Купить книгу на OZON.ru

Брандмауэр Windows

Стандартный брандмауэр Windows появился еще в Windows XP, однако в операционной системе Windows Vista он существенно изменился.

Главным отличием нового брандмауэра является то, что он может следить как за исходящим трафиком, так и за входящим.

Работа с брандмауэром

Операционная система Windows Vista поддерживает два способа стандартной настройки брандмауэра. Это мастер БРАНДМАУЭР WINDOWS, доступ к которому можно получить при помощи одноименного значка папки ПАНЕЛЬ УПРАВЛЕНИЯ, а также оснастка БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ.

Мастер Брандмауэр Windows С помощью мастера БРАНДМАУЭР WINDOWS можно просмотреть основные настройки стандартного брандмауэра (включен ли он, блокируются ли входящие подключения, отображаются ли уведомления при блокировании), а также отобразить диалог ПАРАМЕТРЫ БРАНДМАУЭРА WINDOWS, известный многим пользователям по операционной системе Windows Vista.

Оснастка Брандмауэр Windows в режиме повышенной безопасности С помощью оснастки БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ можно выполнить основные операции по настройке стандартного брандмауэра. Например, с помощью данной оснастки можно выбрать используемый профиль брандмауэра, настроить этот профиль, настроить списки программ, портов, и служб, работа которых в сети блокироваться не будет, а также просмотреть статистику работы брандмауэра.

Вместо обычной оснастки Брандмауэр Windows в режиме повышенной безопасности можно использовать подраздел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Брандмауэр Windows в режиме повышенной безопасности/Брандмауэр Windows в режиме повышенной безопасности оснастки Редактор объектов групповой политики.

В этом случае будут изменяться параметры подразделов ветви реестра HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall (а не подразделов ветви HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy).

Также с помощью оснастки БРАНДМАУЭР WINDOWS В РЕЖИМЕ ПОВЫШЕННОЙ БЕЗОПАСНОСТИ можно восстановить настройки стандартного брандмауэра по умолчанию. Для этого в меню ДЕЙСТВИЕ оснастки нужно выбрать команду ВОССТАНОВИТЬ ЗНАЧЕНИЕ ПО УМОЛЧАНИЮ.

Стандартные настройки брандмауэра хранятся в ветви реестра HKLM\System\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy.

Настройки стандартного брандмауэра

Основной ветвью реестра, в которой находятся подразделы для настройки стандартного брандмауэра, является ветвь реестра HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy. В ней содержатся следующие подразделы.

• DomainProfile, PublicProfile и StandardProfile. Данные подразделы содержат в себе основные настройки работы профилей стандартного брандмауэра, соответственно, домена, публичного и стандартного.

  Параметры данных подразделов будут описаны ниже.

• FirewallRules. Данный подраздел содержит в себе параметры строкового типа, определяющие правила стандартного брандмауэра.
• RestrictedServices. Данный подраздел содержит в себе сведения о службах, которым запрещен доступ к сети.
• Phase1CryptoSet. Данный подраздел содержит в себе параметры обмена ключами в основном режиме по протоколу IPSec.

  Параметры данного подраздела будут описаны ниже.

• Phase2CryptoSet. Данный подраздел содержит в себе параметры защиты данных в быстром режиме по протоколу IPSec.

  Параметры данного подраздела будут описаны ниже.

• Phase2AuthenticationSets и Phase1AuthenticationSets. Данные подразделы содержат в себе параметры метода проверки подлинности по протоколу IPSec (соответственно, метод первой и второй фазы проверки).

  Параметры данного подраздела будут описаны ниже.

Также в данной ветви реестра могут находиться несколько параметров REG_DWORD типа.

IPSecExempt Если значение данного параметра равно 3, тогда ICMP трафик будет исключен из IPSec. В противном случае значение данного параметра равно 1.

Параметры подразделов профилей брандмауэра

Подразделы профилей брандмауэра (DomainProfile, PublicProfile и StandardProfile), могут содержать в себе следующие параметры REG_DWORD типа.

EnableFirewall Если значение данного параметра равно 0, тогда стандартный брандмауэр в этом профиле будет отключен.

Значение данного параметра изменяется при помощи диалога СВОЙСТВА (одноименная команда меню ДЕЙСТВИЕ) данной оснастки.

DisabledInterfaces Данный параметр и имеет строковый тип. Он определяет сетевые интерфейсы (перечисленные через запятую), работа которых не будет контролироваться брандмауэром.

Значение данного параметра изменяется при помощи вкладки ДОПОЛНИТЕЛЬНО диалога ПАРАМЕТРЫ БРАНДМАУЭРА WINDOWS.

DefaultInboundAction Если значение данного параметра равно 1, тогда входящие подключения будут блокироваться.

Значение данного параметра изменяется при помощи диалога СВОЙСТВА (одноименная команда меню ДЕЙСТВИЕ) данной оснастки.

DefaultOutboundAction Если значение данного параметра равно 1, тогда исходящие подключения будут блокироваться.

Значение данного параметра изменяется при помощи диалога СВОЙСТВА (одноименная команда меню ДЕЙСТВИЕ) данной оснастки.

DoNotAllowExceptions Если значение данного параметра равно 1, тогда программы-исключения не будут учитываться стандартным брандмауэром.

Значение данного параметра изменяется при помощи вкладки ОБЩИЕ диалога ПАРАМЕТРЫ БРАНДМАУЭРА WINDOWS.

DisableNotification Если значение данного параметра равно 1, тогда уведомления о новых блокируемых программах отображаться не будут.

Значение данного параметра изменяется при помощи диалога СВОЙСТВА (одноименная команда меню ДЕЙСТВИЕ) данной оснастки.

DisableUnicastResponsesToMulticastBroadcast Если значение данного параметра равно 1, тогда одноадресные ответы на многоадресные запросы, которые посылал данный компьютер, будут блокироваться. По умолчанию брандмауэр не блокирует одноадресные ответы в течение 3 секунд после посылки многоадресного запроса. Независимо от значения этого параметра брандмауэр не блокирует ответы на широковещательные запросы к серверу DHCP.

Значение данного параметра изменяется при помощи диалога СВОЙСТВА данной оснастки.

Значения параметров DisableUnicastResponsesToMulticastBroadcast, EnableFirewall, DoNotAllowExceptions, DisableNotifications, LogFilePath, LogDroppedPackets, LogSuccessfulConnections, LogFileSize также можно настроить при помощи подразделов DomainProfile (для профиля домена брандмауэра) или StandardProfile (для стандартного профиля брандмауэра) ветви реестра HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall.

LogFilePath Данный параметр располагается в подразделе Logging. Данный параметр имеет строковый тип и позволяет определить путь к лог-файлу работы брандмауэра, а также его имя.

Значение данного параметра изменяется при помощи диалога СВОЙСТВА данной оснастки.

LogDroppedPackets Данный параметр располагается в подразделе Logging. Если его значение равно 1, тогда в лог-файл брандмауэра будет заноситься информация об отброшенных пакетах.

Значение данного параметра изменяется при помощи диалога СВОЙСТВА данной оснастки.

LogSuccessfulConnections Данный параметр располагается в подразделе Logging. Если его значение равно 1, тогда в лог-файл брандмауэра будет заноситься информация об успешных подключениях.

Значение данного параметра изменяется при помощи диалога СВОЙСТВА данной оснастки.

LogFileSize Данный параметр располагается в подразделе Logging. Он определяет максимальный размер лог-файла брандмауэра в килобайтах.

Значение данного параметра изменяется при помощи диалога СВОЙСТВА данной оснастки.

Настроить работу стандартного брандмауэра Windows можно при помощи параметров REG_DWORD типа, расположенных в подразделах DomainProfile (для профиля домена брандмауэра) или StandardProfile (для стандартного профиля брандмауэра) ветви реестра HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall.

AllowUserPrefMerge. Данный параметр располагается либо в подразделе AuthorizedApplications (определяет приложения-исключения), либо в подразделе GloballyOpenPorts (определяет порты-исключения), любого из профилей брандмауэров. Если значение данного параметра равно 0, тогда задание локальных исключений для программ будет запрещено. Также, при помощи параметров строкового типа, расположенных в дочернем подразделе List подраздела AuthorizedApplications, можно указать список исключений программ, работа с сетью которых не будет блокироваться брандмауэром.

Enabled. Данный параметр располагается в подразделе FileAndPrint, который, в свою очередь, располагается в подразделе Services любого из профилей брандмауэров. Если значение данного параметра равно 1, тогда входящий доступ для службы файлов и принтеров (порты UDP 137 и 138, и порты TCP 139 и 445) будет разрешен. При этом с помощью параметра строкового типа RemoteAddresses, можно через запятую указать конкретные IP-адреса компьютеров, для пакетов от которых разрешен входящий доступ к этой службе.

Enabled. Данный параметр располагается в подразделе RemoteAdminSettings любого из профилей брандмауэров. Если значение данного параметра равно 1, тогда удаленное администрирование данного компьютера при помощи WMI (порты TCP 135 и 445) будет разрешено. При этом с помощью параметра строкового типа RemoteAddresses, можно через запятую указать конкретные IP-адреса компьютеров, для пакетов от которых разрешено удаленное администрирование.

Enabled. Данный параметр располагается в подразделе UPnPFramework, который, в свою очередь, располагается в подразделе Services любого из профилей брандмауэров. Если значение данного параметра равно 1, тогда принятие незапрошенных входящих сообщений протокола UPnP (порты TCP 2869 и UDP 1900) будет разрешено. При этом с помощью параметра строкового типа RemoteAddresses, можно через запятую указать конкретные IP-адреса компьютеров, принятие пакетов от которых разрешено.

Enabled. Данный параметр располагается в подразделе RemoteDesktop, который, в свою очередь, располагается в подразделе Services любого из профилей брандмауэров. Если значение данного параметра равно 1, тогда удаленное управление рабочим столом данного компьютера (порты TCP 3389) будет разрешено. При этом с помощью параметра строкового типа RemoteAddresses, можно через запятую указать конкретные IP-адреса компьютеров, для пакетов от которых разрешено удаленное управление рабочим столом.

AllowInboundEchoRequest. Данный параметр располагается в подразделе IcmpSettings. Если значение данного параметра равно 0, тогда входящие эхо-запросы будут запрещены.

AllowInboundMaskRequest. Данный параметр располагается в подразделе IcmpSettings. Если значение данного параметра равно 0, тогда входящие запросы маски будут запрещены.

AllowInboundRouterRequest. Данный параметр располагается в подразделе IcmpSettings. Если значение данного параметра равно 0, тогда входящие запросы маршрутизатора будут запрещены.

AllowInboundTimestampRequest. Данный параметр располагается в подразделе IcmpSettings. Если значение данного параметра равно 0, тогда входящие запросы штампа времени будут запрещены.

AllowOutboundDestinationUnreachable. Данный параметр располагается в подразделе IcmpSettings. Если значение данного параметра равно 0, тогда ответы о недостижимости узла назначения будут запрещены.

AllowOutboundPacketTooBig. Данный параметр располагается в подразделе IcmpSettings. Если значение данного параметра равно 0, тогда слишком большие исходящие пакеты будут запрещены.

AllowOutboundParameterProblem. Данный параметр располагается в подразделе IcmpSettings. Если значение данного параметра равно 0, тогда исходящие пакеты параметров проблем будут запрещены.

AllowOutboundSourceQuench. Данный параметр располагается в подразделе IcmpSettings. Если значение данного параметра равно 0, тогда исходящие пакеты гашения источника будут запрещены.

AllowOutboundTimeExceeded. Данный параметр располагается в подразделе IcmpSettings. Если значение данного параметра равно 0, тогда исходящие пакеты истечения времени будут запрещены.

AllowRedirect. Данный параметр располагается в подразделе IcmpSettings. Если значение данного параметра равно 0, тогда пакеты перенаправления будут запрещены.

Подраздел Phase1CryptoSet

Настройки алгоритмов, применяемых при обмене ключами в основном режиме по протоколу IPSec, содержатся в параметрах строкового типа ветви реестра вида HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\«профиль брандмауэра»\Phase1CryptoSet\«GUID-номер».

Значения большинства из приведенных ниже параметров можно изменить при помощи вкладки ПАРАМЕТРЫ IPSEC диалога СВОЙСТВА соответствующей оснастки.

DoNotSkipDH Данный параметр строкового типа может принимать значения TRUE или FALSE.

TimeOutMinutes Данный параметр определяет время жизни ключа в минутах.

TimeOutSessions Данный параметр определяет время жизни ключа в сеансах.

Version Данный параметр определяет версию механизма обмена ключами.

Также в данной ветви реестра находится набор подразделов с именами вида 000, 001 и т.д. Эти подразделы определяют используемые при обмене ключами наборы алгоритмов, и могут содержать в себе следующие параметры строкового типа.

Encryption Определяет алгоритм, используемый для шифрования.

Hash Определяет алгоритм, используемый для обеспечения целостности.

KeyExchange Определяет алгоритм, используемый при обмене ключами. Возможны следующие значения данного параметра.

• ECDH-384. Использовать алгоритм эллиптической кривой Диффи-Хэлмана с максимальной безопасностью.
• ECDH-256. Использовать алгоритм эллиптической кривой Диффи-Хэлмана с повышенной безопасностью.
• DH2048. Использовать алгоритм группы Диффи-Хэлмана 14.
• DH2. Использовать алгоритм группы 2 Диффи-Хэлмана. Данный алгоритм используется по умолчанию.
• DH1. Использовать алгоритм группы Диффи-Хэлмана 1.

Подраздел Phase2CryptoSet

Настройки алгоритмов, применяемых при защите данных в быстром режиме по протоколу IPSec, содержатся в параметрах строкового типа ветви реестра вида HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\«профиль брандмауэра»\Phase2CryptoSet\«GUID-номер»\«номер набора алгоритмов».

Значения большинства из приведенных ниже параметров можно изменить при помощи вкладки ПАРАМЕТРЫ IPSEC диалога СВОЙСТВА соответствующей оснастки.

• Encryption. Определяет алгоритм, используемый при шифровании данных.
• EspHash. Определяет алгоритм, используемый при проверке целостности данных.
• Protocol. Определяет алгоритм протокола.
• TimeOutKbytes. Данный параметр определяет время жизни ключа в килобайтах.
• TimeOutMinutes. Данный параметр определяет время жизни ключа в минутах.

Подразделы Phase2AuthenticationSets

Метод проверки подлинности по протоколу IPSec определяется при помощи параметра строкового типа Method, расположенного в ветви реестра вида HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\«профиль брандмауэра»\PhaseNAuthenticationSets\«GUID-номер»\«номер проверки подлинности».

Данный параметр может принимать следующие значения.

• UserKerb. Выполняется проверка пользователя с использованием протокола Kerberos v2.
• MachineKerb. Выполняется проверка компьютера с использованием протокола Kerberos v2.
• Anonymous. Проверка подлинности необязательна.

Механизм активации

Существенно изменился и механизм активации операционной системы Windows Vista.

Активация Windows Vista основана на новом механизме Software Protection Platform (SPP).

По умолчанию срок активации операционной системы составляет 30 дней. Однако вы можете четыре раза восстановить счетчик активации при помощи команды slmgr.vbs –rearm. То есть, фактически с операционной системой без активации можно работать до 120 дней.

Если пользователь не активирует операционную систему, запуск оболочки explorer.exe будет запрещен. Вместо нее будет отображаться мастер активации операционной системы.

Нужно признать, что данный мастер позволяет запустить браузер Internet Explorer, а уже с помощью этого браузера можно запустить окно проводника Windows или любую другую программу.

Если значение параметра REG_DWORD типа NoRegistration, расположенного в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows\Registration Wizard Control, равно 1, тогда интерактивная активация операционной системы при помощи сайта Microsoft будет запрещена.

Настройки активации

Настройки механизма активации содержатся в параметрах REG_DWORD типа ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL.

SkipRearm Данный параметр определяет, будет ли разрешено сбрасывать счетчик активации при помощи команды slmgr.vbs –rearm после 4сбросов.

NotificationDisabled По умолчанию механизм активации Windows Vista периодически отображает уведомление о необходимости активации операционной системы (в области уведомлений).

Если значение данного параметра, расположенного в подразделе Activation данной ветви реестра, будет равно 1, тогда соответствующее уведомление отображаться не будет.

ActivationInterval Значение данного параметра определяет интервал отображения уведомления об активации операционной системы. Данный параметр находится в подразделе Activation данной ветви реестра.

Manual Значение данного параметра определяет, будет ли выполняться ручная активация операционной системы.

Служба уведомлений лицензирования программного обеспечения

Тип запуска: вручную.
Учетная запись: локальная служба.
Дополнительные привилегии: SECHANGENOTIFYPRIVILEGE, SEIMPERSONATEPRIVILEGE.
Файлы службы: SLUINotify.dll.
Исполняемый файл: svchost.exe -k LocalService.
Подраздел реестра: SLUINotify.
Службы, необходимые для работы данной: ЛИЦЕНЗИРОВАНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (slsvc),
 СЛУЖБА СПИСКА СЕТЕЙ (netprofm).

Работа механизма активации операционной системы и других программ Microsoft основана на данной службе.

После отключения данной службы многие функции операционной системы и программ, требующих активации, будут запрещены.

Продолжение следует