Меню

Где хранятся настройки брандмауэра

Вадим Стеркин

Брандмауэр Windows 7 препятствует несанкционированному доступу вредоносных программ из Интернета и локальной сети. В частности, встроенный брандмауэр успешно защищал предыдущие ОС Windows от проникновения червей MSBlast и Sasser, известных своим эпидемическим распространением. Если вы пользуетесь сторонним фаерволом — замечательно. В противном случае, встроенный брандмауэр должен быть включен.

Запуск из командной строки или окна Выполнить (WIN+R): control.exe /name Microsoft.WindowsFirewall

На этой странице

Изменения в брандмауэре Windows

В брандмауэре Windows 7 произошел ряд изменений, в первую очередь функциональных.

Поддержка нескольких профилей

Основным нововведением брандмауэра Windows 7 является одновременная работа нескольких сетевых профилей.

В Windows Vista только один профиль мог быть активен в любой момент времени. Если было включено несколько профилей, наиболее безопасный из них становился активным. Например, при одновременном подключении к публичной и домашней сетям, активным становился общедоступный профиль, обеспечивающий более высокую безопасность. В Windows 7 все три профиля могут быть активны одновременно, обеспечивая соответствующий уровень безопасности для каждой сети.

Изменения в пользовательском интерфейсе

Пользовательский интерфейс брандмауэра в панели управления стал более информативным.

Четко обозначается профиль и его состояние

Приводится описание профиля

Настройка параметров брандмауэра

В левой панели присутствуют две ссылки:

Обе ссылки открывают окно настройки параметров.

Для каждого профиля можно задать собственный набор параметров. Если брандмауэр включен, логично также включить уведомления о блокировке новой программы, чтобы ее поведение не вызывало у вас недоумения в случае блокировки. В диалоговом окне блокировки также имеется возможность разрешить или заблокировать программу для каждого профиля.

Сброс настроек брандмауэра

Чтобы восстановить стандартные значения брандмауэра, щелкните Восстановить умолчания в левой панели. В открывшемся окне подтвердите свое желание вернуть все на круги своя.

Разрешение запуска программ и компонентов

Брандмауэр Windows 7, конечно, включен по умолчанию, а его стандартные настройки подойдут большинству пользователей. Если вам требуется настроить разрешения для конкретной программы или компонента ОС, щелкните Разрешить запуск программы или компонента через брандмауэр Windows в левой панели и в открывшемся окне нажмите кнопку Изменить.

Щелкните необходимый компонент и установите разрешения для каждого профиля. Для добавления в список конкретной программы, нажмите кнопку Разрешить другую программу.

Рекомендации по настройке

Рекомендация по использованию брандмауэра Windows 7 очень проста — он должен быть включен всегда, если вы не используете сторонний фаервол. Тем самым вы обезопасите себя, например, от проникновения распространенных сетевых червей. В большинстве случаев домашним пользователям подойдут стандартные параметры брандмауэра. Если же вы используете сторонний фаервол, то при его установке встроенный брандмауэр, скорее всего, будет отключен, во избежание конфликтов между двумя программами, выполняющими одинаковую функцию.

Дополнительные параметры брандмауэра

Если вас разочаровала скромность доступных настроек брандмауэра, не спешите огорчаться. У него есть расширенный режим, который реализован с помощью оснастки консоли управления Microsoft (MMC). В левой панели щелкните Дополнительные параметры и перед вами предстанет Брандмауэр Windows в режиме повышенной безопасности.

Запуск из командной строки или окна Выполнить (WIN+R): wf.msc

Элемент панели управления предназначен для домашних пользователей, а оснастка консоли MMC ориентирована на ИТ-специалистов. В режиме повышенной безопасности брандмауэр позволяет конфигурировать не только локальный компьютер, но и удаленные компьютеры и объекты групповой политики.

Для всех профилей уже существуют предустановленные наборы правил. Безусловно, вы можете изменить их или добавить собственные правила для входящих и исходящих подключений. Создание правил реализовано с помощью мастера. Например, чтобы заблокировать приложению доступ в Интернет, щелкните Правила для исходящего подключения в левой панели, а затем — Создать правило в правой панели. Мастер создания правил проведет вас через несколько этапов.

В брандмауэре Windows 7 произошло много изменений по сравнению с Windows Vista. Например, для каждого профиля фильтрация трафика возможна на основе:

Подробный рассказ обо всех возможностях настройки брандмауэра Windows 7 выходит далеко за рамки статьи о панели управления. Дополнительную информацию вы можете получить в статье Приступая к работе с брандмауэром Windows 7 в режиме повышенной безопасности (EN).

Метки: безопасность Информация в статье применима к Windows 7

Об авторе

Вадим является владельцем этого блога, и большинство записей здесь вышло из-под его пера. Подробности о блоге и авторе здесь.

Источник

Назначение брандмауэра Windows и его настройка

Так необходимая нам Всемирная глобальная сеть далеко не безопасное место. Через интернет мошенники активно распространяют откровенно вредоносные либо зараженные, с виду безобидные программы. Каждый из нас может нарваться на такой неприятный сюрприз, следствием которого является утечка личной информации и снятие средств с банковских счетов, злоумышленное шифрование данных, повреждение системных файлов и нарушение работы компьютера. Барьером для всех вышеперечисленных угроз выступает брандмауэр Windows, о котором мы подробно расскажем в нашей статье.

Функции брандмауэра Windows

В отличие от обычных браузерных или самостоятельных фаерволов, препятствующих проникновению вирусов извне в систему, брандмауэр работает в обе стороны. Он запрещает установленным на ПК программам обращаться к Сети без полученного на то разрешения от администратора или при отсутствии сертификатов безопасности. Проще говоря, если программа подозрительна и требует неоправданно больших полномочий ‒ она будет блокирована.

Данный защитный инструмент включен во все современные версии Windows, начиная с XP Service Pack 2. Помимо программ, брандмауэр проверяет запущенные службы и останавливает их при обнаружении опасной активности. Отдельным плюсом является то, что опытный пользователь может самостоятельно устанавливать правила проверки для определенного перечня IP-адресов, портов, сетевых профилей.

Несмотря на все преимущества, брандмауэр не заменяет антивирусное ПО, а лишь «купирует» деятельность вредоносного софта, поэтому не стоит целиком полагаться на него.

Включаем брандмауэр в Windows 7, 8, 10

После установки или восстановления Виндоус ее брандмауэр запущен по умолчанию. Поводом для его ручного отключения должна быть веская причина, например, выскакивающая ошибка 0х80070422, сообщающая о сбое защиты и конфликте служб.

Самостоятельно отключить (или запустить) брандмауэр в Windows 7, 8 и 10 можно двумя способами: через командную строку или панель управления.

Сначала рассмотрим первый вариант, как наиболее простой.

Владельцы десятки для открытия консоли могут сразу кликнуть ПКМ по значку «Пуска».

После нескольких секунд система уведомит об успешном отключении: «ОК».

Теперь разберем вариант №2.

Включение производится в обратном порядке. После всех действий желательно перезагрузить компьютер.

Разрешаем запуск программ через брандмауэр

Работа межсетевого экрана не всегда корректна, и он может заблокировать вполне безобидную программу, требующую доступ к Сети. Такое часто случается при установке и первом запуске клиента онлайн-игры или загрузчика. В настройках можно самостоятельно добавить программу в исключения брандмауэра, но только если вы уверены в ее источнике.

Делается это следующим образом:

Но если и тут не оказалось искомого exe-файла ‒ укажите путь к нему через «Обзор».

После подтверждения этих изменений перезагружать компьютер необязательно.

Настройка брандмауэра в режиме повышенной безопасности

Теперь стоит упомянуть альтернативный способ настройки брандмауэра, позволяющий, кроме всего прочего, открывать порты и устанавливать политику безопасности. В нем есть инструмент для создания новых правил ‒ алгоритмов действия межсетевого экрана при работе с некоторыми приложениями.

Чтобы попасть в расширенные настройки:

Решаем проблемы с брандмауэром

Как описывалось выше, эта защита неидеальна тем, что может приводить к сбоям и конфликтам служб Windows. Также ее работа потребляет ресурсы компьютера, ощутимо «просаживая» производительность слабых машин. Из-за этого многие пользователи полностью отключают брандмауэр, оставаясь при этом уязвимыми. В результате люди, отключившие сетевой экран на своем ПК, могут увидеть сообщение такого рода: «ошибка 0х80070422 не удалось изменить некоторые параметры».

Проблема устраняется путем включения брандмауэра стандартным способом или через службы центра обновления и брандмауэра Windows.

После всех манипуляций перезагружаем компьютер и анализируем результат.

Если брандмауэр не запускается ни обычным способом, ни через консоль служб, то проблема может крыться в заражении компьютера вирусами. Воспользуйтесь антивирусной программой (например, Dr.Web CureIt!) и сделайте полную проверку компьютера. Также мы рекомендуем воспользоваться службой поддержки Microsoft по ссылке, где эта проблема уже описывалась.

Читайте также:  Расширенные настройки биос msi

Вдобавок к вышесказанному

Из нашей статьи вы узнали, что такое брандмауэр Виндоус, почему он так важен для безопасности системы, где он находится и как настраивается. По традиции мы дадим вам полезный совет: не отключайте сетевой экран Windows без острой необходимости, так как он является первой и последней «линией обороны» на пути червей, троянов и прочей шпионской заразы, попадающей к нам из интернета. Даже при заражении компьютера вредоносная программа в большинстве случаев будет блокирована и не сможет осуществлять передачу данных.

Источник

Рекомендации по настройке брандмауэра защитника Windows Best practices for configuring Windows Defender Firewall

Относится к: Applies to

Операционные системы Windows, в том числе Windows10 Windows operating systems including Windows10

Серверные операционные системы Windows Windows Server Operating Systems

Брандмауэр защитника Windows с улучшенной безопасностью обеспечивает фильтрацию двустороннего сетевого трафика, а также блокирует несанкционированный сетевой трафик, исходящий из локального устройства или из него. Windows Defender Firewall with Advanced Security provides host-based, two-way network traffic filtering and blocks unauthorized network traffic flowing into or out of the local device. Настройка брандмауэра Windows на основе указанных ниже рекомендаций поможет вам оптимизировать защиту для устройств в сети. Configuring your Windows Firewall based on the following best practices can help you optimize protection for devices in your network. Эти рекомендации охватывают широкий спектр развертываний, в том числе домашних сетей и компьютеров предприятий и серверов. These recommendations cover a wide range of deployments including home networks and enterprise desktop/server systems.

Сохранить параметры по умолчанию Keep default settings

Когда вы впервые открываете брандмауэр защитника Windows, вы можете увидеть параметры по умолчанию, применимые к локальному компьютеру. When you open the Windows Defender Firewall for the first time, you can see the default settings applicable to the local computer. На панели «Общие сведения» отображаются параметры безопасности для всех типов сетей, к которым может быть подключено устройство. The Overview panel displays security settings for each type of network to which the device can connect.

Рисунок 1: брандмауэр защитника Windows Figure 1: Windows Defender Firewall

Профиль домена: используется для сетей, в которых зарегистрирована проверка подлинности учетной записи на контроллере домена (DC), например Azure Active Directory DC Domain profile: Used for networks where there is a system of account authentication against a domain controller (DC), such as an Azure Active Directory DC

Частный профиль: разработан для частных сетей, например в домашней сети, и подходит к использованию. Private profile: Designed for and best used in private networks such as a home network

Общедоступный профиль: разработана с учетом более высокой безопасности сетей, например Wi-Fiных зон, кафе, аэропортов, гостиниц и магазинов. Public profile: Designed with higher security in mind for public networks like Wi-Fi hotspots, coffee shops, airports, hotels, or stores

Чтобы просмотреть подробные параметры для каждого профиля, щелкните правой кнопкой мыши значок брандмауэра защитника Windows верхнего уровня в области слева и выберите пункт свойства. View detailed settings for each profile by right-clicking the top-level Windows Defender Firewall with Advanced Security node in the left pane and then selecting Properties.

Когда это возможно, по возможности сохраняйте параметры по умолчанию в брандмауэре защитника Windows. Maintain the default settings in Windows Defender Firewall whenever possible. Эти параметры предназначены для обеспечения безопасности вашего устройства для использования в большинстве сценариев сети. These settings have been designed to secure your device for use in most network scenarios. Одним из ключевых примеров является поведение блокировки по умолчанию для входящих подключений. One key example is the default Block behavior for Inbound connections.

Рисунок 2: параметры входящего и исходящего трафика по умолчанию Figure 2: Default inbound/outbound settings

Чтобы обеспечить максимальную безопасность, не изменяйте параметры блокировки по умолчанию для входящих подключений. To maintain maximum security, do not change the default Block setting for inbound connections.

Приоритеты правил для входящих подключений Understand rule precedence for inbound rules

Во многих случаях для администраторов потребуется настроить эти профили с помощью правил (иногда называемых фильтрами), чтобы они могли работать с пользовательскими приложениями или программным обеспечением другого типа. In many cases, a next step for administrators will be to customize these profiles using rules (sometimes called filters) so that they can work with user apps or other types of software. Например, администратор или пользователь может добавить правило для размещения программы, открыть порт или протокол или Разрешить предопределенный тип трафика. For example, an administrator or user may choose to add a rule to accommodate a program, open a port or protocol, or allow a predefined type of traffic.

Это можно сделать, щелкнув правой кнопкой мыши правила для входящих подключений или правила для исходящих подключенийи выбрав пункт создать правило. This can be accomplished by right-clicking either Inbound Rules or Outbound Rules, and selecting New Rule. Интерфейс для добавления нового правила выглядит следующим образом: The interface for adding a new rule looks like this:

Рисунок 3: Мастер создания правил Figure 3: Rule Creation Wizard

Во многих случаях для работы приложений в сети должны быть необходимы определенные типы входящего трафика. In many cases, allowing specific types of inbound traffic will be required for applications to function in the network. Если вы разрешите эти исключения, администраторы должны учитывать следующие правила поведения приоритетов правил. Administrators should keep the following rule precedence behaviors in mind when allowing these inbound exceptions.

Явно определенные правила Allow будут иметь приоритет перед параметром блока по умолчанию. Explicitly defined allow rules will take precedence over the default block setting.

Явные правила блокировки будут иметь приоритет перед любыми конфликтующими правилами разрешения. Explicit block rules will take precedence over any conflicting allow rules.

Более конкретные правила имеют более низкий приоритет, чем менее конкретные правила, за исключением случаев, указанных в разделе «явные правила блокировки», описанные в разделе 2. More specific rules will take precedence over less specific rules, except in the case of explicit block rules as mentioned in 2. (Например, если параметры правила 1 включают диапазон IP-адресов, а в параметрах правила 2 — один адрес узла IP, правило 2 имеет приоритет.) (For example, if the parameters of rule 1 includes an IP address range, while the parameters of rule 2 include a single IP host address, rule 2 will take precedence.)

Из-за 1 и 2 важно, что при проектировании набора политик вы убедитесь, что не установлены другие явные правила блокировки, которые могут случайно перекрываться, тем самым предотвращая поток трафика, который вы хотите разрешить. Because of 1 and 2, it is important that, when designing a set of policies, you make sure that there are no other explicit block rules in place that could inadvertently overlap, thus preventing the traffic flow you wish to allow.

Общие рекомендации по обеспечению безопасности при создании правил для входящих сообщений должны быть как можно более конкретными. A general security best practice when creating inbound rules is to be as specific as possible. Тем не менее, если необходимо создать новые правила, использующие порты или IP-адреса, старайтесь использовать последовательные диапазоны или подсети, а не отдельные адреса или порты там, где это возможно. However, when new rules must be made that use ports or IP addresses, consider using consecutive ranges or subnets instead of individual addresses or ports where possible. Это позволяет избежать создания нескольких фильтров в разделе, что сокращает сложность и помогает избежать ухудшения производительности. This avoids creation of multiple filters under the hood, reduces complexity, and helps to avoid performance degradation.

Читайте также:  Сброс настроек на сони иксперия через компьютер

Брандмауэр защитника Windows не поддерживает традиционные взвешенные правила, назначенные администратором. Windows Defender Firewall does not support traditional weighted, administrator-assigned rule ordering. Для создания действующей политики с ожидаемым поведением можно использовать несколько описанных выше правил. An effective policy set with expected behaviors can be created by keeping in mind the few, consistent, and logical rule behaviors described above.

Создание правил для новых приложений перед первым запуском Create rules for new applications before first launch

Правила разрешенных подключений Inbound allow rules

При первом использовании сетевые приложения и службы применяют вызов для прослушивания, в котором указаны протокол и порт, необходимые для правильной работы. When first installed, networked applications and services issue a listen call specifying the protocol/port information required for them to function properly. По умолчанию в брандмауэре защитника Windows есть Макрокоманда «блокировать», чтобы разрешить этот трафик, необходимо создать правила для входящих исключений. As there is a default block action in Windows Defender Firewall, it is necessary to create inbound exception rules to allow this traffic. Для приложения или установщика приложения обычно используется это правило брандмауэра. It is common for the app or the app installer itself to add this firewall rule. В противном случае правило необходимо вручную создать для пользователя (или администратора брандмауэра от имени пользователя). Otherwise, the user (or firewall admin on behalf of the user) needs to manually create a rule.

Если ни один из активных приложений или не заданных администратором правил не разрешен, диалоговое окно предложит пользователю разрешить или заблокировать пакеты приложения при первом запуске приложения или при попытке связаться в сети. If there are no active application or administrator-defined allow rule(s), a dialog box will prompt the user to either allow or block an application’s packets the first time the app is launched or tries to communicate in the network.

Если у пользователя есть разрешения администратора, вам будет предложено ввести его. If the user has admin permissions, they will be prompted. Если у них нет ответа или отменить запрос, будут созданы правила блокировки. If they respond No or cancel the prompt, block rules will be created. Обычно создаются два правила, каждый из которых составляет трафик TCP и UDP. Two rules are typically created, one each for TCP and UDP traffic.

Если пользователь не является локальным администратором, у него не будет запроса. If the user is not a local admin, they will not be prompted. В большинстве случаев будут созданы правила блокировки. In most cases, block rules will be created.

В одном из описанных выше сценариев после добавления этих правил они должны быть удалены для повторного создания запроса. In either of the scenarios above, once these rules are added they must be deleted in order to generate the prompt again. В противном случае трафик будет заблокирован. If not, the traffic will continue to be blocked.

Параметры брандмауэра по умолчанию предназначены для обеспечения безопасности. The firewall’s default settings are designed for security. Разрешение всех входящих подключений по умолчанию представляет сеть для различных угроз. Allowing all inbound connections by default introduces the network to various threats. Таким образом, создание исключений для входящих подключений из стороннего программного обеспечения должно определяться доверенными разработчиками приложений, пользователем или администратором от имени пользователя. Therefore, creating exceptions for inbound connections from third-party software should be determined by trusted app developers, the user, or the admin on behalf of the user.

Известные проблемы с автоматическим созданием правил Known issues with automatic rule creation

Если вы разрабатываете набор политик брандмауэра для вашей сети, рекомендуется настроить разрешающие правила для любых сетевых приложений, развернутых на узле. When designing a set of firewall policies for your network, it is a best practice to configure allow rules for any networked applications deployed on the host. Перед тем как пользователь впервые запускает приложение, вы получите эти правила для обеспечения бесперебойной работы. Having these rules in place before the user first launches the application will help ensure a seamless experience.

Отсутствие этих поэтапных правил не обязательно означает, что в конечном итоге приложение не сможет взаимодействовать в сети. The absence of these staged rules does not necessarily mean that in the end an application will be unable to communicate on the network. Тем не менее, в среде выполнения для автоматического создания правил приложения необходимо вмешательство пользователя. However, the behaviors involved in the automatic creation of application rules at runtime requires user interaction.

Чтобы узнать, почему некоторые приложения заблокированы для связи в сети, проверьте следующее: To determine why some applications are blocked from communicating in the network, check for the following:

Пользователь с достаточными привилегиями получает уведомление запроса о том, что приложению необходимо внести изменения в политику брандмауэра. A user with sufficient privileges receives a query notification advising them that the application needs to make a change to the firewall policy. Не имея полного представления о запросе, пользователь отменяет или закрывает запрос. Not fully understanding the prompt, the user cancels or dismisses the prompt.

Пользователь не имеет достаточных привилегий, поэтому он не предлагает разрешить приложению внести соответствующие изменения в политику. A user lacks sufficient privileges and is therefore not prompted to allow the application to make the appropriate policy changes.

Объединение локальных политик отключено, так как приложение или сетевая служба не будут создавать локальные правила. Local Policy Merge is disabled, preventing the application or network service from creating local rules.

Рисунок 4: диалоговое окно, разрешающее доступ Figure 4: Dialog box to allow access

Определение правил слияния и применения локальных политик Establish local policy merge and application rules

Правила брандмауэра можно разворачивать: Firewall rules can be deployed:

Параметры слияния правил определяют, как можно сочетать правила из различных источников политик. Rule merging settings control how rules from different policy sources can be combined. Администраторы могут настраивать различные варианты поведения слияния для доменов, частных и общедоступных профилей. Administrators can configure different merge behaviors for Domain, Private, and Public profiles.

Параметры объединения правил разрешают или запрещают локальным администраторам создавать собственные правила брандмауэра в дополнение к тем, которые были получены из групповой политики. The rule merging settings either allow or prevent local admins from creating their own firewall rules in addition to those obtained from Group Policy.

Рисунок 5. параметр объединения правил Figure 5: Rule merging setting

В поставщике услуг конфигурациибрандмауэра эквивалентным параметром является AllowLocalPolicyMerge. In the firewall configuration service provider, the equivalent setting is AllowLocalPolicyMerge. Этот параметр можно найти в каждом из соответствующих узлов профилей, DomainProfile, PrivateProfileи PublicProfile. This setting can be found under each respective profile node, DomainProfile, PrivateProfile, and PublicProfile.

Если объединение локальных политик отключено, для любого приложения, которому требуется входящее подключение, требуется централизованное развертывание правил. If merging of local policies is disabled, centralized deployment of rules is required for any app that needs inbound connectivity.

Читайте также:  Настройка интернета на телефоне vertex

Администраторы могут отключить LocalPolicyMerge в среде с высоким уровнем безопасности, чтобы обеспечить более тесное Управление конечными точками. Admins may disable LocalPolicyMerge in high security environments to maintain tighter control over endpoints. Это может повлиять на некоторые приложения и службы, которые автоматически создают локальную политику брандмауэра при установке, как описано выше. This can impact some apps and services that automatically generate a local firewall policy upon installation as discussed above. Для того чтобы эти типы приложений и служб работали, администраторы должны централизованно использовать групповую политику (GP), управление мобильными устройствами (MDM) или оба (для гибридных сред и совместного управления). For these types of apps and services to work, admins should push rules centrally via group policy (GP), Mobile Device Management (MDM), or both (for hybrid or co-management environments).

CSP и CSP политик также обладают параметрами, которые могут повлиять на объединение правил. Firewall CSP and Policy CSP also have settings that can affect rule merging.

Рекомендуется включать в список и регистрировать такие приложения, в том числе сетевые порты, используемые для обмена информацией. As a best practice, it is important to list and log such apps, including the network ports used for communications. Как правило, вы можете найти порты, которые должны быть открыты для заданной службы на веб-сайте приложения. Typically, you can find what ports must be open for a given service on the app’s website. Для более сложного или клиентского развертывания приложений может потребоваться более тщательный анализ с помощью средств захвата сетевых пакетов. For more complex or customer application deployments, a more thorough analysis may be needed using network packet capture tools.

Как правило, чтобы обеспечить максимальную безопасность, администраторы должны принудительно передавать только исключения брандмауэра для приложений и служб, определенных для обеспечения законных целей. In general, to maintain maximum security, admins should only push firewall exceptions for apps and services determined to serve legitimate purposes.

Сведения о том, как использовать режим «экранированные» для активных атак Know how to use «shields up» mode for active attacks

Важный компонент брандмауэра, который можно использовать для устранения повреждений при активной атаке, — это режим «щит». An important firewall feature you can use to mitigate damage during an active attack is the «shields up» mode. Это неформальный термин, указывающий на простой способ, с помощью которого администратор брандмауэра может временно повышать уровень безопасности в активной атаке. It is an informal term referring to an easy method a firewall administrator can use to temporarily increase security in the face of an active attack.

Чтобы установить защиту, установите флажок Блокировать все входящие подключения, в том числе в списке разрешенных приложений, который находится в приложении «Параметры Windows» или в firewall.cplустаревших файлов. Shields up can be achieved by checking Block all incoming connections, including those in the list of allowed apps setting found in either the Windows Settings app or the legacy file firewall.cpl.

Рисунок 6: приложение «Параметры Windows/безопасность Windows/брандмауэр/тип сети» Figure 6: Windows settings App/Windows Security/Firewall Protection/Network Type

Рисунок 7: устаревшие firewall.cpl Figure 7: Legacy firewall.cpl

По умолчанию брандмауэр защитника Windows блокирует все данные, если не создано правило исключений. By default, the Windows Defender Firewall will block everything unless there is an exception rule created. Этот параметр переопределяет исключения. This setting overrides the exceptions.

Например, функция удаленного рабочего стола автоматически создает правила брандмауэра, если они включены. For example, the Remote Desktop feature automatically creates firewall rules when enabled. Тем не менее, если у вас есть активная атака с использованием нескольких портов и служб на узле, вместо того чтобы отключать отдельные правила, можно использовать режим защиты экрана, чтобы заблокировать все входящие подключения, а также переопределение предыдущих исключений, в том числе правила для удаленного доступа к удаленному рабочему столу. However, if there is an active exploit using multiple ports and services on a host, you can, instead of disabling individual rules, use the shields up mode to block all inbound connections, overriding previous exceptions, including the rules for Remote Desktop. Правила для удаленных рабочих столов остаются неизменными, но удаленный доступ не работает, пока не будет активировано экранирование. The Remote Desktop rules remain intact but remote access will not work as long as shields up is activated.

После завершения экстренной помощи снимите флажок, чтобы восстановить обычный сетевой трафик. Once the emergency is over, uncheck the setting to restore regular network traffic.

Создание правил для исходящих подключений Create outbound rules

Ниже приведены общие рекомендации по настройке правил исходящих подключений. What follows are a few general guidelines for configuring outbound rules.

Конфигурация по умолчанию заблокирована для правил исходящих подключений для конкретных сред с высокой степенью безопасности. The default configuration of Blocked for Outbound rules can be considered for certain highly secure environments. Однако конфигурацию правила входящих подключений нельзя изменить таким образом, чтобы трафик был разрешен по умолчанию. However, the Inbound rule configuration should never be changed in a way that Allows traffic by default.

Рекомендуется разрешить исходящие данные по умолчанию для большинства развертываний в целях упрощения развертывания приложений, если только в корпоративном варианте не используются более строгие средства контроля безопасности. It is recommended to Allow Outbound by default for most deployments for the sake of simplification around app deployments, unless the enterprise prefers tight security controls over ease-of-use.

В среде с высоким уровнем безопасности Инвентаризация всех корпоративных приложений должна быть сделана администратором или администратором. In high security environments, an inventory of all enterprise-spanning apps must be taken and logged by the administrator or administrators. Записи должны указывать, требуется ли сетевое подключение для используемого приложения. Records must include whether an app used requires network connectivity. Администраторам потребуется создать новые правила для каждого приложения, которым требуется подключение к сети, и централизованно присвоить эти правила с помощью групповой политики (GP), управления мобильными устройствами (MDM) или обоих (для гибридных сред и совместного управления). Administrators will need to create new rules specific to each app that needs network connectivity and push those rules centrally, via group policy (GP), Mobile Device Management (MDM), or both (for hybrid or co-management environments).

Задачи, связанные с созданием правил исходящих подключений, приведены в разделе Контрольный список: создание правил брандмауэра для исходящих подключений. For tasks related to creating outbound rules, see Checklist: Creating Outbound Firewall Rules.

Документирование изменений Document your changes

При создании правила для входящего или исходящего трафика необходимо указать сведения о самом приложении, диапазон портов и важные заметки, например дату создания. When creating an inbound or outbound rule, you should specify details about the app itself, the port range used, and important notes like creation date. Правила должны быть тщательно документированы для упрощения их просмотра и других администраторов. Rules must be well-documented for ease of review both by you and other admins. Мы настоятельно рекомендуем сделать так, чтобы в более поздних версиях было проще проанализировать правила брандмауэра. We highly encourage taking the time to make the work of reviewing your firewall rules at a later date easier. Иникогда не создавайте ненужные бреши в брандмауэре. Andnevercreate unnecessary holes in your firewall.

Источник