Cel Zapory systemu Windows i jej konfiguracja. Podstawy zapory systemu Windows Wyłączanie zapory na karcie Administracja
Zapora sieciowa to program, który umożliwia lub blokuje dostęp do Internetu określonym aplikacjom. Niedoświadczeni użytkownicy mają z tym problemy.
Na przykład: system normalnie łączy się z siecią (wyszukiwanie działa, automatycznie pobiera aktualizacje), ale przeglądarki i inne narzędzia nie mogą połączyć się ze zdalnym serwerem. Przyczyna leży w ustawieniach zapory sieciowej.
Naprawianie problemów z zaporą sieciową
Częstym problemem zapory sieciowej jest „Błąd inicjowania usługi”. Występuje częściej w niestandardowych kompilacjach systemu Windows. Jest to eliminowane w ustawieniach usługi, włączana jest „Zapora sieciowa”, po czym komputer uruchamia się ponownie (dopiero po tym wprowadzone ustawienia zostaną zastosowane. W przeciwnym razie wysiłki pójdą na marne, a instrukcje krok po kroku zostaną trzeba powtórzyć).
Jeśli nie masz połączenia z Internetem, sprawdź, które porty blokuje zapora sieciowa.
Być może wystąpiła awaria w jego działaniu i należy ponownie uruchomić usługę. Przywrócenie pliku Hosts odbywa się za pomocą programu antywirusowego (darmowy CureIT bez problemu poradzi sobie z tym zadaniem i oferuje przywrócenie parametrów pliku przy uruchomieniu) lub ręcznie za pomocą edytora tekstu Notepad++.
Czasami przyczyną są zablokowane połączenia wychodzące. W takim przypadku przejdź do zaawansowanych ustawień zapory sieciowej i w oknie dialogowym „Właściwości” odznacz podpunkty „blokuj połączenia wychodzące” (zarówno w profilach prywatnych, jak i publicznych).
Jeśli chcesz utworzyć nowe połączenie (Wi-Fi), ale połączenie z siecią nadal nie zostało nawiązane (i nie ma problemów z innymi urządzeniami), możesz dodać wyjątek usługi (patrz). Aby to zrobić, otwórz ustawienia zaawansowane w oknie ustawień, wybierz „Utwórz regułę”, przejdź do zakładki „Niestandardowe”.
Włączamy wymaganą usługę (np. połączenie zdalne, które odpowiada za dostęp do sieci WWW) i ustawiamy parametry na „predefiniowane”.
Możesz także wyłączyć zaporę sieciową, jeśli nie potrzebujesz jej do pracy.
Netsh umożliwia konfigurowanie klientów Zapory systemu Windows bezpośrednio z wiersza poleceń lub za pomocą pliku wsadowego. Na przykład polecenie
zapora sieciowa netsh pokaż konfigurację
Pokazuje bieżący stan Zapory systemu Windows na komputerze klienckim.
Bieżący stan Zapory systemu Windows
Netsh umożliwia kontrolowanie prawie wszystkich ustawień Zapory systemu Windows, więc administratorzy korzystający z dużej liczby skryptów mogą używać skryptów dołączania do domeny do konfigurowania i testowania funkcjonalności Zapory systemu Windows.
Na przykład następujące polecenie Netsh tworzy regułę lokalnej zapory, która umożliwia dostęp Telnet do komputera chronionego przez Zaporę systemu Windows z określonych adresów.
protokół = port TCP = 23
nazwa = tryb Telnet = WŁĄCZ
zakres = adresy NIESTANDARDOWE =
192.168.0.0/255.255.255.0,
10.0.0.0/255.255.240.0
To polecenie można skrócić, eliminując nazwy atrybutów:
zapora netsh dodaj otwarcie portów
TCP 23 Telnet WŁĄCZ NIESTANDARDOWE
192.168.0.0/255.255.255.0,
10.0.0.0/255.255.240.0
Wynik wykonania powyższych poleceń można sprawdzić za pomocą polecenia
Zapora netsh pokazuje otwarcie portu
Profile domenowe i profile lokalne
Kolejną przydatną funkcją Zapory systemu Windows jest możliwość wyboru jednego z dwóch trybów pracy – standardowego lub domenowego – w zależności od tego, do jakiej sieci komputer jest aktualnie podłączony. Dla każdego trybu możesz ustawić własny zestaw wyjątków. Na przykład możesz zezwolić na udostępnianie plików na swoim komputerze tylko wtedy, gdy jesteś podłączony do domeny. Zapora systemu Windows porównuje bieżącą nazwę domeny usługi AD z sufiksem DNS konfiguracji protokołu IP, aby określić, jakiego trybu użyć w danym momencie. Aby skonfigurować profile domenowe i standardowe, uruchom obiekt GPO Zapory systemu Windows i wybierz obiekt do skonfigurowania.
Konfigurowanie wyjątków
Zapora systemu Windows zawiera kilka predefiniowanych wyjątków, które umożliwiają dostęp sieciowy do niektórych typowych zadań systemowych, takich jak zdalne zarządzanie oraz udostępnianie plików i drukarek. W tabeli wymieniono wyjątki Zapory systemu Windows, które są domyślnie włączone, wraz z otwartymi portami i programami, które z nich korzystają.
| Wyjątek | Otwierane porty | Program uprawnień | Ogranicz źródło według |
| Zezwól na zdalne sterowanie | TCP 135, TCP 445, | Podsieci | |
| Zezwalaj na udostępnianie plików i drukarek | UDP 137, UDP 138, TCP 139, TCP 445, | Podsieci | |
| Zdalny ekran | TCP 3389 | Dowolny adres | |
| Zezwalaj na strukturę UPnP | UDP 1900, TCP 2869 | Podsieci | |
| Zdalna pomoc | Sessmgr.exe | Dowolny adres | |
| Ustawienia ICMP | Zezwól na przychodzące żądanie echa |
Administrator może także ustawić własny zestaw wyjątków lokalnie poprzez aplikację Zapora systemu Windows w Panelu sterowania lub zdalnie korzystając z mechanizmu Zasad Grupy. Aby to zrobić, wystarczy podać nazwę programu generującego ruch lub parametry sieciowe (numer portu TCP lub UDP) oraz adres źródłowy, a następnie zezwolić na wygenerowany wyjątek w Zaporze systemu Windows.
Predefiniowane wyjątki zapewniają większą elastyczność konfiguracji niż wyjątki niestandardowe, ponieważ umożliwiają określenie wielu portów w jednej regule. Na przykład wyjątek udostępniania plików i drukarek dopuszcza porty TCP 139, TCP 445, UDP 137 i UDP 138. Kiedy tworzysz niestandardowy wyjątek, system pozwala na określenie tylko jednego portu, więc aby otworzyć zakres portów, musisz musi utworzyć zestaw wyjątków dla każdego portu. W tym przypadku możliwe jest utworzenie niestandardowych obszarów, tj. Adresy IP lub zakresy adresów IP, dla których dozwolona jest komunikacja. Umożliwia to zdefiniowanie zestawów portów dla predefiniowanych i niestandardowych wyjątków.
Zestawy portów dla predefiniowanych i niestandardowych wyjątków
Administratorzy sieci korporacyjnych mogą używać zasad grupy do konfigurowania Zapory systemu Windows. W takim przypadku musisz określić port (na przykład 80), transport (TCP lub UDP), obszar, status (dozwolony lub zabroniony) i nazwę połączenia. Projekt wygląda następująco: Port:Transport:Zakres:Status:Nazwa.
Składnia opisująca zakres obiektu GPO różni się nieco od tej używanej w aplikacji Zapora systemu Windows (może to wynikać z różnic między wersjami RC2 i ostateczną wersją SP2). W RC2 obiekt GPO został zdefiniowany jako „*” (cały ruch), podsieć lokalna (ruch w lokalnej podsieci) i adresy IP (na przykład 10.0.0.1 lub CIDR, skrót bezklasowego routingu międzydomenowego, np. 192.168.0.0/24, gdzie 24 oznacza liczbę bitów w masce podsieci). Na przykład parametry „1433:TCP:10.0.0.1:Enabled:MSSQL” i „23:TCP:192.168.0.0/24:Enabled:Telnet” zezwalają na przychodzące połączenia MS SQL Server przy użyciu portu 1433 tylko dla hosta 10.0.0.1, oraz połączenia Telnet przy użyciu portu TCP 23 z podsieci 192.168.0.0/24.
Logowanie
Można skonfigurować Zaporę systemu Windows tak, aby rejestrowała dziennik jako plik tekstowy na komputerze lokalnym lub dysku sieciowym. Zapora systemu Windows może rejestrować zdarzenia blokowania pakietów i pomyślnego połączenia. Dziennik zawiera informacje niezbędne do rozwiązywania problemów i błędów, gdy nie można połączyć się z niezbędnymi zasobami lub wyświetlić dozwolonych połączeń.
Poniżej znajduje się przykładowa zawartość logu.
Plik dziennika zawiera dwa niepowodzenia żądania udostępnienia pliku i jedno pomyślne połączenie RDP
#Pola: data godzina protokół akcji src-ip dst-ip src-port dst-port rozmiar tcpflags tcpsyn tcpack tcpwin icmptype ścieżka informacji kodu icmp
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3519 445 48 S 817765275 0 64240 - - - ODBIERZ
2004-06-19 21:02:52 DROP TCP 192.168.0.220 192.168.0.250 3520 139 48 S 2567421875 0 64240 - - - ODBIERZ
2004-06-19 21:03:16 OTWARTE TCP 192.168.0.250 192.168.0.8 1139 3389 - - - - - - - - -
Pierwsze dwie linie zawierają informację o zablokowanych próbach połączenia z folderem współdzielonym, natomiast ostatnia linia zawiera informację o udanym połączeniu RDP na porcie TCP 3389.
Domyślnie Zapora systemu Windows ostrzega użytkownika, że program próbuje użyć określonego portu. Jeśli Zapora systemu Windows jest konfigurowana centralnie za pomocą zasad grupy, administrator może wyłączyć ostrzeżenia dla użytkowników.
Wyłącz Zaporę systemu Windows
W przypadku korzystania z osobistych zapór sieciowych innych firm lub bezpiecznego protokołu IPSec administrator może zdecydować o wyłączeniu Zapory systemu Windows podczas instalacji XP SP2. Można to zrobić na kilka sposobów. Po pierwsze, jeśli komputery są członkami domeny, możesz po prostu utworzyć obiekt GPO, który wyłączy Zaporę systemu Windows. Aby to zrobić, musisz określić następujące ustawienia w GPO:
W przypadku korzystania z osobistych zapór sieciowych innych firm lub bezpiecznego protokołu IPSec administrator może zdecydować o wyłączeniu Zapory systemu Windows podczas instalacji XP SP2. Można to zrobić na kilka sposobów. Po pierwsze, jeśli komputery są członkami domeny, możesz po prostu utworzyć obiekt GPO, który wyłączy Zaporę systemu Windows. Aby to zrobić, musisz określić następujące ustawienia w GPO:
Chroń wszystkie połączenia sieciowe
Jeśli chcesz wyłączyć Zaporę systemu Windows, gdy komputery znajdują się w domenie, ale korzystać z ochrony użytkowników zdalnych, gdy nie znajdują się oni w sieci firmowej, możesz użyć następującego ustawienia:
Profil domeny — Zapora systemu Windows:
Chroń wszystkie połączenia siecioweProfil standardowy — Zapora systemu Windows:
Chroń wszystkie połączenia siecioweZabroń korzystania z połączenia internetowego
Zapora sieciowa w Twojej sieci domeny DNS
Jeśli komputery z systemem Windows XP nie są członkami domeny systemu Windows 2003 lub Windows 2000 obsługującej zasady grupy, można edytować tekstowy plik konfiguracyjny netfw.inf i zapisać go wraz z resztą plików instalacyjnych systemu XP SP2, aby wyłączyć Zaporę systemu Windows. Dodaj do sekcji wiersz HKLM, „SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ DomainProfile”, „EnableFirewall”, 0x00010001,0. Więcej informacji na temat używania pliku netfw.inf do zarządzania wdrażaniem Zapory systemu Windows można znaleźć w dokumentacji firmy Microsoft.
Administrator może także użyć Edytora rejestru, aby wyłączyć Zaporę systemu Windows na komputerach przed zainstalowaniem XP SP2. W tym celu należy dodać do rejestru dwa parametry (typu DWORD): HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FirewallPolicy\DomainProfile\EnableFirewall=0 oraz HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FirewallPolicy\StandardProfile\EnableFirewall=0.
Wszyscy użytkownicy przez zaporę sieciową
Ulepszona Zapora systemu Windows, domyślnie włączona podczas instalacji XP SP2, zapewnia dobrą ochronę komputera i pomoże użytkownikom indywidualnym i korporacyjnym. Wstępnie skonfigurowane reguły i wyjątki pomagają mniej doświadczonym administratorom szybko skonfigurować Zaporę systemu Windows; Zaporę można również w dużym stopniu konfigurować, aby dostosować ją do różnych wymagań i przypadków użycia. Zaporą sieciową można zarządzać poprzez zasady grupowe, co oznacza, że można utworzyć wymaganą politykę grupową i zastosować ją centralnie do grupy komputerów. Fakt, że Zapora systemu Windows jest bezpłatna, może decydować o tym, ilu użytkowników biznesowych zdecyduje się chronić swoje komputery.
Aby system Windows działał poprawnie, konieczne jest zainstalowanie systemów bezpieczeństwa, które utrzymują stan pracy komputera. Ale w niektórych przypadkach konieczne jest wyłączenie zapory systemu Windows, która chroni system przed wirusami. Jest to konieczne, jeśli zapora sieciowa postrzega pobrany program jako zagrożenie.
Jak wyłączyć zaporę systemu Windows 7
Jak wyłączyć zaporę systemu Windows 7 za pomocą wiersza poleceń
Można to wyłączyć za pomocą wiersza poleceń. Aby to zrobić, użyj polecenia Netsh. Wpisując tekst netsh firewall show config, użytkownik widzi bieżący stan zapory. Możesz wyłączyć system bezpieczeństwa za pomocą polecenia netsh firewall ipv4 set opmode mode=disable.
Jak włączyć wiersz poleceń:
Na pulpicie znajdziemy menu Start. Otwórz panel „Wyszukaj” na dole, wpisz tekst „wiersz poleceń” lub cmd i naciśnij Enter. Kliknij lewym przyciskiem myszy słowa „wiersz poleceń”.
Na czarnym ekranie, który się otworzy, pojawią się informacje o działaniu systemu operacyjnego; na dole miga kursor w miejscu, w którym należy wprowadzić polecenie. Wpisz polecenie netsh firewall ipv4 set opmode mode=disable i wyłącz zaporę.
Jeżeli użytkownik nie wie jaki tekst wpisać, to w wierszu wpisana jest pomoc tekstowa wyświetlająca wszystkie polecenia na konsoli.
Możesz przeczytać, jak wyłączyć zaporę systemu Windows 7 za pomocą panelu sterowania
Jak wyłączyć zaporę systemu Windows 8
Jak wyłączyć zaporę systemu Windows 10
System ochrony można łatwo wyłączyć za pomocą „Panelu sterowania”: Najpierw kliknij prawym przyciskiem myszy skrytkę systemu Windows i wybierz Panel sterowania.
W Panelu sterowania wybierz System i zabezpieczenia.
Teraz na lewej liście szukamy elementu Włącz lub wyłącz Zaporę systemu Windows.
W Ustawieniach zaznacz pole Wyłącz zaporę sieciową i zapisz ustawienia.
Aby trwale je wyłączyć, możesz skorzystać z usługi firewall. Aby to zrobić, wpisz na klawiaturze kombinację Win+R, wpisz tekst Services.msc i wyłącz zaporę sieciową w oknie zarządzania usługami.
Przed wyłączeniem zapory systemu Windows zaleca się zainstalowanie dobrego programu antywirusowego. Są to najprostsze, ale nie jedyne sposoby wyłączenia zapory.
System operacyjny Windows wyposażony jest we własny system ochrony, który opiera się na działaniu „Firewalla” czyli zapory systemowej. System ten blokuje niechciane aplikacje, które jego zdaniem są potencjalnymi nośnikami złośliwych wirusów lub oprogramowania szpiegującego. Aby uniknąć zablokowania niezbędnego oprogramowania i zapewnić efektywne działanie wszystkich zainstalowanych programów, czasami konieczne jest wyłączenie takiej ochrony. W tym artykule omówiono sposoby wyłączenia tej funkcji w najpopularniejszych wersjach systemu operacyjnego Windows (7, 8, 10).
System Windows 7
Algorytm działań jest bardzo prosty:
- Po wykonaniu wszystkich opisanych kroków okno kontrolne naszego obrońcy powinno zmienić kolor na czerwony. W zasobniku systemowym wyświetli się wyskakujący komunikat z prośbą o dezaktywację zapory.
Warto jednak zauważyć, że gdy sama zapora sieciowa jest wyłączona, usługa odpowiedzialna za jej działanie nadal działa. Zakłócanie tej usługi może spowodować problemy z siecią. Dlatego wszystkie czynności opisane poniżej możesz wykonywać na własne ryzyko lub wymagać interwencji specjalisty.
- Następnie komputer poprosi Cię o ponowne uruchomienie systemu, na co musisz wyrazić zgodę.
- Po ponownym uruchomieniu usługa zostanie wyłączona.
Windows 8
W przypadku tej wersji systemu operacyjnego jedyną zmianą w algorytmie działania jest konieczność wejścia do okna zarządzania zaporą sieciową poprzez „Panel sterowania”. Logowanie odbywa się poprzez naciśnięcie kombinacji „Wygraj” + „I” i wybranie wiersza „Panel sterowania” z wyświetlonej listy. Następnie musisz wybrać ikonę odpowiadającą zaporze ogniowej; jeśli wszystkie ikony w otwartym oknie są podzielone na kategorie, musisz zmienić opcję wyświetlania na „Duże ikony” w prawym górnym rogu okna.
Wyłącz w systemie Windows 10
W tej wersji systemu operacyjnego wszystkie czynności są powtarzane podobnie jak w dwóch poprzednich metodach, mimo że „Panel sterowania” można ponownie otworzyć za pomocą menu Start, podobnie jak w Windows 7. Istnieje również dodatkowy sposób wyłączenia można to zrobić za pomocą wiersza poleceń, ale nie jest to mniej lub bardziej skuteczne, ale wymaga umiejętności korzystania z określonej usługi. Dlatego bardziej wskazane jest odłączenie przy użyciu metody opisanej powyżej.
Z powyższego jasno wynika, że wyłączenie systemu ochrony nie jest trudne, ale najlepiej przemyśleć swoją decyzję z wyprzedzeniem, ponieważ bardzo często to działanie zapory systemowej chroni nieprzygotowanych użytkowników przed różnego rodzaju złośliwymi przejawami w system operacyjny, który powoduje problemy. Nie należy także podejmować żadnych działań, jeśli próba zamknięcia nie powiedzie się. Najlepiej skontaktować się ze specjalistami, którzy przywrócą urządzenie do stanu używalności, a także wyjaśnią błędy w podjętych działaniach.
Film na temat wersji systemu operacyjnego.
Jak wiadomo, wbudowana zapora sieciowa systemu Windows nie ma żadnej specjalnej funkcjonalności, dlatego w bardziej zaawansowanych produktach zwykle jest ona wyłączana. Jednak nawet przy wyłączonej zaporze sieciowej czasami konieczne jest dokonanie pewnych korekt. Na przykład otwórz/zamknij porty. A jeśli łatwiej jest to zrobić na jednym komputerze za pomocą interfejsu graficznego, wówczas przeprowadzenie tej samej konfiguracji na kilku komputerach w sieci w ten sposób będzie uciążliwe. Przyjrzyjmy się zarządzaniu Zaporą systemu Windows za pomocą wiersza poleceń. Wynikowe polecenia można następnie zapisać w pliku bat i przesłać przez sieć.
Ta składnia jest istotna dla Windows Vista, 7, 8 i edycje serwerowe, zaczynając od 2008 .
Zacznijmy od podstaw. Włączanie zapory sieciowej:
netsh advfirewall włącza stan wszystkich profiliWyłączenie zapory sieciowej:
netsh advfirewall wyłącza stan wszystkich profiliWłączanie poszczególnych profili:
netsh advfirewall włącza stan profilu domeny netsh advfirewall włącza stan profilu prywatnego netsh advfirewall włącza stan profilu publicznegoWyłączanie poszczególnych profili:
netsh advfirewall wyłącza stan profilu domeny netsh advfirewall wyłącza stan profilu prywatnego netsh advfirewall wyłącza stan profilu publicznegoZamknij wszystkie połączenia przychodzące i zezwól na wszystkie połączenia wychodzące:
netsh advfirewall ustawia allprofiles firewallpolicy blokowanieprzychodzące, zezwalanie na wychodzącePodobnie blockoutbound zamknie wszystkie połączenia wychodzące, a zezwolenie na dostęp otworzy wszystkie połączenia przychodzące. Ale dlaczego? 🙂
Otwórz lokalny port TCP dla połączenia przychodzącego. Na przykład 80:
netsh advfirewall zapora sieciowa dodaj nazwę reguły = „test” protokół = port lokalny TCP = 80 akcja = zezwolenie na katalog = INW tym przykładzie nazwa jest nazwą reguły. Możesz określić, co jest dla Ciebie wygodne.
Podobnie z protokołem UDP:
netsh advfirewall zapora sieciowa dodaj nazwę reguły = „test” protokół = port lokalny UDP = 80 akcja = zezwolenie na katalog = INNo i odpowiednio, jeśli chcemy zabronić połączeń przychodzących do lokalnego portu 80 przez TCP:
netsh advfirewall zapora sieciowa dodaj nazwę reguły = „test” protokół = port lokalny TCP = 80 akcja = katalog blokowy = INNie będę duplikować dla UDP. Wszystko jest takie samo, z wyjątkiem nazwy protokołu.
Zezwalaj na wiadomości wychodzące do portu zdalnego przy użyciu protokołu TCP. Ponownie, niech to będzie port 80.
netsh advfirewall zapora sieciowa dodaj nazwę reguły = „test” protokół = zdalny port TCP = 80 akcja = zezwolenie na katalog = OUTOtwórz szereg zdalnych portów dla połączeń wychodzących poprzez UDP:
netsh advfirewall zapora sieciowa dodaj nazwę reguły = „test” protokół = zdalny port UDP = 5000-5100 akcja = zezwolenie na katalog = OUTUtwórz regułę, aby łączyć się tylko z określonego adresu IP:
netsh advfirewall zapora sieciowa dodaj nazwę reguły="test" protokół=port lokalny TCP=80 akcja=zezwól na katalog=IN zdalnyip=192.168.0.1Lub zakres IP:
netsh advfirewall zapora sieciowa dodaj nazwę reguły="test" protokół=port lokalny TCP=80 akcja=zezwól na katalog=IN zdalnyip=192.168.0.1-192.168.0.100Podsieć można wprowadzić po nazwie lub po prostu jako 192.168.0.1/100.
Zezwalaj na połączenie dla określonego programu:
netsh advfirewall dodaj regułę nazwa="test" dir=w akcji=zezwól program="C:\test\test.exe" włącz=takUtworzoną regułę można usunąć za pomocą polecenia
netsh advfirewall usuń regułę nazwa="test"Polecenia można łączyć i modyfikować w dość elastyczny sposób. Przykładowo jeżeli chcemy otworzyć port tylko dla określonego typu profilu to możemy wpisać następującą komendę:
netsh advfirewall zapora sieciowa dodaj nazwę reguły = „test” protokół = port lokalny TCP = 80 akcja = zezwolenie na katalog = profil IN = domena