Определение настроек по умолчанию на клиентах и серверах
Функциональные возможности, предоставляемые брандмауэром ОС Windows в режиме повышенной защищенности в ОС Windows Vista и Windows Server 2008, доступны через три различных пользовательских интерфейса.
• Значок брандмауэра ОС Windows на панели управления. Этот интерфейс предназначен для потребителей, не находящихся в управляемой среде. Через него доступны только основные настройки персонального брандмауэра. Стоящая за значком брандмауэра на панели управления функциональность ограничена и предназначена для управления одиночным компьютером конечного потребителя, а не для обеспечения административного контроля над множеством компьютеров предприятия.
• Средство командной строки Netsh Advfirewall. Команда netsh дает возможность изменять множество параметров сетевой конфигурации компьютера. В них входят параметры и правила брандмауэра ОС Windows в режиме повышенной безопасности как для одиночного компьютера, так и для объекта групповой политики, который может быть распространен на многие компьютеры организации.
• Оснастка MMC брандмауэра ОС Windows в режиме повышенной безопасности. Через этот интерфейс доступны параметры брандмауэра и протокола IPsec. Это — основной инструмент администратора для управления как отдельно взятым компьютером, так и объектами групповой политики.
Шаги по определению настроек по умолчанию на клиентах и серверах
В этом разделе мы рассмотрим, как запустить каждый из перечисленных инструментов и оценить доступные через них функциональные возможности. Используя каждое средство, мы увидим текущие настройки и настройки по умолчанию брандмауэра ОС Windows в режиме повышенной безопасности на компьютерах под управлением ОС Windows Vista и Windows Server 2008.
Шаг 1. Запуск брандмауэра ОС Windows из панели управления
Шаг 2. Изучение основных параметров, доступных через интерфейс панели управления
Шаг 3. Изучение основных параметров с помощью средства командной строки Netsh
Шаг 4. Изучение основных параметров, доступных через оснастку MMC брандмауэра ОС Windows в режиме повышенной безопасности
Шаг 1. Запуск брандмауэра ОС Windows из панели управления
На этом этапе нужно открыть значок брандмауэра ОС Windows на панели управления каждого компьютера, входящего в домен.
Открытие значка брандмауэра ОС Windows на панели управления CLIENT1
-
1. Войдите в систему компьютера CLIENT1 под именем contoso\admin1, введя пароль Pass@word1.
2. Нажмите кнопку Start и щелкните пункт Control Panel.
В ОС Windows Vista представление панели управления по умолчанию — Control Panel Home (основное окно панели управления).
3. Щелкните пункт Security (безопасность) и затем пункт Windows Firewall.
4. На странице Windows Firewall обратите внимание на следующие настройки по умолчанию, входящие в обычную установку ОС Windows Vista (показаны на рисунке):
• брандмауэр ОС Windows включен;
• незапрошенные входящие соединения, не подпадающие под исключения, блокируются;
• когда программа пытается прослушивать входящие соединения и получает отказ в этом от брандмауэра, отображается уведомление;
• текущие настройки принадлежат профилю сетевого расположения Domain network (сеть домена), поскольку компьютер присоединен к домену Active Directory и прошел проверку подлинности в нем.
5. Не закрывайте панель управления брандмауэра ОС Windows.
|
Теперь рассмотрим тот же интерфейс в ОС Windows Server 2008.
Открытие значка брандмауэра ОС Windows на панели управления MBRSVR1
-
1. Войдите в систему компьютера MBRSVR1 под именем contoso\admin1, введя пароль Pass@word1.
2. Нажмите кнопку Start и щелкните пункт Control Panel.
В ОС Windows Server 2008 представление панели управления по умолчанию — Classic View (классический вид).
3. Щелкните пункт Windows Firewall.
4. На странице Windows Firewall обратите внимание на следующие настройки по умолчанию, входящие в обычную установку ОС Windows Server 2008:
• брандмауэр ОС Windows включен;
Примечание
Если компьютер под управлением ОС Windows Server был обновлен с более ранней версии Windows Server, содержащей брандмауэр ОС Windows, то состояние брандмауэра будет тем же, что и до обновления.
• незапрошенные входящие соединения, не подпадающие под исключения, блокируются;
• когда программа пытается прослушивать входящие соединения и получает отказ в этом от брандмауэра, уведомление пользователю не отображается;
Примечание
Здесь имеется отличие в настройках по умолчанию от ОС Windows Vista.
• текущие настройки принадлежат профилю сетевого расположения Domain network, поскольку компьютер присоединен к домену и прошел проверку подлинности.
5. Не закрывайте панель управления брандмауэра ОС Windows.
|
Шаг 2. Изучение основных параметров, доступных через интерфейс панели управления
Здесь мы рассмотрим параметры, которые можно настроить с использованием значка брандмауэра ОС Windows на панели управления, и определим различия между ОС Windows Vista и Windows Server 2008.
Определение параметров, доступных с помощью значка брандмауэра ОС Windows панели управления
-
1. И на CLIENT1, и на MBRSVR1 щелкните команду Change settings (изменить настройки) страницы Windows Firewall.
2. Изучите вкладки, содержащие немногочисленные настройки, доступные через этот интерфейс. Любые сделанные здесь изменения отразятся только на текущем профиле сетевого расположения (Domain network). Отметьте различие между настройками по умолчанию компьютеров MBRSVR1 и CLIENT1.
• Вкладка General (общие). На этой вкладке можно включить или выключить брандмауэр. Кроме того, можно задать блокировку всех входящих соединений, даже тех, для которых существуют разрешающие исключения.
Предупреждение
Не отключайте брандмауэр ОС Windows путем остановки его службы (MpsSvc). Она, в том числе, реализует ограниченный режим работы служб ОС Windows, предоставляя другим службам дополнительную защиту. Корпорация Майкрософт не одобряет отключение службы брандмауэра. Вместо этого необходимо использовать показанный здесь интерфейс, доступный через значок брандмауэра ОС Windows панели управления, или оснастку MMC брандмауэра ОС Windows в режиме повышенной безопасности. Дополнительную информацию об ограниченном режиме работы служб ОС Windows см. в статье «Улучшения безопасности и защиты данных в ОС Windows Vista» по адресу http://go.microsoft.com/fwlink/?linkid=98656.
Примечание
Отключение брандмауэра установкой переключателя на странице Windows Firewall Settings в положение Off (выкл.) не останавливает его службу (MpsSvc). Прекращается лишь фильтрация входящего и исходящего трафика в соответствии с установленными правилами.
На компьютере MBRSVR1 не видно отличий вкладки General от той же вкладки на компьютере под управлением ОС Windows Vista, кроме случая, когда операционная система была обновлена с более ранней версии ОС Windows Server, где брандмауэр был установлен, но выключен. При обновлении компьютера под управлением ОС Windows Server до более поздней версии ОС Windows Server состояние брандмауэра сохраняется.
• Вкладка Exceptions (исключения). На этой вкладке перечислены исключения, разрешающие определенные сетевые соединения. Включены отмеченные исключения. Большинство элементов отражает предопределенные наборы правил, включенные в ОС Windows. Щелчок имени исключения и выбор пункт Properties отображает описание исключения. Здесь же можно создать собственное исключение, соотнесенное с программой или портом. Исключению можно указать область применения — любой компьютер, только локальная подсеть или список адресов и подсетей.
Компьютер под управлением ОС Windows Server 2008, настроенный на выполнение роли сетевого сервера, например контроллера домена, обычно имеет намного больше активных исключений, чем другие компьютеры. Эти исключения позволяют нормально работать службам сервера. К примеру, у компьютера MBRSVR1 включено правило исключения службы Telnet, поскольку мы установили эту службу в процессе настройки необходимой среды. Правило было автоматически создано и активировано при установке службы Telnet.
По умолчанию на компьютерах под управлением ОС Windows Server 2008 флажок Notify me when Windows Firewall blocks a new program (уведомлять, когда брандмауэр блокирует новую программу) снят.
• Вкладка Advanced (дополнительно). На этой вкладке указываются сетевые подключения, определенные в центре управления сетями и общим доступом, которые брандмауэр ОС Windows должен защищать. По умолчанию выбраны все сетевые соединения. Имеется также кнопка Restore Defaults (по умолчанию), полностью удаляющая все внесенные пользователем изменения из конфигурации брандмауэра.
3. На компьютерах CLIENT1 и MBRSVR1 нажмите кнопку OK на странице Windows Firewall Settings, закройте вкладку Windows Firewall и панель управления.
|
Шаг 3. Изучение основных параметров с помощью средства командной строки Netsh
Здесь мы опробуем альтернативный метод просмотра основных настроек брандмауэра — средство командной строки Netsh.
Определение основных параметров брандмауэра с помощью средства Netsh
-
1. Запустите командную строку от имени администратора на компьютере MBRSVR1.
2. Выполните в ней команду netsh advfirewall show currentprofile.
Важно
Необходимо использовать контекст advfirewall, а не более ранние контексты firewall или ipsec. Контекст advfirewall добавлен команде netsh в этой версии ОС Windows. Контексты firewall и ipsec по-прежнему существуют, но предоставляются только для совместимости с настройками групповой политики, созданными в более ранних версиях ОС Windows.
3. Изучите вывод команды и сопоставьте его с увиденным ранее в диалоговых окнах панели управления. Пример вывода представлен на следующем рисунке.
Значения State (состояние), Firewall Policy (политика брандмауэра) и InboundUserNotification соответствуют основным настройкам, рассмотренным на предыдущих шагах с помощью значка брандмауэра ОС Windows панели управления. Другие настройки, присутствующие в выводе netsh, с его помощью определены быть не могут. Для доступа к ним требуется средство netsh или оснастка MMC брандмауэра ОС Windows в режиме повышенной безопасности.
4. Закройте командную строку.
|
Шаг 4. Изучение основных параметров, доступных через оснастку MMC брандмауэра ОС Windows в режиме повышенной безопасности
Здесь мы рассмотрим основные параметры, доступные с помощью оснастки MMC брандмауэра ОС Windows в режиме повышенной безопасности.
Определение основных параметров с использованием оснастки MMC брандмауэра ОС Windows в режиме повышенной безопасности
-
1. На компьютере MBRSVR1 откройте оснастку Windows Firewall with Advanced Security.
2. Изучите три панели этой оснастки.
• Область переходов позволяет выбирать основные функциональные области.
• Область сведений отображает данные о выбранной в данный момент функциональной области.
• В области действий приведены ярлыки возможных задач, имеющих отношение к текущей функциональной области.
3. В области переходов выберите узел Windows Firewall with Advanced Security.
В области сведений будет отображена основная информация о состоянии каждого профиля сетевого размещения. Поскольку компьютер MBRSVR1 подключен к домену, запись, соответствующая этому профилю сетевого размещения в разделе Overview (обзор), имеет вид Domain Profile is Active (профиль домена активен).
4. В области переходов щелкните правой кнопкой мыши пункт Windows Firewall with Advanced Security и выберите пункт Properties.
5. Обратите внимание на наличие четырех вкладок — одна для настроек протокола IPsec и по одной — для каждого профиля сетевого размещения. Вносимые в них изменения вступят в силу, только в том случае, когда станет активным соответствующий профиль. Вкладка IPsec Settings (параметры протокола IPsec) позволяет настроить параметры протокола по умолчанию — они будут использоваться, когда правило безопасности подключения не определяет своих собственных параметров.
6. Щелкните, для примера, вкладку Private Profile (частный профиль). Обратите внимание на то, что для каждого профиля можно включить или выключить брандмауэр, настроить его поведение по умолчанию в области обработки исходящих и незапрошенных входящих соединений и указать параметры ведения журнала.
7. Нажмите кнопку Customize (настроить) в разделе Settings (параметры). Обратите внимание на то, что для каждого профиля можно настроить уведомления и порядок ответа компьютера на входящий многоадресный или широковещательный трафик.
Раздел Rule merging (объединение правил) доступен только при управлении настройками объекта групповой политики. Параметрами этого раздела определяется, разрешает ли администратор групповой политики локальному администратору назначать свои собственные локальные правила брандмауэра и безопасности подключений. Если разрешения нет, к компьютеру применяются только правила объекта GPO, а все локально определенные правила игнорируются.
8. Нажмите кнопку Cancel (отмена), чтобы вернуться на главную страницу свойств.
9. Нажмите кнопку Customize в разделе Logging (ведение журнала) и изучите имеющиеся настройки создания файла журнала, содержащего сведения о действиях брандмауэра. Даже в том случае, когда имя файла указано, запись в него не будет производиться до тех пор, пока не выбран пункт Yes в одном из двух списков.
10. Установите обоим спискам значение No, тем самым отключив ведение журнала. Позднее мы к этому вернемся.
11. Дважды нажмите кнопку Cancel для возврата в оснастку брандмауэра ОС Windows в режиме повышенной безопасности.
12. Можно изучить и другие функциональные области — Inbound Rules (правила входящих подключений), Outbound Rules (правила исходящих подключений) и Connection Security Rules (правила безопасности подключения), но пока не изменяйте их настройки.
|
|