Рисунок 11 – Параметр Задать исключения для программ
Щелкните Включен и затем нажмите кнопку Показать.
Рисунок 12 – Вывод содержания
Нажмите кнопку Добавить.
Рисунок 13 – Добавление элемента
Введите информацию о программе, которую необходимо заблокировать или разрешить, используя следующий синтаксис:
путь:область:состояние:имя
Где: путь – это путь к программе и имя файла, область – это либо * (для всех сетей) или список компьютеров, которым разрешен доступ к данной программе, состояние – это значение enabled (разрешен) или disabled (запрещен), а имя – это текстовая строка, использующаяся в качестве метки для данного элемента.
В приведенном примере разрешается использование Windows Messenger для всех подключений.
Для получения дополнительной информации об адресации TCP/IP и подсетях обратитесь к следующему документу:
Статья 164015 базы знаний Microsoft Microsoft Knowledge Base article 164015 (EN) на веб-узле справки и поддержки Microsoft.
Нажмите кнопку ОК, чтобы закрыть окно Добавление элемента.
Рисунок 14 - Вывод содержания
Нажмите кнопку ОК, чтобы закрыть окно Вывод содержания.
Нажмите кнопку ОК, чтобы закрыть окно Брандмауэр Windows: Задать исключения для программ.
Настройка исключений протокола ICMP
Для получения информации о протоколе ICMP обратитесь к следующему документу:
Протокол управляющих сообщений Интернета (ICMP) Internet Control Message Protocol (ICMP) (EN) на веб-узле Microsoft Windows XP.
Для настройки основных параметров протокола ICMP выполните следующие действия:
В разделе групповой политики Профиль домена или Стандартный профиль дважды щелкните параметр Разрешать исключения ICMP.
Щелкните Включен.
Рисунок 15 – Параметр Разрешать исключения ICMP
Выберите необходимые типы ICMP-сообщений. В приведенном примере разрешены входящие эхо-запросы.
Нажмите кнопку ОК, чтобы закрыть окно Брандмауэр Windows: Разрешать исключения ICMP.
Настройка ведения журналов отброшенных пакетов и успешных подключений
Для настройки ведения журналов отброшенных пакетов и успешных подключений, выполните следующие действия:
В разделе групповой политики Профиль домена или Стандартный профиль дважды щелкните параметр Брандмауэр Windows:Разрешить ведение журнала.
Рисунок 16 – Параметр Брандмауэр Windows:Разрешить ведение журнала
Щелкните Включен, отметьте флажки Записывать отброшенные пакеты и Записывать успешные подключения, введите путь и имя файла журнала, а затем нажмите кнопку ОК.
Примечание. Необходимо указать безопасное размещение для файла журнала, чтобы предотвратить его удаление или несанкционированное изменение.
Закройте Редактор групповой политики.
В случае появления запроса на сохранение параметров консоли нажмите кнопку Нет.
Обновление конфигурации при помощи средства GPUpdate
Средство GPUpdate обновляет параметры групповой политики службы каталогов Active Directory, в том числе параметры безопасности. После настройки групповой политики Вы можете подождать, пока настройки применятся к клиентским компьютерам в течение стандартного цикла обновлений. По умолчанию обновления применяются каждые 90 минут, со случайным сдвигом в 30 минут.
Для обновления групповой политики вручную используйте средство GPUpdate.
Запуск GPUpdate
Для запуска GPUpdate выполните следующие действия:
Нажмите кнопку Пуск и выберите меню Выполнить.
В текстовом поле Открыть введите cmd и нажмите кнопку ОК.
Примечание. Для получения полного описания доступных параметров средства GPUpdate обратитесь к следующему документу:
Статья 298444 базы знаний Microsoft Microsoft Knowledge Base article 298444 (EN) на веб-узле справки и поддержки Microsoft.
В командной строке введите GPUpdate и затем нажмите клавишу ENTER.
Рисунок 17 – Запуск из командной строки GPUpdate
Чтобы закрыть окно командной строки введите Exit и нажмите клавишу ENTER.
Проверка применения параметров брандмауэра Windows
Примечание. При использовании групповой политики для настройки брандмауэра Windows данные параметры могут запрещать локальным администраторам изменять некоторые элементы конфигурации. Некоторые вкладки и настройки в диалоговых окнах брандмауэра Windows могут быть недоступны для пользователей локальных компьютеров.