мастер создания правила для нового входящего подключения windows 10
Включение стандартных правил для входящего трафика
Относится к:
Защитник Windows Брандмауэр с расширенными функциями безопасности содержит множество заранее задающих роли и функции общих ролей и функций сетей. Когда вы устанавливаете новую роль сервера на устройстве или включаете функцию сети на клиентских устройствах, установщик обычно включает правила, необходимые для этой роли, а не создает новые. При развертывании правил брандмауэра на устройствах в сети можно использовать эти заранее, а не создавать новые. Это помогает обеспечить согласованность и точность, так как правила были тщательно проверены и готовы к использованию.
Учетные данные администратора
Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики.
Развертывание предопределённых правил брандмауэра, позволяющих входящий сетевой трафик для общих сетевых функций
В области навигации щелкните Правила входящие.
Нажмите кнопку Действие, а затем нажмите новое правило.
На странице Тип правил Мастера правил нового входящие правила щелкните Предопределен, выберите категорию правил из списка, а затем нажмите кнопку Далее.
На странице Предопределение правил отображается список правил, определенных в группе. По умолчанию все они выбраны. Для правил, которые вы не хотите развертывать, очистить флажки рядом с правилами, а затем нажмите кнопку Далее.
На странице Действие выберите Разрешить подключение, а затем нажмите кнопку Готово.
Создайте правила программы или службы для входящего трафика
Относится к:
Чтобы разрешить входящий сетевой трафик указанной программе или службе, используйте брандмауэр Защитник Windows с расширенным securitynode в оснастке MMC управления групповой политикой для создания правил брандмауэра. Этот тип правила позволяет программе прослушивать и получать входящий сетевой трафик в любом порту.
Примечание: Этот тип правила часто сочетается с правилом программы или службы. Если вы объедините типы правил, вы получите правило брандмауэра, которое ограничивает трафик указанного порта и разрешает трафик только при запуске указанной программы. Программа не может получать сетевой трафик в других портах, а другие программы не могут получать сетевой трафик в указанном порту. Чтобы объединить типы правил программы и порта в одно правило, выполните действия в процедуре Создать правило входящие порты в дополнение к шагам в этой процедуре.
Учетные данные администратора
Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики.
Создание правила входящий брандмауэр для программы или службы
В области навигации щелкните Правила входящие.
Нажмите кнопку Действие, а затем нажмите новое правило.
На странице Тип правила мастера нового входящие правила щелкните Настраиваемый, а затем нажмите кнопку Далее.
Примечание: Хотя вы можете создавать правила, выбрав программу или порт, эти варианты ограничивают количество страниц, представленных мастером. Если выбрать Настраиваемый, вы увидите все страницы и наиболее гибки в создании правил.
На странице Программа щелкните Этот путь программы.
Введите путь к программе в текстовом окне. Используйте переменные среды, если это применимо, чтобы убедиться, что программы, установленные в разных расположениях на разных компьютерах, работают правильно.
Выполните одно из следующих действий.
Если исполняемый файл содержит одну программу, нажмите кнопку Далее.
Если исполняемый файл является контейнером для нескольких служб, которые должны быть разрешены для получения входящий сетевой трафик, нажмите кнопку Настройка, выберите Применитьтолько к службам, нажмите кнопку ОК, а затем нажмите кнопку Далее.
Если исполняемый файл является контейнером для одной службы или содержит несколько служб, но правило применяется только к одной из них, нажмите кнопку Настроить, выберите Применитьк этой службе, а затем выберите службу из списка. Если служба не появится в списке, щелкните Применитьк службе с этим коротким именем службы, а затем введите короткое имя службы в текстовом окне. Нажмите кнопку ОК, а затем нажмите кнопку Далее.
Важно.
Чтобы использовать службу Apply to this service или Apply to service with this service short name options, служба должна быть настроена с идентификатором безопасности (SID) с типом RESTRICTED или UNRESTRICTED. Чтобы проверить тип службы SID, запустите следующую команду:
sc qsidtype * *
Если результат none, то правило брандмауэра не может быть применено к этой службе.
Чтобы установить тип SID в службе, запустите следующую команду:
тип sc sidtype * ServiceName*
В предыдущей команде значение * * может **** быть НЕОГРАНИЧЕННЫМ или ОГРАНИЧЕННЫМ. Хотя команда также позволяет значение NONE, этот параметр означает, что служба не может использоваться в правиле брандмауэра, как описано здесь. По умолчанию большинство служб в Windows настроены как НЕОГРАНИЧЕННЫЕ. Если изменить тип SID на RESTRICTED, служба может не запуститься. Рекомендуется изменить тип SID только для служб, которые вы хотите использовать в правилах брандмауэра, и изменить тип SID на НЕОГРАНИЧЕННЫЙ.
Правило брандмауэра для программы следует ограничить только портами, которые ей необходимы. На странице Протоколы и Порты можно указать номера портов для разрешенного трафика. Если программа пытается прослушивать порт, который отличается от указанного здесь, она блокируется. Дополнительные сведения о параметрах протокола и порта см. в примере Create an Inbound Port Rule. После настройки параметров протокола и порта нажмите кнопку Далее.
На странице Область можно указать, что правило применяется только к сетевому трафику или с IP-адресов, вступив на эту страницу. Настройка, как подходит для вашего дизайна, а затем нажмите кнопку Далее.
На странице Действие выберите Разрешить подключение, а затем нажмите кнопку Далее.
На странице Profile выберите типы расположения сети, к которым применяется это правило, и нажмите кнопку Далее.
На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.
Создание правила порта для входящего трафика
Относится к:
Чтобы разрешить входящий сетевой трафик только на указанном номере порта TCP или UDP, используйте брандмауэр Защитник Windows с узлом Advanced Security в оснастке MMC управления групповой политикой для создания правил брандмауэра. Этот тип правила позволяет любой программе, прослушиваемой в указанном TCP или порту UDP, получать сетевой трафик, отправленный в этот порт.
Учетные данные администратора
Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики.
В этом разделе описывается создание стандартного правила порта для указанного протокола или номера порта TCP или UDP. Другие типы правил входящие порты см. в этой ссылке.
Создание правила входящий порт
В области навигации щелкните Правила входящие.
Нажмите кнопку Действие, а затем нажмите новое правило.
На странице Тип правила мастера нового входящие правила щелкните Настраиваемый, а затем нажмите кнопку Далее.
Примечание: Хотя вы можете создавать правила, выбрав программу или порт, эти варианты ограничивают количество страниц, представленных мастером. Если выбрать Настраиваемый, вы увидите все страницы и наиболее гибки в создании правил.
На странице Программа нажмите кнопку Все программы, а затем нажмите кнопку Далее.
Примечание: Этот тип правила часто сочетается с правилом программы или службы. Если вы объедините типы правил, вы получите правило брандмауэра, которое ограничивает трафик указанного порта и разрешает трафик только при запуске указанной программы. Указанная программа не может получать сетевой трафик в других портах, а другие программы не могут получать сетевой трафик в указанном порту. Если вы решите сделать это, выполните действия в процедуре Создать входящие программы или правила службы в дополнение к шагам в этой процедуре, чтобы создать единое правило, которое фильтрует сетевой трафик с использованием как программных, так и портовых критериев.
На странице Протокол и Порты выберите тип протокола, который необходимо разрешить. Чтобы ограничить правило указанным номером порта, необходимо выбрать TCP или UDP. Так как это входящие правила, обычно настраивается только локальный номер порта.
Если вы выбираете другой протокол, то через брандмауэр допускаются только пакеты, поле протокола которых в загорелом ip-адресе соответствует этому правилу.
Чтобы выбрать протокол по его номеру, выберите Custom из списка и введите номер в поле Номер протокола.
При настройке протоколов и портов нажмите кнопку Далее.
На странице Область можно указать, что правило применяется только к сетевому трафику или с IP-адресов, вступив на эту страницу. Настройка, как подходит для вашего дизайна, а затем нажмите кнопку Далее.
На странице Действие выберите Разрешить подключение, а затем нажмите кнопку Далее.
На странице Profile выберите типы расположения сети, к которым применяется это правило, и нажмите кнопку Далее.
Примечание: Если эта GPO ориентирована на серверные компьютеры с Windows Server 2008, которые никогда не перемещаются, рассмотрите возможность изменения правил для всех профилей типов расположения сети. Это предотвращает неожиданное изменение применяемых правил, если тип расположения сети изменяется из-за установки новой сетевой карты или отключения кабеля существующей сетевой карты. Отключенная сетовая карта автоматически назначена типу расположения общедоступных сетей.
На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.
Лучшие практики для настройки Защитник Windows брандмауэра
Относится к:
Защитник Windows Брандмауэр с расширенными службами безопасности обеспечивает фильтрацию сетевого трафика на основе хостов и блокирует несанкционированный сетевой трафик, который втекает в локальное устройство или выходит из него. Настройка брандмауэра Windows на основе следующих методов поможет оптимизировать защиту устройств в сети. Эти рекомендации охватывают широкий спектр развертывания, включая домашние сети и корпоративные настольные и серверные системы.
Чтобы открыть Windows брандмауэра, перейдите в меню Пуск, выберите Выполнить, введите WF.msc, а затем выберите ОК. См. также open Windows брандмауэр.
Сохранение параметров по умолчанию
При первом Защитник Windows брандмауэре можно увидеть параметры по умолчанию, применимые к локальному компьютеру. Панель Обзор отображает параметры безопасности для каждого типа сети, к которой устройство может подключиться.
Рис. 1. Защитник Windows брандмауэра
Профиль домена. Используется для сетей, в которых существует система проверки подлинности учетных записей в отношении контроллера домена (DC), например Azure Active Directory DC
Частный профиль. Предназначен для и лучше всего используется в частных сетях, таких как домашняя сеть
Общедоступный профиль: разработан с учетом более высокой безопасности для общедоступных сетей, таких как Wi-Fi точки доступа, кафе, аэропорты, гостиницы или магазины
Просмотр подробных параметров для каждого профиля правой кнопкой мыши верхнего уровня брандмауэра Защитник Windows с узлом Advanced Security в левой области, а затем выбор свойств.
Поддержание параметров по умолчанию в Защитник Windows брандмауэра по мере возможности. Эти параметры предназначены для обеспечения безопасности устройства для использования в большинстве сетевых сценариев. Одним из ключевых примеров является поведение блока по умолчанию для входящие подключения.
Рис. 2. Параметры исходящие и исходящие по умолчанию
Чтобы обеспечить максимальную безопасность, не измените параметр Блокировка по умолчанию для входящего подключения.
Понимание приоритета правил для входящие правила
Во многих случаях следующим шагом для администраторов будет настройка этих профилей с помощью правил (иногда называемых фильтрами), чтобы они могли работать с приложениями пользователей или другими типами программного обеспечения. Например, администратор или пользователь могут добавить правило для размещения программы, открыть порт или протокол или разрешить предопределяемого типа трафика.
Рис. 3. Мастер создания правил
Эта статья не охватывает пошаговую конфигурацию правил. Общие рекомендации по созданию политики см. в Windows брандмауэре с расширенным руководством по развертыванию безопасности.
Во многих случаях для работы приложений в сети требуется разрешить определенные типы входящий трафик. Администраторам следует помнить о следующих правилах приоритета при допустив эти входящие исключения.
Явно определенные правила разрешить будут иметь приоритет над параметром блокировки по умолчанию.
Явные правила блокировки будут иметь приоритет над любыми противоречивыми правилами допуска.
Более конкретные правила будут иметь приоритет над менее конкретными правилами, за исключением случаев явных правил блокировки, как упоминалось в 2. (Например, если параметры правила 1 включают диапазон IP-адресов, в то время как параметры правила 2 включают один IP-адрес, правило 2 будет иметь приоритет.)
Из-за 1 и 2 важно при разработке набора политик убедиться, что не существует других явных правил блокировки, которые могли бы случайно перекрываться, тем самым предотвращая поток трафика, который вы хотите разрешить.
Общая практика обеспечения безопасности при создании входящие правила должна быть максимально конкретной. Однако, когда необходимо ввести новые правила, использующие порты или IP-адреса, по возможности следует использовать последовательные диапазоны или подсети, а не отдельные адреса или порты. Это позволяет избежать создания нескольких фильтров под капотом, снижает сложность и помогает избежать ухудшения производительности.
Защитник Windows Брандмауэр не поддерживает традиционное упорядочение правил, назначенное администратором. Эффективный набор политик с ожидаемым поведением может быть создан с помощью нескольких, последовательных и логических правил, описанных выше.
Создание правил для новых приложений перед первым запуском
Правила входящие разрешимые
При первом установке сетевые приложения и службы выдают прослушивающий вызов, указывая необходимые для правильного функционирования сведения о протоколе и порте. Поскольку в брандмауэре по умолчанию Защитник Windows блокировка, необходимо создать правила входящие исключения, чтобы разрешить этот трафик. Обычно приложение или сам установщик приложения добавляют это правило брандмауэра. В противном случае пользователю (или администратору брандмауэра от имени пользователя) необходимо вручную создать правило.
Если нет активного приложения или правила допуска, определенного администратором, диалоговое окно будет побуждать пользователя разрешить или заблокировать пакеты приложения при первом запуске приложения или попытках связаться в сети.
Если у пользователя есть разрешения администратора, они будут вызваны. Если они отвечают «Нет» или отменяют запрос, будут созданы правила блокировки. Обычно создаются два правила, по одному для трафика TCP и UDP.
Если пользователь не является локальным администратором, он не будет вызван. В большинстве случаев будут созданы правила блокировки.
В любом из указанных выше сценариев после добавлений эти правила должны быть удалены, чтобы снова создать запрос. Если нет, трафик будет по-прежнему заблокирован.
Параметры брандмауэра по умолчанию предназначены для безопасности. Разрешение всех входящие подключения по умолчанию представляет сеть для различных угроз. Поэтому создание исключений для входящие подключения из стороненного программного обеспечения должно определяться доверенными разработчиками приложений, пользователем или администратором от имени пользователя.
Известные проблемы с автоматическим созданием правил
При разработке набора политик брандмауэра для сети лучше всего настроить правила допуска для любых сетевых приложений, развернутых на хост-сайте. Наличие этих правил перед первым запуском приложения поможет обеспечить бесперебойное впечатление.
Отсутствие этих постановок не обязательно означает, что в конечном итоге приложение не сможет общаться в сети. Однако для поведения, задействованного в автоматическом создании правил приложения во время работы, требуются взаимодействие пользователей и административные привилегии. Если предполагается, что устройство будет использоваться не административными пользователями, следует следовать лучшим практикам и предоставить эти правила перед первым запуском приложения, чтобы избежать непредвиденных проблем с сетью.
Чтобы определить, почему некоторые приложения не могут общаться в сети, ознакомьтесь со следующими словами:
Пользователь с достаточными привилегиями получает уведомление о запросе, извещение о том, что приложению необходимо внести изменения в политику брандмауэра. Не до конца понимая запрос, пользователь отменяет или отклоняет запрос.
Пользователю не хватает достаточных привилегий, поэтому ему не предложено разрешить приложению вносить соответствующие изменения в политику.
Объединение локальной политики отключено, что не позволяет приложению или сетевой службе создавать локальные правила.
Создание правил приложения во время работы также может быть запрещено администраторами с помощью Параметры приложения или групповой политики.
Рис. 4. Диалоговое окно для доступа
Создание локальных правил слияния политик и приложений
Правила брандмауэра можно развернуть:
Параметры объединения правил контролируют возможность объединения правил из различных источников политики. Администраторы могут настраивать различные действия слияния для профилей домена, частных и общедоступных.
Параметры объединения правил позволяют местным администраторам создавать собственные правила брандмауэра в дополнение к правилам групповой политики.
Рис. 5. Параметр слияния правил
В поставщике услуг конфигурации брандмауэраэквивалентным параметром является AllowLocalPolicyMerge. Этот параметр можно найти в каждом соответствующем узле профиля, DomainProfile, PrivateProfileи PublicProfile.
Если объединение локальных политик отключено, для любого приложения, которое нуждается в входящие подключения, требуется централизованное развертывание правил.
Администраторы могут отключить LocalPolicyMerge в средах с высокой безопасностью, чтобы обеспечить более жесткий контроль над конечными точками. Это может повлиять на некоторые приложения и службы, которые автоматически создают локализованную политику брандмауэра при установке, как было рассмотрено выше. Чтобы эти типы приложений и служб работали, администраторы должны централизованно нажимать правила с помощью групповой политики (GP), управления мобильными устройствами (MDM) или обоих (для гибридной или совместной среды управления).
CSP брандмауэра и CSP политики также имеют параметры, которые могут повлиять на объединение правил.
В качестве наилучшей практики важно перечислять и логить такие приложения, в том числе сетевые порты, используемые для связи. Как правило, на веб-сайте приложения можно найти, какие порты должны быть открыты для данной службы. Для более сложных или клиентского развертывания приложений может потребоваться более тщательный анализ с помощью средств захвата сетевых пакетов.
Как правило, для обеспечения максимальной безопасности администраторы должны использовать исключения брандмауэра только для приложений и служб, которые должны служить законным целям.
Использование шаблонов подпольных карт, таких как *C:*\teams.exe, * не поддерживается в правилах приложения. В настоящее время мы поддерживаем только правила, созданные с использованием полного пути к приложению(ы).
Знать, как использовать режим «экраны» для активных атак
Важной функцией брандмауэра, используемой для уменьшения ущерба во время активной атаки, является режим «экраны вверх». Это неофициальный термин со ссылкой на простой метод, который администратор брандмауэра может использовать для временного повышения безопасности перед лицом активной атаки.
Защита может быть достигнута **** путем проверки блокировки всех входящих подключений, в том числе в списке разрешенных параметров приложений, найденных в приложении Windows Параметры или в устаревшем файлеfirewall.cpl.
Рис. 6. Windows параметров App/Безопасность Windows/Firewall Protection/Network Type
Рис. 7. Устаревшие firewall.cpl
По умолчанию брандмауэр Защитник Windows все, если не создано правило исключения. Этот параметр переопределяет исключения.
Например, функция Remote Desktop автоматически создает правила брандмауэра при включенной функции. Однако при активном использовании нескольких портов и служб на хост можно вместо отключения отдельных правил использовать режим экранов, чтобы заблокировать все входящие подключения, переопределив предыдущие исключения, включая правила удаленного рабочего стола. Правила удаленного рабочего стола остаются неизменными, но удаленный доступ не будет работать до тех пор, пока активируется экран.
После того, как чрезвычайная ситуация будет восстановлена, разбей параметр для восстановления регулярного сетевого трафика.
Создание исходящие правила
Вот несколько общих рекомендаций по настройке исходящие правила.
Конфигурация заблокированных для исходящие правил по умолчанию может рассматриваться для определенных высокобезопасной среды. Однако конфигурация входящие правила никогда не должна быть изменена таким образом, чтобы разрешить трафик по умолчанию.
Рекомендуется разрешить исходящие по умолчанию для большинства развертывания для упрощения развертывания приложений, если только предприятие не предпочитает жесткие меры безопасности над удобством использования.
В средах с высокой безопасностью администратор или администраторы должны пройти инвентаризацию всех приложений, охватывающих предприятия. Записи должны включать, требуется ли используемое приложение подключение к сети. Администраторам необходимо создать новые правила, специфические для каждого приложения, которое нуждается в сетевом подключении, и централизованно нажать эти правила с помощью групповой политики (GP), управления мобильными устройствами (MDM) или обоих (для гибридной или совместной среды управления).
Для задач, связанных с созданием исходящие правила, см. в списке Контрольный список: Создание исходящие правила брандмауэра.
Документировать изменения
При создании правила входящие или исходящие следует указать сведения о самом приложении, используемом диапазоне порта и важных заметках, таких как дата создания. Правила должны быть хорошо документированы для удобства проверки как вами, так и другими администраторами. Мы настоятельно рекомендуем упростить работу по пересмотру правил брандмауэра на более поздней дате. И никогда не создавайте ненужные дыры в брандмауэре.
