Platforma e filtrimit të Windows lejoi lidhjen. Firewall i Windows me siguri të avancuar - Diagnostifikimi dhe zgjidhja e problemeve

Firewall i Windows (firewall ose firewall) nuk frymëzon respekt. I ndryshuar pak nga XP në Vista, ai e bën mirë punën e tij të thjeshtë, por i mungon ambicia për të qenë muri më i mirë i zjarrit personal. Sidoqoftë, përkundër faktit se muri i zjarrit i Windows 7 mori disa veçori të reja, ai ende nuk mori atë që prisja të shihja në të.

Mbërthyer me Grupi i shtëpisë

Gjatë instalimet e Windows 7 sugjeron krijimin e një "grupi shtëpiak". Ndërsa kompjuterët e tjerë Windows 7 zbulohen në rrjet, ata gjithashtu ftohen të bashkohen me grupin. Dhe gjithçka që u nevojitet për këtë është një fjalëkalim për të. Sidoqoftë, duke pasur një kompjuter me Windows 7, nuk e pashë procesin e hyrjes në një grup kompjuterësh të tjerë, megjithëse një njoftim për këtë nuk do të dëmtonte. Megjithatë, ndërsa çdo kompjuter me Windows 7 mund të bashkohet me një grup shtëpiak, kompjuterët që përdorin Windows 7 Home Basic dhe Windows 7 Starter nuk mund të krijojnë një të tillë.

Kompjuterët në të njëjtin grup shtëpiak mund të ndajnë (ose, siç thonë ata, "të ndajnë") printera dhe biblioteka specifike skedarësh. Si parazgjedhje, bibliotekat e fotografive, muzikës, videove dhe dokumenteve ndahen, por përdoruesi mund t'i kufizojë ato sipas gjykimit të tij. Ndihma në sistemin operativ jep shpjegime të qarta se si të përjashtoni një skedar ose dosje nga ndarja, ose si ta bëni atë vetëm për lexim, ose si të kufizoni aksesin në të.

Në të tijën rrjeti i shtëpisë përdoruesi mund të ndajë përmbajtjen e tij me kompjuterë dhe pajisje të tjera, madje edhe me kompjuterë që nuk përdorin Windows 7 dhe madje edhe me kompjuterë që nuk përdorin fare. Në veçanti, Microsoft tregoi shembuj se si mund të ndani përmbajtje në Xbox 360. Megjithatë, kompania nuk ofron lidhjen e Wii me rrjetin. Mjerisht, kompania nuk e kualifikoi Wii si një pajisje mediatike streaming.

Pra, sa më i sigurt është rrjeti juaj i shtëpisë në Windows 7? Në mënyrë tipike, përdoruesit që nuk arrijnë të ndajnë skedarë dhe dosje fillojnë të çaktivizojnë gjithçka rreth tyre, duke përfshirë filewall, antivirus, etj., Të cilat, sipas mendimit të tyre, mund të ndërhyjnë në këtë proces. Në të njëjtën kohë, nëse e bëni ndarjen të thjeshtë, atëherë mund të shmanget fikja e gjithçkaje rreth jush.

Nëse Vista ndan rrjetet në publike (Publike) dhe private (Private), atëherë Windows 7 ndahet rrjet privat në shtëpi (shtëpi) dhe punë (punë). HomeGroup ofrohet vetëm kur zgjidhni rrjetin tuaj të shtëpisë. Megjithatë, edhe në një rrjet pune, kompjuteri juaj mund të shikojë dhe të lidhet me pajisje të tjera në të. Nga ana tjetër, në një rrjet publik (si ai me valë në një kafene interneti), Windows 7 bllokon aksesin nga dhe nga ju në pajisje të tjera, për sigurinë tuaj. Kjo është një mundësi e vogël por e bukur.

Firewall me modalitet të dyfishtë

Në Vista dhe XP, menaxhimi i mureve të zjarrit zbret në ndezje e thjeshtë dhe mbyllje. Në të njëjtën kohë koha e Windows 7 i ofron përdoruesit cilësime të ndryshme konfigurimi për rrjetet private (shtëpi dhe punë) dhe publike. Në të njëjtën kohë, përdoruesi nuk ka nevojë të hyjë në cilësimet e murit të zjarrit për të punuar, të themi, në një kafene lokale. Gjithçka që ai duhet të bëjë është të zgjedhë një rrjet publik dhe vetë muri i zjarrit do të zbatojë të gjithë grupin e parametrave kufizues. Me shumë mundësi, përdoruesit do të konfigurojnë rrjetin publik për të bllokuar të gjitha lidhjet hyrëse. Në Vista, kjo nuk mund të bëhej pa ndërprerë gjithashtu të gjithë trafikun në hyrje në rrjetin e vetë përdoruesit.

Disa përdorues nuk e kuptojnë pse nevojitet një mur zjarri. Nëse UAC funksionon, a nuk është një mur zjarri i tepruar? Në realitet, këto programe kanë qëllime krejtësisht të ndryshme. UAC monitoron programet dhe mënyrën se si ato funksionojnë brenda sistemi lokal. Firewall shikon nga afër të dhënat hyrëse dhe dalëse. Nëse i imagjinoni këto dy programe si dy heronj që qëndrojnë krah për krah dhe zmbrapsin sulmet e zombive, atëherë, mund të thuhet, vështirë se mund të gaboni.

Në fillim u intrigova mundësi e re"Më njoftoni kur Windows Firewall bllokohet program i ri" A është kjo një shenjë që Windows Firewall ka fituar kontrollin mbi programet dhe është bërë një mur i vërtetë i zjarrit me dy drejtime? Unë u konsumova nga dëshira për të çaktivizuar këtë funksion. Dhe si rezultat, Windows Firewall nuk mori më shumë respekt sesa kishte.

Kanë kaluar dhjetë vjet që kur ZoneLabs popullarizoi murin e zjarrit personal të dyanshëm. Programi i saj ZoneAlarm fshehu të gjitha portat e kompjuterit (të cilat Windows Firewall mund ta bëjë) dhe gjithashtu ju lejoi të kontrolloni aksesin e programeve në internet (gjë që Windows Firewall ende nuk mund ta bëjë). Unë nuk kërkoj monitorim inteligjent të sjelljes së programit, si në Norton Siguria në Internet 2010 dhe në paketa të tjera. Por shpresoj që me lëshimin e Windows 8, Microsoft megjithatë do të prezantojë një sërë aftësish të ZoneAlarm dhjetëvjeçar në murin e tij të zjarrit.

Microsoft është i vetëdijshëm se shumë përdorues instalojnë mure mbrojtëse dhe paketa sigurie të palëve të treta dhe thjesht çaktivizojnë Windows Firewall. Në të kaluarën, shumë programe sigurie të palëve të treta çaktivizuan automatikisht Windows Firewall-in për të shmangur konfliktet. Në Windows 7, Microsoft e bëri këtë vetë. Kur instalon një mur zjarri të njohur për të, sistemi operativ çaktivizon murin e tij të zjarrit të integruar dhe raporton se "cilësimet e murit të zjarrit kontrollohen nga një program i tillë nga një prodhues i tillë".

Pavarësisht nëse e përdorni apo jo, Windows Firewall është i pranishëm në çdo Windows 7, me një integrim të fortë me sistemi operativ. Pra, a nuk do të ishte më mirë nëse aplikacionet e sigurisë së palëve të treta mund të përdorin skedarin e Windows për qëllimet e tyre? Kjo është ideja e një ndërfaqe programimi të quajtur Platforma e Filtrimit të Windows. Por a do ta përdorin zhvilluesit? Më shumë për këtë në pjesën tjetër.

Siguria e Windows 7: Platforma e Filtrimit të Windows

Firewall-et duhet të punojnë me Windows 7 në një nivel shumë të ulët, të cilin programuesit e Microsoft-it absolutisht e urrejnë. Disa teknologji të Microsoft, si PatchGuard, janë të pranishme në 64-bit botimet e Windows 7 (Windows 7 64-bit ka një sërë avantazhesh sigurie mbi Windows 7 32-bit), bllokon sulmuesit dhe gjithashtu mbron kernelin nga qasja në të. Megjithatë, Microsoft nuk ofron të njëjtin nivel sigurie si programet e palëve të treta. Pra, çfarë të bëni?

Zgjidhja për këtë problem është Platforma e Filtrimit të Windows (WFP). Kjo e fundit, sipas Microsoft, lejon që muret e zjarrit të palëve të treta të bazohen në çelës Aftësitë e Windows Firewall - ju lejon të shtoni aftësi të personalizuara në to dhe të aktivizoni dhe çaktivizoni në mënyrë selektive pjesë të Firewall-it të Windows. Si rezultat, përdoruesi mund të zgjedhë një mur zjarri që do të bashkëjetojë me murin e zjarrit të Windows.

Por sa i dobishëm është me të vërtetë për zhvilluesit e softuerëve të sigurisë? A do ta përdorin? Pyeta disa njerëz dhe mora një mori përgjigjesh.

BitDefender LLC

Menaxheri i zhvillimit të produktit, Iulian Costache tha se kompania e tij aktualisht po përdor këtë platformë në Windows 7. Megjithatë, ata kanë hasur në rrjedhje të konsiderueshme të memories. Gabimi është në anën e Microsoft-it, të cilin gjigandi më i madh i softuerit tashmë e ka konfirmuar. Megjithatë, Juliani nuk e di se kur do të zgjidhet. Ndërkohë, ato janë zëvendësuar përkohësisht shofer i ri WFP në TDI të vjetër.

Check Point Software Technologies Ltd

Menaxherja e PR-së e Check Point Software Technologies Ltd Mirka Janus tha se kompania e tij ka përdorur WFP që nga Vista. Ata përdorin gjithashtu platformën nën Windows 7. Është një ndërfaqe e mirë, e mbështetur, por çdo program keqdashës ose drejtues i papajtueshëm mund të jetë i rrezikshëm për një produkt sigurie që mbështetet në të. ZoneAlarm është mbështetur gjithmonë në dy shtresa - shtresa lidhjet e rrjetit dhe niveli i paketës. Duke filluar me Vista, Microsoft ofroi WFP si një mënyrë të mbështetur për të filtruar lidhjet e rrjetit. Duke filluar me Windows 7 SP1, Microsoft duhet të mësojë WFP të aktivizojë filtrimin e paketave.

“Përdorimi i API-ve të mbështetura do të thotë stabilitet i përmirësuar dhe më pak BSOD. Shumë drejtues mund të regjistrohen dhe secili zhvillues i drejtuesve nuk duhet të shqetësohet për pajtueshmërinë me të tjerët. Nëse ndonjë shofer është, të themi, i bllokuar, asnjë shofer tjetër i regjistruar nuk mund ta anashkalojë atë bllokim. Nga ana tjetër, një drejtues i papajtueshëm mund të bëhet problem, duke anashkaluar të gjithë të regjistruarit e tjerë. Ne nuk mbështetemi vetëm në WFP për sigurinë e rrjetit.”

Korporata F-Secure

Studiuesi i lartë në F-Secure Corporation Mikko Hypponen tha se për disa arsye WFP nuk u bë kurrë i popullarizuar në mesin e zhvilluesve të softuerit të sigurisë. Në të njëjtën kohë, kompania e tij përdori WFP për një kohë mjaft të gjatë dhe ishte e kënaqur me të.

McAfee, Inc.

Nga ana tjetër, arkitekti kryesor i McAfee, Ahmed Sallam tha se WFP është një ndërfaqe më e fuqishme dhe fleksibël e filtrimit të rrjetit sesa ndërfaqja e mëparshme e bazuar në NDIS. McAfee përdor në mënyrë aktive WFP në produktet e saj të sigurisë.

Në të njëjtën kohë, përkundër faktit se WFP ka aftësi pozitive, kriminelët kibernetikë gjithashtu mund të përfitojnë nga avantazhet e platformës. Platforma mund të lejojë që malware të hyjë në grupin e rrjetit të nivelit të kernelit të Windows. Prandaj, 64-bit drejtuesit e Windows niveli i kernelit duhet të ketë nënshkrime dixhitale për të mbrojtur kernelin nga ngarkimi në të malware. Sidoqoftë, nënshkrimet dixhitale nuk kërkohen në versionet 32-bit.

Po, në teori, nënshkrimet dixhitale janë një mekanizëm i arsyeshëm sigurie, por në realitet, autorët e malware ende mund t'i blejnë ato.

Panda Security

Zëdhënësi i Panda Security, Pedro Bustamante tha se kompania e tij monitoron platformën WFP, por aktualisht nuk e përdor atë. Kompania konsideron se disavantazhet kryesore të WFP janë, së pari, pamundësia për të krijuar një teknologji që do të kombinonte teknika të ndryshme për të maksimizuar mbrojtjen. Teknologjia është e padobishme nëse një kompani nuk mund të shikojë paketat që hyjnë dhe dalin nga makina. Ai gjithashtu duhet të veprojë si një sensor për teknologjitë e tjera të sigurisë. Asnjë nga këto veçori nuk ofrohet nga WFP. Së dyti, WFP mbështetet vetëm nga Vista dhe sistemet operative më të reja. Përputhshmëria e prapambetur platforma jo. Dhe së treti, WFP është një platformë mjaft e re, dhe kompania preferon të mbështetet në teknologjitë më të vjetra dhe të provuara.

Symantec Corp.

Drejtori i menaxhimit të produkteve të konsumit të Symantec, Dan Nadir tha se WFP nuk është përdorur ende në produktet e tyre për shkak të risive të saj relative. Megjithatë, me kalimin e kohës kompania planifikon të migrojë në të, sepse... ndërfaqet e vjetra në të cilat ata mbështeten aktualisht nuk do të jenë në gjendje të ofrojnë funksionalitetin e plotë që ata kërkojnë. Ata e konsiderojnë WFP një platformë të mirë sepse... është projektuar posaçërisht për të ofruar ndërveprim ndërmjet një sërë programesh të palëve të treta. Në parim, platforma duhet të ketë edhe më pak probleme përputhshmërie në të ardhmen. WFP është gjithashtu i shkëlqyeshëm sepse është i integruar me Kornizën Diagnostike të Rrjetit të Microsoft. Kjo është jashtëzakonisht e dobishme sepse... lehtëson shumë kërkimin e programeve specifike që janë pengesë për të trafiku i rrjetit. Së fundi, WFP duhet të çojë në përmirësimin e performancës dhe stabilitetit të sistemit operativ sepse... Platforma shmang emulimin dhe problemet me konfliktet ose stabilitetin e shoferit.

Megjithatë, nga ana tjetër, sipas Nadir, WFP mund të krijojë probleme të caktuara që ekzistojnë në çdo strukturë - zhvilluesit që mbështeten në WFP nuk mund të mbyllin dobësitë brenda vetë WFP, as nuk mund të zgjerojnë aftësitë specifike të ofruara nga WFP. Gjithashtu, nëse shumë programe mbështeten në WFP, krijuesit e malware teorikisht mund të përpiqen të sulmojnë vetë WFP.

Trend Micro Inc.

Drejtor i Kërkimeve në Trend Micro Inc. Dale Liao tha se avantazhi më i madh i platformës është përputhshmëria e saj me sistemin operativ. Gjithashtu, një firewall standard tani është bërë i dobishëm. Kështu që tani ata mund të fokusohen në atë që ka vërtet rëndësi për përdoruesin. E keqja e WFP është se kur zbulohet një gabim në platformë, kompania duhet të presë që ai të rregullohet nga Microsoft.

WFP: Përfundim

Si rezultat, shumica e zhvilluesve të sigurisë që intervistova përdorin tashmë WFP. Vërtetë, disa paralelisht me teknologjitë e tjera. Atyre u pëlqen ndërveprueshmëria, si dokumentacioni dhe formaliteti i platformës, si dhe stabiliteti i perceptuar i funksionimit të saj. Nga ana tjetër, nëse të gjithë zhvilluesit mbështeten në WFP, atëherë platforma potencialisht mund të bëhet një pikë e dobët për të gjithë. Dhe ata do të duhet të mbështeten te Microsoft për ta rregulluar atë. Për më tepër, platforma nuk ofron ende filtrim të nivelit të paketave.

Një tjetër disavantazh i madh i WFP është se ai nuk është i disponueshëm në Windows XP. Prandaj, zhvilluesit që duan të mbështesin XP do të duhet të ekzekutojnë dy projekte paralele. Megjithatë, ndërsa XP largohet nga tregu, mendoj se WFP do të bëhet më popullor mes zhvilluesve.

Duke filluar me Server 2008 dhe Vista, mekanizmi WFP u ndërtua në Windows,
i cili është një grup i API-ve dhe shërbimeve të sistemit. Me ndihmën e saj u bë e mundur
mohoni dhe lejoni lidhjet, menaxhoni paketat individuale. Këto
risitë kishin për qëllim të thjeshtonin jetën e zhvilluesve të ndryshëm
mbrojtjes Ndryshimet e bëra në arkitekturën e rrjetit ndikuan si në modalitetin e kernelit ashtu edhe në
dhe pjesë të sistemit të modalitetit të përdoruesit. Në rastin e parë, funksionet e nevojshme eksportohen
fwpkclnt.sys, në të dytën - fwpuclnt.dll (shkronjat "k" dhe "u" në emrat e bibliotekës
qëndrojnë përkatësisht për kernel dhe përdorues). Në këtë artikull do të flasim për aplikacionin
WFP për përgjimin dhe filtrimin e trafikut, dhe pasi të njiheni me bazën
Duke përdorur përkufizimet dhe aftësitë e WFP, ne do të shkruajmë filtrin tonë të thjeshtë.

Konceptet Bazë

Përpara se të fillojmë të kodojmë, është absolutisht e nevojshme që ne të njihemi me terminologjinë
Microsoft - dhe literatura shtesë do të jenë të dobishme për të kuptuar artikullin
Do të jetë më e lehtë për t'u lexuar :). Pra, le të shkojmë.

Klasifikimi- procesi i përcaktimit se çfarë duhet bërë me një paketë.
Veprimet e mundshme: lejo, blloko ose thirr.

Thirrjetështë një grup funksionesh në drejtuesin që kryejnë inspektimin
paketat. Ata kanë një funksion të veçantë që kryen klasifikimin e paketave. Kjo
funksioni mund të vendosë sa vijon:

• lejoj(FWP_ACTION_PERMIT);
• bllok (FWP_ACTION_BLOCK);
• vazhdoni përpunimin;
• kërkoni më shumë të dhëna;
• ndërpresë lidhjen.

Filtrat- rregullat që tregojnë se në cilat raste quhet
këtë apo atë thirrje. Një shofer mund të ketë disa thirrje, dhe
Ne do të zhvillojmë një drejtues me thirrje në këtë artikull. Nga rruga, colautas
Ka edhe të integruara, për shembull, NAT-callout.

Shtresa- kjo është një shenjë me të cilën kombinohen filtra të ndryshëm (ose,
siç thonë në MSDN, "kontejner").

Për të thënë të vërtetën, dokumentacioni nga Microsoft duket mjaft i paqartë, deri më tani
ju nuk mund t'i shikoni shembujt në WDK. Prandaj, nëse papritmas vendosni të zhvilloni diçka
serioze, duhet patjetër të njiheni me ta. Epo, tani është e qetë
Le të kalojmë në praktikë. Për përpilim dhe teste të suksesshme do t'ju duhet WDK (Windows
Kompleti i shoferit), VmWare, makinë virtuale me Vista të instaluar dhe korrigjuesin WinDbg.
Sa i përket WDK-së, unë personalisht kam të instaluar versionin 7600.16385.0 - gjithçka është atje
libs e nevojshme (meqenëse do të zhvillojmë shoferin, na duhen vetëm
fwpkclnt.lib dhe ntoskrnl.lib) dhe shembuj të përdorimit të WFP. Lidhje me të gjithë
Mjetet tashmë janë paraqitur disa herë, kështu që ne nuk do t'i përsërisim ato.

Kodimi

Për të inicializuar thirrjen, kam shkruar funksionin BlInitialize. Algoritmi i përgjithshëm
krijimi i një thirrje dhe shtimi i një filtri është si kjo:

1. FWPMENGINEHAPUR0 hap një seancë;
2. FWPM TRANSAKSIONI FILLIM0- fillimi i funksionimit me WFP;
3. FWPSCALLOUTREGISTER0- krijimi i një thirrjeje të re;
4. FWPMCALLOUTADD0- shtimi i një objekti thirrje në sistem;
5. FWPMFILTERADD0- shtimi i një filtri(eve) të ri;
6. FWPM TRANSACTION COMMIT0- ruajtja e ndryshimeve (shtuar
   filtra).

Vini re se funksionet përfundojnë me 0. Në Windows 7, disa nga këto
funksionet u ndryshuan, për shembull, u shfaq FwpsCalloutRegister1 (me
ruajtur nga FwpsCalloutRegister0). Ato ndryshojnë në argumente dhe, si pasojë,
prototipe të klasifikimit të funksioneve, por për ne kjo nuk është e rëndësishme tani - 0-funksionet
universale.

FwpmEngineOpen0 dhe FwpmTransactionBegin0 nuk janë veçanërisht interesante për ne - këto janë
fazë përgatitore. Argëtimi fillon me funksionin
FwpsCalloutRegister0:

Prototipi FwpsCalloutRegister0

NTSTATUS NTAPI FwpsCalloutRegister0
__jashtë zbrazëti *DeviceObject,
__në vazhdim FWPS_CALLOUT0 * thirrje,
__out_opt UINT32 *calloutId
);

Tashmë thashë që thirrja është një grup funksionesh, tani është koha
na tregoni më shumë për këtë. Struktura FWPS_CALLOUT0 përmban tregues në tre
funksionet - klasifikues (classifyFn) dhe dy njoftimues (rreth
shtimi/heqja e një filtri (notifyFn) dhe mbyllja e rrjedhës së përpunuar (flowDeleteFn)).
Dy funksionet e para janë të detyrueshme, e fundit është e nevojshme vetëm nëse
ju dëshironi të monitoroni vetë paketat, jo vetëm lidhjet. Gjithashtu në strukturë
përmban një identifikues unik, callout GUID (calloutKey).

Kodi i regjistrimit të thirrjes

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// funksion klasifikues
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNjoftim;
// funksioni që njofton për shtimin/heqjen e një filtri
// krijoni një thirrje të re
status = FwpsCalloutRegister(DeviceObject, &sCallout, calloutId);

DWORD WINAPI FwpmCalloutAdd0(
__në dorezën e motorit HANDLE,
__në vazhdim FWPM_CALLOUT0 * thirrje,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struct FWPM_CALLOUT0_ (
GUID callout Key;
FWPM_DISPLAY_DATA0 Të dhënat e shfaqjes; // përshkrimi i thirrjes
flamuj UINT32;
GUID *providerKey;
FWP_BYTE_BLOB të dhënat e ofruesit;
GUID applicableLayer;
UINT32 calloutId;
) FWPM_CALLOUT0;

Në strukturën FWPM_CALLOUT0 ne jemi të interesuar në fushën applicableLayer - unike
ID e nivelit në të cilin është shtuar thirrja. Në rastin tonë është
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" në emrin e identifikuesit do të thotë version
Protokolli Ipv4, ekziston edhe FWPM_LAYER_ALE_AUTH_CONNECT_V6 për Ipv6. Duke marrë parasysh
prevalencë e ulët e IPv6 për momentin, ne do të punojmë vetëm me të
IPv4. CONNECT në emër do të thotë që ne kontrollojmë vetëm instalimin
lidhjet, nuk flitet për paketa që vijnë apo dalin në këtë adresë! fare
Ka shumë nivele përveç atij që kemi përdorur - ato janë deklaruar në skedarin e kokës
fwpmk.h nga WDK.

Shtimi i një objekti thirrje në sistem

// emri i thirrjes
displayData.name = L"Bllokuesi Callout";
displayData.description = L"Thirrje e bllokuesit";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = shfaqja e të dhënave;
// përshkrimi i thirrjes
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Pra, pasi thirrja të jetë shtuar me sukses në sistem, duhet të krijoni
filtri, domethënë, tregoni në cilat raste do të thirret thirrja jonë, domethënë
- funksionin e tij klasifikues. Një filtër i ri krijohet nga funksioni FwpmFilterAdd0,
i cili kalon si argument strukturën FWPM_FILTER0.

FWPM_FILTER0 ka një ose më shumë struktura FWPM_FILTER_CONDITION0 (të tyre
numri përcaktohet nga fusha numFilterConditions). Fusha layerKey është e mbushur me një GUID
shtresa që duam të bashkojmë. NË në këtë rast tregojnë
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Tani le të hedhim një vështrim më të afërt në plotësimin e FWPM_FILTER_CONDITION0. Së pari, në
fushëKey duhet të specifikohet në mënyrë eksplicite për atë që duam të kontrollojmë - porta, adresa,
aplikacion apo diçka tjetër. Në këtë rast, WPM_CONDITION_IP_REMOTE_ADDRESS
i tregon sistemit që ne jemi të interesuar për adresën IP. Vlera e fushësKey përcakton nëse
çfarë lloj vlerash do të përfshihen në strukturën FWP_CONDITION_VALUE
FWPM_FILTER_CONDITION0. Në këtë rast, ai përmban adresën ipv4. Le të shkojmë
më tej. Fusha matchType përcakton se si do të bëhet krahasimi
vlerat në FWP_CONDITION_VALUE me atë që erdhi përmes rrjetit. Ka shumë opsione këtu:
ju mund të specifikoni FWP_MATCH_EQUAL, që do të thotë pajtueshmëri e plotë me kushtin, dhe
ju mundeni - FWP_MATCH_NOT_EQUAL, domethënë, në fakt, ne mund ta shtojmë këtë
duke përjashtuar kështu filtrimin (adresën, lidhja me të cilën nuk monitorohet).
Ekzistojnë gjithashtu opsione FWP_MATCH_GREATER, FWP_MATCH_LESS dhe të tjera (shih numrin
FWP_MATCH_TYPE). Në këtë rast, ne kemi FWP_MATCH_EQUAL.

Nuk u mërzita shumë dhe thjesht shkrova një kusht për bllokim
një adresë IP të zgjedhur. Në rast se ndonjë aplikacion provon
krijoni një lidhje me adresën e zgjedhur, do të thirret klasifikuesi
funksioni ynë i thirrjes. Ju mund të shikoni kodin që përmbledh atë që është thënë
Shihni shiritin anësor "Shtimi i një filtri në sistem".

Shtimi i një filtri në sistem

filtër.flamuj = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Bllokuesi Callout";
filter.displayData.description = L"Bllokuesi Callout";
filtër.veprim.lloj = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filtër.filterKundi = Kushtet e filtrit;
// gjendja e një filtri
filter.numFilterKushtet = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.pesha.lloji = FWP_EMPTY; // pesha automatike.
// shtoni një filtër në adresën e largët
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// shtoni një filtër
status = FwpmFilterAdd(gEngineHandle, &filter, NULL, NULL);

Në përgjithësi, natyrisht, mund të ketë shumë kushte filtrimi. Për shembull, ju mundeni
specifikoni bllokimin e lidhjeve me një port të caktuar në distancë ose lokale (FWPM_CONDITION_IP_REMOTE_PORT
dhe FWPM_CONDITION_IP_LOCAL_PORT përkatësisht). Ju mund të kapni të gjitha paketat
një protokoll specifik ose një aplikacion specifik. Dhe kjo nuk është e gjitha! Mund,
për shembull, bllokoni trafikun e një përdoruesi të caktuar. Në përgjithësi, ka ku
bëj një shëtitje.

Megjithatë, le të kthehemi te filtri. Funksioni i klasifikimit në rastin tonë është thjesht
bllokon lidhjen me adresën e specifikuar (BLOCKED_IP_ADDRESS), duke u kthyer
FWP_ACTION_BLOCK:

Kodi i funksionit tonë të klasifikimit

void BlClassify(
konst FWPS_INCOMING_VALUES* në FixedValues,
konstit FWPS_INCOMING_METADATA_VALUES* në MetaValues,
paketa VOID*, filtri IN konst FWPS_FILTER*,
UINT64 flowContext, FWPS_CLASSIFY_OUT* klasifikojOut)
{
// plotësoni strukturën FWPS_CLASSIFY_OUT0
if(classifyOut)( // bllokoni paketën
classifyOut->ActionType =
FWP_ACTION_BLOCK;
// kur bllokoni një paketë që ju nevojitet
rivendos FWPS_RIGHT_ACTION_WRITE
classifyOut->të drejtat&=~FWPS_RIGHT_ACTION_WRITE;
}
}

Në praktikë, funksioni i klasifikimit mund të vendosë gjithashtu FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE, etj.

Dhe së fundi, kur shkarkoni shoferin, duhet të hiqni të gjitha instalimet
thirrjet (mendoni se çfarë do të ndodhë nëse sistemi përpiqet të thërrasë thirrjen
shofer i shkarkuar? Kjo është e drejtë, BSOD). Ekziston një funksion për këtë
FwpsCalloutUnregisterById. Si parametër kalohet 32-bit
identifikuesi i thirrjes i kthyer nga funksioni FwpsCalloutRegister.

Përfundimi i thirrjes

NTSTATUS BlUninialize())(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
kthimi ns;
}

Siç mund ta shihni, programimi i një filtri WFP nuk është një detyrë aq e vështirë, pasi
MS na ofroi një API shumë të përshtatshme. Nga rruga, në rastin tonë ne kemi instaluar
filtri në driver, por kjo mund të bëhet edhe nga usermod! Për shembull, mostra nga wdk
msnmntr (Monitoruesi i trafikut të MSN Messenger) bën pikërisht këtë - kjo ju lejon të mos e bëni
mbingarkoni pjesën e modalitetit kernel të filtrit.

GUID-i juaj

Për të regjistruar një thirrje, ajo ka nevojë për një identifikues unik. Në mënyrë që të
merrni GUID-in tuaj (Identifikuesin unik global), përdorni guidgen.exe të përfshirë
në Visual Studio. Mjeti ndodhet në (VS_Path)\Common7\Tools. Probabiliteti i përplasjes
është shumë i vogël pasi gjatësia e GUID është 128 bit dhe ka 2^128 në total
identifikuesit.

Korrigjimi i filtrit

Për të korrigjuar dru zjarri, është i përshtatshëm të përdorni kombinimin Windbg+VmWare. Për këtë ju duhet
konfiguroni si sistemin e vizitorëve (që është Vista) ashtu edhe korrigjuesin
WinDbg. Nëse në WinXP ju është dashur të redaktoni boot.ini për korrigjim në distancë, atëherë
Për Vista+ ekziston një program konsolë i quajtur bcdedit. Si zakonisht, duhet të aktivizoni korrigjimin:

BCDedit /dbgsettings DEBUGPORT SERIALE:1 BAUDRATE:115200 BCDedit /debug
ON (ose BCDedit /cakto korrigjimin ON)

Tani gjithçka është gati! Ne hapim një skedar grumbull me tekstin më poshtë:

start windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

dhe shikoni daljen e korrigjimit në dritaren windbg (shih foton).

konkluzioni

Siç mund ta shihni, fushëveprimi i WFP është mjaft i gjerë. Varet nga ju të vendosni se si
zbatoni këtë njohuri - për të keqen ose për të mirë :)

Snap-in e OS Management Console (MMC). Windows Vista™ është një mur zjarri i gjendjes së rrjetit për stacionet e punës që filtron lidhjet hyrëse dhe dalëse sipas cilësimeve të specifikuara. Tani mund të konfiguroni cilësimet e murit të zjarrit dhe IPsec duke përdorur një snap-in. Ky artikull përshkruan se si funksionon Windows Firewall siguria e rritur, problemet tipike dhe mjetet e zgjidhjes së tyre.

Si funksionon Windows Firewall me Siguri të Avancuar

Firewall i Windows në modalitetin e zgjeruar të sigurisë, është një mur zjarri që regjistron gjendjen e rrjetit për stacionet e punës. Ndryshe nga muret e zjarrit të ruterit, të cilat vendosen në portën midis rrjetit tuaj lokal dhe internetit, Windows Firewall është krijuar për të ekzekutuar në kompjuterë individualë. Ai monitoron vetëm trafikun e stacionit të punës: trafikun që vjen në adresën IP të atij kompjuteri dhe trafikun që del nga vetë kompjuteri. Firewall i Windows me Siguri të Avancuar kryen operacionet themelore të mëposhtme:

Paketa hyrëse kontrollohet dhe krahasohet me listën e trafikut të lejuar. Nëse paketa përputhet me një nga vlerat e listës, Windows Firewall ia kalon paketën TCP/IP për përpunim të mëtejshëm. Nëse paketa nuk përputhet me asnjë nga vlerat në listë, Windows Firewall bllokon paketën dhe, nëse regjistrimi është i aktivizuar, krijon një hyrje në skedarin e regjistrit.

Lista e trafikut të lejuar formohet në dy mënyra:

Kur një lidhje e kontrolluar nga Windows Firewall me Siguri të Avancuar dërgon një paketë, muri i zjarrit krijon një vlerë në listë për të lejuar që trafiku i kthimit të pranohet. Trafiku përkatës në hyrje do të kërkojë leje shtesë.

Kur krijoni një rregull lejimi për Windows Firewall me Siguri të Avancuar, trafiku për të cilin keni krijuar rregullin do të lejohet në një kompjuter që ka Windows Firewall. Ky kompjuter do të pranojë trafikun hyrës të lejuar në mënyrë eksplicite në modalitetet e serverit, kompjuter klient ose nyja e rrjetit kolegial.

Hapi i parë për zgjidhjen e problemeve me Windows Firewall është të kontrolloni se cili profil është aktiv. Windows Firewall me Siguri të Avancuar është një aplikacion që monitoron mjedisin e rrjetit tuaj. Profili i Windows Firewall ndryshon kur ndryshoni mjedisi i rrjetit. Një profil është një grup cilësimesh dhe rregullash që zbatohen në varësi të mjedisit të rrjetit dhe aktual lidhjet e rrjetit.

Firewall-i bën dallimin midis tre llojeve të mjediseve të rrjetit: rrjetet e domenit, publike dhe private. Një domen është një mjedis rrjeti në të cilin lidhjet vërtetohen nga një kontrollues domeni. Si parazgjedhje, të gjitha llojet e tjera të lidhjeve të rrjetit trajtohen si rrjete publike. Kur zbulohet një e re Lidhjet e Windows Vista e kërkon përdoruesin të tregojë nëse këtë rrjet private apo publike. Profili i përgjithshëm është menduar për përdorim në vende publike, si aeroporte ose kafene. Profili privat është menduar për përdorim në shtëpi ose në zyrë, si dhe në një rrjet të sigurt. Për të përcaktuar një rrjet si privat, përdoruesi duhet të ketë privilegjet e duhura administrative.

Edhe pse kompjuteri mund të lidhet në rrjete njëkohësisht lloje të ndryshme, vetëm një profil mund të jetë aktiv. Zgjedhja e profilit aktiv varet nga arsyet e mëposhtme:

Nëse të gjitha ndërfaqet përdorin vërtetimin e kontrolluesit të domenit, përdoret profili i domenit.

Nëse të paktën një nga ndërfaqet është e lidhur me rrjet privat, dhe të gjithë të tjerët - në domen ose në rrjetet private, përdoret një profil privat.

Në të gjitha rastet e tjera, përdoret profili i përgjithshëm.

Për të përcaktuar profilin aktiv, klikoni nyjen Vëzhgimi në një moment Firewall i Windows me Siguri të Avancuar. Mbi tekstin Statusi i murit të zjarrit do të tregojë se cili profil është aktiv. Për shembull, nëse një profil domeni është aktiv, ai do të shfaqet në krye Profili i domenit është aktiv.

Duke përdorur profilet, Windows Firewall mund të lejojë automatikisht trafikun hyrës për mjete specifike të menaxhimit të kompjuterit kur kompjuteri është në një domen dhe të bllokojë të njëjtin trafik kur kompjuteri është i lidhur me një rrjet publik ose privat. Kështu, përcaktimi i llojit të mjedisit të rrjetit ju mbron rrjet lokal pa cenuar sigurinë e përdoruesve të celularëve.

Probleme të zakonshme kur ekzekutoni Windows Firewall me Siguri të Avancuar

Më poshtë janë problemet kryesore që ndodhin kur Windows Firewall me Siguri të Avancuar po funksionon:

Në rast se trafiku bllokohet, fillimisht duhet të kontrolloni nëse muri i zjarrit është i aktivizuar dhe cili profil është aktiv. Nëse ndonjë nga aplikacionet është i bllokuar, sigurohuni që snap-in Firewall i Windows me Siguri të Avancuar ekziston një rregull aktiv lejues për profilin aktual. Për të verifikuar që ekziston një rregull lejues, klikoni dy herë mbi nyjen Vëzhgimi, dhe më pas zgjidhni seksionin Firewall. Nëse nuk ka rregulla aktive lejimi për këtë program, shkoni te faqja dhe krijoni një rregull të ri për këtë program. Krijoni një rregull për një program ose shërbim, ose specifikoni një grup rregullash që zbatohet për këtë veçori dhe sigurohuni që të gjitha rregullat në atë grup të jenë të aktivizuara.

Për të verifikuar që një rregull lejimi nuk anashkalohet nga një rregull bllokues, ndiqni këto hapa:

Në pemën e këputur Firewall i Windows me Siguri të Avancuar klikoni nyjen Vëzhgimi, dhe më pas zgjidhni seksionin Firewall.

Shikoni një listë të të gjitha lokaleve aktive dhe politikën e grupit. Rregullat e ndalimit i tejkalojnë rregullat e lejimit edhe nëse këto të fundit janë të përcaktuara më saktë.

Politika e grupit parandalon zbatimin e rregullave lokale

Nëse Windows Firewall me Siguri të Avancuar konfigurohet duke përdorur Politikën e Grupit, administratori mund të specifikojë nëse rregullat e murit të zjarrit ose rregullat e sigurisë së lidhjes të krijuara nga administratorët lokalë. Kjo ka kuptim nëse ka rregulla lokale të murit të zjarrit ose rregulla të sigurisë së lidhjes të konfiguruara që nuk janë në seksionin përkatës të cilësimeve.

Për të përcaktuar pse rregullat lokale të murit të zjarrit ose rregullat e sigurisë së lidhjes mungojnë në seksionin Monitorimi, ndiqni këto hapa:

Në çastet Firewall i Windows me Siguri të Avancuar, klikoni lidhjen Karakteristikat e murit të zjarrit të Windows.

Zgjidhni skedën e profilit aktiv.

Në seksionin Opsionet, shtypni butonin Akordoni.

Nëse zbatohen rregullat lokale, seksioni Kombinimi i rregullave do të jetë aktiv.

Rregullat që kërkojnë lidhje të sigurta mund të bllokojnë trafikun

Kur krijoni një rregull të murit të zjarrit për trafikun në hyrje ose në dalje, një nga parametrat është . Nëse zgjidhet këtë funksion, duhet të keni një rregull të duhur të sigurisë së lidhjes ose një politikë të veçantë IPSec që përcakton se çfarë trafiku është i sigurt. NË ndryshe ky trafik është i bllokuar.

Për të verifikuar që një ose më shumë rregulla aplikimi kërkojnë lidhje të sigurta, ndiqni këto hapa:

Në pemën e këputur Firewall i Windows me Siguri të Avancuar klikoni seksionin Rregullat për lidhjet hyrëse. Zgjidhni rregullin që dëshironi të kontrolloni dhe klikoni lidhjen Vetitë në shtrirjen e konsolës.

Zgjidhni një skedë Gjeneral dhe kontrolloni nëse është zgjedhur vlera e butonit të radios Lejo vetëm lidhje të sigurta.

Nëse rregulli është specifikuar me parametrin Lejo vetëm lidhje të sigurta, zgjeroni seksionin Vëzhgimi në pemën snap-in dhe zgjidhni seksionin. Sigurohuni që trafiku i përcaktuar në rregullin e murit të zjarrit të ketë rregullat e duhura të sigurisë së lidhjes.

Paralajmërim:

Nëse keni një politikë aktive IPSec, sigurohuni që politika mbron trafikun e nevojshëm. Mos krijoni rregulla sigurie lidhjeje për të shmangur konfliktin e politikës IPSec dhe rregullave të sigurisë së lidhjes.

Lidhjet dalëse nuk mund të lejohen

Në pemën e këputur Firewall i Windows me Siguri të Avancuar zgjidhni seksionin Vëzhgimi. Zgjidhni skedën e profilit aktiv dhe në seksion Statusi i murit të zjarrit kontrolloni që lidhjet dalëse që nuk bien nën rregullin e lejimit janë të lejuara.

Në seksionin Vëzhgimi zgjidhni seksionin Firewall për të siguruar që lidhjet e kërkuara dalëse nuk janë të specifikuara në rregullat e mohimit.

Politikat e përziera mund të çojnë në bllokim të trafikut

Mund të konfiguroni cilësimet e murit të zjarrit dhe IPSec duke përdorur ndërfaqe të ndryshme të Windows.

Krijimi i politikave në shumë vende mund të çojë në konflikte dhe trafik të bllokuar. Pikat e mëposhtme të cilësimeve janë të disponueshme:

Firewall i Windows me Siguri të Avancuar. Kjo politikë është konfiguruar duke përdorur snap-in e duhur në nivel lokal ose si pjesë e Politikës së Grupit. Kjo politikë përcakton cilësimet e murit të zjarrit dhe IPSec në kompjuterët që përdorin Windows Vista.

Modeli Administrativ i Windows Firewall. Kjo politikë është konfiguruar duke përdorur Redaktorin e Objektit të Politikës së Grupit në seksion. Kjo ndërfaqe përmban cilësimet e Windows Firewall që ishin të disponueshme më parë shfaqja e Windows Vista, dhe është projektuar për të konfiguruar një objekt të politikës së grupit që kontrollon versionet e mëparshme Dritaret. Edhe pse këto parametra mund të përdoren për kompjuterët që funksionojnë Kontrolli i Windows Vista, rekomandohet të përdorni politikën në vend të kësaj Firewall i Windows me Siguri të Avancuar, pasi ofron fleksibilitet dhe siguri më të madhe. Ju lutemi vini re se disa nga cilësimet e profilit të domenit janë të zakonshme për shabllonin dhe politikën administrative të Windows Firewall Firewall i Windows me Siguri të Avancuar, kështu që ju mund të shihni këtu parametrat e konfiguruar në profilin e domenit duke përdorur snap-in Firewall i Windows me Siguri të Avancuar.

Politikat IPSec. Kjo politikë është konfiguruar duke përdorur snap-in-in lokal Menaxhimi i politikave IPSec ose Redaktori i Objektit të Politikës së Grupit në seksionin "Computer Configuration\Windows Configuration\Security Settings\IP Security Policies" në "Computer Local Computer". Kjo politikë përcakton cilësimet IPSec që mund të përdoren nga të dy versionet e mëparshme të Windows dhe Windows Vista. Nuk duhet të përdoret njëkohësisht në të njëjtin kompjuter këtë politikë dhe rregullat e sigurisë së lidhjes të përcaktuara në politikë Firewall i Windows me Siguri të Avancuar.

Për të parë të gjitha këto opsione në snap-in-et e duhura, krijoni skedarin tuaj të snap-in të "Konsolës së Menaxhimit" dhe shtoni skedarët shtesë në të Firewall i Windows me Siguri të Avancuar, Dhe Siguria IP.

Për të krijuar snap-in tuaj të konsolës së menaxhimit, ndiqni këto hapa:

Klikoni butonin Filloni, shkoni te menuja Të gjitha programet, pastaj në meny Standard dhe zgjidhni Ekzekutoni.

Në një fushë teksti Hapur HYN.

Vazhdoni.

Në meny Konsol zgjidhni artikullin.

Në listë Aksesorët e disponueshëm zgjidhni pajisje Firewall i Windows me Siguri të Avancuar dhe shtypni butonin Shtoni.

Klikoni butonin OK.

Përsëritni hapat 1 deri në 6 për të shtuar fotografi Kontrolli politikën e grupit Dhe Monitor i sigurisë IP.

Për të kontrolluar se cilat politika janë aktive në një profil aktiv, përdorni procedurën e mëposhtme:

Për të kontrolluar se cilat politika janë zbatuar, ndiqni këto hapa:

NË rreshti i komandës futni mmc dhe shtypni tastin HYN.

Nëse shfaqet kutia e dialogut "Kontrolli i llogarisë së përdoruesit", konfirmoni veprimin e kërkuar dhe klikoni Vazhdoni.

Në meny Konsol zgjidhni artikullin Shtoni ose hiqni një snap-in.

Në listë Aksesorët e disponueshëm zgjidhni pajisje Menaxhimi i politikave të grupit dhe shtypni butonin Shtoni.

Klikoni butonin OK.

Zgjeroni një nyje në pemë (zakonisht pemën e pyllit në të cilin këtë kompjuter) dhe klikoni dy herë mbi seksionin në panelin e detajeve të konsolës.

Zgjidhni vlerën e butonit të radios Shfaq cilësimet e politikës për nga vlerat përdoruesi aktual ose një përdorues tjetër. Nëse nuk dëshironi të shfaqni cilësimet e politikës për përdoruesit, por vetëm cilësimet e politikës për kompjuterin, zgjidhni butonin e radios Mos shfaq politikën e përdoruesit (shikoni vetëm politikën e kompjuterit) dhe shtypni butonin dy herë Tjetra.

Klikoni butonin Gati. Magjistari i rezultateve të politikave të grupit gjeneron një raport në panelin e detajeve të tastierës. Raporti përmban skeda Përmbledhje, Opsionet Dhe Ngjarjet politike.

Për të verifikuar që nuk ka konflikt me politikat e sigurisë së IP-së, pasi të keni gjeneruar raportin, zgjidhni skedën Opsionet dhe hapni Computer Configuration\Windows Configuration\Security Settings\IP Security Settings në shërbimin e drejtorisë Active Directory. Nëse mungon seksioni i fundit, atëherë politika e sigurisë IP nuk është vendosur. Përndryshe, emri dhe përshkrimi i politikës dhe GPO-së së cilës i përket do të shfaqen. Nëse përdorni një politikë sigurie IP dhe një "Windows Firewall" me politikë të sigurisë së avancuar në të njëjtën kohë me rregullat e sigurisë së lidhjes, këto politika mund të bien ndesh. Rekomandohet të përdorni vetëm një nga këto politika. Zgjidhja optimale do të përdorë politikat e sigurisë IP së bashku me Windows Firewall me rregulla të avancuara të sigurisë për trafikun në hyrje ose në dalje. Nëse parametrat janë konfiguruar në vende të ndryshme dhe nuk janë në përputhje me njëri-tjetrin, mund të lindin konflikte politikash që janë të vështira për t'u zgjidhur.

Mund të ketë gjithashtu konflikte midis politikave të përcaktuara në objektet lokale të politikës së grupit dhe skriptet e konfiguruara nga departamenti i IT. Kontrolloni të gjitha politikat e sigurisë IP duke përdorur programin IP Security Monitor ose duke futur komandën e mëposhtme në vijën e komandës:

Për të parë cilësimet e përcaktuara në shabllonin administrativ të Windows Firewall, zgjeroni seksionin Konfigurimi i kompjuterit\Modele Administrative\Rrjeti\Lidhjet e rrjetit\Windows Firewall.

Për të parë ngjarjet më të fundit në lidhje me politikën aktuale, mund të shkoni te skeda Ngjarjet e Politikave në të njëjtën tastierë.

Për të parë politikën e përdorur nga Windows Firewall me Siguri të Avancuar, hapni skedarin shtesë në kompjuterin që po diagnostikoni dhe rishikoni cilësimet nën Vëzhgimi.

Për të parë shabllonet administrative, hapni snap-in Politika e Grupit dhe në seksion Rezultatet e politikës së grupit Rishikoni nëse ka cilësime të trashëguara nga Politika e Grupit që mund të bëjnë që trafiku të refuzohet.

Për të parë politikat e sigurisë së IP-së, hapni skedarin shtesë të Monitorit të Sigurisë IP. Zgjidhni kompjuterin lokal në pemë. Në fushën e konsolës, zgjidhni lidhjen Politika aktive, Mënyra bazë ose Modaliteti i shpejtë . Kontrolloni për politika konkurruese që mund të rezultojnë në bllokimin e trafikut.

Në seksionin Vëzhgimi manipulim Firewall i Windows me Siguri të Avancuar Ju mund të shikoni rregullat ekzistuese për politikën lokale dhe grupore. Për të marrë informacione shtesë referojuni seksionit " Përdorimi i veçorisë së orës në një snap-in Firewall i Windows me Siguri të Avancuar » të këtij dokumenti.

Për të ndaluar Agjentin e Politikave IPSec, ndiqni këto hapa:

Klikoni butonin Filloni dhe zgjidhni një seksion Paneli i kontrollit.

Klikoni ikonën Sistemi dhe mirëmbajtja e tij dhe zgjidhni një seksion Administrata.

Klikoni dy herë në ikonën Shërbimet. Vazhdoni.

Gjeni një shërbim në listë Agjenti i politikave IPSec

Nëse shërbimi Agjenti IPSec po funksionon, klikoni mbi të klikoni me të djathtën miun dhe zgjidhni artikullin e menysë Ndalo. Ju gjithashtu mund të ndaloni shërbimin Agjenti IPSec nga linja e komandës duke përdorur komandën

Politika "peer-to-peer" mund të bëjë që trafiku të refuzohet

Për lidhjet që përdorin IPSec, të dy kompjuterët duhet të kenë politika të pajtueshme sigurie IP. Këto politika mund të përcaktohen duke përdorur snap-in e rregullave të sigurisë së lidhjes së Windows Firewall Siguria IP ose një ofrues tjetër sigurie IP.

Për të kontrolluar cilësimet e politikës së sigurisë IP në një rrjet peer-to-peer, ndiqni këto hapa:

Në çastet Firewall i Windows me Siguri të Avancuar zgjidhni nyjen Vëzhgimi Dhe Rregullat e sigurisë së lidhjes për t'u siguruar që politika e sigurisë IP është e konfiguruar në të dy nyjet e rrjetit.

Nëse një nga kompjuterët në rrjetin peer-to-peer është duke përdorur një kompjuter të vjetër versionet e Windows se sa Windows Vista, sigurohuni që të paktën një nga paketat e shifrimit të modalitetit origjinal dhe një nga paketat e shifrimit të modalitetit të shpejtë të përdorin algoritme që mbështeten nga të dy nyjet.

1. Klikoni seksionin Mënyra bazë, në panelin e detajeve të konsolës, zgjidhni lidhjen për të testuar dhe më pas klikoni lidhjen Vetitë në shtrirjen e konsolës. Rishikoni vetitë e lidhjes për të dy nyjet për t'u siguruar që ato janë të pajtueshme.

   Përsëriteni hapin 2.1 për ndarjen Modaliteti i shpejtë. Rishikoni vetitë e lidhjes për të dy nyjet për t'u siguruar që ato janë të pajtueshme.

Nëse po përdorni vërtetimin e versionit 5 të Kerberos, sigurohuni që hosti të jetë në të njëjtin domen ose në një domen të besuar.

Nëse jeni duke përdorur certifikata, sigurohuni që kutitë e kërkuara të jenë të kontrolluara. Për certifikatat që përdorin Internet Key Exchange (IKE) IPSec, ju duhet nënshkrim dixhital. Certifikatat që përdorin Authenticated Internet Protocol (AuthIP) kërkojnë vërtetimin e klientit (në varësi të llojit të vërtetimit të serverit). Për më shumë informacion rreth certifikatave AuthIP, ju lutemi referojuni artikullit Autentifikimi IP në Windows Vista AuthIP në Windows Vista në faqen e internetit të Microsoft.

Firewall i Windows me Siguri të Avancuar nuk mund të konfigurohet

Firewall i Windows me cilësimet e sigurisë së avancuar janë gri (të thinjur) në rastet e mëposhtme:

Kompjuteri është i lidhur me një rrjet të menaxhuar nga qendra dhe administratori i rrjetit përdor Politikën e Grupit për të konfiguruar Windows Firewall me cilësimet e avancuara të sigurisë. Në këtë rast, në krye të parakohshme Firewall i Windows me Siguri të Avancuar Do të shihni mesazhin "Disa cilësime kontrollohen nga Politika e Grupit". Administratori i rrjetit tuaj konfiguron politikën, duke ju penguar kështu të ndryshoni cilësimet e Windows Firewall.

Një kompjuter me Windows Vista nuk është i lidhur me një rrjet të menaxhuar nga qendra, por cilësimet e Windows Firewall përcaktohen nga Politika lokale e Grupit.

Për të ndryshuar Firewallin e Windows me cilësimet e Sigurisë së Avancuar duke përdorur Politikën e Grupit Lokal, përdorni snap-in Politika lokale e kompjuterit. Për të hapur këtë snap-in, futni secpol në vijën e komandës. Nëse shfaqet kutia e dialogut "Kontrolli i llogarisë së përdoruesit", konfirmoni veprimin e kërkuar dhe klikoni Vazhdoni. Shkoni te Konfigurimi i kompjuterit\Cilësimet e Windows\Cilësimet e sigurisë\Windows Firewall me Siguri të Avancuar për të konfiguruar Windows Firewall me cilësimet e politikës së sigurisë së avancuar.

Kompjuteri nuk i përgjigjet kërkesave për ping

Mënyra kryesore për të testuar lidhjen midis kompjuterëve është përdorimi i programit Ping për të testuar lidhjen me një adresë IP specifike. Gjatë një ping, një mesazh jehonë ICMP (i njohur gjithashtu si një kërkesë echo ICMP) dërgohet dhe kërkohet një përgjigje echo ICMP në këmbim. Si parazgjedhje, Windows Firewall refuzon mesazhet hyrëse të jehonës ICMP, kështu që kompjuteri nuk mund të dërgojë një përgjigje jehone ICMP.

Lejimi i mesazheve hyrëse ICMP echo do të lejojë kompjuterët e tjerë të bëjnë ping në kompjuterin tuaj. Nga ana tjetër, kjo do ta bëjë kompjuterin të prekshëm ndaj sulmeve duke përdorur mesazhe echo ICMP. Megjithatë, nëse është e nevojshme, rekomandohet të lejohen përkohësisht mesazhet echo ICMP në hyrje, dhe më pas t'i çaktivizohen ato.

Për të lejuar mesazhet me jehonë ICMP, krijoni rregulla të reja hyrëse që lejojnë paketat e kërkesës për echo ICMPv4 dhe ICMPv6.

Për të zgjidhur kërkesat për jehonë ICMPv4 dhe ICMPv6, ndiqni këto hapa:

Në pemën e këputur Firewall i Windows me Siguri të Avancuar zgjidhni nyjen Rregullat për lidhjet hyrëse dhe klikoni lidhjen Rregull i ri në zonën e veprimit të konsolës.

I personalizueshëm dhe shtypni butonin Tjetra.

Specifikoni vlerën e kalimit Të gjitha programet dhe shtypni butonin Tjetra.

Në listën rënëse Lloji i protokollit zgjidhni vlerën ICMPv4.

Klikoni butonin Akordoni për artikullin Parametrat e Protokollit ICMP.

Vendosni butonin e radios në Llojet specifike të ICMP, kontrolloni kutinë Kërkesa për jehonë, shtypni butonin OK dhe shtypni butonin Tjetra.

Në fazën e zgjedhjes së adresave IP lokale dhe të largëta që korrespondojnë këtë rregull, vendosni çelësat në vlera Çdo adresë IP ose Adresat IP të specifikuara. Nëse zgjidhni vlerën Adresat IP të specifikuara, specifikoni adresat e kërkuara IP, klikoni butonin Shtoni dhe shtypni butonin Tjetra.

Specifikoni vlerën e kalimit Lejo lidhjen dhe shtypni butonin Tjetra.

Në fazën e përzgjedhjes së profilit, zgjidhni një ose më shumë profile (profil domeni, profil privat ose publik) në të cilin dëshironi të përdorni këtë rregull dhe klikoni butonin Tjetra.

Në fushë Emri shkruani emrin e rregullit dhe në fushë Përshkrimi– përshkrim opsional. Klikoni butonin Gati.

Përsëritni hapat e mësipërm për protokollin ICMPv6, duke zgjedhur Lloji i protokollit vlerë rënëse ICMPv6 në vend të ICMPv4.

Nëse keni rregulla aktive të sigurisë së lidhjes, përjashtimi i përkohshëm i ICMP nga kërkesat IPsec mund të ndihmojë në zgjidhjen e problemeve. Për ta bërë këtë, hapeni në çastet Firewall i Windows me Siguri të Avancuar kuti dialogu Vetitë, shkoni te skeda Cilësimet e IPSec dhe specifikoni vlerën në listën rënëse po për parametrin Përjashtoni ICMP nga IPSec.

Shënim

Cilësimet e Windows Firewall mund të ndryshohen vetëm nga administratorët dhe operatorët e rrjetit.

Skedarët dhe printerët nuk mund të ndahen

Nëse nuk mund të merrni akses të përgjithshëm te skedarët dhe printerët në një kompjuter me Windows Firewall aktiv, sigurohuni që të jenë aktivizuar të gjitha rregullat e grupit Qasja në skedarë dhe printera Firewall i Windows me Siguri të Avancuar zgjidhni nyjen Rregullat për lidhjet hyrëse Qasja në skedarë dhe printera Aktivizo rregullin në shtrirjen e konsolës.

Kujdes:

Rekomandohet fuqimisht të mos aktivizoni ndarjen e skedarëve dhe printerëve në kompjuterë që janë të lidhur drejtpërdrejt me internetin, pasi sulmuesit mund të përpiqen të hyjnë në skedarët e përbashkët dhe t'ju dëmtojnë duke dëmtuar skedarët tuaj personal.

Windows Firewall nuk mund të administrohet nga distanca

Nëse nuk jeni në gjendje të administroni në distancë një kompjuter me Windows Firewall aktiv, sigurohuni që të gjitha rregullat në grupin e paracaktuar janë aktivizuar Menaxhimi i largët i murit të zjarrit të Windows profilin aktiv. Në çastet Firewall i Windows me Siguri të Avancuar zgjidhni nyjen Rregullat për lidhjet hyrëse dhe lëvizni listën e rregullave te grupi Telekomandë. Sigurohuni që këto rregulla të jenë të aktivizuara. Zgjidhni secilën prej rregullave me aftësi të kufizuara dhe klikoni butonin Aktivizo rregullin në shtrirjen e konsolës. Për më tepër, sigurohuni që shërbimi IPSec Policy Agent është i aktivizuar. Ky shërbim kërkohet për telekomandë Firewall i Windows.

Për të verifikuar që Agjenti i Politikave IPSec po funksionon, ndiqni këto hapa:

Klikoni butonin Filloni dhe zgjidhni një seksion Paneli i kontrollit.

Klikoni ikonën Sistemi dhe mirëmbajtja e tij dhe zgjidhni një seksion Administrata.

Klikoni dy herë në ikonën Shërbimet.

Nëse shfaqet kutia e dialogut "Kontrolli i llogarisë së përdoruesit", shkruani informacionin e kërkuar të përdoruesit me lejet e duhura dhe klikoni Vazhdoni.

Gjeni një shërbim në listë Agjenti i politikave IPSec dhe sigurohuni që të ketë statusin "Running".

Nëse shërbimi Agjenti IPSec ndaloi, klikoni me të djathtën mbi të dhe zgjidhni in menyja e kontekstit paragrafi Nisja. Ju gjithashtu mund të filloni shërbimin Agjenti IPSec nga linja e komandës duke përdorur komandën e agjentit të politikave të fillimit neto.

Shënim

Shërbimi i parazgjedhur Agjenti i politikave IPSec nisur. Ky shërbim duhet të funksionojë nëse nuk është ndërprerë manualisht.

Zgjidhjet e problemeve të Windows Firewall

Ky seksion përshkruan mjetet dhe teknikat që mund të përdoren për të zgjidhur problemet e zakonshme. Ky seksion përbëhet nga nënseksionet e mëposhtme:

Përdorni veçoritë e monitorimit në Windows Firewall me Siguri të Avancuar

Hapi i parë për zgjidhjen e problemeve të Windows Firewall është rishikimi i rregullave aktuale. Funksioni Vëzhgimi ju lejon të shikoni rregullat e përdorura bazuar në politikat lokale dhe grupore. Për të parë rregullat aktuale hyrëse dhe dalëse në pemën snap-in Firewall i Windows me Siguri të Avancuar zgjidhni seksionin Vëzhgimi, dhe më pas zgjidhni seksionin Firewall. Në këtë seksion mund të shikoni gjithashtu aktual rregullat e sigurisë së lidhjes Dhe shoqatat e sigurisë (modalitetet kryesore dhe të shpejta).

Aktivizo dhe përdor auditimin e sigurisë duke përdorur mjetin e linjës së komandës auditpol

Si parazgjedhje, opsionet e auditimit janë të çaktivizuara. Për t'i konfiguruar ato, përdorni mjetin e linjës së komandës auditpol.exe, i cili ndryshon cilësimet e politikës së auditimit në kompjuterin lokal. Auditpol mund të përdoret për të aktivizuar ose çaktivizuar shfaqjen e kategorive të ndryshme të ngjarjeve dhe më pas për t'i parë ato më vonë në skedën fillestare Shikuesi i ngjarjeve.

Për të parë një listë të kategorive të mbështetura nga auditpol, futni në vijën e komandës:

• Për të parë një listë të nënkategorive që përfshihen në një kategori të caktuar (për shembull, kategoria e ndryshimit të politikës), futni në vijën e komandës:

  auditpol.exe /list /category:"Ndryshimet e politikës"

• Për të mundësuar shfaqjen e një kategorie ose nënkategorie, futni në vijën e komandës:

  /NënKategoria:" Emri Kategoria"

Për shembull, për të vendosur politikat e auditimit për një kategori dhe nënkategorinë e saj, duhet të futni komandën e mëposhtme:

auditpol.exe /set /category:"Ndryshimi i politikës" /nënkategoria:"Ndryshimi i politikës në nivelin e rregullit MPSSVC" /success:enable /failure:enable

Ndryshimi i politikës

Ndryshimi i politikës në nivelin e rregullave MPSSVC

Ndryshimi i politikës së platformës së filtrimit

Hyrja/Dalja

Mënyra bazë IPsec

Modaliteti i shpejtë IPsec

Modaliteti i përmirësuar IPsec

Sistemi

Shofer IPSEC

Ngjarje të tjera të sistemit

Qasja në objekte

Rënia e paketës nga platforma e filtrimit

Lidhja e platformës së filtrimit

Që ndryshimet e politikës së kontrollit të sigurisë të hyjnë në fuqi, duhet të rinisni kompjuterin lokal ose të detyroni një përditësim manual të politikës. Për të detyruar një përditësim të politikës, futni në vijën e komandës:

secedit/refreshpolicy<название_политики>

Pas përfundimit të diagnostikimit, mund të çaktivizoni auditimin e ngjarjeve duke zëvendësuar parametrin e aktivizimit në komandat e mësipërme me çaktivizimin dhe duke ekzekutuar përsëri komandat.

Shikoni ngjarjet e kontrollit të sigurisë në regjistrin e ngjarjeve

Pasi të aktivizoni auditimin, përdorni Event Viewer për të parë ngjarjet e auditimit në Regjistrin e ngjarjeve të sigurisë.

Për të hapur Event Viewer në dosjen Administrative Tools, ndiqni këto hapa:

1. Klikoni butonin Filloni.

   Zgjidhni seksionin Paneli i kontrollit. Klikoni ikonën Sistemi dhe mirëmbajtja e tij dhe zgjidhni një seksion Administrata.

   Klikoni dy herë në ikonën Shikuesi i ngjarjeve.

Për të shtuar Event Viewer në MMC, ndiqni këto hapa:

Klikoni butonin Filloni, shkoni te menuja Të gjitha programet, pastaj në meny Standard dhe zgjidhni Ekzekutoni.

Në një fushë teksti Hapur futni mmc dhe shtypni tastin HYN.

Nëse shfaqet kutia e dialogut "Kontrolli i llogarisë së përdoruesit", konfirmoni veprimin e kërkuar dhe klikoni Vazhdoni.

Në meny Konsol zgjidhni artikullin Shtoni ose hiqni një snap-in.

Në listë Aksesorët e disponueshëm zgjidhni pajisje Shikuesi i ngjarjeve dhe shtypni butonin Shtoni.

Klikoni butonin OK.

Përpara se të mbyllni snap-in, ruajeni konsolën për përdorim në të ardhmen.

Në çastet Shikuesi i ngjarjeve zgjeroni seksionin Regjistrat e Windows dhe zgjidhni një nyje Siguria. Në zonën e punës së tastierës, mund të shikoni ngjarjet e kontrollit të sigurisë. Të gjitha ngjarjet shfaqen në krye të zonës së punës së tastierës. Klikoni mbi një ngjarje në krye të zonës së punës së tastierës për t'u shfaqur informacion të detajuar në fund të panelit. Në skedën Gjeneral Ekziston një përshkrim i ngjarjeve në formën e një teksti të qartë. Në skedën Detajet Opsionet e mëposhtme të shfaqjes së ngjarjeve janë të disponueshme: Prezantim i qartë Dhe Modaliteti XML.

Konfiguro Regjistrin e Firewall-it për një Profil

Përpara se të shikoni regjistrat e murit të zjarrit, duhet të konfiguroni Windows Firewall me Sigurinë e Përparuar për të gjeneruar skedarë regjistrash.

Për të konfiguruar regjistrimin për një Windows Firewall me profilin e Sigurisë së Avancuar, ndiqni këto hapa:

Në pemën e këputur Firewall i Windows me Siguri të Avancuar zgjidhni seksionin Firewall i Windows me Siguri të Avancuar dhe shtypni butonin Vetitë në shtrirjen e konsolës.

Zgjidhni skedën e profilit për të cilën dëshironi të konfiguroni regjistrimin (profili i domenit, profili privat ose profili publik) dhe më pas klikoni Akordoni në seksion Prerjet.

Specifikoni emrin dhe vendndodhjen e skedarit të regjistrit.

Specifikoni madhësinë maksimale të skedarit të regjistrit (nga 1 në 32767 kilobajt)

Në listën rënëse Regjistro paketat që mungojnë shkruani vlerën po.

Në listën rënëse Regjistroni lidhje të suksesshme shkruani vlerën po dhe pastaj klikoni butonin OK.

Shikoni skedarët e regjistrit të murit të zjarrit

Hapni skedarin që specifikuat gjatë procedurës së mëparshme, "Konfigurimi i regjistrit të murit të zjarrit për një profil". Për të hyrë në regjistrin e murit të zjarrit, duhet të keni të drejta të administratorit lokal.

Mund ta shikoni skedarin e regjistrit duke përdorur Notepad ose ndonjë redaktues teksti.

Analizimi i skedarëve të regjistrit të murit të zjarrit

Informacioni i regjistruar në regjistër është paraqitur në tabelën e mëposhtme. Disa të dhëna specifikohen vetëm për protokolle të caktuara (flamujt TCP, lloji dhe kodi ICMP, etj.), dhe disa të dhëna specifikohen vetëm për paketat e hedhura (madhësia).

Shënim

Viza (-) përdoret në fushat e regjistrimit aktual që nuk përmbajnë asnjë informacion.

Krijimi i skedarëve tekstualë të netstat dhe listës së detyrave

Mund të krijoni dy skedarë regjistrash të personalizuar, një për të parë statistikat e rrjetit (një listë me të gjitha portat e dëgjimit) dhe një tjetër për të parë listat e detyrave të shërbimeve dhe aplikacioneve. Lista e detyrave përmban identifikuesin e procesit (PID) për ngjarjet që gjenden në skedarin e statistikave të rrjetit. Procedura për krijimin e këtyre dy skedarëve është përshkruar më poshtë.

Për të krijuar skedarët e tekstit Statistikat e rrjetit dhe lista e detyrave, ndiqni këto hapa:

Në vijën e komandës, futni netstat -ano > netstat.txt dhe shtypni tastin HYN.

Në vijën e komandës, futni tasklist > tasklist.txt dhe shtypni tastin HYN. Nëse keni nevojë të krijoni një skedar teksti me një listë shërbimesh, futni tasklist /svc > tasklist.txt.

Hapni skedarët tasklist.txt dhe netstat.txt.

Gjeni kodin e procesit që po diagnostikoni në skedarin tasklist.txt dhe krahasojeni atë me vlerën që përmban skedari netstat.txt. Regjistroni protokollet e përdorura.

Shembull i lëshimit të skedarëve Tasklist.txt dhe Netstat.txt

Netstat.txt
Proto Adresa Lokale Adresa e Jashtme Shteti PID
TCP 0.0.0.0:XXX 0.0.0.0:0 DËGJIM 122
TCP 0.0.0.0:XXXX 0.0.0.0:0 DËGJIM 322
Lista e detyrave.txt
Emri i imazhit PID Emri i sesionit Sesioni# Përdorimi i Mem
==================== ======== ================ =========== ============
svchost.exe 122 Shërbimet 0 7,172 K
Shërbimet XzzRpc.exe 322 0 5,104 K

Shënim

Adresat e vërteta IP janë ndryshuar në "X" dhe shërbimi RPC është ndryshuar në "z".

Sigurohuni që shërbimet thelbësore po funksionojnë

Shërbimet e mëposhtme duhet të funksionojnë:

Shërbimi bazë i filtrimit

Klienti i Politikave të Grupit

Modulet kyçe IPsec për shkëmbimin e çelësave në Internet dhe vërtetimin e IP-së

Shërbimi Ndihmës IP

Shërbimi i agjentit të politikave IPSec

Shërbimi i vendndodhjes në rrjet

Shërbimi i Listës së Rrjetit

Firewall i Windows

Për të hapur skedarin "Shërbimet" dhe për të verifikuar që shërbimet e kërkuara po funksionojnë, ndiqni këto hapa:

Klikoni butonin Filloni dhe zgjidhni një seksion Paneli i kontrollit.

Klikoni ikonën Sistemi dhe mirëmbajtja e tij dhe zgjidhni një seksion Administrata.

Klikoni dy herë në ikonën Shërbimet.

Nëse shfaqet kutia e dialogut "Kontrolli i llogarisë së përdoruesit", shkruani informacionin e kërkuar të përdoruesit me lejet e duhura dhe klikoni Vazhdoni.

Sigurohuni që shërbimet e listuara më sipër po funksionojnë. Nëse një ose më shumë shërbime nuk janë duke u ekzekutuar, kliko me të djathtën mbi emrin e shërbimit në listë dhe zgjidhni Nisja.

Mënyra shtesë për të zgjidhur problemet

Si mjet i fundit, ju mund të rivendosni cilësimet e Windows Firewall në standardet e tyre. Rivendosja e cilësimeve të paracaktuara do të humbasë të gjitha cilësimet e bëra pas instalimit të Windows Vista. Kjo mund të shkaktojë që disa programe të ndalojnë së punuari. Gjithashtu, nëse e kontrolloni kompjuterin nga distanca, lidhja me të do të humbasë.

Përpara se të rivendosni cilësimet e paracaktuara, sigurohuni që të keni ruajtur konfigurimin aktual të murit të zjarrit. Kjo do t'ju lejojë të rivendosni cilësimet tuaja nëse është e nevojshme.

Më poshtë janë hapat për të ruajtur konfigurimin e murit të zjarrit dhe për të rivendosur cilësimet e paracaktuara.

Për të ruajtur konfigurimin aktual të murit të zjarrit, ndiqni këto hapa:

Në çastet Firewall i Windows me Siguri të Avancuar klikoni lidhjen Politika e eksportit në shtrirjen e konsolës.

Për të rivendosur cilësimet e murit të zjarrit në parazgjedhje, ndiqni këto hapa:

Në çastet Firewall i Windows me Siguri të Avancuar klikoni lidhjen Rivendosni parazgjedhjet në shtrirjen e konsolës.

Kur të merrni një kërkesë Windows Firewall me Siguri të Avancuar, klikoni po për të rivendosur vlerat e paracaktuara.

konkluzioni

Ka shumë mënyra për të diagnostikuar dhe zgjidhur problemet me Windows Firewall me Siguri të Avancuar. Midis tyre:

Duke përdorur funksionin Vëzhgimi për të parë veprimet e murit të zjarrit, rregullat e sigurisë së lidhjes dhe shoqatat e sigurisë.

Analizoni ngjarjet e kontrollit të sigurisë që lidhen me Windows Firewall.

Krijimi i skedarëve të tekstit listë detyrash Dhe netstat për analizë krahasuese.