Контролишите напредна правила Windows заштитног зида То прави разлику између минимално заштићеног рачунара и истински безбедног система. Иако конзола на први поглед може деловати помало застрашујуће, када схватите како функционише приоритет правила, мрежне профиле и како да креирате прецизне изузетке за портове, апликације или услуге, заиста почињете да контролишете саобраћај који улази и излази из вашег рачунара.
У овом чланку ћете пронаћи водич веома детаљно и практично Овај водич објашњава како функционише Windows заштитни зид са напредном безбедношћу, на које уобичајене проблеме можете наићи, како се правила обрађују, које врсте конфигурација се препоручују и како креирати све, од једноставних до сложених правила за ICMP, RPC, апликације, одређене портове и модерније опције попут ознака за контролу апликација. Циљ је да вам помогне да пређете са једноставног разумевања концепта на лако управљање заштитним зидом.
Основни концепти Windows заштитног зида и његових профила
Заштитни зид уграђен у Windows је заштитни зид за филтрирање пакета Ослања се на Windows платформу за филтрирање (WFP). Може да анализира сваки пакет на основу критеријума као што су IP адреса, протокол, порт, апликација или услуга и да одлучи да ли ће га дозволити или блокирати у складу са конфигурисаним правилима.
Овај заштитни зид увек ради са двосмерним саобраћајем: долазне и одлазне везеДолазна правила контролишу шта улази у ваш рачунар из мреже, док одлазна правила контролишу шта ваш рачунар шаље. Разумевање правца саобраћаја је кључно: ако желите да спречите да нешто улази са интернета, мењате долазно правило; ако желите да спречите програм да „изађе на мрежу“, конфигуришете га у одлазном правилу.
Windows организује правила и политике у три мрежни профиликоје се примењују у зависности од типа мреже на коју сте повезани:
- Домен: за рачунаре придружене домену Active Directory.
- приватан: дизајнирано за кућне или пословне мреже које се сматрају поузданим.
- Јавност: за Wi-Fi у кафићима, аеродромима или било којој непоузданој мрежи.
Подразумевано, заштитни зид Блокира скоро све што долази. у сва три профила и дозвољава одлазни саобраћај. То јест, рестриктивну долазну политику и дозвољену одлазну политику. Ово глобално понашање можете изменити из Својства заштитног зида програма Windows Defender (у напредној конзоли), бирајући за сваки профил да ли су долазне и одлазне везе подразумевано дозвољене или блокиране.
Како приступити Windows заштитном зиду са напредном безбедношћу
Моћни део заштитног зида се контролише из конзоле „Windows заштитни зид са напредном безбедношћу“Можете до њега доћи на неколико начина, у зависности од тога да ли радите у једном тиму или у окружењу домена:
На појединачном рачунару са оперативним системом Windows 10 или Windows 11, једноставно отворите Старт, откуцајте вф.мсц и притисните Ентер. Такође можете да одете на Контролна табла > Систем и безбедност > Заштитни зид Windows Defender-а и кликнете на „Напредна подешавања“ са стране.
У доменском окружењу, идеално је користити Групна политика (GPO)Из GPO уређивача идите на Computer Policy > Windows Settings > Security Settings > Windows Firewall with Advanced Security. Ово ће вам омогућити да примените централизована правила и политике на све рачунаре под тим GPO.
У напредном интерфејсу, видећете кључне одељке у левом панелу: Правила уласка, Излазна правилаПравила безбедности везе и чвор за надгледање. Одатле се контролишу практично сви аспекти заштитног зида (фајервола).
Приоритет и редослед евалуације правила
Један од мање интуитивних делова је како заштитни зид одлучује шта Правило важи када се неколико поклапа. са истим саобраћајем. Неће сви бити „додати“; користи се само један. Познавање приоритета спречава вас да полудите када се нешто блокира „без очигледног разлога“.
На логичком нивоу, правила се процењују према овом приоритет деловања:
- Прво, правила која дозвољавају „ако је безбедно“ (IPsec) и такође имају Поништавање блока активирано.
- Затим, правила чије је дејство Блокирај.
- Коначно, правила која Дозволи саобраћај без посебних услова.
Штавише, између правила са истом акцијом, а приоритет по специфичностиСпецифичнија правила имају предност над општијим. На пример, правило које се примењује само на одређена IP адреса Има предност над другим који покрива широк опсег, под условом да не постоји експлицитно правило блокирања.
У сценаријима где заштитни зид интерно секвенцијално наручује правила, прати се овај образац: прво најрестриктивнија правила (на пример, она која утичу на одређене рачунаре, одређене портове или одређене апликације) и на крају она мање рестриктивна. Дозвољавају сав саобраћај или се примењују на велике опсеге. Када се правило подудара и налаже радњу, наредна правила се више не евалуирају.
Стога, ако поставите веома генеричко правило које блокира све и има предност над другим правилом које дозвољава нешто специфичније, Све ће бити блокираноВажно је дизајнирати скуп политика избегавајући нежељена преклапања, посебно код експлицитних правила блокирања.
Активна правила, праћење и унапред дефинисане групе
Чвор од Супервисион Напредна безбедносна конзола приказује само правила која су тренутно активна. То значи да правило може постојати у „Долазним правилима“ или „Одлазним правилима“, али неће бити видљиво у Надгледању ако је онемогућено или ако није функционално јер подразумевано понашање профила већ дозвољава тај саобраћај.
На пример, ако је политика изласка подешена на „Дозволи“ за профил, Правила за одлазно одсуство неће бити наведена Не би требало да додају додатна ограничења. Исто важи и за одређена правила за долазни саобраћај када политика и контекст већ дозвољавају саобраћај. Ово је нормално; не значи да је конзола покварена.
Из фабрике, неки групе правила Омогућени су јер се сматрају неопходним у већини окружења. Међу њима су:
- Правила Главне мреже за све профиле.
- Скуп правила Даљинска помоћ, са неким правилима само у домену, а другима и у домену и у приватном сектору.
- Правила Откривање мрежеали само на приватном профилу.
Поред тога, инсталирање одређених Windows функција или апликација трећих страна може аутоматски омогући додатна правила тако да ове компоненте функционишу без ручне интервенције корисника.
Врсте правила: програмска, портска, унапред дефинисана и прилагођена
Када креирате ново правило (и долазно и одлазно), чаробњак нуди четири основна типа, која покривају већину сценарија:
Правила Програм Повезани су са одређеном извршном датотеком. Дозвољавају или блокирају сав саобраћај из апликације, а ви не морате да бринете о томе које портове користи. Једноставно изаберете .exe датотеку, одлучите да ли ћете је дозволити или блокирати и наведете на које профиле се односи. Ово је веома корисно за спречавање програма да се повежу на интернет или ограничавање њихове употребе на јавним мрежама.
Правила Пуерто Филтрирају по протоколу (обично TCP или UDP) и једном или више портова, и могу да укључују опсеге (на пример, „5000-5100“) или комбиноване листе („21, 22, 80, 443“). Могу се користити за затварање одређеног порта (као што је 21/TCP) на долазном саобраћају или спречавање сервиса да користи одређене портове на одлазном саобраћају, или за њихово отварање само тамо где је то потребно.
Правила Унапред дефинисано То су шаблони који долазе са самим Windows-ом за интерне сервисе (као што су удаљена радна површина, дељење датотека и штампача итд.). Ви бирате унапред дефинисани скуп, бирате да ли да дозволите или блокирате и у којим профилима, а систем се брине о детаљима свих укључених портова и сервиса.
Правила Прилагођено Ово су најфлексибилнији и омогућавају вам да комбинујете све: програм или услугу, тип протокола (укључујући ICMPv4, ICMPv6, GRE, IPv6-Route, итд.), локалне и удаљене портове, локалне и удаљене IP адресе, опсеге апликација, безбедносне услове (IPsec) и профиле. Користе се за прецизне сценарије, на пример: дозвољавање одређеној услузи да слуша само на ограниченом IP опсегу унутар ограничене подмреже и на динамичким RPC портовима.
Правила апликације и контрола излаза
Када инсталирате апликацију која слуша на мрежи, уобичајено је да сама апликација... инсталатер региструје правило заштитног зида тако да све функционише без превише питања од корисника. Ако не функционише, корисник или администратор ће морати креирајте га ручно.
Проблем настаје када се ослањате на заштитни зид да сам све поправи. Подразумевани Windows заштитни зид је прилично... дозвољен у одлазном саобраћајуДозвољава скоро све што није експлицитно блокирано. Такође, не приказује искачуће прозоре сваки пут када програм покуша да се повеже, као што то раде многи заштитни зидови трећих страна.
Ако сте забринути које апликације могу да се повежу на мрежу, можете променити политику одлазних порука на „Блокирај“ и подесити свеобухватна бела листаМеђутим, ово је дизајнирано за високо контролисана окружења (на пример, компаније са високим нивоом безбедности). То подразумева одржавање инвентара апликација, познавање оних које захтевају повезивање и креирање правила за сваку од њих, обично дистрибуираног путем GPO или CSP.
Штавише, постоји мало познато понашање: приликом покушаја аутоматског креирања правила током извршавања (на пример, када се појави обавештење које захтева дозволу за апликацију), резултат може да варира у зависности од улоге и радњи корисника. Привилеговани корисник може ненамерно да одбаци обавештење, што доводи до креирања нових правила. правила блокирањаАко нема довољно привилегија или су обавештења онемогућена, правила дозвола се не генеришу и саобраћај остаје блокиран подразумеваном политиком.
Ознаке контроле апликација и PolicyAppId-а у правилима заштитног зида
У модерним пословним окружењима, Windows заштитни зид може се интегрисати са Апп Цонтрол да користе ознаке апликација (AppID-ове) уместо путања извршних датотека. Ово омогућава повезивање правила са групама означених процеса, без зависности од тога да ли се извршна датотека увек налази у истој фасцикли.
Операција се заснива на два корака. Прво, Политика означавања контроле апликација који примењује ознаку PolicyAppId на токене процеса одређених апликација или група апликација. Та ознака се затим користи као опсег у правилима заштитног зида.
Затим, Правила заштитног зида која позивају на PolicyAppId Постоје два главна начина: коришћење чвора PolicyAppId провајдера услуга заштитног зида (CSP) из MDM решења као што је Microsoft Intune (навођењем идентификатора у пољу Policy Application ID) или креирање локалних правила помоћу PowerShell-а са командлетом New-NetFirewallRule, навођењем параметра -PolicyAppId са одговарајућом ознаком.
Овај приступ побољшава безбедност јер избегавајте ослањање на апсолутне руте и омогућава вам да групишете апликације под истом политиком, смањујући одржавање када се верзије или локације промене.
Комбинација локалних и доменских политика
У управљаним окружењима, од виталног је значаја контролисати како се ствари раде локална правила су помешана које администратор тима може да креира користећи централизована правила дистрибуирана путем GPO или CSP. Ово се постиже подешавањем политике спајања правила (AllowLocalPolicyMerge) за сваки профил.
Користећи MDM CSP путање (на пример, ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/AllowLocalPolicyMerge) или из GPO-а „Windows Defender Firewall са напредном безбедношћу“, можете одлучити да ли заштитни зид прихвата или игнорише локално креирана правила, поред оних дефинисаних централном политиком.
У окружењима од висока сигурност Локално прослеђивање портова је обично онемогућено како би се спречило да корисници и апликације додају изузетке у ходу који отварају портове без контроле. Међутим, ова мера може да поквари апликације или сервисе који, након инсталације, покушавају да креирају сопствена правила за локалне портове.
Стога је кључно одржавати инвентар апликација Ово захтева изузетке, укључујући које портове и протоколе користе и са којих мрежа би требало да буду доступни. Ако ово није правилно документовано, можете наићи на повремене кварове које је тешко дијагностиковати.
Препоруке за дизајн правила заштитног зида
Приликом дизајнирања конзистентног скупа правила, постоји низ добре праксе којих се треба придржавати како би се избегло стварање „експлозивног коктела“ изузетака:
Кад год можете, оставите подразумевана подешавања Подразумевано блокирање долазних веза од стране Windows заштитног зида је основна безбедносна мера и требало би је ублажити само у веома оправданим околностима.
Када омогућите услугу која треба да слуша на мрежи, креирајте правила у сва три профилаАли активирајте само неопходне. На пример, ако ће се апликација користити само на приватним мрежама, можете имати припремљену дефиницију за домен, приватну и јавну, али омогућити групу правила само за приватни профил.
Подесите удаљене адресе према профилу и мапирајте топологију локалне мреже (LAN) Када је потребно. Услуга намењена само локалној мрежи (кућној или малој фирми) треба да буде ограничена на локалну подмрежу у приватним и јавним профилима, док је у профилу домена обично мање рестриктивна унутар корпоративне мреже. Не примењујте ова ограничења на апликације којима је потребан глобални приступ интернету.
Приликом креирања правила уноса, будите што је могуће пажљивији. конкретно што можетеМеђутим, избегавајте микроуправљање појединачним портовима када то не додаје вредност. Понекад је боље дефинисати суседне опсеге како бисте спречили да заштитни зид мора да управља великом количином филтера, што би могло утицати на перформансе.
Пажљиво документујте свако правило: на коју апликацију утиче, на које портове, на које профиле и пре свега, За шта је створено? И ког датума. Те информације су непроцењиве када, месецима касније, будете морали да прегледате или прецизирате политику.
Посебна разматрања у вези са правилима изласка
У већини домаћинстава и многих предузећа, уобичајено је да политика изласка Користите „Дозволи“ и креирајте само одређена правила за блокирање веома одређених ствари. Ово знатно поједностављује имплементацију апликације.
Међутим, у окружењима где безбедност има предност над практичношћу, може бити корисно конфигурисати заштитни зид тако да Блокирај све излазе подразумеваноУ том случају, свака апликација која треба да се повеже мора имати своје правило дозвола.
Да би овај модел функционисао, а да се не претвори у ноћну мору, неопходно је одржавати ажурирани инвентар софтвера, бележећи који од њих имају мрежну повезаност и какву врсту. Одатле, администратори креирају и дистрибуирају централизована правила, обично блокирајући све што није на белој листи.
Неопходне услуге за функционисање заштитног зида
Компонента Windows заштитног зида са напредном безбедношћу ослања се на неколико системске услугеАко било шта од овога не ради, заштитни зид се може понашати неправилно или једноставно неће радити:
- Основни мотор за филтрирање.
- Клијент групних политика.
- Модули за креирање IPsec кључева за IKE и AuthIP.
- ИП асистент.
- Агент за IPsec политику.
- Препознавање локације на мрежи.
- Услуга листе мрежа.
- Виндовс заштитни зид.
Ако имате необичних проблема са заштитним зидом (правила се не примењују, политике се не преузимају из GPO-а итд.), препоручљиво је да проверите Услужни руководилац да су све ове услуге покренуте и са исправним типом покретања.
Ревизија, евиденција и прикупљање података
За решавање сложених проблема, веома је корисно активирати ревизија безбедности везано за заштитни зид и IPsec и конфигуришите датотеку дневника која оставља траг дозвољених и блокираних веза.
Алат за командну линију auditpol.exe Ово вам омогућава да омогућите или онемогућите категорије и подкатегорије догађаја ревизије. На пример, можете навести категорије помоћу:
auditpol.exe /list /category
И погледајте подкатегорије одређене категорије (као што је Промена политике) помоћу:
auditpol.exe /list /category:»Промена политике»
Да бисте активирали категорију и подкатегорију, користите:
auditpol.exe /set /category:»НазивКатегорије» /SubCategory:»НазивПодкатегорије»
Што се тиче датотеке дневника заштитног зида, можете је отворити из напредне конзоле. Својства заштитног зида Затим, у свакој картици профила (домен, приватни, јавни), кликните на „Прилагоди“ у одељку за евидентирање. Тамо дефинишете путању и име датотеке, максималну величину (између 1 и 32767 KB) и да ли желите да евидентирате одбачене пакете, успешне везе или обоје.
За детаљнију анализу, и ревидирајте своју локалну мрежуТакође је добра идеја генерисати мрежна статистика и листе процеса: команде попут „netstat -ano > netstat.txt“ и „tasklist /svc > tasklist.txt“ вам омогућавају да унакрсно упоредите отворене портове, PID-ове и инсталиране сервисе, помажући у идентификацији који процес стоји иза одређеног саобраћаја.
У корпоративним окружењима, Мајкрософт нуди скрипте за подршку као што су TSS.ps1 (Сценарио NET_WFP) који прикупљају напредне трагове са платформе за филтрирање, пакују их у ZIP датотеку у C:\MS_DATA спремну за слање подршци.
Генерално, разумевање и коришћење напредна правила Windows заштитног зида Омогућава вам да идете далеко даље од пуког „укључивања или искључивања заштитног зида“. Комбиновањем пажљивог дизајна правила, разумног коришћења профила, јасне политике комбиновања директива и доброг система за ревизију и евидентирање, можете имати фино подешену контролу над мрежним саобраћајем без жртвовања употребљивости опреме.
