Windows ugunsmūra mērķis un tā konfigurācija. Windows ugunsmūra pamati Ugunsmūra atspējošana, izmantojot cilni Administrēšana
Ugunsmūris ir programma, kas atļauj vai liedz piekļuvi internetam noteiktām lietojumprogrammām. Nepieredzējušiem lietotājiem ir problēmas ar to.
Piemēram: sistēma savienojas ar tīklu normāli (meklēšana darbojas, automātiski lejupielādē atjauninājumus), bet pārlūkprogrammas un citas utilītas nevar izveidot savienojumu ar attālo serveri. Iemesls ir ugunsmūra iestatījumos.
Ugunsmūra problēmu novēršana
Izplatīta ugunsmūra problēma ir “Pakalpojuma inicializācijas kļūda”. Biežāk notiek pielāgotajās Windows versijās. Tas tiek novērsts servisa iestatījumos, tiek ieslēgts “Ugunsmūris”, pēc kura dators tiek restartēts (tikai pēc tam tiks piemēroti veiktie iestatījumi. Pretējā gadījumā pūles būs veltīgas, un soli pa solim tiks sniegti norādījumi. ir jāatkārto).
Ja nav izveidots savienojums ar internetu, pārbaudiet, kurus portus ugunsmūris bloķē.
Iespējams, tā darbībā radās kļūme, un pakalpojums ir jārestartē. Hosts faila atjaunošana tiek veikta ar pretvīrusu programmu (bezmaksas CureIT var viegli tikt galā ar uzdevumu un piedāvā palaišanas laikā atjaunot faila parametrus) vai manuāli, izmantojot Notepad++ teksta redaktoru.
Dažreiz iemesls ir bloķēti izejošie savienojumi. Šajā gadījumā dodieties uz ugunsmūra papildu iestatījumiem un dialoglodziņā "Properties" noņemiet atzīmi no apakšvienības "bloķēt izejošos savienojumus" (gan privātajā, gan publiskajā profilā).
Ja jums ir jāizveido jauns savienojums (Wi-Fi), bet savienojums ar tīklu joprojām nav izveidots (un nav problēmu ar citām ierīcēm), varat pievienot pakalpojuma izņēmumu (sk.). Lai to izdarītu, iestatījumu logā atveriet papildu iestatījumus, atlasiet “Izveidot kārtulu”, dodieties uz cilni “Pielāgots”.
Mēs iespējojam nepieciešamo pakalpojumu (piemēram, attālo savienojumu, kas ir atbildīgs par piekļuvi globālajam tīmeklim) un iestatām parametrus uz “iepriekš definēts”.
Varat arī izslēgt ugunsmūri, ja tas nav nepieciešams jūsu darbam.
Netsh ļauj konfigurēt Windows ugunsmūra klientus no komandrindas tieši vai ar sērijveida failu. Piemēram, komanda
netsh ugunsmūra parādīt konfigurāciju
Parāda pašreizējo Windows ugunsmūra stāvokli klienta datorā.
Pašreizējais Windows ugunsmūra stāvoklis
Netsh ļauj kontrolēt gandrīz visus Windows ugunsmūra iestatījumus, tāpēc administratori, kuriem ir daudz skriptu, var izmantot domēna pievienošanās skriptus, lai konfigurētu un pārbaudītu Windows ugunsmūra funkcionalitāti.
Piemēram, šī Netsh komanda izveido lokālā ugunsmūra kārtulu, kas ļauj Telnet piekļūt datoram, kuru aizsargā Windows ugunsmūris no norādītajām adresēm.
protokols = TCP ports = 23
nosaukums = Telnet režīms = IESPĒJOT
darbības joma = PIELĀGOTAS adreses =
192.168.0.0/255.255.255.0,
10.0.0.0/255.255.240.0
Šo komandu var saīsināt, izslēdzot atribūtu nosaukumus:
netsh ugunsmūris pievieno portatvēršanu
TCP 23 Telnet IESPĒJOT CUSTOM
192.168.0.0/255.255.255.0,
10.0.0.0/255.255.240.0
Iepriekš minēto komandu izpildes rezultātu var pārbaudīt, izmantojot komandu
netsh ugunsmūra šova portatvēršana
Domēna profili un vietējie profili
Vēl viena noderīga Windows ugunsmūra funkcija ir iespēja izvēlēties vienu no diviem darbības režīmiem – standarta vai domēna – atkarībā no tā, kuram tīklam dators pašlaik ir pievienots. Katram režīmam varat iestatīt savu izņēmumu kopu. Piemēram, varat atļaut failu koplietošanu datorā tikai tad, ja ir izveidots savienojums ar domēnu. Windows ugunsmūris salīdzina pašreizējo AD domēna nosaukumu ar IP konfigurācijas DNS sufiksu, lai noteiktu, kuru režīmu tajā laikā izmantot. Lai konfigurētu domēna un standarta profilus, palaidiet Windows ugunsmūra GPO un atlasiet konfigurējamo objektu.
Izņēmumu iestatīšana
Windows ugunsmūrī ir vairāki iepriekš definēti izņēmumi, kas ļauj piekļūt tīklam dažiem izplatītiem sistēmas uzdevumiem, piemēram, attālai pārvaldībai un failu un printeru koplietošanai. Tabulā ir uzskaitīti Windows ugunsmūra izņēmumi, kas ir iespējoti pēc noklusējuma, kā arī atvērtie porti un programmas, kas tos izmanto.
| Izņēmums | Atverami porti | Atļauju programma | Ierobežot avotu pēc |
| Atļaut tālvadības pulti | TCP 135, TCP 445, | Apakštīkli | |
| Atļaut failu un printeru koplietošanu | UDP 137, UDP 138, TCP 139, TCP 445, | Apakštīkli | |
| Attālā darbvirsma | TCP 3389 | Jebkura adrese | |
| Atļaut UPnP Framework | UDP 1900, TCP 2869 | Apakštīkli | |
| Attālā palīdzība | Sessmgr.exe | Jebkura adrese | |
| ICMP iestatījumi | Atļaut ienākošo atbalss pieprasījumu |
Administrators var arī iestatīt savu izņēmumu kopu lokāli, izmantojot Windows ugunsmūra lietojumprogrammu vadības panelī vai attālināti, izmantojot grupas politikas mehānismu. Lai to izdarītu, vienkārši norādiet tās programmas nosaukumu, kas ģenerē trafika vai tīkla parametrus (TCP vai UDP porta numuru) un avota adresi, un pēc tam atļaujiet ģenerēto izņēmumu Windows ugunsmūrī.
Iepriekš noteikti izņēmumi nodrošina lielāku konfigurācijas elastību nekā pielāgoti izņēmumi, jo tie ļauj vienā noteikumā norādīt vairākus portus. Piemēram, failu un printeru koplietošanas izņēmums atļauj portus TCP 139, TCP 445, UDP 137 un UDP 138. Kad izveidojat pielāgotu izņēmumu, sistēma ļauj norādīt tikai vienu portu, tāpēc, lai atvērtu portu diapazonu, jāizveido izņēmumu kopa katram portam. Šajā gadījumā ir iespējams izveidot pielāgotus apgabalus, t.i. IP adreses vai IP adrešu diapazoni, kuriem ir atļauta saziņa. Tas ļauj definēt portu kopas iepriekš definētiem un pielāgotiem izņēmumiem.
Portu komplekti iepriekš definētiem un pielāgotiem izņēmumiem
Korporatīvo tīklu administratori var izmantot grupas politikas, lai konfigurētu Windows ugunsmūri. Šādā gadījumā jānorāda ports (piemēram, 80), transports (TCP vai UDP), apgabals, statuss (atļauts vai liegts) un savienojuma nosaukums. Dizains izskatās šādi: Osta:Transports:Tēma:Statuss:Nosaukums.
Sintakse GPO darbības jomas aprakstīšanai nedaudz atšķiras no tās, kas tiek izmantota Windows ugunsmūra lietojumprogrammā (tas var būt saistīts ar atšķirībām starp RC2 versijām un galīgo SP2 versiju). RC2 GPO tika definēts kā “*” (visa trafika), vietējais apakštīkls (vietējā apakštīkla trafika) un IP adreses (piemēram, 10.0.0.1 vai CIDR, bezklases starpdomēnu maršrutēšanas saīsinājums, piemēram, 192.168.0.0/24, kur 24 norāda bitu skaitu apakštīkla maskā). Piemēram, parametri "1433:TCP:10.0.0.1:Enabled:MSSQL" un "23:TCP:192.168.0.0/24:Enabled:Telnet" pieļauj ienākošos MS SQL Server savienojumus, izmantojot 1433. portu tikai resursdatoram 10.0.0.1, un Telnet savienojumi, izmantojot TCP portu 23 no apakštīkla 192.168.0.0/24.
Mežizstrāde
Varat konfigurēt Windows ugunsmūri, lai žurnālu reģistrētu kā teksta failu lokālajā datorā vai tīkla diskdzinī. Windows ugunsmūris var ierakstīt pakešu bloķēšanas un veiksmīga savienojuma notikumus. Žurnāls satur nepieciešamo informāciju, lai novērstu problēmas un kļūdas, ja nevarat izveidot savienojumu ar nepieciešamajiem resursiem vai skatīt atļautos savienojumus.
Zemāk ir žurnāla satura piemērs.
Žurnāla failā ir divas failu koplietošanas pieprasījuma kļūmes un viens veiksmīgs RDP savienojums
#Fields: datuma un laika darbības protokols src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode informācijas ceļš
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3519 445 48 S 817765275 0 64240 - - - SAŅEMT
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3520 139 48 S 2567421875 0 64240 - - - SAŅEMT
2004-06-19 21:03:16 ATVĒRTS TCP 192.168.0.250 192.168.0.8 1139 3389 - - - - - - - -
Pirmajās divās rindās ir informācija par bloķētiem mēģinājumiem izveidot savienojumu ar koplietoto mapi, bet pēdējā rindiņā ir informācija par veiksmīgu RDP savienojumu TCP portā 3389.
Pēc noklusējuma Windows ugunsmūris brīdina lietotāju, ka programma mēģina izmantot norādīto portu. Ja Windows ugunsmūris ir centralizēti konfigurēts, izmantojot grupas politiku, administrators var izvēlēties atspējot brīdinājumus lietotājiem.
Atspējojiet Windows ugunsmūri
Izmantojot trešās puses personiskos ugunsmūrus vai drošo IPSec protokolu, administrators var izlemt atspējot Windows ugunsmūri, instalējot XP SP2. To var izdarīt vairākos veidos. Pirmkārt, ja datori ir domēna dalībnieki, varat vienkārši izveidot GPO, kas atspējo Windows ugunsmūri. Lai to izdarītu, GPO ir jānorāda šādi iestatījumi:
Izmantojot trešās puses personiskos ugunsmūrus vai drošo IPSec protokolu, administrators var izlemt atspējot Windows ugunsmūri, instalējot XP SP2. To var izdarīt vairākos veidos. Pirmkārt, ja datori ir domēna dalībnieki, varat vienkārši izveidot GPO, kas atspējo Windows ugunsmūri. Lai to izdarītu, GPO ir jānorāda šādi iestatījumi:
Aizsargājiet visus tīkla savienojumus
Ja vēlaties atspējot Windows ugunsmūri, kad datori atrodas domēnā, bet izmantot attālo lietotāju aizsardzību, kad tie neatrodas korporatīvajā tīklā, varat izmantot šādu iestatījumu:
Domēna profils — Windows ugunsmūris:
Aizsargājiet visus tīkla savienojumusStandarta profils — Windows ugunsmūris:
Aizsargājiet visus tīkla savienojumusAizliegt izmantot interneta savienojumu
Ugunsmūris jūsu DNS domēna tīklā
Ja jūsu Windows XP datori nav Windows 2003 vai Windows 2000 domēna dalībnieki, kas atbalsta grupas politiku, varat rediģēt netfw.inf konfigurācijas teksta failu un saglabāt to kopā ar pārējiem XP SP2 instalācijas failiem, lai atspējotu Windows ugunsmūri. Pievienojiet sadaļai rindu HKLM,"SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ DomainProfile","EnableFirewall", 0x00010001,0. Lai iegūtu papildinformāciju par faila netfw.inf izmantošanu, lai pārvaldītu Windows ugunsmūra izvietošanu, skatiet Microsoft dokumentāciju.
Administrators var arī izmantot reģistra redaktoru, lai pirms XP SP2 instalēšanas datoros atspējotu Windows ugunsmūri. Lai to izdarītu, reģistram jāpievieno divi parametri (DWORD tips): HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ FirewallPolicy\ DomainProfile\ EnableFirewall=0 un HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ FirewallPolicy=StandardFirewallPolicy.
Visi lietotāji ar ugunsmūri
Uzlabotais Windows ugunsmūris, kas pēc noklusējuma ir iespējots, instalējot XP SP2, nodrošina labu datora aizsardzību un palīdzēs privātiem un korporatīvajiem lietotājiem. Iepriekš konfigurēti noteikumi un izņēmumi palīdz mazāk pieredzējušiem administratoriem ātri iestatīt Windows ugunsmūri; Ugunsmūris ir arī ļoti konfigurējams, lai tas atbilstu dažādām prasībām un lietošanas gadījumiem. Ugunsmūri var pārvaldīt, izmantojot grupas politikas, tas ir, jūs varat izveidot nepieciešamo grupas politiku un centralizēti piemērot to datoru grupai. Tas, ka Windows ugunsmūris ir bezmaksas, var būt noteicošais faktors tam, cik daudz biznesa lietotāju izvēlas aizsargāt savus datorus.
Lai sistēma Windows darbotos pareizi, ir jāinstalē drošības sistēmas, kas uztur datora darba stāvokli. Bet dažos gadījumos ir nepieciešams atspējot Windows ugunsmūri, kas aizsargā sistēmu no vīrusiem. Tas ir nepieciešams, ja ugunsmūris uztver lejupielādēto programmu kā draudu.
Kā atspējot Windows 7 ugunsmūri
Kā atspējot Windows 7 ugunsmūri, izmantojot komandrindu
Varat to atspējot, izmantojot komandrindu. Lai to izdarītu, izmantojiet komandu Netsh. Ierakstot tekstu netsh firewall show config, lietotājs redz pašreizējo ugunsmūra stāvokli. Drošības sistēmu var atspējot, izmantojot komandu netsh ugunsmūra ipv4 set opmode mode=disable.
Kā iespējot komandrindu:
Darbvirsmā mēs atrodam izvēlni Sākt. Apakšā atveriet paneli “Meklēt”, ievadiet tekstu “komandrinda” vai cmd un nospiediet taustiņu Enter. Ar peles kreiso taustiņu noklikšķiniet uz vārdiem “komandrinda”.
Atvērtajā melnajā ekrānā tiek parādīta informācija par operētājsistēmas darbību; apakšā mirgo kursors, kurā jāievada komanda. Ievadiet komandu netsh firewall ipv4 set opmode mode=disable un atspējojiet ugunsmūri.
Ja lietotājs nezina, kādu tekstu ievadīt, tad rindā tiek ierakstīta teksta palīdzība, parādot visas konsoles komandas.
Varat izlasīt, kā atspējot Windows 7 ugunsmūri, izmantojot vadības paneli
Kā atspējot Windows 8 ugunsmūri
Kā atspējot Windows 10 ugunsmūri
Aizsardzības sistēmu var viegli atspējot, izmantojot “Vadības paneli”: vispirms ar peles labo pogu noklikšķiniet uz Windows atlicinātāja un atlasiet Vadības panelis.
Vadības panelī atlasiet Sistēma un drošība.
Tagad saraksta kreisajā pusē mēs meklējam vienumu Ieslēgt vai izslēgt Windows ugunsmūri.
Iestatījumos atzīmējiet izvēles rūtiņu Atspējot ugunsmūri un saglabājiet iestatījumus.
Lai to neatgriezeniski atspējotu, varat izmantot ugunsmūra pakalpojumu. Lai to izdarītu, tastatūrā ierakstiet kombināciju Win+R un ierakstiet tekstu services.msc un pakalpojumu pārvaldības logā atspējojiet ugunsmūri.
Pirms Windows ugunsmūra atspējošanas ieteicams instalēt labu pretvīrusu programmu. Šie ir vienkāršākie, bet ne vienīgie veidi, kā atspējot ugunsmūri.
Windows OS ir aprīkota ar savu aizsardzības sistēmu, kuras pamatā ir “ugunsmūra” jeb sistēmas ugunsmūra darbs. Šī sistēma bloķē nevēlamas lietojumprogrammas, kas, pēc tās domām, ir potenciāli ļaunprātīgu vīrusu vai spiegprogrammatūras nesēji. Lai izvairītos no nepieciešamās programmatūras bloķēšanas un nodrošinātu visu instalēto efektīvu darbību, dažreiz ir nepieciešams deaktivizēt šādu aizsardzību. Šajā rakstā ir apskatīti veidi, kā to atspējot populārākajās Windows OS versijās (7, 8, 10).
Windows 7
Darbību algoritms ir ļoti vienkāršs:
- Kad visas aprakstītās darbības ir izpildītas, mūsu aizsarga vadības logam vajadzētu kļūt sarkanam. Sistēmas teknē tiks parādīts uznirstošais ziņojums, lai deaktivizētu ugunsmūri.
Bet ir vērts atzīmēt, ka tad, kad pats ugunsmūris ir izslēgts, par tā darbību atbildīgais pakalpojums turpina darboties. Šī pakalpojuma darbības traucēšana var izraisīt tīkla problēmas. Tāpēc visas tālāk aprakstītās darbības var veikt, uzņemoties risku vai arī nepieciešama profesionāļa iejaukšanās.
- Pēc tam dators liks jums atsāknēt sistēmu, kam jums jāpiekrīt.
- Pēc pārstartēšanas pakalpojums tiks atspējots.
Windows 8
Šai operētājsistēmas versijai vienīgās darbības algoritma izmaiņas ir tādas, ka jums ir jāieiet ugunsmūra pārvaldības logā, izmantojot “Vadības paneli”. Pieteikšanās tiek veikta, nospiežot kombināciju “Win” + “I” un parādītajā sarakstā atlasot rindu “Vadības panelis”. Tālāk ir jāizvēlas ugunsmūrim atbilstošā ikona; ja visas atvērtajā logā esošās ikonas ir sadalītas kategorijās, tad loga augšējā labajā stūrī jāmaina skatīšanās opcija uz “Lielas ikonas”.
Atspējot operētājsistēmā Windows 10
Šajā operētājsistēmas versijā visas darbības tiek atkārtotas līdzīgi abām iepriekšējām metodēm, neskatoties uz to, ka “Vadības paneli” var atkal atvērt, izmantojot izvēlni Sākt, tāpat kā operētājsistēmā Windows 7. Ir arī papildu atspējošanas veids. to, izmantojot komandrindu, bet tas nav vairāk vai mazāk efektīvs, bet prasa spēju izmantot norādīto pakalpojumu. Tāpēc ir vēlams atvienot, izmantojot iepriekš aprakstīto metodi.
No iepriekš minētā kļūst skaidrs, ka aizsardzības sistēmas atspējošana nav grūta, taču vislabāk ir iepriekš pārdomāt savu lēmumu, jo ļoti bieži tieši sistēmas ugunsmūra darbs pasargā nesagatavotus lietotājus no dažāda veida ļaunprātīgām izpausmēm. operētājsistēma, kas rada problēmas. Tāpat nevajadzētu veikt nekādas darbības, ja izslēgšanas mēģinājums neizdodas. Vislabāk ir sazināties ar profesionāļiem, kuri var atjaunot ierīci darba stāvoklī un arī izskaidrot kļūdas veiktajās darbībās.
Video pēc OS versijas.
Kā zināms, iebūvētajam Windows ugunsmūrim nav nekādas īpašas funkcionalitātes, tāpēc to parasti atspējo progresīvāki produkti. Tomēr pat tad, ja ugunsmūris ir izslēgts, dažreiz ir nepieciešams veikt dažus pielāgojumus. Piemēram, atveriet/aizvērt portus. Un, ja to ir vieglāk izdarīt vienā datorā, izmantojot grafisko interfeisu, tad vienas un tās pašas iestatīšanas veikšana vairākos tīkla datoros šādā veidā būs nogurdinoša. Apskatīsim Windows ugunsmūra pārvaldību, izmantojot komandrindu. Pēc tam iegūtās komandas var ierakstīt sikspārņu failā un nosūtīt pa tīklu.
Šī sintakse attiecas uz Windows Vista, 7, 8 un servera izdevumi, sākot ar 2008 .
Sāksim ar pamatiem. Ugunsmūra iespējošana:
netsh advfirewall iestatīja allprofiles stāvokliUgunsmūra atspējošana:
netsh advfirewall izslēdza visu profilu stāvokliIndividuālo profilu iespējošana:
netsh advfirewall iestatīja domēna profila stāvokli netsh advfirewall iestatīja privātā profila stāvokli netsh advfirewall iestatīja publiskā profila stāvokliIndividuālo profilu atspējošana:
netsh advfirewall izslēdza domēna profila stāvokli netsh advfirewall izslēdza privātā profila stāvokli netsh advfirewall izslēdza publiskā profila stāvokliAizveriet visus ienākošos savienojumus un atļaujiet visus izejošos:
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutboundTāpat, izmantojot funkciju blockoutbound, tiks aizvērti visi izejošie savienojumi, savukārt atļauts ienākt tiks atvērti visi ienākošie savienojumi. Bet kāpēc? 🙂
Atveriet vietējo TCP portu ienākošajam savienojumam. Piemēram, 80:
netsh advfirewall ugunsmūris pievienot noteikumu name="test" protokols=TCP localport=80 action=allow dir=INPiemērā nosaukums ir kārtulas nosaukums. Jūs varat norādīt, kas jums ir ērti.
Līdzīgi ar UDP protokolu:
netsh advfirewall ugunsmūris pievienot noteikumu name="test" protokols=UDP localport=80 action=allow dir=INAttiecīgi, ja mēs vēlamies aizliegt ienākošos zvanus uz vietējo portu 80, izmantojot TCP:
netsh advfirewall ugunsmūris pievienot kārtulu name="test" protokols=TCP localport=80 action=block dir=INEs nedublēšu UDP. Viss ir tas pats, izņemot protokola nosaukumu.
Atļaut izejošos ziņojumus uz attālo portu, izmantojot TCP protokolu. Atkal, lai tas būtu 80. ports.
netsh advfirewall ugunsmūris pievienot noteikumu name="test" protokols=TCP remoteport=80 action=allow dir=OUTAtveriet virkni attālo portu izejošajiem savienojumiem, izmantojot UDP:
netsh advfirewall ugunsmūris pievienot kārtulu name="test" protocol=UDP remoteport=5000-5100 action=allow dir=OUTIzveidojiet kārtulu, lai izveidotu savienojumu tikai no noteikta IP:
netsh advfirewall ugunsmūris pievienot kārtulu name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1Vai IP diapazons:
netsh advfirewall ugunsmūris pievienot kārtulu name="test" protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1-192.168.0.100Apakštīklu var ievadīt pēc nosaukuma vai vienkārši kā 192.168.0.1/100.
Atļaut savienojumu noteiktai programmai:
netsh advfirewall ugunsmūris pievienot kārtulu name="test" dir=in action=allow program="C:\test\test.exe" enable=yesIzveidoto noteikumu var izdzēst ar komandu
netsh advfirewall ugunsmūra dzēšanas kārtula name="test"Komandas var kombinēt un modificēt, turklāt diezgan elastīgi. Piemēram, ja mēs vēlamies atvērt portu tikai noteikta veida profilam, mēs varam ierakstīt šādu komandu:
netsh advfirewall ugunsmūris pievienot kārtulu name="test" protocol=TCP localport=80 action=allow dir=IN profile=domain