[FAQ] Настройка встроенного брандмауэра Windows
Kazakhstan Караганда
Итак, начнем с простейшего, зайдем в Панель управления - раздел Система и безопасность и откроем Брандмауэр Windows. Тут располагаются настройки брандмауэра начального уровня.
Как мы видим – тут присутствуют два профиля настройки для различных типов сетей, к которым вы подключаетесь – Домашние/Рабочие, тут думаю все понятно и Общественные (например - интернет-кафе). В отличие от Windows Vista в Windows 7 оба профиля могут быть задействованы одновременно.
Если мы собираемся использовать брандмауэр Windows, для начала жмем слева Включение и отключение брандмауэра Windows.
В открывшемся окне удостоверяемся, что брандмауэр включен (контролирует) оба типа подключений. Отмечаем Уведомлять, когда брандмауэр блокирует новую программу. В противном случае при установке новой программы, брандмауэр просто заблокирует ей доступ к интернету без всяких предупреждений. В общественном профиле желательно отметить и Блокировать все входящие подключения. Не волнуйтесь, ваши ICQ, Skype, WLM, браузер и т.д. от этого не пострадают. После того как вы выбрали соответствующие вашим потребностям настройки нажмите ОК. После этого автоматически откроется главное окно настройки брандмауэра.
Вкратце рассмотрим остальные доступные настройки:
Если кликнуть Изменение параметров уведомлений – откроется то же самое окно, что и при нажатии на Включение и отключение брандмауэра Windows.
Восстановить умолчания - при выборе этого пункта все сделанные вами настройки и изменения будут сброшены и все вернется в первоначальное состояние, которое было при установке системы.
Дополнительные параметры – при выборе этого пункта откроются расширенные настройки брандмауэра (Брандмауэр Windows в режиме повышенной безопасности). Эти настройки мы рассмотрим немного позже.
Устранение неполадок в сети – тут вам предлагаются различные средства, которые вам помогут, если у вас возникла какая-нибудь проблема (например, вы никак не можете настроить общий доступ к данным на вашем компьютере или Домашнюю группу).
И наконец - последнее, и самое главное…
Разрешить запуск программы или компонента через брандмауэр Windows.
Как вы видите – окно настроек разделено на три колонки: Название, Домашняя или Рабочая (Частная) и Публичные. В первой колонке как вы поняли, отображается название программы, а во второй и третьей – чекбоксы. Если вы хотите предоставить или же наоборот запретить какой-либо программе доступ к сети, достаточно установить или снять отметку в соответствующем чекбоксе и нажать ОК. По-моему, все достаточно просто.
Предположим, что вы установили новую программу, но она не может получить доступ в интернет. Уведомление о блокировке программы брандмауэром не появляется и сама программа в списке брандмауэра отсутствует. К сожалению, иногда бывает и такое. Тогда вам нужно предпринять следующее: нет, не отключить брандмауэр – нужно разрешить программе доступ в интернет, для этого нажмите кнопку Разрешить другую программу.
Откроется окно – в верхней части отображается список программ, если вы и тут не нашли своей программы – нажмите кнопку Обзор и система предложит вам указать путь к вашей программе (точнее, к ее исполняемому файлу) самостоятельно. Предположим, вы хотите предоставить доступ к интернету для программы Word. Если вы точно знаете путь, по которому установлена программа – указывайте! Или же можно воспользоваться встроенным в систему поиском. Обратите внимание при добавлении программы на кнопку Типы сетевых подключений, по умолчанию брандмауэр предлагает разрешить доступ к сети программе только в Домашней/Рабочей сети. Впрочем, вы можете изменить это позже. Итак, вы таки нашли файл WINWORD.EXE и указали к нему путь. Все что остается сделать – это нажать кнопку Добавить.
После этого ваша программа попадет в список брандмауэра и даже чекбокс для подключения в Домашней/Рабочей сети будет установлен. Если хотите разрешить доступ приложению в Публичной сети – отметьте! Для сохранения нажмите ОК.
Теперь как поступить в следующем случае: вы удалили ненужную программу с вашего компьютера, но в настройках брандмауэра разрешения для нее остались. Для их удаления выделите мышкой такую программу и нажмите Удалить. Далее вам будет предложено подтвердить удаление, если вы уверены - нажмите Да. Для сохранения внесенных изменений нажмите ОК.
Теперь вы знаете, как быстро настроить встроенный брандмауэр. Однако если вы хотите получше обезопасить ваш компьютер, то можете использовать расширенные настройки. О них – ниже.
Итак, приступим…
Чтобы получить доступ к расширенным настройкам брандмауэра откройте Панель управления – Система и безопасность – Администрирование – Брандмауэр Windows в режиме повышенной безопасности или же просто наберите в строке поиска меню Пуск wf.msc, как удобнее решать вам.
Как видите – управление расширенными настройками осуществляется из консоли управления MMC.
Тут можно настроить правила для входящих и исходящих, в отличие от настроек начального уровня, подключений. Можно настроить правила безопасности подключений между компьютерами и получить детальную информацию о всех действующих правилах или просмотреть лог.
Нажмем Свойства на панели Действия.
Настройки разделены на 3 профиля (Частный, Общий и профиль Домена), а также Параметры IPSec используемые администраторами, для настройки шифрования передаваемых по сети данных и способов авторизации.
Кротко остановлюсь на профиле Домена – эти настройки используются в сетях предприятий и существуют для облегчения работы администраторов. Администратор вносит необходимые настройки брандмауэра на сервере (контроллере домена) в групповых политиках, которые затем автоматически применяются на всех компьютерах входящих в сеть этого предприятия, таким образом, не нужно настраивать каждый компьютер по-отдельности.
Настройки для всех трех профилей присутствующие тут одинаковы, но производятся отдельно друг от друга.
В разделе Состояние можно Включить/Отключить брандмауэр, Разрешить или заблокировать (по умолчанию) входящие и исходящие (в отличие от начальных настроек) подключения, настроить какие сетевые подключения должен контролировать брандмауэр.
В разделе Параметры настраивается отображение уведомлений при блокировании программы брандмауэром при ее попытке получить доступ в сеть.
В разделе ведение журнала, можно включить ведение лога брандмауэром (по умолчанию отключено) и размер этого журнала. Предлагаемый по дефолту размер журнала очень мал и его не хватит даже на один день. Если вам необходимо будет просматривать лог за несколько дней (предположим неделю) – увеличьте размер примерно в 10 раз.
Предположим, что все настройки сделаны, нужные изменения внесены. Теперь перейдем собственно самому главному – настройке разрешений для программ. Для этого кликнем мышкой Правила для входящих подключений.
Перед нами отобразится список программ и системных служб в виде списка. В котором присутствует имя (название программы, службы), группа (например, FTP-сервер) Профиль (частный, общий) Включено или отключено в данный момент правило, и предполагаемое действие (Разрешить или заблокировать доступ)
Крайне просто отличить включенные правила от отключенных - если правило включено и подключение разрешено программа отмечается зеленым значком, если отключено – затененным.
Так же легко отличить запрещающие правила – в этом случае значок будет представлять собой красный перечеркнутый круг.
Теперь рассмотрим создание правил. Для этого кликнем на панели действия Создать правило…
Откроется мастер создания правил. Тут можно создать правило для программы или например порта. Для примера создадим правило для программы Word. Для этого выберем пункт для программы и нажмем далее.
В следующем окне мастера необходимо указать путь к исполняемому файлу программы.
Теперь нас спрашивают, что мы хотим сделать: разрешить или заблокировать доступ программе в сеть.
В следующем окне указываем профили, для которых будет работать это правило.
И наконец последнее – так как мы создавали правило для Word – пишем Microsoft Word в оба поля.
Вот мы и создали наше первое правило…
Однако не стоит на этом останавливаться, идем дальше.
Кликаем дважды по созданному нами правилу или на панели Действия/Microsoft Word жмем Свойства.
Переходим на вкладку Протоколы и порты.
Как видим, подключения разрешены через все протоколы, любые локальный или удаленный порт.
Но обычно программы используют только протоколы TCP/UDP, поэтому изменяем протокол на TCP, если вам известны порты, через которые работает программа, можете указать и их. Узнать можно например в каком-нибудь справочнике. После внесения изменений жмем ОК.
Теперь надо добавить еще одно правило, но для протокола UDP – можно не использовать мастер, просто выберите только что созданное правило, кликните на панели Действия Скопировать, а затем Вставить. У вас в списке появится два одинаковых правила. Открываете свойства одного из них, переходите на вкладку Протоколы и порты и меняете TCP на UDP.
Ну вот вы и добавили нужную вам программу в список разрешенных.
Теперь осталось рассмотреть последнее – создание и настройка разрешений для исходящего трафика. Для начала включаем контроль брандмауэром исходящих подключений, это как уже было сказано ранее, делается в свойствах брандмауэра. Внимание! Как только вы включите фильтрацию исходящего трафика – доступ к сети всем (без исключения) программам и службам, кроме предопределенных будет немедленно заблокирован и вам придется вручную прописывать доступ для всех программ. Это может занять некоторое время. Однако дополнительный уровень защиты думаю стоит нескольких часов (для кого-то минут) потраченных на настройку.
Если вы готовы – включайте. Нажимаете слева Правила для исходящего подключения , потом Создать правило. Работу мастера я описывать не буду, все работает так же, как и при настройке правил для входящих подключений.
С программами все будет достаточно просто, а вот со службами немного сложнее, например Центр обновления не получит доступа к сайту Microsoft Update. И как же быть спросите вы?
Чтобы вычислить чему же давать разрешения - запускаем Монитор ресурсов (вкладка Сеть) и запускаем поиск обновлений. Как будет видно к серверу обновлений будет пытаться получить доступ svchost.exe – вот для нее и нужно прописать разрешения. Если вы не хотите разрешить этой программе любые подключения к интернету, можно ограничить ее только Microsoft Update. Для этого открываем созданное правило, переходим на вкладку Программы и службы и жмем Параметры. В открывшемся списке изменяем на Применять к службе и выбираем из списка Центр обновления Windows. Доступ будет разрешен, только если svchost обращается к серверу обновлений Майкрософт.
Вот мы и завершили настройку брандмауэра, доступ прописан только для выбранных вами программ, а не разрешенная созданными вами правилами сетевая активность будет немедленно пресекаться брандмауэром.
Andrey100, большое спасибо за статью!
А то всё никак времени не хватало проверить возможность режима "запрещено всё исходящее, кроме разрешённых".
В общественном профиле желательно отметить и Блокировать все входящие подключения. Не волнуйтесь, ваши ICQ, Skype, WLM, браузер и т.д. от этого не пострадают.
Ответы на запрос брандмауэром не считаются входящими.
Ukraine
Andrey100, Во-первых, хочу поблагодарить за мануал
А во вторых, хочу спросить, какой службе нужно дать необходимые разрешения, чтобы можно было осуществлять VPN подключения.
Kazakhstan Караганда
v_gayevoy,
Чтобы осуществлять VPN подключения, нужно создать либо входящее, либо исходящее VPN подключение. Взависимости от вашией потребности.
Как только вы создали подключение - в брандмауэре автоматически создаются 4 правила (1 входящее для SSTP (протокол TCP, локальный 443 порт) и 3 исходящих (Маршрутизация и удаленный доступ: протокол GRE, L2TP (UDP протокол, удаленный 1701 порт), PPTP (TCP протокол, удаленный 1723 порт)).
Правила предопределенные и изменить их вы не сможете. Подключения осуществляются из под System. Можно конечно открыть порты и разрешить протоколы вручную, но смысла нет, дублирование настроек получается. Ах да, еще обратите внимание на службу Маршрутизация и удаленный доступ, при использовании VPN она должна быть включена. Но опять же при создании VPN подключения, эта служба немедленно переводится системой в режим автозапуска.
Ukraine
Andrey100, При попытке создании ВПН подключения (исходящего) выдает ошибку. Все таки брандмауэр блокиркет нужные порты.
Kazakhstan Караганда
v_gayevoy,
В таком случае - проверьте, я в предыдущем посте написал какие протоколы нужно разрешить и какие порты открыть (для принятия входящих и осущеставления исходящих подключений). Также вспомните не меняли ли вы что-нибудь в настройках IPsec (Там же в брандмауэре)
Кроме того, попробуйте, если используются ADSL роутеры настроить на нем проброс соответствующих портов. У меня возникала такая проблема при попытке подключения к офисному серверу по VPN, как оказалось роутер попросту блокировал пакеты.
Ukraine
Andrey100, пасиб, заработало
Ukraine Andrey100, Как гаджету разрешить доступ в инет?
Russia Усть-Илимск Кстати, проблема с гадетом курса валют. Уже пару недель не может обновить данные. Фаервол пробовал вообще отключать, перезагружался, но толку 0. Что делать? Удаление и добавление гаджета снова не меняет дела.
Kazakhstan Караганда
v_gayevoy,
для начала попробуйте настроить разрешение для входящих и исходящих подключений для Sidebar.exe. Если система 64 разрядная проврьте какой (х86 или х64) Sidebar запущен и соответственно правила для него. Попробуйте в разрешениях сперва дать доступ на любые подключения. Если не поможет - используйте Монитор ресурсов или Process Monitor + Process Explorer для выяснения, возможно гаджет пытается использовать какие-то системные ресурсы, например svchost.exe или rundll32.exe (и учтите что у меня х86).
Johny-electric, у меня этот гаджет работает при включеном фаерволе. Включена фильтрация входящих/исходящих. Правила прописаны по инструкции. Если система 64 разрядная также попробуйте запустить 32 разрядный Sidebar.
Ukraine
Andrey100, У меня тоже х86
Разрешения для Sidebar.exe дал, при отключенном брандмауэре работает. Включил -не работает.
Как с помощью монитора ресурсов определить использование (например) svchost.exe? При фильтрации по Sidebar я вижу только протокол, порт и к-во пакетов...
Russia Усть-Илимск
Andrey100, у меня х86, но дело не в этом. Нет доступа к инету только у гаджета валют. Гаджет погоды и заголовки новостей без проблем работают. А это всё тот же Sidebar.exe...
ЗЫ: проверил сейчас - гаджет валюты заработал. Странно, в течении двух недель я его иногда запускал проверить, но он показывал старую закэшированную инфу. Сейчас работает. Интресно, что это было?
Russia Санкт-Петербург А его надо вообще настраивать?? Просто я никогда об этом не задумывался, поставил винду и забыл про него))
Ukraine
dimka1991, Кого настраивать, гаджет или файрволл? 
Гаджет настраивать не надо, а вот файрволл - по желанию...
Kazakhstan Караганда
Johny-electric,
а вы не пробовали подождать? Может ему надо некоторое время? Или биржа попросту не работала (выходной, праздник, ночь в штатах в конце-концов) Он же берет инфу где-то там.
v_gayevoy,
ну для Центра обновлений я например увидел, что при запуске их поиска svchost.exe начинает ломиться на update.microsoft.com.
Т.е ищите что начинает пытаться получить доступ к сети в момент задействования гаджета. Кстати что за гаджет?
Или отключить/включить сайдбар при запущенном Мониторе ресурсов, возможно сможете заметить. Постарайтесь на момент теста отключить закачки, торренты, мессенжеры разные.
