Решение проблем при работе с брандмауэром Windows в ОС Microsoft Windows XP Service Pack 2

Решение заморочек при работе с брандмауэром Windows в ОС Microsoft Windows XP Service Pack 2

Размещено 22 сентября 2004 г.
Переведено 4 июля 2006 г.

Инструкция

Брандмауэр Windows (Windows Firewall), включённый в ОС Microsoft® Windows® XP Service Pack 2 (SP2) заместо брандмауэра подключения к Вебу (Internet Connection Firewall, ICF) из прошлых версий  Windows XP, является узловым брандмауэром, регистрирующим состояние связи. Он обеспечивает безопасность входящего трафика, получаемого как из Веба, так и от устройств в личной сети. Данная статья обрисовывает механизмы работы брандмауэра Windows (Windows Firewall), более распространённые препядствия, возникающие при его использовании, также набор инструментов, позволяющих устранять эти проблемы. Статья адресована сетевым админам и опытным юзерам, знакомым с ОС Windows XP и протоколом TCP/IP. 

На этой страничке

Обзор брандмауэра Windows

Более распространённые трудности с брандмауэром Windows

Общие способы определения и опции исключений

Инструменты для решения заморочек с брандмауэром Windows

Заключение

Связанные ресурсы

Обзор брандмауэра Windows (Windows Firewall)

Брандмауэр (сетевой экран) – это защитный барьер меж компом либо сетью и наружным миром. Брандмауэр Windows (Windows Firewall), включённый в ОС Windows XP Service Pack 2 (SP2) представляет собой узловой брандмауэр, регистрирующий состояние связи. Он перекрывает входящий трафик, поступающий на компьютер без запроса и не определённый в качестве допустимого (исключённого из фильтрации). Таким макаром, Windows Firewall обеспечивает нужный уровень защиты от злостных юзеров и программ, использующих для атак незапрашиваемый трафик. При всем этом, кроме неких сообщений протокола межсетевых управляющих сообщений (ICMP), брандмауэр Windows не перекрывает исходящий трафик.

В отличие от брандмауэра подключения к Вебу (Internet Connection Firewall, ICF), входящего в состав ОС Windows XP Service Pack 1 либо Windows XP без пакетов обновлений,  брандмауэр Windows предназначен для использования с хоть какими сетевыми подключениями, включая общедоступные из Веба, подключения к локальным офисным и домашним сетям, также к личным сетям организаций.

В почти всех корпоративных сетях, использующих Windows XP SP1 либо Windows XP без пакетов обновлений, на внутренних подключениях ICF не задействуется, потому что компы в таких сетях не доступны из Веба впрямую. Брандмауэр, прокси и другие системы безопасности корпоративных сетей обеспечивают некий уровень защиты от наружных угроз для компов, входящих в интрасеть. Но отсутствие узловых брандмауэров, схожих брандмауэру Windows, на подключениях к интрасети делает компы уязвимыми для вредных программ, заносимых в закрытую сеть через мобильные компы.

Допустим, работник компании подключает служебный ноутбук к домашней сети, не имеющей достаточного уровня защиты. Так как сетевое подключение ноутбука не защищено брандмауэром, ноутбук оказывается заражён вредной программкой (вирусом либо червём), использующей для собственного распространения незапрашиваемый трафик. Сотрудник приносит ноутбук назад в кабинет и подключает его к интрасети предприятия, отлично обходя, таким макаром, системы безопасности, находящиеся на границе интрасети с Вебом. Получив доступ к интрасети, вредная программка начинает заражать другие компы. Если б брандмауэр Windows был активирован по дефлоту, ноутбук бы не был инфицирован через домашнюю сеть. Но даже при подключении заражённого вирусом компьютера к интрасети, входящие в неё компы могли бы отразить атаку вредного кода при помощи брандмауэра Windows.

При работе клиентских программ на компьютерах под управлением  ОС Windows XP SP2 внедрение брандмауэра Windows не мешает передаче данных. Доступ к сети, электрическая почта, групповая политика, агенты управления, запрашивающие обновления с управляющего сервера – примеры клиентских программ. При их выполнении соединение всегда инициируется клиентским компом, и весь трафик, отправляемый с сервера в ответ на запрос, разрешается брандмауэром в качестве запрашиваемого входящего трафика.

В ОС Windows XP SP1 либо Windows XP без пакетов обновлений брандмауэр ICF по дефлоту отключен для всех соединений, его активация на подключении к Вебу осуществляется с помощью  Мастера опции сети (Network Setup Wizard) либо Мастера подключения к Вебу (Internet Connection Wizard). Может быть включение ICF вручную, оковём установки единственного флага на вкладке Дополнительно в свойствах соединения, где Вы также сможете задать исключаемый трафик, определив порты TCP либо UDP.

В ОС Windows XP SP2 брандмауэр Windows активирован по дефлоту для всех соединений; исключения для него могут быть заданы при помощи компонента панели управления (Control Panel) Брандмауэр Windows, доступного из нового центра обеспечения безопасности Windows (Security Center). Для получения дополнительной инфы, смотрите документ Ручная настройка брандмауэра Windows в ОС Windows XP Service Pack 2 Manually Configuring Windows Firewall in Windows XP Service Pack 2 (EN).

При активации брандмауэра Windows для сетевого подключения, в папке Сетевые подключения (Network Connections) на соответственном значке возникает изображение замка. Если избрать такое соединение, в его описании отобразится статус Подключено, Защищено брандмауэром (Enabled, Firewalled). На рисунке ниже приводится пример, в каком брандмауэром Windows защищены все подключения компьютера.

Решение заморочек при работе с брандмауэром Windows в ОС Microsoft Windows XP Service Pack 2

Описание работы брандмауэра Windows

Брандмауэр Windows – это брандмауэр для входящего трафика, регистрирующий состояние связи. В отличие от сетевых экранов на базе маршрутизаторов, устанавливаемых меж закрытыми сетями и Вебом, брандмауэр Windows работает в качестве узлового брандмауэра, т. е. обрабатывает только трафик, направленный на Айпишник данного компьютера.

Работа брандмауэра базирована на выполнении последующей операции:

Входящий пакет проверяется и сопоставляется со перечнем разрешённого трафика. Если пакет соответствует одному из пт в перечне, брандмауэр Windows разрешает прохождение этого пакета для предстоящей обработки по протоколу TCP/IP. В случае несоответствия пакета записям в списке разрешений, брандмауэр Windows без извещения юзера отбрасывает данный пакет, и, если включена регистрация данного типа событий, создаёт запись в файле журнальчика брандмауэра Windows.

Трафик в перечне исключений определяется при помощи указания Айпишников, TCP и UDP портов. Нельзя задать правила для трафика на основании поля протокола IP в заголовке IP.

Перечень разрешённого трафика заполняется 2-мя способами:

При прохождении исходящего пакета через подключение, защищённое брандмауэром Windows, создаётся запись, разрешающая ответ на данный пакет. Ответный трафик является запрашиваемым входящим трафиком.

К примеру, если на DNS-сервер посылается запрос на сравнение имени (Name Query Request), брандмауэр Windows создаёт запись о том, что соответственное сообщение-ответ (Name Query Response), отправленное сервером DNS, может быть передано для предстоящей обработки по протоколу TCP/IP. Такое функционирование позволяет отнести брандмауэр Windows к брандмауэрам, регистрирующим состояние связи: сохраняется информация о трафике, инициированном компом, так что соответственный ответный входящий трафик разрешается.

Исключения для трафика, задаваемые брандмауэру Windows, заносятся в перечень. Наличие этой способности позволяет компу, работающему в качестве сервера, приёмника либо равноправного узла сети и использующему брандмауэр Windows, принимать незапрашиваемый трафик.

К примеру, если компьютер выступает в роли веб-сервера, Вам следует настроить брандмауэр Windows на исключение из фильтрации веб-трафика, чтоб компьютер мог отвечать на запросы веб-клиентов. Исключения могут быть заданы как для программ (в данном случае порты, открываемые обозначенной программкой, автоматом будут добавляться в перечень исключений), так и для  TCP и UDP портов (которые будут открыты независимо от того, работают использующие их приложения и службы либо нет). 

Наверх странички

Более распространённые препядствия с брандмауэром Windows

При использовании брандмауэра Windows более нередко встречаются последующие трудности:

Нереально настроить брандмауэр Windows
При выполнении команды ping отсутствует отклик с компьютера
Игровой, веб- либо другой сервер не доступен из Веба
Нет доступа к общим папкам и принтерам
В папке Сетевое окружение не показываются компы сети.
Не работает удалённый ассистент

Нереально настроить брандмауэр Windows

Если все опции на вкладках Общие (General), Исключения (Exceptions) и Дополнительно (Advanced) в свойствах брандмауэра оказываются недосягаемы (показываются сероватыми), означает, Вы не являетесь членом локальной группы админов (дальше в данной статье – админом компьютера).  Настраивать брандмауэр Windows можно, только имея права админа.

Если труднодоступными являются некие из опций на вкладках Общие, Исключения и Дополнительно в свойствах брандмауэра, то Ваш компьютер или:

Заходит в сеть, админ которой применил групповую политику брандмауэра Windows для активации и опции функций брандмауэра Windows. Групповая политика брандмауэра Windows оказывает влияние на опции, задаваемые админом компьютера. В данном случае в высшей части диалогового окна брандмауэра Windows возникает сообщение «Для Вашей безопасности некие опции определяются групповой политикой» (For your security, some settings are controlled by Group Policy).

Обратитесь за дополнительной информацией к сетевому админу.

Не заходит в домен и работает под управлением ОС Windows XP Professional, но функционирование брандмауэра определяется локальной групповой политикой.

Для сброса опций локальной групповой политики, регулирующих работу брандмауэра Windows, откройте оснастку Политика «Локальный компьютер» (Local Computer Policy) и установите все значения в ветке Конфигурация компьютераАдминистративные шаблоныСетьСетевые подключенияБрандмауэр Windows (Computer ConfigurationAdministrative TemplatesNetworkNetwork ConnectionsWindows Firewall) в папках Профиль домена (Domain Profile) и Стандартный профиль (Standard Profile) как Не задана (Not Configured). 
 

Отсутствие отклика с компьютера при выполнении команды ping 

Обыденным средством при устранении заморочек с соединениями является внедрение процедуры ping для проверки канала связи до Айпишники компьютера, с которым Вы устанавливаете соединение. Используя команду ping, Вы посылаете эхо-запрос ICMP и получаете эхо-ответ ICMP. По дефлоту брандмауэр Windows не воспринимает входящие эхо-запросы ICMP, и компьютер не может выслать эхо-ответ ICMP. Чтоб локально настроить брандмауэр Windows на приём эхо-запросов ICMP, Вам следует активировать настройку Разрешать запрос входящего эха (Allow incoming echo request) в диалоговом окне Характеристики ICMP (ICMP), доступном из опций ICMP на вкладке Дополнительно (Advanced) диалогового окна Брандмауэр Windows. Пример показан на рисунке.

Решение заморочек при работе с брандмауэром Windows в ОС Microsoft Windows XP Service Pack 2

Вы также сможете разрешить приём эхо-запросов ICMP для определенного подключения, перейдя с вкладки Дополнительно (Advanced) в Свойствах (Properties) избранного подключения в диалоговое окно Брандмауэр Windows (Windows Firewall) (нажав кнопку Характеристики (Settings) в разделе Брандмауэр Windows (Windows Firewall)), а оттуда – на вкладку Дополнительно (Advanced) и в диалоговое окно Характеристики ICMP (ICMP), нажав кнопку Характеристики (Settings) в разделе Протокол ICMP (ICMP).

Если Ваш компьютер заходит в домен, Вы также сможете задать исключения для ICMP через настройку групповой политики брандмауэра Windows. Для получения дополнительной инфы, смотрите документ Применение опций брандмауэра Windows в ОС Windows XP Service Pack 2 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2(EN).

Примечание. Характеристики брандмауэра Windows могут изменять только админы компьютера, если это не противоречит настройкам групповой политики для брандмауэра Windows. 

Если приём эхо-запросов ICMP разрешен, с Вашего компьютера можно будет получить отклик при помощи команды ping. Но при всем этом система станет уязвимой для атак, основанных на использовании эхо-запросов ICMP. Потому рекомендуется активировать настройку Разрешать запрос входящего эха (Allow incoming echo request), только когда в этом есть необходимость, и выключать её, если она не нужна.

Игровой, веб- либо другой сервер не доступен из Веба

Если приложение либо служба находится в состоянии ожидания незапрашиваемого входящего трафика (к примеру, на сервере, приёмнике либо равноправном узле сети), брандмауэр Windows с опциями по дефлоту будет отклонять таковой трафик, пока не будут заданы надлежащие исключения. Исключения для приложений, ожидающих незапрашиваемый трафик, задаются последующими методами:

Активацией предустановленных исключений на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall). К предустановленным относятся исключения для общего доступа к файлам и принтерам, удалённого ассистента, дистанционного управления рабочим столом и UpnP-инфраструктуры.
Вручную из вкладки Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).
При запросах на создание исключений от приложений, использующих вызовы функций API (application programming interface, интерфейса программирования приложений) брандмауэра Windows. Чтоб исключения были сделаны, нужно, чтоб приложение запускал админ компьютера.

Если приложение не употребляет вызовы API брандмауэра Windows и при работе пробует прослушивать TCP либо UDP порты, брандмауэр Windows при помощи диалогового окна Оповещение системы безопасности Windows (Windows Security Alert) запрашивает админа компьютера, следует ли добавить приложение в перечень исключений на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall), при всем этом заблокировав трафик для всех юзеров (функция Перекрыть (Keep blocking)), либо добавить приложение в перечень исключений и разрешить его трафик для всех юзеров (функция Разблокировать (Unblock)), либо заблокировать незапрашиваемый трафик в сей раз и повторить запрос при последующем запуске приложения (функция Отложить (Ask Me Later)).

Чтоб выяснить путь к приложению, отображаемому в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), наведите курсор мыши на заглавие либо описание приложения. Путь будет показан в показавшейся подсказке.

Если юзер не имеет прав админа компьютера, в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert) отобразится сообщение о том, что трафик блокируется, и будет предложено обратиться за предстоящей информацией к сетевому админу.

Работа брандмауэра Windows со службами не настраивается через диалоговое окно Оповещение системы безопасности Windows (Windows Security Alert). Потому Вам следует задать исключения для служб вручную:

При помощи команд контекста netsh firewall.
Через установки групповой политики для брандмауэра Windows.

Задать исключения вручную можно или при помощи имён приложений, что позволяет брандмауэру Windows автоматом открывать и закрывать все порты, требуемые службе либо программке, или оковём определения TCP и UDP портов, которые будут открыты независимо от того, работают использующие их приложения либо нет. Исходя из убеждений безопасности и простоты опции, установка исключений по именам программ является более желаемым способом по сопоставлению с указанием открытых портов.

Чтоб вручную задать исключения для программ, сделайте последующее:

Нажмите кнопку Запуск (Start), перейдите в Панель управления (Control Center), потом в Центр обеспечения безопасности (Security Center) и изберите Брандмауэр Windows (Windows Firewall).
Перейдите на вкладку Исключения (Exceptions).
Нажмите Добавить программку (Add Program) и изберите программку (приложение либо службу) из перечня либо при помощи кнопки Обзор (Browse). Если необходимо, задайте область значений. Для получения дополнительной инфы по указанию области, смотрите документ Ручная настройка брандмауэра Windows в ОС Windows XP Service Pack 2 Manually Configuring Windows Firewall in Windows XP Service Pack 2 (EN).
Нажмите ОК для доказательства данных исключений.

Чтоб вручную задать исключения для портов, сделайте последующее:

Нажмите кнопку Запуск (Start), перейдите в Панель Управления (Control Panel), потом в Центр обеспечения безопасности (Security Center) и изберите Брандмауэр Windows (Windows Firewall).
Перейдите на вкладку Исключения (Exceptions).
Нажмите Добавить порт (Add Port), задайте имя и номер TCP либо UDP портов и, если будет нужно, область значений.
Нажмите ОК для доказательства данных исключений.

Примечание. Задавать исключения на базе IP-протокола нельзя.

Чтоб найти, для каких портов нужно задавать исключения, обратитесь к документации программки либо на веб-сайт её производителя за информацией о настройке брандмауэров для разрешения нужного трафика. Если Вам не удаётся найти трафик, применяемый программкой, либо программка не работает после задания исключений, смотрите раздел «Общие способы определения и опции исключений» в данной статье.

Применение исключений для TCP и UDP портов отлично только при работе с программками, использующими статические порты. Такие программки работают с неизменными, не изменяющимися наборами портов. Но некие программки употребляют динамические порты, меняющиеся при каждом запуске программки либо в процессе её работы. Приложение, принимающее трафик через динамические порты, следует заносить в перечень исключений для программ, а не портов.

Нет доступа к общим папкам и принтерам

Если на компьютере с работающим брандмауэром Windows нет доступа к общим файлам либо принтерам, Вам следует активировать предустановленное исключение для Общего доступа к файлам и принтерам (File and Printer Sharing) на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).

Примечание. На компьютерах, имеющих прямое соединение с Вебом (на управляемых компьютерах в Стандартном профиле), активация исключения для Общего доступа к файлам и принтерам (File and Printer Sharing) категорически не рекомендуется, потому что в данном случае злостные юзеры могут попробовать получить доступ к общим файлам и грозить безопасности Ваших данных. В малых домашних и офисных (SOHO) сетях с единственной сабсетью применяйте исключение для Общего доступа к файлам и принтерам только для прямых подключений к сабсети SOHO и  для области локальной сабсети (функция Только локальная сеть (сабсеть) (My network (subnet) only) в диалоговом окне Изменение области (Change Scope)).

Не удаётся управлять удалённым компом, на котором работает брандмауэр Windows

Если Вам не удаётся производить удалённое управление компом, на котором работает брандмауэр Windows, Вам следует активировать предустановленное исключение для Удалённого Ассистента (Remote Assistance) на вкладке Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall).

Примечание. Активация исключения для Удалённого Ассистента (Remote Assistance) на компьютерах, впрямую присоединенных к Вебу (на управляемых компьютерах в Стандартном профиле), очень нежелательна, потому что в данном случае злостные юзеры могут попробовать удалённо держать под контролем Ваш компьютер. В малых домашних и офисных (SOHO) сетях с единственной сабсетью применяйте исключение для Удалённого ассистента (Remote Assistance) только для прямых подключений к сабсети SOHO и для области локальной сабсети (функция Только локальная сеть (сабсеть) (My network (subnet) only)) в диалоговом окне Изменение области (Change Scope)).

В папке Сетевое окружение не показываются компы сети

Причина препядствия тут та же, что и при отсутствии доступа к общим папкам и принтерам. Если в окне Сетевое окружение после включения брандмауэра Windows не заметны компы Вашей личной сети, Вам следует активировать предустановленное исключение для Общего доступа к файлам и принтерам (File and Printer Sharing) на вкладке Исключения (Exceptions) в свойствах брандмауэра Windows.

Примечание. Активация исключения для Общего доступа к файлам и принтерам (File and Printer Sharing) на компьютерах, имеющих прямое соединение с Вебом, категорически не рекомендуется, потому что в данном случае злостные юзеры могут попробовать получить доступ к общим файлам и грозить безопасности Ваших данных. В малых домашних и офисных (SOHO) сетях с единственной сабсетью применяйте исключение для Общего доступа к файлам и принтерам только для прямых подключений к сабсети SOHO и для области локальной сабсети (функция Только локальная сеть (сабсеть) (My network (subnet) only)) в диалоговом окне Изменение области (Change Scope)).

Удалённый ассистент не работает

Для получения инфы о настройке брандмауэра для использования Удалённого ассистента, обратитесь к Приложению D в Применение опций брандмауэра Windows в ОС Windows XP Service Pack 2 Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (EN).

Как найти, настроен ли брандмауэр Windows при помощи групповой политики

Для компов, принадлежащих домену, конфигурация брандмауэра Windows складывается из локальных опций, сохраняемых в реестре, и установок групповой политики. При решении заморочек нередко бывает полезно знать, действуют ли в отношении брандмауэра только локальные опции либо также и установки групповой политики, и, в последнем случае, какой из профилей брандмауэра Windows задействован (Профиль домена либо Стандартный профиль). Для определения профиля, который нужно применить, ОС Windows XP SP2 делает проверку характеристик сети. Для получения дополнительной инфы, смотрите Определение конфигурации сети для внедрения сетевых опций групповой политики Network Determination Behavior for Network-Related Group Policy Settings (EN).

Чтоб найти сетевые характеристики, сделайте команду netsh firewall show state verbose=enable в командной строке. Вот вам наглядный пример первой секции экрана : 

Состояние брандмауэра:

——————————————————————-

Профиль                            = Обыденный

Рабочий режим                      = Enable

Режим исключения                   = Enable

Режим многоадр./широковещ. ответов = Enable

Режим уведомления                  = Enable

Версия групповой политики          = Нет

Режим удаленного администрирования = Disable

        Область: * 

В разделе «Состояние брандмауэра» (“Firewall status”) поглядите на значения характеристик «Профиль» (“Profile”) и «Версия групповой политики» (“Group Policy Version”). В приведённой таблице перечисляются варианты значений этих характеристик и их смысл. 

     

Значение параметра «Профиль» Значение параметра «Версия групповой политики» Описание
Обыденный Нет Групповая политика брандмауэра не определена. На компьютере действуют только локальные опции брандмауэра.
Обыденный Брандмауэр Windows На компьютере действуют опции групповой политики брандмауэра.
Domain Нет Компьютер подключен к сети, содержащей Ваш домен, но групповая политика брандмауэра не определена.
Domain Legacy Firewall (ICF) Использована установка групповой политики Запретить внедрение общего доступа к подключению Веба в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network), и групповая политика брандмауэра Windows не определена.
Domain Брандмауэр Windows Компьютер подключен к сети, содержащей Ваш домен, и на нём действуют опции групповой политики брандмауэра Windows.

Примечание. Активация опции групповой политики Запретить внедрение общего доступа к подключению Веба в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network) может отключить брандмауэр Windows (в данном случае параметр «Рабочий режим» (“Operational Mode”) на дисплее, отображающемся после выполнения команды netsh, воспринимает значение «Disable»), если при всем этом не включена настройка групповой политики брандмауэра Windows Защитить все сетевые подключения (Windows Firewall: Protect All Network Connections). 

Чтоб найти, было ли исключение для приложения либо порта задано в локальных настройках либо через групповую политику, просмотрите разделы «Исключения для программ» («Program exceptions») и «Исключения для порта» («Port exceptions») в содержании экрана, выводимого командой netsh firewall show state verbose=enable. Эти разделы показываются в виде таблиц, содержащих списки исключений. В каждой таблице имеется столбец «Локальная политика» (“Local Policy”). Если избранному исключению в этом столбце сопоставлено значение «Да», означает, данное исключение было задано через опции локальной политики. Если это значение «Нет», то исключение было установлено через опции групповой политики.

Ниже приведён пример куска раздела экрана «Исключения для порта», выводимого командой netsh firewall show state verbose=enable

Примечание. Некие строчки кода перенесены для удобства чтения. 

Исключения для порта:

Порт   Протокол  Лок. политика   Режим    Имя / Тип службы

——————————————————————-

137    UDP       Да              Enable   Служба имени NetBIOS / Общий доступ к файлам и принтерам

        Область:LocalSubNet

138    UDP       Да             Enable   Служба датаграмм NetBIOS / Общий доступ к файлам и принтерам

        Область:LocalSubNet

139    TCP       Да              Enable   Служба сеанса NetBIOS / Общий доступ к файлам и принтерам

        Область:LocalSubNet

445    TCP       Да              Enable   SMB поверх TCP / Общий доступ к файлам и принтерам

        Область:LocalSubNet

3389   TCP       Нет            Enable   Дистанционное управление рабочим столом / Дистанционное управление рабочим столом

        Область: * 

В этом примере все исключения для портов, не считая данного для дистанционного управления рабочим столом, определены через опции локальной политики.

Для получения полного перечня опций брандмауэра Windows, определённых через групповую политику, используйте оснастку Результирующая политика (Resultant Set of Policy, RSOP). Дополнительная информация содержится в разделе Справка и поддержка Windows XP. 

Наверх странички

Общие способы определения и опции исключений

Если работа приложения либо службы нарушается из-за блокирования брандмауэром Windows незапрашиваемого входящего трафика, то заместо того, чтоб отключать сам брандмауэр Windows, следует задать ему исключения таким макаром, чтоб блокируемый трафик был разрешён. Отключение брандмауэра Windows не рекомендуется, потому что это сделает Ваш компьютер уязвимым для злоумышленников и вредных программ, если Вы при всем этом не используете сетевой экран от постороннего производителя.

Как описывается в разделе данной статьи «Игровой, веб- либо другой сервер не доступен из Интернета», брандмауэр Windows уведомляет юзера, когда приложения пробуют прослушивать порты. Зависимо от избранного юзером варианта ответа в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), приложение или добавляется в перечень исключений на вкладке Исключения (Exceptions), при всем этом трафик блокируется (функция Перекрыть (Keep blocking)), или добавляется в перечень исключений с разрешением трафика (функция Разблокировать (Unblock)), или не добавляется в перечень и блокируется (функция Отложить (Ask Me Later)). Если Вы выбираете вариант Перекрыть (Keep Blocking), разрешить трафик для этого приложения в случае необходимости Вы можете из вкладки Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall). Исключения могут задаваться как приложениями при использовании API брандмауэра Windows, так и вручную. 

Службы Windows, в отличие от приложений, не используют оповещения брандмауэра Windows для автоматического сотворения и активации исключений. Исключения для служб Windows задаются или службой, использующей API брандмауэра Windows, или ручной настройкой оковём указания исключаемых программ либо портов. Если служба запускается исполняемым файлом (таким, как *.exe), Вы сможете задать исключение для программки. Если служба запускается другой службой, схожей Svchost.exe, Вам следует указать исключаемые порты.

Если требуется задать исключения для портов либо сообщений ICMP, применяемых какой-нибудь службой, то для определения подходящих TCP либо UDP портов, также сообщений ICMP, обращайтесь к документации данной службы Windows либо на соответственный сайт. Основываясь на документации, укажите нужные исключения для портов и сообщений ICMP. Если же указания на применяемые службой порты и ICMP сообщения в документации отсутствуют, сделайте последующую последовательность действий:

На вкладке Дополнительно (Advanced) диалогового окна Брандмауэр Windows (Windows Firewall) нажмите Характеристики (Settings) в разделе Ведение журнальчика безопасности (Security Logging) и включите опцию Записывать пропущенные пакеты (Log dropped packets). Нажмите ОК для сохранения характеристик ведения журнальчика и ОК для закрытия диалогового окна Брандмауэр Windows (Windows Firewall).
Запишите Айпишник другого клиентского компьютера, а потом попробуйте, запустив на нём клиентское либо равнозначное приложение, подключиться к компу, на котором работает брандмауэр Windows и ведётся журнальчик регистрации событий  брандмауэра. К примеру, если на сервере работает почтовый сервер, запустите подобающую почтовую программку на клиентском компьютере.
После того, как пробы программы-клиента связаться с сервером завершатся неудачей, вернитесь к серверу и просмотрите при помощи Проводника Windows (Windows Explorer) содержимое файла Pfirewall.log, лежащего в корневой папке Windows.
Посреди последних записей в файле журнала  Pfirewall.log найдете те, в каких отмечены отвергнутые пакеты с Айпишника, совпадающего с Айпишником клиентского компьютера. В этих записях найдите части, обозначенные «dst-port». Это и есть TCP либо UDP порты, для которых необходимо задать исключения. Для трафика ICMP следует отыскать куски «icmptype» и «icmpcode» и проверить их на ICMP Parameters Web page, чтоб выяснить заглавие ICMP сообщения.

Найти номера портов, применяемых службой, можно также при помощи аудита, выполнив последующие шаги:

Включите ведение журналов аудита, как описано в разделе «Инструменты для решения заморочек с брандмауэром Windows» данной статьи.
Перезагрузите компьютер. Многие службы настроены на пуск при старте системы, и после перезагрузки действия пуска служб будут зарегистрированы.
Используйте оснастку Службы (Services), как описано в разделе « Инструменты для решения заморочек с брандмауэром Windows» данной статьи, чтоб убедиться, что служба запущена.
Воспользуйтесь оснасткой Просмотр событий (Event Viewer), как описано в разделе «Инструменты для решения заморочек с брандмауэром Windows» данной статьи, чтоб отыскать действия Аудита отказов (Failure Audit), обозначенные в журнальчике безопасности кодом 861. Эти действия относятся к приложениям либо службам, прослушивающим TCP либо UDP порты, чей трафик не был разрешён брандмауэром Windows. В тексте сообщения об ошибке содержатся имя и путь к запросчику, код процесса, его тип – приложение либо служба, и номера TCP либо UDP портов.

Если можно отследить программку либо службу по записям событий Аудита отказов (Failure Audit), используйте содержащуюся в их информацию о TCP либо UDP портах для задания исключений. В качестве исключаемых нужно указать все порты, запрашиваемые программкой либо службой.

Время от времени службы запускаются в составе более ёмких процессов, сразу задействующих несколько служб, схожих, к примеру, процессу Svchost.exe. В таких случаях используйте команду netstat –abn, чтоб выявить все порты, через которые ведётся прослушивание сети. По списку компонент, перечисляемых по именам файлов, Вы сможете найти порты, запрашиваемые определенной службой.

Ниже приводится пример использования команды netstat –abn

F:>netstat -abn

 

Активные подключения

 

  Имя    Локальный адрес        Внешний адрес        Состояние         PID

  TCP    0.0.0.0:135            0.0.0.0:0            LISTENING         892

  f:xp_prosystem32WS2_32.dll

  F:XP_PROsystem32RPCRT4.dll

  f:xp_prosystem32rpcss.dll

  F:XP_PROsystem32svchost.exe

  – неведомые составляющие –

  [svchost.exe]

 

  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4

  [Система]

 

  TCP    127.0.0.1:1029         0.0.0.0:0              LISTENING       1888

  [alg.exe]

 

  TCP    131.107.81.167:139     0.0.0.0:0              LISTENING       4

  [System]

 

  UDP    0.0.0.0:500            *:*                                    688

  [lsass.exe]

 

  UDP    0.0.0.0:445            *:*                                    4

  [Система]

 

  UDP    0.0.0.0:4500           *:*                                    688

  [lsass.exe]

 

  UDP    127.0.0.1:1900         *:*                                    1144

  f:xp_prosystem32WS2_32.dll

  f:xp_prosystem32ssdpsrv.dll

  F:XP_PROsystem32ADVAPI32.dll

  F:XP_PROsystem32kernel32.dll

  [svchost.exe]

 

  UDP    127.0.0.1:1025         *:*                                    980

  f:xp_prosystem32WS2_32.dll

  F:XP_PROsystem32WLDAP32.dll

  F:XP_PROSystem32winrnr.dll

  f:xp_prosystem32WS2_32.dll

  f:xp_prosystem32w32time.dll

  [svchost.exe]

 

  UDP    131.107.81.167:137     *:*                                    4

  [Система]

 

  UDP    131.107.81.167:1900    *:*                                    1144

  f:xp_prosystem32WS2_32.dll

  f:xp_prosystem32ssdpsrv.dll

  F:XP_PROsystem32ADVAPI32.dll

  F:XP_PROsystem32kernel32.dll

  [svchost.exe]

 

  UDP    131.107.81.167:138     *:*                                    4

  [Система] 

Наверх страницы 

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.