A plataforma de filtragem do Windows permitiu a conexão. Firewall do Windows com Segurança Avançada - Diagnóstico e Solução de Problemas

O firewall do Windows (firewall ou firewall) não inspira respeito. Mudando ligeiramente do XP para o Vista, ele faz bem o seu trabalho simples, mas não tem a ambição de ser o melhor firewall pessoal. Porém, apesar do firewall do Windows 7 ter recebido diversas novidades, ele ainda não recebeu o que eu esperava ver nele.

Preso com Grupo inicial

Durante Instalações do Windows 7 sugere a criação de um “grupo de escolha”. À medida que outros computadores com Windows 7 são descobertos na rede, eles também são convidados a ingressar no grupo. E tudo o que eles precisam para isso é uma senha. No entanto, tendo um computador rodando Windows 7, não vi o processo de login em um grupo de outros computadores, embora uma notificação sobre isso não fizesse mal. No entanto, embora qualquer computador que execute o Windows 7 possa ingressar em um grupo doméstico, os computadores que executam o Windows 7 Home Basic e o Windows 7 Starter não podem criar um.

Os computadores do mesmo grupo doméstico podem compartilhar (ou, como dizem, “compartilhar”) impressoras e bibliotecas de arquivos específicas. Por padrão, bibliotecas de fotos, músicas, vídeos e documentos são compartilhadas, mas o usuário pode limitá-las a seu critério. A ajuda do sistema operacional fornece explicações claras sobre como excluir um arquivo ou pasta do compartilhamento, ou como torná-lo somente leitura, ou como restringir o acesso a ele.

Em seu rede doméstica o usuário pode compartilhar seu conteúdo com outros computadores e dispositivos, e até mesmo com computadores que não executam o Windows 7 e até mesmo com outros que não sejam computadores. Em particular, a Microsoft mostrou exemplos de como você pode compartilhar conteúdo no Xbox 360. No entanto, a empresa não oferece a conexão do Wii à rede. Infelizmente, a empresa não qualificou o Wii como um dispositivo de streaming de mídia.

Então, quão mais segura é a sua rede doméstica no Windows 7? Normalmente, os usuários que não conseguem compartilhar arquivos e pastas começam a desabilitar tudo ao seu redor, incluindo filewall, antivírus, etc., o que, em sua opinião, pode interferir nesse processo. Ao mesmo tempo, se você simplificar o compartilhamento, poderá evitar desligar tudo ao seu redor.

Se o Vista dividir as redes em públicas (Públicas) e privadas (Privadas), o Windows 7 separará rede privada em casa (Casa) e no trabalho (Trabalho). O Grupo Doméstico só está disponível quando você seleciona sua rede doméstica. No entanto, mesmo em uma rede de trabalho, seu computador ainda poderá ver e conectar-se a outros dispositivos nela. Por sua vez, em uma rede pública (como uma rede sem fio em um cibercafé), o Windows 7 bloqueia o acesso de e para outros dispositivos, para sua segurança. Esta é uma oportunidade pequena, mas agradável.

Firewall de modo duplo

No Vista e no XP, o gerenciamento do firewall se resume a simples ligação e desligamento. Ao mesmo tempo Hora do Windows 7 oferece ao usuário diversas configurações para redes privadas (domésticas e profissionais) e públicas. Ao mesmo tempo, o usuário não precisa inserir as configurações do firewall para trabalhar, digamos, em um café local. Tudo o que ele precisa fazer é selecionar uma rede pública e o próprio firewall aplicará todo o conjunto de parâmetros restritivos. Muito provavelmente, os usuários configurarão a rede pública para bloquear todas as conexões de entrada. No Vista, isso não poderia ser feito sem cortar todo o tráfego de entrada na própria rede do usuário.

Alguns usuários não entendem por que um firewall é necessário. Se o UAC funcionar, o firewall não é um exagero? Na realidade, estes programas têm objetivos completamente diferentes. O UAC monitora os programas e como eles funcionam internamente sistema local. O firewall analisa atentamente os dados de entrada e saída. Se você imaginar esses dois programas como dois heróis de costas um para o outro e repelindo ataques de zumbis, então, pode-se dizer, dificilmente você pode errar.

No começo fiquei intrigado nova oportunidade“Avise-me quando o Firewall do Windows bloquear novo programa" Isso é um sinal de que o Firewall do Windows ganhou controle sobre os programas e se tornou um verdadeiro firewall bidirecional? Fui consumido pelo desejo de desativar esse recurso. E, como resultado, o Firewall do Windows não recebeu mais respeito do que antes.

Já se passaram dez anos desde que ZoneLabs popularizou o firewall pessoal bidirecional. Seu programa ZoneAlarm escondia todas as portas do computador (o que o Firewall do Windows pode fazer) e também permitia controlar o acesso dos programas à Internet (o que o Firewall do Windows ainda não consegue fazer). Não exijo monitoramento inteligente do comportamento do programa, como no Norton Segurança na Internet 2010 e em outros pacotes. Mas espero que, com o lançamento do Windows 8, a Microsoft introduza um conjunto de recursos do ZoneAlarm de dez anos em seu firewall.

A Microsoft está bem ciente de que muitos usuários instalam firewalls e pacotes de segurança de terceiros e simplesmente desativam o Firewall do Windows. No passado, muitos programas de segurança de terceiros desabilitavam automaticamente o Firewall do Windows para evitar conflitos. No Windows 7, a Microsoft fez isso sozinha. Ao instalar um firewall conhecido, o sistema operacional desativa seu firewall integrado e relata que “as configurações do firewall são controladas por tal e tal programa de tal ou tal fabricante”.

Quer você use ou não, o Firewall do Windows está presente em todos os Windows 7, com sólida integração com sistema operacional. Então, não seria melhor se aplicativos de segurança de terceiros pudessem usar o filewall do Windows para seus próprios fins? Essa é a ideia por trás de uma interface de programação chamada Windows Filtering Platform. Mas os desenvolvedores irão usá-lo? Mais sobre isso na próxima parte.

Segurança do Windows 7: Plataforma de Filtragem do Windows

Os firewalls devem funcionar com o Windows 7 em um nível muito baixo, o que os programadores da Microsoft odeiam totalmente. Algumas tecnologias Microsoft, como PatchGuard, presentes em 64 bits Edições do Windows 7 (o Windows 7 de 64 bits tem uma série de vantagens de segurança em relação ao Windows 7 de 32 bits), bloqueia invasores e também protege o kernel contra acesso a ele. Ainda assim, a Microsoft não oferece o mesmo nível de segurança que programas de terceiros. Então, o que fazer?

A solução para esse problema é a Windows Filtering Platform (WFP). Este último, segundo a Microsoft, permite que firewalls de terceiros sejam baseados em chaves Capacidades do Windows Firewall - permite adicionar recursos personalizados a eles e ativar e desativar seletivamente partes do Firewall do Windows. Com isso, o usuário pode escolher um firewall que coexistirá com o Firewall do Windows.

Mas quão útil é realmente para desenvolvedores de segurança? Eles vão usar isso? Perguntei a algumas pessoas e obtive muitas respostas.

BitDefender LLC

O gerente de desenvolvimento de produto, Iulian Costache, disse que sua empresa está atualmente usando esta plataforma no Windows 7. No entanto, eles encontraram vazamentos de memória significativos. O erro está do lado da Microsoft, o que a maior gigante do software já confirmou. Porém, Julian não sabe quando isso será resolvido. Entretanto, eles substituíram temporariamente novo motorista PMA sobre o antigo TDI.

Check Point Software Technologies Ltda

O gerente de relações públicas da Check Point Software Technologies Ltd, Mirka Janus, disse que sua empresa usa o WFP desde o Vista. Eles também usam a plataforma no Windows 7. É uma interface boa e com suporte, mas qualquer malware ou driver incompatível pode ser perigoso para um produto de segurança que depende dela. ZoneAlarm sempre contou com duas camadas - camadas conexões de rede e nível do pacote. Começando com o Vista, a Microsoft ofereceu o WFP como uma forma suportada de filtrar conexões de rede. A partir do Windows 7 SP1, a Microsoft deve ensinar o WFP a habilitar a filtragem de pacotes.

“Usar APIs suportadas significa maior estabilidade e menos BSODs. Muitos drivers podem ser registrados e cada desenvolvedor de driver não precisa se preocupar com a compatibilidade com outros. Se algum driver estiver, digamos, bloqueado, nenhum outro driver registrado poderá contornar esse bloqueio. Por outro lado, um driver incompatível pode se tornar um problema, contornando todos os outros registrados. Não dependemos apenas do PMA para segurança de rede.”

Corporação F-Secure

O pesquisador sênior da F-Secure Corporation, Mikko Hypponen, disse que, por algum motivo, o WFP nunca se tornou popular entre os desenvolvedores de software de segurança. Ao mesmo tempo, a sua empresa utilizou o PAM durante bastante tempo e ficou satisfeita com isso.

McAfee, Inc.

Por sua vez, o arquiteto-chefe da McAfee, Ahmed Sallam, disse que o WFP é uma interface de filtragem de rede mais poderosa e flexível do que a interface anterior baseada em NDIS. A McAfee utiliza ativamente o WFP em seus produtos de segurança.

Ao mesmo tempo, apesar do PAM ter capacidades positivas, os cibercriminosos também podem tirar partido das vantagens da plataforma. A plataforma pode permitir que malware entre na pilha de rede no nível do kernel do Windows. Portanto, 64 bits Drivers do Windows O nível do kernel deve ter assinaturas digitais para proteger o kernel de ser carregado nele malware. No entanto, as assinaturas digitais não são exigidas nas versões de 32 bits.

Sim, em teoria, as assinaturas digitais são um mecanismo de segurança razoável, mas, na realidade, os autores de malware ainda podem adquiri-las para si próprios.

Segurança Panda

O porta-voz da Panda Security, Pedro Bustamante, disse que sua empresa monitora a plataforma do WFP, mas atualmente não a utiliza. A empresa considera que as principais desvantagens do PMA são, em primeiro lugar, a incapacidade de criar uma tecnologia que combine várias técnicas para maximizar a proteção. A tecnologia é inútil se uma empresa não consegue observar os pacotes que entram e saem da máquina. Deve também funcionar como um sensor para outras tecnologias de segurança. Nenhum desses recursos é fornecido pelo WFP. Em segundo lugar, o WFP só é suportado pelo Vista e por sistemas operacionais mais recentes. Compatibilidade com versões anteriores a plataforma não. E em terceiro lugar, o WFP é uma plataforma relativamente nova e a empresa prefere confiar em tecnologias mais antigas e comprovadas.

Symantec Corp.

O diretor de gerenciamento de produtos de consumo da Symantec, Dan Nadir, disse que o PMA ainda não é usado em seus produtos devido à sua relativa novidade. Porém, com o tempo a empresa planeja migrar para ele, pois... as interfaces antigas nas quais eles dependem atualmente não fornecerão todas as funcionalidades de que necessitam. Eles consideram o PMA uma boa plataforma porque... ele foi projetado especificamente para fornecer interoperabilidade entre uma variedade de programas de terceiros. A princípio, a plataforma deverá ter ainda menos problemas de compatibilidade no futuro. O WFP também é ótimo porque está integrado ao Microsoft Network Diagnostic Framework. Isso é extremamente útil porque... facilita muito a busca por programas específicos que são um obstáculo para tráfego de rede. Finalmente, o PMA deve levar a um melhor desempenho e estabilidade do sistema operacional porque... A plataforma evita emulação e problemas com conflitos ou estabilidade de driver.

No entanto, por outro lado, de acordo com Nadir, o PMA pode criar certos problemas que existem em qualquer estrutura - os desenvolvedores que dependem do PMA não podem eliminar vulnerabilidades dentro do próprio PMA, nem podem expandir as capacidades específicas oferecidas pelo PMA. Além disso, se muitos programas dependem do PMA, os criadores de malware poderiam, teoricamente, tentar atacar o próprio PMA.

Tendência Micro Inc.

Diretor de Pesquisa da Trend Micro Inc. Dale Liao disse que a maior vantagem da plataforma é a compatibilidade com o sistema operacional. Além disso, um firewall padrão agora se tornou útil. Agora eles podem se concentrar no que realmente importa para o usuário. O ruim do WFP é que quando um erro é descoberto na plataforma, a empresa tem que esperar que seja corrigido pela Microsoft.

PAM: Conclusão

Como resultado, a maioria dos desenvolvedores de segurança que entrevistei já usa o WFP. É verdade, alguns em paralelo com outras tecnologias. Gostam da interoperabilidade, da documentação e formalidade da plataforma, e também da estabilidade percebida de seu funcionamento. Por outro lado, se todos os desenvolvedores confiarem no WFP, a plataforma poderá potencialmente se tornar um ponto fraco para todos. E eles terão que contar com a Microsoft para consertar isso. Além disso, a plataforma ainda não oferece filtragem em nível de pacote.

Outra grande desvantagem do WFP é que ele não está disponível no Windows XP. Portanto, os desenvolvedores que quiserem oferecer suporte ao XP terão que executar dois projetos paralelos. No entanto, à medida que o XP sai do mercado, acho que o WFP se tornará mais popular entre os desenvolvedores.

A partir do Server 2008 e do Vista, o mecanismo WFP foi integrado ao Windows,
que é um conjunto de APIs e serviços de sistema. Com sua ajuda tornou-se possível
negar e permitir conexões, gerenciar pacotes individuais. Esses
as inovações pretendiam simplificar a vida dos desenvolvedores de vários
proteção As mudanças feitas na arquitetura de rede afetaram tanto o modo kernel quanto
e partes do modo de usuário do sistema. No primeiro caso, as funções necessárias são exportadas
fwpkclnt.sys, no segundo - fwpuclnt.dll (as letras "k" e "u" nos nomes das bibliotecas
representam kernel e usuário respectivamente). Neste artigo falaremos sobre o aplicativo
WFP para interceptar e filtrar o tráfego, e depois de se familiarizar com os princípios básicos
Usando as definições e capacidades do WFP, escreveremos nosso próprio filtro simples.

Conceitos Básicos

Antes de começarmos a codificar, é absolutamente necessário que nos familiarizemos com a terminologia
Microsoft - e literatura adicional será útil para a compreensão do artigo
Será mais fácil de ler :). Então, vamos lá.

Classificação- o processo de determinação do que fazer com um pacote.
Ações possíveis: permitir, bloquear ou chamar.

Chamadasé um conjunto de funções no driver que realizam inspeção
pacotes. Eles possuem uma função especial que realiza a classificação de pacotes. Esse
a função pode decidir o seguinte:

• permitir(FWP_ACTION_PERMIT);
• bloco(FWP_ACTION_BLOCK);
• continuar o processamento;
• solicitar mais dados;
• encerrar a conexão.

Filtros- regras que indicam em que casos é chamado
esta ou aquela frase de destaque. Um driver pode ter vários callouts e
Desenvolveremos um driver com texto explicativo neste artigo. A propósito, colautas
Existem também alguns integrados, por exemplo, callout NAT.

Camada- este é um sinal pelo qual vários filtros são combinados (ou,
como se costuma dizer no MSDN, "contêiner").

Para dizer a verdade, a documentação da Microsoft parece pouco clara, até agora
você não pode ver os exemplos no WDK. Portanto, se de repente você decidir desenvolver algo
sério, você definitivamente precisa se familiarizar com eles. Bem, está tranquilo agora
Vamos passar à prática. Para uma compilação e testes bem-sucedidos, você precisará do WDK (Windows
Kit de driver), VMware, máquina virtual com o Vista instalado e o depurador WinDbg.
Quanto ao WDK, eu pessoalmente tenho a versão 7600.16385.0 instalada - está tudo lá
bibliotecas necessárias (já que iremos desenvolver um driver, só precisamos
fwpkclnt.lib e ntoskrnl.lib) e exemplos de uso do WFP. Links para todos
As ferramentas já foram apresentadas diversas vezes, por isso não as repetiremos.

Codificação

Para inicializar o texto explicativo, escrevi a função BlInitialize. Algoritmo geral
criar uma chamada e adicionar um filtro é assim:

1. FWPMENGINEOPEN0 abre uma sessão;
2. FWPMTRANSACTIONBEGIN0- início da operação com o PAM;
3. FWPSCALLOUTREGISTER0- criando um novo texto explicativo;
4. FWPMCALLOUTADD0- adicionar um objeto callout ao sistema;
5. FWPMFILTERADD0- adicionar novos filtros;
6. FWPMTRANSACTIONCOMMIT0- salvar alterações (adicionado
   filtros).

Observe que as funções terminam em 0. No Windows 7, algumas destas
funções foram alteradas, por exemplo, FwpsCalloutRegister1 apareceu (com
salvo por FwpsCalloutRegister0). Eles diferem em argumentos e, como consequência,
protótipos de classificação de funções, mas para nós isso não é importante agora - funções 0
universal.

FwpmEngineOpen0 e FwpmTransactionBegin0 não são particularmente interessantes para nós - são
fase preparatória. A diversão começa com a função
FwpsCalloutRegister0:

Protótipo FwpsCalloutRegister0

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 * texto explicativo,
__out_opt UINT32 *calloutId
);

Eu já falei que callout é um conjunto de funções, agora é a hora
conte-nos mais sobre isso. A estrutura FWPS_CALLOUT0 contém ponteiros para três
funções - classificação (classifyFn) e duas notificações (sobre
adicionando/removendo um filtro (notifyFn) e fechando o fluxo processado (flowDeleteFn)).
As duas primeiras funções são obrigatórias, a última só é necessária se
você deseja monitorar os próprios pacotes, não apenas as conexões. Também na estrutura
contém um identificador exclusivo, callout GUID (calloutKey).

Código de registro de chamada

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
//função de classificação
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
//função notificando sobre adição/remoção de um filtro
// cria uma nova chamada
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

DWORD WINAPI FwpmCalloutAdd0 (
__in HANDLE motorHandle,
__in const FWPM_CALLOUT0 * texto explicativo,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
estrutura typedef FWPM_CALLOUT0_ (
Chamada GUIDKey;
FWPM_DISPLAY_DATA0 displayData; // descrição da frase de destaque
Sinalizadores UINT32;
GUID *providerKey;
FWP_BYTE_BLOB provedorDados;
GUID aplicávelCamada;
UINT32 calloutId;
) FWPM_CALLOUT0;

Na estrutura FWPM_CALLOUT0 estamos interessados ​​no campo applyLayer - único
ID do nível ao qual a chamada é adicionada. No nosso caso é
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" no nome do identificador significa versão
Protocolo Ipv4, também existe FWPM_LAYER_ALE_AUTH_CONNECT_V6 para Ipv6. Considerando
baixa prevalência do IPv6 no momento, trabalharemos apenas com
IPv4. CONNECT no nome significa que controlamos apenas a instalação
conexões, não se fala em pacotes entrando ou saindo para este endereço! De forma alguma
Existem muitos níveis além daquele que usamos - eles são declarados no arquivo de cabeçalho
fwpmk.h do WDK.

Adicionando um objeto de texto explicativo ao sistema

//nome da chamada
displayData.name = L"Chamada do bloqueador";
displayData.description = L"Chamada do bloqueador";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// descrição da frase de destaque
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Portanto, depois que o texto explicativo for adicionado com sucesso ao sistema, você precisará criar
filtro, ou seja, indicar em quais casos nosso callout será chamado, ou seja,
- sua função classificadora. Um novo filtro é criado pela função FwpmFilterAdd0,
que passa a estrutura FWPM_FILTER0 como argumento.

FWPM_FILTER0 possui uma ou mais estruturas FWPM_FILTER_CONDITION0 (seus
o número é determinado pelo campo numFilterConditions). O campo layerKey é preenchido com um GUID
a camada que queremos juntar. EM nesse caso indicar
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Agora vamos dar uma olhada mais de perto no preenchimento de FWPM_FILTER_CONDITION0. Em primeiro lugar, em
fieldKey deve ser especificado explicitamente sobre o que queremos controlar - porta, endereço,
aplicativo ou outra coisa. Neste caso, WPM_CONDITION_IP_REMOTE_ADDRESS
indica ao sistema que estamos interessados ​​no endereço IP. O valor fieldKey determina se
que tipo de valores estarão na estrutura FWP_CONDITION_VALUE incluída em
FWPM_FILTER_CONDITION0. Neste caso, contém o endereço ipv4. Vamos
avançar. O campo matchType determina como será feita a comparação
valores em FWP_CONDITION_VALUE com o que veio pela rede. Existem muitas opções aqui:
você pode especificar FWP_MATCH_EQUAL, o que significará total conformidade com a condição, e
você pode - FWP_MATCH_NOT_EQUAL, ou seja, na verdade, podemos adicionar isso
excluindo assim a filtragem (endereço cuja conexão não é monitorada).
Existem também as opções FWP_MATCH_GREATER, FWP_MATCH_LESS e outras (ver enum
FWP_MATCH_TYPE). Neste caso, temos FWP_MATCH_EQUAL.

Não me preocupei muito e apenas escrevi uma condição para bloqueio
um endereço IP selecionado. Caso algum aplicativo tente
estabelecer uma conexão com o endereço selecionado, o classificador será chamado
nossa função de texto explicativo. Você pode ver o código resumindo o que foi dito em
Consulte a barra lateral "Adicionando um filtro ao sistema".

Adicionando um filtro ao sistema

filtro.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Chamada do bloqueador";
filter.displayData.description = L"Chamada do bloqueador";
filter.action.type=FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
//uma condição de filtro
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filtro.peso.type = FWP_EMPTY; //peso automático.
//adiciona um filtro ao endereço remoto
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
//adiciona um filtro
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);

Em geral, é claro, pode haver muitas condições de filtragem. Por exemplo, você pode
especificar o bloqueio de conexões para uma porta remota ou local específica (FWPM_CONDITION_IP_REMOTE_PORT
e FWPM_CONDITION_IP_LOCAL_PORT respectivamente). Você pode pegar todos os pacotes
um protocolo específico ou uma aplicação específica. E isso não é tudo! Pode,
por exemplo, bloqueie o tráfego de um usuário específico. Em geral, é onde
dar um passeio.

No entanto, voltemos ao filtro. A função de classificação no nosso caso é simplesmente
bloqueia a conexão com o endereço especificado (BLOCKED_IP_ADDRESS), retornando
FWP_ACTION_BLOCK:

Código da nossa função de classificação

void BlClassify(
const FWPS_INCOMING_VALUES* emFixedValues,
const FWPS_INCOMING_METADATA_VALUES* inMetaValues,
Pacote VOID*, filtro IN const FWPS_FILTER*,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// preenche a estrutura FWPS_CLASSIFY_OUT0
if(classifyOut)( // bloqueia o pacote
classificarOut->actionType =
FWP_ACTION_BLOCK;
// ao bloquear um pacote que você precisa
redefinir FWPS_RIGHT_ACTION_WRITE
classifyOut->direitos&=~FWPS_RIGHT_ACTION_WRITE;
}
}

Na prática, a função de classificação também pode definir FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE, etc.

E por fim, ao descarregar o driver, é necessário remover todos os instalados
textos explicativos (adivinhe o que acontecerá se o sistema tentar chamar o texto explicativo
driver descarregado? Isso mesmo, BSOD). Existe uma função para isso
FwpsCalloutUnregisterById. Um número de 32 bits é passado para ele como parâmetro.
identificador de texto explicativo retornado pela função FwpsCalloutRegister.

Encerrando uma chamada

NTSTATUS BlUninitialize())(
NTSTATUSns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
retornar ns;
}

Como você pode ver, programar um filtro WFP não é uma tarefa tão difícil, pois
A MS nos forneceu uma API muito conveniente. Aliás, no nosso caso instalamos
filter no driver, mas isso também pode ser feito a partir do usermod! Por exemplo, amostra do wdk
msnmntr (monitor de tráfego do MSN Messenger) faz exatamente isso - isso permite que você não
sobrecarregar a parte do modo kernel do filtro.

Seu GUID

Para registrar um callout, ele precisa de um identificador exclusivo. A fim de
obtenha seu GUID (identificador global exclusivo), use guidgen.exe incluído
no Visual Studio. A ferramenta está localizada em (VS_Path)\Common7\Tools. Probabilidade de colisão
é muito pequeno, pois o comprimento do GUID é de 128 bits e há 2 ^ 128 disponíveis no total
identificadores.

Depurando o filtro

Para depurar lenha, é conveniente usar a combinação Windbg+VmWare. Para isso você precisa
configure o sistema convidado (que é o Vista) e o depurador
WinDbg. Se no WinXP você teve que editar boot.ini para depuração remota, então
Para o Vista+ existe um utilitário de console chamado bcdedit. Como de costume, você precisa habilitar a depuração:

BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ON (ou BCDedit /set debug ON)

Agora está tudo pronto! Lançamos um arquivo em lote com o texto abaixo:

inicie windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

e veja a saída de depuração na janela windbg (veja a imagem).

Conclusão

Como você pode ver, o escopo do PMA é bastante amplo. Cabe a você decidir como
aplique esse conhecimento - para o mal ou para o bem :)

Snap-in do console de gerenciamento do sistema operacional (MMC) Windows Vista™ é um firewall de estado de rede para estações de trabalho que filtra conexões de entrada e saída de acordo com configurações especificadas. Agora você pode definir configurações de firewall e IPsec usando um snap-in. Este artigo descreve como o Firewall do Windows funciona em maior segurança, problemas típicos e meios de resolvê-los.

Como funciona o Firewall do Windows com Segurança Avançada

Firewall do Windows no modo de segurança aprimorada, é um firewall que registra o estado da rede das estações de trabalho. Ao contrário dos firewalls de roteador, que são implantados no gateway entre a rede local e a Internet, o Firewall do Windows foi projetado para ser executado em computadores individuais. Ele monitora apenas o tráfego da estação de trabalho: o tráfego que chega ao endereço IP desse computador e o tráfego que sai do próprio computador. O Firewall do Windows com Segurança Avançada executa as seguintes operações básicas:

O pacote recebido é verificado e comparado com a lista de tráfego permitido. Se o pacote corresponder a um dos valores da lista, o Firewall do Windows passará o pacote para TCP/IP para processamento adicional. Se o pacote não corresponder a nenhum dos valores da lista, o Firewall do Windows bloqueará o pacote e, se o registro estiver habilitado, criará uma entrada no arquivo de log.

A lista de tráfego permitido é formada de duas maneiras:

Quando uma conexão controlada pelo Firewall do Windows com Segurança Avançada envia um pacote, o firewall cria um valor na lista para permitir que o tráfego de retorno seja aceito. O tráfego de entrada relevante exigirá permissão adicional.

Quando você cria uma regra de permissão para o Firewall do Windows com Segurança Avançada, o tráfego para o qual você criou a regra será permitido em um computador que esteja executando o Firewall do Windows. Este computador aceitará tráfego de entrada explicitamente permitido nos modos de servidor, computador cliente ou nó de rede peer.

O primeiro passo para resolver problemas com o Firewall do Windows é verificar qual perfil está ativo. O Firewall do Windows com Segurança Avançada é um aplicativo que monitora seu ambiente de rede. O perfil do Firewall do Windows muda quando você altera ambiente de rede. Um perfil é um conjunto de configurações e regras aplicadas dependendo do ambiente de rede e do ambiente atual. conexões de rede.

O firewall distingue entre três tipos de ambientes de rede: domínio, redes públicas e privadas. Um domínio é um ambiente de rede no qual as conexões são autenticadas por um controlador de domínio. Por padrão, todos os outros tipos de conexão de rede são tratados como redes públicas. Quando um novo é descoberto Conexões do Windows O Vista solicita que o usuário indique se esta rede privado ou público. O perfil geral destina-se à utilização em locais públicos, como aeroportos ou cafés. O perfil privado destina-se à utilização em casa ou no escritório, bem como numa rede segura. Para definir uma rede como privada, o usuário deve ter privilégios administrativos apropriados.

Embora o computador possa ser conectado a redes simultaneamente tipos diferentes, apenas um perfil poderá estar ativo. A escolha do perfil ativo depende dos seguintes motivos:

Se todas as interfaces usarem autenticação de controlador de domínio, o perfil de domínio será usado.

Se pelo menos uma das interfaces estiver conectada rede privada, e todos os outros - para o domínio ou para redes privadas, é utilizado um perfil privado.

Em todos os outros casos, é utilizado o perfil geral.

Para determinar o perfil ativo, clique no nó Observação num piscar de olhos Firewall do Windows com segurança avançada. Acima do texto Status do firewall indicará qual perfil está ativo. Por exemplo, se um perfil de domínio estiver ativo, ele será exibido na parte superior O perfil do domínio está ativo.

Ao usar perfis, o Firewall do Windows pode permitir automaticamente o tráfego de entrada para ferramentas específicas de gerenciamento de computador quando o computador estiver em um domínio e bloquear o mesmo tráfego quando o computador estiver conectado a uma rede pública ou privada. Assim, determinar o tipo de ambiente de rede protege seu rede local sem comprometer a segurança dos usuários móveis.

Problemas comuns ao executar o Firewall do Windows com Segurança Avançada

A seguir estão os principais problemas que ocorrem quando o Firewall do Windows com Segurança Avançada está em execução:

Caso o tráfego seja bloqueado, você deve primeiro verificar se o firewall está habilitado e qual perfil está ativo. Se algum dos aplicativos estiver bloqueado, certifique-se de que o snap-in Firewall do Windows com segurança avançada existe uma regra de permissão ativa para perfil atual. Para verificar se existe uma regra de permissão, clique duas vezes no nó Observação e selecione a seção Firewall. Se não houver regras de permissão ativas para este programa, acesse o site e crie uma nova regra para este programa. Crie uma regra para um programa ou serviço ou especifique um grupo de regras que se aplique a esse recurso e certifique-se de que todas as regras desse grupo estejam habilitadas.

Para verificar se uma regra de permissão não foi substituída por uma regra de bloqueio, siga estas etapas:

Na árvore instantânea Firewall do Windows com segurança avançada clique no nó Observação e selecione a seção Firewall.

Veja uma lista de todos os locais ativos e política de grupo. As regras de proibição substituem as regras de permissão, mesmo que estas sejam definidas com mais precisão.

A Política de Grupo impede a aplicação de regras locais

Se o Firewall do Windows com Segurança Avançada for configurado usando a Política de Grupo, o administrador poderá especificar se as regras de firewall ou as regras de segurança de conexão criadas pelo administradores locais. Isso faz sentido se houver regras de firewall locais ou regras de segurança de conexão configuradas que não estejam na seção de configurações correspondente.

Para determinar por que as regras de firewall locais ou regras de segurança de conexão estão faltando na seção Monitoramento, siga estas etapas:

Na hora Firewall do Windows com segurança avançada, clique no link Propriedades do Firewall do Windows.

Selecione a guia do perfil ativo.

Na seção Opções, pressione o botão Sintonia.

Se as regras locais se aplicarem, seção Combinando regras estará ativo.

Regras que exigem conexões seguras podem bloquear o tráfego

Ao criar uma regra de firewall para tráfego de entrada ou saída, um dos parâmetros é . Se selecionado esta função, você deverá ter uma regra de segurança de conexão apropriada ou uma política IPSec separada que determine qual tráfego é seguro. EM de outra forma esse tráfego está bloqueado.

Para verificar se uma ou mais regras de aplicação exigem conexões seguras, siga estas etapas:

Na árvore instantânea Firewall do Windows com segurança avançada seção de clique Regras para conexões de entrada. Selecione a regra que deseja verificar e clique no link Propriedades no escopo do console.

Selecione uma guia Em geral e verifique se o valor do botão de opção está selecionado Permitir apenas conexões seguras.

Se a regra for especificada com o parâmetro Permitir apenas conexões seguras, expanda a seção Observação na árvore de snap-in e selecione a seção. Certifique-se de que o tráfego definido na regra de firewall tenha regras de segurança de conexão apropriadas.

Aviso:

Se você tiver uma política IPSec ativa, certifique-se de que a política proteja o tráfego necessário. Não crie regras de segurança de conexão para evitar conflitos entre políticas IPSec e regras de segurança de conexão.

Não é possível permitir conexões de saída

Na árvore instantânea Firewall do Windows com segurança avançada selecione a seção Observação. Selecione a guia do perfil ativo e na seção Status do firewall verifique se as conexões de saída que não se enquadram na regra de permissão são permitidas.

Na seção Observação selecione a seção Firewall para garantir que as conexões de saída necessárias não sejam especificadas nas regras de negação.

Políticas mistas podem levar ao bloqueio de tráfego

Você pode definir configurações de firewall e IPSec usando várias interfaces do Windows.

A criação de políticas em vários locais pode levar a conflitos e bloqueio de tráfego. Os seguintes pontos de configuração estão disponíveis:

Firewall do Windows com Segurança Avançada. Esta política é configurada usando o snap-in apropriado localmente ou como parte da Política de Grupo. Esta política define configurações de firewall e IPSec em computadores que executam o Windows Vista.

Modelo administrativo do Firewall do Windows. Esta política é configurada usando o Editor de Objeto de Política de Grupo na seção. Esta interface contém configurações do Firewall do Windows que estavam disponíveis antes surgimento do Windows Vista, e foi projetado para configurar um Objeto de Política de Grupo que controla versões anteriores Windows. Embora esses parâmetros possam ser usados ​​para computadores executando Controle de janelas Vista, é recomendado usar a política Firewall do Windows com segurança avançada, pois proporciona maior flexibilidade e segurança. Observe que algumas das configurações do perfil de domínio são comuns ao modelo administrativo e à política do Firewall do Windows Firewall do Windows com segurança avançada, então você pode ver aqui os parâmetros configurados no perfil do domínio usando o snap-in Firewall do Windows com segurança avançada.

Políticas IPSec. Esta política é configurada usando o snap-in local Gerenciamento de políticas IPSec ou o Editor de Objeto de Política de Grupo na seção Configuração do Computador\Configuração do Windows\Configurações de Segurança\Políticas de Segurança IP em “Computador Local”. Esta política define configurações IPSec que podem ser usadas por versões anteriores do Windows e pelo Windows Vista. Não deve ser usado simultaneamente no mesmo computador esta política e regras de segurança de conexão definidas na política Firewall do Windows com segurança avançada.

Para visualizar todas essas opções nos snap-ins apropriados, crie seu próprio snap-in do Management Console e adicione os snap-ins a ele Firewall do Windows com segurança avançada, E Segurança IP.

Para criar seu próprio snap-in do console de gerenciamento, siga estas etapas:

Clique no botão Começar, vá para o menu Todos os programas, depois para o menu Padrão e selecione Executar.

Em um campo de texto Abrir DIGITAR.

Continuar.

No cardápio Console selecione o item.

Na lista Acessórios disponíveis selecione o equipamento Firewall do Windows com segurança avançada e pressione o botão Adicionar.

Clique no botão OK.

Repita as etapas 1 a 6 para adicionar snaps Controlar política de grupo E Monitor de segurança IP.

Para verificar quais políticas estão ativas em um perfil ativo, utilize o seguinte procedimento:

Para verificar quais políticas são aplicadas, siga estas etapas:

EM linha de comando digite mmc e pressione a tecla DIGITAR.

Se a caixa de diálogo Controle de conta de usuário aparecer, confirme a ação solicitada e clique em Continuar.

No cardápio Console selecione o item Adicionar ou remover um snap-in.

Na lista Acessórios disponíveis selecione o equipamento Gerenciamento de Política de Grupo e pressione o botão Adicionar.

Clique no botão OK.

Expanda um nó na árvore (geralmente a árvore da floresta na qual o este computador) e clique duas vezes na seção no painel de detalhes do console.

Selecione o valor do botão de opção Mostrar configurações de política para de valores usuário atual ou outro usuário. Se você não quiser exibir configurações de política para usuários, mas apenas configurações de política para o computador, selecione o botão de opção Não exibir a política do usuário (apenas visualizar a política do computador) e pressione o botão duas vezes Próximo.

Clique no botão Preparar. O Assistente de Resultados de Política de Grupo gera um relatório no painel de detalhes do console. O relatório contém guias Resumo, Opções E Eventos políticos.

Para verificar se não há conflito com as políticas de segurança IP, após gerar o relatório, selecione a aba Opções e abra Configuração do Computador\Configuração do Windows\Configurações de Segurança\Configurações de Segurança IP no serviço de diretório Diretório Ativo. Se a última seção estiver faltando, a política de segurança IP não foi definida. Caso contrário, serão exibidos o nome e a descrição da política e do GPO ao qual ela pertence. Se você usar uma política de segurança IP e uma política de Firewall do Windows com Segurança Avançada ao mesmo tempo com regras de segurança de conexão, essas políticas poderão entrar em conflito. Recomenda-se usar apenas uma dessas políticas. A solução ideal usará políticas de segurança IP junto com o Firewall do Windows com regras de segurança avançada para tráfego de entrada ou saída. Se os parâmetros forem configurados em locais diferentes e não forem consistentes entre si, poderão surgir conflitos de política difíceis de resolver.

Também pode haver conflitos entre políticas definidas em objetos de política de grupo locais e scripts configurados pelo departamento de TI. Verifique todas as políticas de segurança IP usando o programa IP Security Monitor ou digitando o seguinte comando no prompt de comando:

Para visualizar as configurações definidas no Modelo Administrativo do Firewall do Windows, expanda a seção Configuração do Computador\Modelos Administrativos\Rede\Conexões de Rede\Firewall do Windows.

Para visualizar os últimos eventos relacionados à política atual, você pode acessar a guia Eventos de política no mesmo console.

Para visualizar a política usada pelo Firewall do Windows com Segurança Avançada, abra o snap-in no computador que você está diagnosticando e revise as configurações em Observação.

Para visualizar modelos administrativos, abra o snap-in Política de Grupo e na seção Resultados da Política de Grupo Revise se há configurações herdadas da Política de Grupo que possam fazer com que o tráfego seja rejeitado.

Para visualizar as políticas de segurança IP, abra o snap-in Monitor de segurança IP. Selecione o computador local na árvore. No escopo do console, selecione o link Política ativa, Modo básico ou Modo rápido . Verifique se há políticas concorrentes que podem resultar no bloqueio do tráfego.

Na seção Observação aparelhamento Firewall do Windows com segurança avançada Você pode visualizar as regras existentes para políticas locais e de grupo. Para receber Informações adicionais consulte a seção " Usando o recurso de relógio em um snap-in Firewall do Windows com segurança avançada » deste documento.

Para parar o Agente de Política IPSec, siga estas etapas:

Clique no botão Começar e selecione uma seção Painel de controle.

Clique no ícone Sistema e sua manutenção e selecione uma seção Administração.

Clique duas vezes no ícone Serviços. Continuar.

Encontre um serviço na lista Agente de política IPSec

Se o serviço Agente IPSec está em execução, clique nele clique com o botão direito mouse e selecione o item de menu Parar. Você também pode interromper o serviço Agente IPSec na linha de comando usando o comando

A política ponto a ponto pode fazer com que o tráfego seja rejeitado

Para conexões que utilizam IPSec, ambos os computadores devem ter políticas de segurança IP compatíveis. Essas políticas podem ser definidas usando o snap-in de regras de segurança de conexão do Firewall do Windows Segurança IP ou outro provedor de segurança IP.

Para verificar as configurações da política de segurança IP em uma rede ponto a ponto, siga estas etapas:

Na hora Firewall do Windows com segurança avançada selecione o nó Observação E Regras de segurança de conexão para garantir que a política de segurança IP esteja configurada em ambos os nós da rede.

Se um dos computadores na rede ponto a ponto estiver executando um sistema mais antigo Versões do Windows que o Windows Vista, certifique-se de que pelo menos um dos conjuntos de criptografia de modo nativo e um dos conjuntos de criptografia de modo rápido usem algoritmos suportados por ambos os nós.

1. Clique na seção Modo básico, no painel de detalhes do console, selecione a conexão a ser testada e clique no link Propriedades no escopo do console. Revise as propriedades de conexão de ambos os nós para garantir que sejam compatíveis.

   Repita o passo 2.1 para a partição Modo rápido. Revise as propriedades de conexão de ambos os nós para garantir que sejam compatíveis.

Se você estiver usando a autenticação Kerberos versão 5, certifique-se de que o host esteja no mesmo domínio ou em um domínio confiável.

Se você estiver usando certificados, certifique-se de que as caixas obrigatórias estejam marcadas. Para certificados que usam IPSec do Internet Key Exchange (IKE), você deve assinatura digital. Os certificados que usam o Protocolo de Internet Autenticado (AuthIP) exigem autenticação do cliente (dependendo do tipo de autenticação do servidor). Para obter mais informações sobre certificados AuthIP, consulte o artigo Autenticação IP no Windows Vista AuthIP no Windows Vista no site da Microsoft.

O Firewall do Windows com Segurança Avançada não pode ser configurado

As configurações do Firewall do Windows com Segurança Avançada ficam esmaecidas (esmaecidas) nos seguintes casos:

O computador está conectado a uma rede gerenciada centralmente e o administrador da rede usa a Política de Grupo para configurar o Firewall do Windows com configurações de Segurança Avançada. Neste caso, na parte superior do snap Firewall do Windows com segurança avançada Você verá a mensagem "Algumas configurações são controladas pela Política de Grupo". O administrador da rede configura a política, evitando assim que você altere as configurações do Firewall do Windows.

Um computador que executa o Windows Vista não está conectado a uma rede gerenciada centralmente, mas as configurações do Firewall do Windows são determinadas pela Política de Grupo local.

Para alterar as configurações do Firewall do Windows com Segurança Avançada usando a Política de Grupo Local, use o snap-in Política de Computador Local. Para abrir este snap-in, digite secpol no prompt de comando. Se a caixa de diálogo Controle de conta de usuário aparecer, confirme a ação solicitada e clique em Continuar. Vá para Configuração do Computador\Configurações do Windows\Configurações de Segurança\Firewall do Windows com Segurança Avançada para configurar o Firewall do Windows com configurações de política de Segurança Avançada.

O computador não responde às solicitações de ping

A principal forma de testar a conectividade entre computadores é usar o utilitário Ping para testar a conectividade com um endereço IP específico. Durante um ping, uma mensagem de eco ICMP (também conhecida como solicitação de eco ICMP) é enviada e uma resposta de eco ICMP é solicitada em troca. Por padrão, o Firewall do Windows rejeita mensagens de eco ICMP recebidas, portanto o computador não pode enviar uma resposta de eco ICMP.

Permitir a entrada de mensagens de eco ICMP permitirá que outros computadores façam ping no seu computador. Por outro lado, isso tornará o computador vulnerável a ataques que utilizam mensagens de eco ICMP. No entanto, é recomendado permitir temporariamente mensagens de eco ICMP recebidas, se necessário, e depois desativá-las.

Para permitir mensagens de eco ICMP, crie novas regras de entrada que permitam pacotes de solicitação de eco ICMPv4 e ICMPv6.

Para resolver solicitações de eco ICMPv4 e ICMPv6, siga estas etapas:

Na árvore instantânea Firewall do Windows com segurança avançada selecione o nó Regras para conexões de entrada e clique no link Nova regra na área de ação do console.

Personalizável e pressione o botão Próximo.

Especifique o valor da opção Todos os programas e pressione o botão Próximo.

Na lista suspensa Tipo de protocolo selecione o valor ICMPv4.

Clique no botão Sintonia para item Parâmetros do protocolo ICMP.

Defina o botão de opção para Tipos específicos de ICMP, marque a caixa Solicitação de eco, pressione o botão OK e pressione o botão Próximo.

Na fase de seleção dos endereços IP locais e remotos correspondentes esta regra, defina as chaves para valores Qualquer endereço IP ou Endereços IP especificados. Se você selecionar o valor Endereços IP especificados, especifique os endereços IP necessários, clique no botão Adicionar e pressione o botão Próximo.

Especifique o valor da opção Permitir conexão e pressione o botão Próximo.

Na fase de seleção do perfil, selecione um ou mais perfis (perfil de domínio, perfil privado ou perfil público) nos quais deseja utilizar esta regra e clique no botão Próximo.

No campo Nome digite o nome da regra e no campo Descrição– descrição opcional. Clique no botão Preparar.

Repita as etapas acima para o protocolo ICMPv6, selecionando Tipo de protocolo valor suspenso ICMPv6 em vez de ICMPv4.

Se você tiver regras de segurança de conexão ativas, excluir temporariamente o ICMP dos requisitos de IPsec poderá ajudar a resolver problemas. Para fazer isso, abra no snap Firewall do Windows com segurança avançada caixa de diálogo Propriedades, vá para a aba Configurações IPSec e especifique o valor na lista suspensa Sim para parâmetro Excluir ICMP do IPSec.

Observação

As configurações do Firewall do Windows só podem ser alteradas por administradores e operadores de rede.

Não é possível compartilhar arquivos e impressoras

Se você não consegue acesso geral para arquivos e impressoras em um computador com o Firewall do Windows ativo, certifique-se de que todas as regras de grupo estejam habilitadas Acesso a arquivos e impressoras Firewall do Windows com segurança avançada selecione o nó Regras para conexões de entrada Acesso a arquivos e impressoras Habilitar regra no escopo do console.

Atenção:

É altamente recomendável não ativar o compartilhamento de arquivos e impressoras em computadores conectados diretamente à Internet, pois os invasores podem tentar acessar arquivos compartilhados e prejudicá-lo, danificando seus arquivos pessoais.

O Firewall do Windows não pode ser administrado remotamente

Se você não conseguir administrar remotamente um computador com o Firewall do Windows ativo, certifique-se de que todas as regras do grupo padrão estejam habilitadas Gerenciamento remoto do Firewall do Windows perfil ativo. Na hora Firewall do Windows com segurança avançada selecione o nó Regras para conexões de entrada e role a lista de regras até o grupo Controle remoto. Certifique-se de que essas regras estejam habilitadas. Selecione cada uma das regras desabilitadas e clique no botão Habilitar regra no escopo do console. Além disso, certifique-se de que o serviço Agente de política IPSec esteja ativado. Este serviço é necessário para controle remoto Firewall do Windows.

Para verificar se o Agente de Política IPSec está em execução, siga estas etapas:

Clique no botão Começar e selecione uma seção Painel de controle.

Clique no ícone Sistema e sua manutenção e selecione uma seção Administração.

Clique duas vezes no ícone Serviços.

Se a caixa de diálogo Controle de conta de usuário for exibida, insira as informações de usuário necessárias com as permissões apropriadas e clique em Continuar.

Encontre um serviço na lista Agente de política IPSec e certifique-se de que ele tenha o status "Em execução".

Se o serviço Agente IPSec parado, clique com o botão direito sobre ele e selecione em menu de contexto parágrafo Lançar. Você também pode iniciar o serviço Agente IPSec na linha de comando usando o comando net start policy agent.

Observação

Serviço padrão Agente de política IPSec lançado. Este serviço deve estar em execução, a menos que tenha sido interrompido manualmente.

Solucionadores de problemas do Firewall do Windows

Esta seção descreve ferramentas e técnicas que podem ser usadas para resolver problemas comuns. Esta seção consiste nas seguintes subseções:

Use recursos de monitoramento no Firewall do Windows com Segurança Avançada

A primeira etapa para resolver os problemas do Firewall do Windows é revisar as regras atuais. Função Observação permite visualizar as regras usadas com base nas políticas locais e de grupo. Para visualizar as regras atuais de entrada e saída na árvore do snap-in Firewall do Windows com segurança avançada selecione a seção Observação e selecione a seção Firewall. Nesta seção você também pode visualizar regras de segurança de conexão E associações de segurança (modos Principal e Rápido).

Habilite e use a auditoria de segurança usando a ferramenta de linha de comando auditpol

Por padrão, as opções de auditoria estão desabilitadas. Para configurá-los, use a ferramenta de linha de comando auditpol.exe, que altera as configurações da política de auditoria no computador local. Auditpol pode ser usado para ativar ou desativar a exibição de diferentes categorias de eventos e visualizá-los posteriormente no snap-in Visualizador de eventos.

Para visualizar uma lista de categorias suportadas pelo auditpol, digite no prompt de comando:

• Para visualizar uma lista de subcategorias incluídas em uma determinada categoria (por exemplo, a categoria Alteração de política), digite na linha de comando:

  auditpol.exe /list /category:"Alterações na política"

• Para ativar a exibição de uma categoria ou subcategoria, digite na linha de comando:

  /Subcategoria:" NomeCategoria"

Por exemplo, para definir políticas de auditoria para uma categoria e sua subcategoria, digite o seguinte comando:

auditpol.exe /set /category:"Alterando política" /subcategory:"Alterando política no nível de regra MPSSVC" /success:enable /failure:enable

Mudança de política

Mudança de política no nível de regra MPSSVC

Alterando a política da plataforma de filtragem

Entrada/Saída

Modo Básico IPsec

Modo rápido IPsec

Modo aprimorado IPsec

Sistema

Driver IPSEC

Outros eventos do sistema

Acesso a objetos

Queda de pacotes por plataforma de filtragem

Conectando a plataforma de filtração

Para que as alterações na política de auditoria de segurança tenham efeito, você deve reiniciar o computador local ou forçar uma atualização manual da política. Para forçar uma atualização de política, digite no prompt de comando:

política de sigilo/atualização<название_политики>

Após a conclusão do diagnóstico, você pode desabilitar a auditoria de eventos substituindo o parâmetro enable nos comandos acima por desabilitar e executando os comandos novamente.

Exibir eventos de auditoria de segurança no log de eventos

Depois de habilitar a auditoria, use o Visualizador de Eventos para visualizar eventos de auditoria no Log de Eventos de Segurança.

Para abrir o Visualizador de Eventos na pasta Ferramentas Administrativas, siga estas etapas:

1. Clique no botão Começar.

   Selecione a seção Painel de controle. Clique no ícone Sistema e sua manutenção e selecione uma seção Administração.

   Clique duas vezes no ícone Visualizador de eventos.

Para adicionar o Visualizador de Eventos ao MMC, siga estas etapas:

Clique no botão Começar, vá para o menu Todos os programas, depois para o menu Padrão e selecione Executar.

Em um campo de texto Abrir digite mmc e pressione a tecla DIGITAR.

Se a caixa de diálogo Controle de conta de usuário aparecer, confirme a ação solicitada e clique em Continuar.

No cardápio Console selecione o item Adicionar ou remover um snap-in.

Na lista Acessórios disponíveis selecione o equipamento Visualizador de eventos e pressione o botão Adicionar.

Clique no botão OK.

Antes de fechar o snap-in, salve o console para uso futuro.

Na hora Visualizador de eventos expandir a seção Registros do Windows e selecione um nó Segurança. Na área de trabalho do console, você pode visualizar eventos de auditoria de segurança. Todos os eventos são exibidos na parte superior da área de trabalho do console. Clique em um evento na parte superior da área de trabalho do console para exibi-lo informações detalhadas na parte inferior do painel. Na aba Em geral Há uma descrição dos eventos em forma de texto não criptografado. Na aba Detalhes As seguintes opções de exibição de eventos estão disponíveis: Apresentação clara E Modo XML.

Configurar log de firewall para um perfil

Antes de poder visualizar os logs do firewall, você deve configurar o Firewall do Windows com Segurança Avançada para gerar arquivos de log.

Para configurar o log para um perfil do Firewall do Windows com Segurança Avançada, siga estas etapas:

Na árvore instantânea Firewall do Windows com segurança avançada selecione a seção Firewall do Windows com segurança avançada e pressione o botão Propriedades no escopo do console.

Selecione a guia do perfil para o qual deseja configurar o log (perfil de domínio, perfil privado ou perfil público) e clique em Sintonia na seção Registro.

Especifique o nome e o local do arquivo de log.

Especifique o tamanho máximo do arquivo de log (de 1 a 32.767 quilobytes)

Na lista suspensa Registrar pacotes perdidos insira o valor Sim.

Na lista suspensa Registre conexões bem-sucedidas insira o valor Sim e depois clique no botão OK.

Ver arquivos de log do firewall

Abra o arquivo especificado durante o procedimento anterior, “Configurando o log do firewall para um perfil”. Para acessar o log do firewall, você deve ter direitos de administrador local.

Você pode visualizar o arquivo de log usando o Bloco de Notas ou qualquer editor de texto.

Analisando arquivos de log do firewall

As informações registradas no log são mostradas na tabela a seguir. Alguns dados são especificados apenas para determinados protocolos (sinalizadores TCP, tipo e código ICMP, etc.) e alguns dados são especificados apenas para pacotes descartados (tamanho).

Observação

O hífen (-) é utilizado nos campos do registro atual que não contêm nenhuma informação.

Criando arquivos de texto netstat e tasklist

Você pode criar dois arquivos de log personalizados, um para visualizar estatísticas de rede (uma lista de todas as portas de escuta) e outro para visualizar listas de tarefas de serviços e aplicativos. A lista de tarefas contém o identificador de processo (PID) para eventos contidos no arquivo de estatísticas da rede. O procedimento para criação desses dois arquivos é descrito abaixo.

Para criar arquivos de texto estatísticas de rede e lista de tarefas, siga estas etapas:

No prompt de comando, digite netstat -ano > netstat.txt e pressione a tecla DIGITAR.

No prompt de comando, digite lista de tarefas > lista de tarefas.txt e pressione a tecla DIGITAR. Se você precisar criar um arquivo de texto com uma lista de serviços, digite lista de tarefas /svc > lista de tarefas.txt.

Abra os arquivos tasklist.txt e netstat.txt.

Encontre o código do processo que você está diagnosticando no arquivo tasklist.txt e compare-o com o valor contido no arquivo netstat.txt. Registre os protocolos usados.

Exemplo de emissão de arquivos Tasklist.txt e Netstat.txt

Netstat.txt
PID de estado de endereço estrangeiro de endereço proto local
TCP 0.0.0.0:XXX 0.0.0.0:0 ESCUTA 122
TCP 0.0.0.0:XXXX 0.0.0.0:0 ESCUTA 322
Lista de tarefas.txt
Nome da imagem Nome da sessão PID Session# Mem Usage
==================== ======== ================ =========== ============
svchost.exe 122 Serviços 0 7.172 K
XzzRpc.exe 322 Serviços 0 5.104 K

Observação

Os endereços IP reais são alterados para “X” e o serviço RPC é alterado para “z”.

Certifique-se de que os serviços essenciais estejam funcionando

Os seguintes serviços devem estar em execução:

Serviço básico de filtragem

Cliente de Política de Grupo

Módulos de chave IPsec para troca de chaves na Internet e autenticação IP

Serviço Auxiliar IP

Serviço de Agente de Política IPSec

Serviço de localização de rede

Serviço de lista de rede

Firewall do Windows

Para abrir o snap-in Serviços e verificar se os serviços necessários estão em execução, siga estas etapas:

Clique no botão Começar e selecione uma seção Painel de controle.

Clique no ícone Sistema e sua manutenção e selecione uma seção Administração.

Clique duas vezes no ícone Serviços.

Se a caixa de diálogo Controle de conta de usuário for exibida, insira as informações de usuário necessárias com as permissões apropriadas e clique em Continuar.

Certifique-se de que os serviços listados acima estejam em execução. Se um ou mais serviços não estiverem em execução, clique com o botão direito no nome do serviço na lista e selecione Lançar.

Maneira adicional de resolver problemas

Como último recurso, você pode restaurar as configurações do Firewall do Windows para os padrões. A restauração das configurações padrão perderá todas as configurações feitas após a instalação do Windows Vista. Isso pode fazer com que alguns programas parem de funcionar. Além disso, se você controlar o computador remotamente, a conexão com ele será perdida.

Antes de restaurar as configurações padrão, certifique-se de ter salvo a configuração atual do firewall. Isso permitirá que você restaure suas configurações, se necessário.

Abaixo estão as etapas para salvar a configuração do firewall e restaurar as configurações padrão.

Para salvar a configuração atual do firewall, siga estas etapas:

Na hora Firewall do Windows com segurança avançada clique no link Política de Exportação no escopo do console.

Para restaurar as configurações do firewall para o padrão, siga estas etapas:

Na hora Firewall do Windows com segurança avançada clique no link Restaurar padrões no escopo do console.

Ao receber um prompt do Firewall do Windows com Segurança Avançada, clique em Sim para restaurar os valores padrão.

Conclusão

Há muitas maneiras de diagnosticar e resolver problemas com o Firewall do Windows com Segurança Avançada. Entre eles:

Usando a função Observação para visualizar ações de firewall, regras de segurança de conexão e associações de segurança.

Analise eventos de auditoria de segurança relacionados ao Firewall do Windows.

Criando arquivos de texto lista de tarefas E netstat para análise comparativa.