как создать правило в брандмауэре windows 10 для программы
Руководство по настройке брандмауэра в Windows 10
Настройка брандмауэра
Многие пользователи пренебрежительно относятся к встроенному файерволу, считая его неэффективным. Вместе с тем, данный инструмент позволяет значительно повысить уровень безопасности ПК с помощью простых инструментов. В отличие от сторонних (особенно бесплатных) программ, брандмауэр довольно легок в управлении, имеет дружественный интерфейс и понятные настройки.
Добраться до раздела опций можно из классической «Панели управления» Windows.
Типы сетей
Различают два типа сетей: частные и общественные. Первыми считаются доверенные подключения к устройствам, например, дома или в офисе, когда все узлы известны и безопасны. Вторыми – соединения с внешними источниками через проводные или беспроводные адаптеры. По умолчанию общественные сети считаются небезопасными, и к ним применяются более строгие правила.
Включение и отключение, блокировка, уведомления
Активировать брандмауэр или отключить его можно, перейдя по соответствующей ссылке в разделе настроек:
Здесь достаточно поставить переключатель в нужное положение и нажать ОК.
Блокировка подразумевает запрет всех входящих подключений, то есть любые приложения, в том числе и браузер, не смогут загружать данные из сети.
Уведомления представляют собой особые окна, возникающие при попытках подозрительных программ выйти в интернет или локальную сеть.
Функция отключается снятием флажков в указанных чекбоксах.
Сброс настроек
Данная процедура удаляет все пользовательские правила и приводит параметры к значениям по умолчанию.
Сброс обычно производится при сбоях в работе брандмауэра в силу различных причин, а также после неудачных экспериментов с настройками безопасности. Следует понимать, что и «правильные» опции также будут сброшены, что может привести к неработоспособности приложений, требующих подключения к сети.
Взаимодействие с программами
Данная функция позволяет разрешить определенным программам подключение к сети для обмена данными.
Этот список еще называют «исключениями». Как с ним работать, поговорим в практической части статьи.
Правила
Правила – это основной инструмент брандмауэра для обеспечения безопасности. С их помощью можно запрещать или разрешать сетевые подключения. Эти опции располагаются в разделе дополнительных параметров.
Входящие правила содержат условия для получения данных извне, то есть загрузки информации из сети (download). Позиции можно создавать для любых программ, компонентов системы и портов. Настройка исходящих правил подразумевает запрет или разрешение отправки запросов на сервера и контроль процесса «отдачи» (upload).
Правила безопасности позволяют производить подключения с использованием IPSec – набора специальных протоколов, согласно которым проводится аутентификация, получение и проверка целостности полученных данных и их шифрование, а также защищенная передача ключей через глобальную сеть.
В ветке «Наблюдение», в разделе сопоставления, можно просматривать информацию о тех подключениях, для которых настроены правила безопасности.
Профили
Профили представляют собой набор параметров для разных типов подключений. Существуют три их типа: «Общий», «Частный» и «Профиль домена». Мы их расположили в порядке убывания «строгости», то есть уровня защиты.
При обычной работе эти наборы активируются автоматически при соединении с определенным типом сети (выбирается при создании нового подключения или подсоединении адаптера – сетевой карты).
Практика
Мы разобрали основные функции брандмауэра, теперь перейдем к практической части, в которой научимся создавать правила, открывать порты и работать с исключениями.
Создание правил для программ
Как мы уже знаем, правила бывают входящие и исходящие. С помощью первых настраиваются условия получения трафика от программ, а вторые определяют, смогут ли они передавать данные в сеть.
С помощью «Проводника» ищем исполняемый файл целевого приложения, кликаем по нему и нажимаем «Открыть».
Исходящие правила создаются аналогично на соответствующей вкладке.
Работа с исключениями
Добавление программы в исключения брандмауэра позволяет быстро создать разрешающее правило. Также в этом списке можно настроить некоторые параметры – включить или отключить позицию и выбрать тип сети, в которой она действует.
Правила для портов
Такие правила создаются точно так же, как входящие и исходящие позиции для программ с той лишь разницей, что на этапе определения типа выбирается пункт «Для порта».
Наиболее распространенный вариант применения – взаимодействие с игровыми серверами, почтовыми клиентами и мессенджерами.
Заключение
Сегодня мы познакомились с брандмауэром Windows и научились использовать его основные функции. При настройке следует помнить о том, что изменения в существующих (установленных по умолчанию) правилах могут привести к снижению уровня безопасности системы, а излишние ограничения – к сбоям в работе некоторых приложений и компонентов, не функционирующих без доступа к сети.
Помимо этой статьи, на сайте еще 12398 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Создайте правила программы или службы для входящего трафика
Относится к:
Чтобы разрешить входящий сетевой трафик указанной программе или службе, используйте брандмауэр Защитник Windows с расширенным securitynode в оснастке MMC управления групповой политикой для создания правил брандмауэра. Этот тип правила позволяет программе прослушивать и получать входящий сетевой трафик в любом порту.
Примечание: Этот тип правила часто сочетается с правилом программы или службы. Если вы объедините типы правил, вы получите правило брандмауэра, которое ограничивает трафик указанного порта и разрешает трафик только при запуске указанной программы. Программа не может получать сетевой трафик в других портах, а другие программы не могут получать сетевой трафик в указанном порту. Чтобы объединить типы правил программы и порта в одно правило, выполните действия в процедуре Создать правило входящие порты в дополнение к шагам в этой процедуре.
Учетные данные администратора
Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики.
Создание правила входящий брандмауэр для программы или службы
В области навигации щелкните Правила входящие.
Нажмите кнопку Действие, а затем нажмите новое правило.
На странице Тип правила мастера нового входящие правила щелкните Настраиваемый, а затем нажмите кнопку Далее.
Примечание: Хотя вы можете создавать правила, выбрав программу или порт, эти варианты ограничивают количество страниц, представленных мастером. Если выбрать Настраиваемый, вы увидите все страницы и наиболее гибки в создании правил.
На странице Программа щелкните Этот путь программы.
Введите путь к программе в текстовом окне. Используйте переменные среды, если это применимо, чтобы убедиться, что программы, установленные в разных расположениях на разных компьютерах, работают правильно.
Выполните одно из следующих действий.
Если исполняемый файл содержит одну программу, нажмите кнопку Далее.
Если исполняемый файл является контейнером для нескольких служб, которые должны быть разрешены для получения входящий сетевой трафик, нажмите кнопку Настройка, выберите Применитьтолько к службам, нажмите кнопку ОК, а затем нажмите кнопку Далее.
Если исполняемый файл является контейнером для одной службы или содержит несколько служб, но правило применяется только к одной из них, нажмите кнопку Настроить, выберите Применитьк этой службе, а затем выберите службу из списка. Если служба не появится в списке, щелкните Применитьк службе с этим коротким именем службы, а затем введите короткое имя службы в текстовом окне. Нажмите кнопку ОК, а затем нажмите кнопку Далее.
Важно.
Чтобы использовать службу Apply to this service или Apply to service with this service short name options, служба должна быть настроена с идентификатором безопасности (SID) с типом RESTRICTED или UNRESTRICTED. Чтобы проверить тип службы SID, запустите следующую команду:
sc qsidtype * *
Если результат none, то правило брандмауэра не может быть применено к этой службе.
Чтобы установить тип SID в службе, запустите следующую команду:
тип sc sidtype * ServiceName*
В предыдущей команде значение * * может **** быть НЕОГРАНИЧЕННЫМ или ОГРАНИЧЕННЫМ. Хотя команда также позволяет значение NONE, этот параметр означает, что служба не может использоваться в правиле брандмауэра, как описано здесь. По умолчанию большинство служб в Windows настроены как НЕОГРАНИЧЕННЫЕ. Если изменить тип SID на RESTRICTED, служба может не запуститься. Рекомендуется изменить тип SID только для служб, которые вы хотите использовать в правилах брандмауэра, и изменить тип SID на НЕОГРАНИЧЕННЫЙ.
Правило брандмауэра для программы следует ограничить только портами, которые ей необходимы. На странице Протоколы и Порты можно указать номера портов для разрешенного трафика. Если программа пытается прослушивать порт, который отличается от указанного здесь, она блокируется. Дополнительные сведения о параметрах протокола и порта см. в примере Create an Inbound Port Rule. После настройки параметров протокола и порта нажмите кнопку Далее.
На странице Область можно указать, что правило применяется только к сетевому трафику или с IP-адресов, вступив на эту страницу. Настройка, как подходит для вашего дизайна, а затем нажмите кнопку Далее.
На странице Действие выберите Разрешить подключение, а затем нажмите кнопку Далее.
На странице Profile выберите типы расположения сети, к которым применяется это правило, и нажмите кнопку Далее.
На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.
Как создавать правила в брандмауэре
Встроенный брандмауэр Windows предоставляет возможность создавать мощные правила.
Вы можете блокировать программам доступ к сети Интернет, ограничивать трафик на определенные порты и IP-адреса, а также многое другое не устанавливая файрвол от стороннего производителя.
Брандмауэр включает в себя три различных профиля, с помощью которых вы можете настраивать различные правила для частных и общественных сетей.
Доступ к интерфейсу
Чтобы открыть окно настроек брандмауэра в Windows 8 из боковой панели выберите «Поиск» в его строке наберите слово «Брандмауэр» в категории «Параметры» слева нажмите «Брандмауэр Windows».
Это же окно можно открыть другим способом: примените комбинацию клавиш и в окне «Выполнить» наберите «firewall.cpl» и нажмиете «ок»
далее на боковой панели ссылку «Дополнительные параметры».
Настройка сетевых профилей
Окно «Свойства брандмауэра» содержит отдельную вкладку для каждого профиля. ОС Windows блокирует входящие соединения и позволяет исходящие подключения для всех профилей по умолчанию. Но лучше также заблокировать исходящие подключения для всех профилей и создать правила, разрешающие определенные типы соединений.
Вкладка «Параметры» позволяет настроить например отображение уведомлений для пользователя в случаях когда программе запрещено принимать входящие подключения.
Во вкладке «Ведение журнала» указывается имя лога, его предельный размер в (киллобайтах) здесь же можно узнать путь по умолчанию для файлов журнала.
Создание правила
Чтобы создать правило, в левой части окна выберите тип подключений «входящие или исходящие» и нажмите на ссылку «Создать правило» справа.
Пример разрешающего правила для программы
Если при настройке сетевых профилей как было описано выше, вы заблокировали все входящие и исходящие подключения, то ни одно приложение не сможет соединится с интернетом. Теперь вам нужно разрешить конкретной программе общение с интернетом. Создайте правило для исходящего подключения, для этого сначала выберите правило какого типа вы хотите создать – отметьте «Программа».
Далее в следующем экране нажмите кнопку «Обзор», чтобы выбрать исполняемый файл программы. Выберем для примера Internet Explorer – iexplore.exe
В окне «Профиль» вы можете применить правило к конкретному профилю. Например, если вы только хотите, чтобы программа могла работать, когда вы подключены к общественным Wi-Fi и другим незащищенным сетям, оставьте флажок «Публичный». По умолчанию, Windows применяет правила ко всем профилям.
На странице «Имя» нужно назвать правило и ввести дополнительное описание. Это поможет вам находить правила позже.
Созданные правила вступают в силу немедленно и будут отображаться в списке, так что вы можете легко отключить или удалить их. Если вы два раза щелкните по выбранному правилу или выберите пункт «свойства» из контекстного меню, то откроется окно свойств этого правила и его можно будет редактировать. Возможно изменить порты, протоколы IP-адреса, профили к которым применяется правило. Добавить пользователей, удаленные компьютеры, указать интерфейсы адаптеров, к которым применимо данное правило.
Аналогично создаются блокирующие правила для программ. Для этого на этапе выбор действия нужно выбрать «Блокировать подключение»
Пример правила ограничение доступа
Указываем протокол – TCP. Выбираем «Определенные удаленные порты» и в поле напротив пишем 25.
Действие – блокировать подключение. Отмечаем нужные профили и даем название новому правилу «Block 25 Ports».
В списке правил для исходящих соединений мы теперь видим наши созданные правила, где зеленым значком помечены разрешающие,а красным блокирующие правила. Таким образом Internet Explorer имеет доступ в интернет, а почтовая программа TheBat без проблем принимает входящие письма, но не может их отправлять.
Создать правила порта для исходящего трафика
Относится к:
По умолчанию Защитник Windows брандмауэр позволяет использовать весь исходящие сетевые трафики, если он не соответствует правилу, запрещая трафик. Чтобы заблокировать исходящие сетевые трафики на указанном номере порта TCP или UDP, используйте брандмауэр Защитник Windows с узлом Advanced Security в консоли Управления групповой политикой для создания правил брандмауэра. Этот тип правила блокирует любой исходящие сетевые трафики, которые совпадают с указанными номерами порта TCP или UDP.
Учетные данные администратора
Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики.
Создание правила исходящие порты
В области навигации щелкните Правила исходящие.
Нажмите кнопку Действие, а затем нажмите новое правило.
На странице Тип правил мастера нового правила исходящие нажмите кнопку Настраиваемый, а затем нажмите кнопку Далее.
Примечание: Хотя вы можете создавать правила, выбрав программу или порт, эти варианты ограничивают количество страниц, представленных мастером. Если выбрать Настраиваемый, вы увидите все страницы и наиболее гибки в создании правил.
На странице Программа нажмите кнопку Все программы, а затем нажмите кнопку Далее.
На странице Протокол и Порты выберите тип протокола, который необходимо заблокировать. Чтобы ограничить правило указанным номером порта, необходимо выбрать TCP или UDP. Так как это правило исходящие, обычно настраивается только удаленный номер порта.
Если выбрать другой протокол, то только пакеты, поле протокола которых в заглавной области IP совпадает с этим правилом, блокируются Защитник Windows брандмауэра. Сетевой трафик для протоколов разрешен до тех пор, пока другие правила, которые его не блокируют.
Чтобы выбрать протокол по его номеру, выберите Custom из списка и введите номер в поле Номер протокола.
При настройке протоколов и портов нажмите кнопку Далее.
На странице Область можно указать, что правило применяется только к сетевому трафику или с IP-адресов, вступив на эту страницу. Настройка, как подходит для вашего дизайна, а затем нажмите кнопку Далее.
На странице Действие выберите Блок подключения, а затем нажмите кнопку Далее.
На странице Profile выберите типы расположения сети, к которым применяется это правило, и нажмите кнопку Далее.
На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.
Создание правила порта для входящего трафика
Относится к:
Чтобы разрешить входящий сетевой трафик только на указанном номере порта TCP или UDP, используйте брандмауэр Защитник Windows с узлом Advanced Security в оснастке MMC управления групповой политикой для создания правил брандмауэра. Этот тип правила позволяет любой программе, прослушиваемой в указанном TCP или порту UDP, получать сетевой трафик, отправленный в этот порт.
Учетные данные администратора
Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики.
В этом разделе описывается создание стандартного правила порта для указанного протокола или номера порта TCP или UDP. Другие типы правил входящие порты см. в этой ссылке.
Создание правила входящий порт
В области навигации щелкните Правила входящие.
Нажмите кнопку Действие, а затем нажмите новое правило.
На странице Тип правила мастера нового входящие правила щелкните Настраиваемый, а затем нажмите кнопку Далее.
Примечание: Хотя вы можете создавать правила, выбрав программу или порт, эти варианты ограничивают количество страниц, представленных мастером. Если выбрать Настраиваемый, вы увидите все страницы и наиболее гибки в создании правил.
На странице Программа нажмите кнопку Все программы, а затем нажмите кнопку Далее.
Примечание: Этот тип правила часто сочетается с правилом программы или службы. Если вы объедините типы правил, вы получите правило брандмауэра, которое ограничивает трафик указанного порта и разрешает трафик только при запуске указанной программы. Указанная программа не может получать сетевой трафик в других портах, а другие программы не могут получать сетевой трафик в указанном порту. Если вы решите сделать это, выполните действия в процедуре Создать входящие программы или правила службы в дополнение к шагам в этой процедуре, чтобы создать единое правило, которое фильтрует сетевой трафик с использованием как программных, так и портовых критериев.
На странице Протокол и Порты выберите тип протокола, который необходимо разрешить. Чтобы ограничить правило указанным номером порта, необходимо выбрать TCP или UDP. Так как это входящие правила, обычно настраивается только локальный номер порта.
Если вы выбираете другой протокол, то через брандмауэр допускаются только пакеты, поле протокола которых в загорелом ip-адресе соответствует этому правилу.
Чтобы выбрать протокол по его номеру, выберите Custom из списка и введите номер в поле Номер протокола.
При настройке протоколов и портов нажмите кнопку Далее.
На странице Область можно указать, что правило применяется только к сетевому трафику или с IP-адресов, вступив на эту страницу. Настройка, как подходит для вашего дизайна, а затем нажмите кнопку Далее.
На странице Действие выберите Разрешить подключение, а затем нажмите кнопку Далее.
На странице Profile выберите типы расположения сети, к которым применяется это правило, и нажмите кнопку Далее.
Примечание: Если эта GPO ориентирована на серверные компьютеры с Windows Server 2008, которые никогда не перемещаются, рассмотрите возможность изменения правил для всех профилей типов расположения сети. Это предотвращает неожиданное изменение применяемых правил, если тип расположения сети изменяется из-за установки новой сетевой карты или отключения кабеля существующей сетевой карты. Отключенная сетовая карта автоматически назначена типу расположения общедоступных сетей.
На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.