Xavfsizlik devori(xavfsizlik devori yoki xavfsizlik devori) Windows hurmatni ilhomlantirmaydi. XP-dan Vista-ga biroz o'zgartirildi, u o'zining oddiy ishini yaxshi bajaradi, lekin u eng yaxshi shaxsiy xavfsizlik devori bo'lish istagi yo'q. Biroq, Windows 7 xavfsizlik devori bir nechta yangi xususiyatlarni olganiga qaramay, u hali ham men kutgan narsani olmadi.

Uy guruhi bilan suhbatlashish

Vaqtida Windows o'rnatish 7 "uy guruhi" ni yaratishni taklif qiladi. Tarmoqda boshqa Windows 7 kompyuterlari topilganligi sababli ular ham guruhga qo'shilishga taklif qilinadi. Va buning uchun ularga faqat parol kerak bo'ladi. Biroq, Windows 7-da ishlaydigan bitta kompyuterga ega bo'lsam, men boshqa kompyuterlar guruhiga kirish jarayonini ko'rmadim, garchi bu haqda bildirishnoma zarar keltirmaydi. Biroq, Windows 7 o'rnatilgan har qanday kompyuter uy guruhiga qo'shilishi mumkin bo'lsa-da, Windows 7 Home Basic va Windows 7 Starter bilan ishlaydigan kompyuterlar uni yarata olmaydi.

Xuddi shu uy guruhidagi kompyuterlar printerlarni va ma'lum fayl kutubxonalarini almashishi mumkin (yoki ular aytganidek, "ulashish"). Odatiy bo'lib, rasmlar, musiqa, videolar va hujjatlar kutubxonalari baham ko'riladi, ammo foydalanuvchi ularni o'z xohishiga ko'ra cheklashi mumkin. Operatsion tizimdagi yordam fayl yoki jildni almashishdan qanday chiqarib tashlash yoki uni faqat o'qish uchun qilish yoki unga kirishni qanday cheklash haqida aniq tushuntirishlar beradi.

Uning ichida uy tarmog'i foydalanuvchi o'z tarkibini boshqa kompyuterlar va qurilmalarga, hatto Windows 7 ishlamaydigan kompyuterlarga va hatto umuman kompyuter bo'lmaganlarga ham baham ko'rishi mumkin. Xususan, Microsoft Xbox 360-da kontentni qanday almashish mumkinligi haqidagi misollarni ko'rsatdi. Biroq, kompaniya Wii-ni tarmoqqa ulashni taklif qilmaydi. Afsuski, kompaniya Wii-ni oqimli media qurilmasi sifatida tanlamadi.

Xo'sh, Windows 7 da uy tarmog'ingiz qanchalik xavfsizroq? Odatda, fayl va papkalarni almashishda muvaffaqiyatsizlikka uchragan foydalanuvchilar, ularning fikricha, bu jarayonga xalaqit berishi mumkin bo'lgan fayl devori, antivirus va boshqalarni o'z ichiga olgan barcha narsalarni o'chirib qo'yishni boshlaydilar. Shu bilan birga, agar siz almashishni soddalashtirsangiz, atrofingizdagi hamma narsani o'chirib qo'yishdan qochishingiz mumkin.

Agar Vista tarmoqlarni umumiy (Ommaviy) va shaxsiy (Private) ga ajratsa, Windows 7 shaxsiy tarmoqni uy (Uy) va ish (Ish) ga ajratadi. Uy guruhi(HomeGroup) faqat uy tarmog'ini tanlashda mavjud. Biroq, hatto ichida ish tarmog'i kompyuteringiz hali ham undagi boshqa qurilmalarni ko'rishi va ularga ulanishi mumkin. O'z navbatida, umumiy tarmoqda (Internet-kafedagi simsiz tarmoq kabi) Windows 7 sizning xavfsizligingiz uchun sizdan boshqa qurilmalarga kirish va kirishni bloklaydi. Bu kichik, ammo yaxshi imkoniyat.

Ikki rejimli xavfsizlik devori

Vista va XP da xavfsizlik devorini boshqarish uni yoqish va o'chirish kabi oddiy. Shu bilan birga Windows vaqti 7 foydalanuvchiga shaxsiy (uy va ish) va umumiy tarmoqlar uchun turli xil konfiguratsiya sozlamalarini taklif qiladi. Shu bilan birga, foydalanuvchi, masalan, mahalliy kafeda ishlash uchun xavfsizlik devori sozlamalarini kiritishi shart emas. U qilish kerak bo'lgan yagona narsa - umumiy tarmoqni tanlash va xavfsizlik devorining o'zi barcha cheklovchi parametrlarni qo'llaydi. Katta ehtimol bilan, foydalanuvchilar umumiy tarmoqni barcha kiruvchi ulanishlarni blokirovka qilish uchun sozlashadi. Vista'da buni foydalanuvchining o'z tarmog'idagi barcha kiruvchi trafikni kesmasdan amalga oshirish mumkin emas.

Ba'zi foydalanuvchilar xavfsizlik devori nima uchun kerakligini tushunishmaydi. Agar UAC ishlasa, xavfsizlik devori ortiqcha ishlamaydimi? Aslida, bu dasturlar butunlay boshqacha maqsadlarga ega. UAC dasturlarni va ularning mahalliy tizim ichida ishlashini nazorat qiladi. Xavfsizlik devori kiruvchi va chiquvchi ma'lumotlarni diqqat bilan ko'rib chiqadi. Agar siz ushbu ikkita dasturni orqaga qarab turgan va zombi hujumlarini qaytaradigan ikkita qahramon sifatida tasavvur qilsangiz, deyish mumkin, siz xato qilolmaysiz.

Avvaliga men qiziqib qoldim yangi imkoniyat“Menga qachon xabar bering Windows xavfsizlik devori bloklar yangi dastur" Bu Windows Xavfsizlik devori dasturlar ustidan nazoratni qo'lga kiritib, haqiqiy ikki tomonlama xavfsizlik devoriga aylanganining belgisimi? Men bu xususiyatni o'chirib qo'yish istagidan charchadim. Natijada, Windows xavfsizlik devori avvalgidan ko'ra ko'proq hurmatga sazovor bo'lmadi.

ZoneLabs ikki tomonlama shaxsiy xavfsizlik devorini ommalashtirganiga o'n yil bo'ldi. Uning ZoneAlarm dasturi kompyuterning barcha portlarini yashirgan (Windows Xavfsizlik devori buni qila oladi) va shuningdek, dasturlarning Internetga kirishini boshqarish imkonini beradi (Windows Xavfsizlik devori hali ham buni qila olmaydi). Men Nortonda bo'lgani kabi dastur xatti-harakatlarini aqlli kuzatishni talab qilmayman Internet xavfsizligi 2010 va boshqa paketlarda. Ammo umid qilamanki, Windows 8-ning chiqarilishi bilan Microsoft o'zining xavfsizlik devoriga o'n yillik ZoneAlarm-ning bir qator funktsiyalarini kiritadi.

Microsoft ko'p foydalanuvchilar uchinchi tomon xavfsizlik devori va xavfsizlik paketlarini o'rnatishini va Windows xavfsizlik devorini oddiygina o'chirib qo'yishini yaxshi biladi. Ilgari ko'plab uchinchi tomon xavfsizlik dasturlari ziddiyatlarni oldini olish uchun Windows xavfsizlik devorini avtomatik ravishda o'chirib qo'ygan. Windows 7 da Microsoft buni o'zi qildi. O'ziga ma'lum bo'lgan xavfsizlik devorini o'rnatayotganda, operatsion tizim o'rnatilgan xavfsizlik devorini o'chiradi va "xavfsizlik devori sozlamalari falon ishlab chiqaruvchining falon dastur tomonidan boshqariladi" deb xabar beradi.

Siz foydalanasizmi yoki yo'qmi, Windows xavfsizlik devori har bir Windows 7 da mavjud bo'lib, u bilan mustahkam integratsiyalashgan operatsion tizim. Demak, uchinchi tomon xavfsizlik ilovalari Windows fayl devoridan o'z maqsadlari uchun foydalansa yaxshi bo'lmaydimi? Bu Windows filtrlash platformasi deb nomlangan dasturlash interfeysining g'oyasi. Ammo ishlab chiquvchilar undan foydalanadimi? Bu haqda keyingi qismda batafsilroq.

Windows 7 xavfsizligi: Windows filtrlash platformasi

Xavfsizlik devorlari Windows 7 bilan juda past darajada ishlashi kerak, Microsoft dasturchilari undan nafratlanadi. PatchGuard kabi ba'zi Microsoft texnologiyalari Windows 7 ning 64 bitli versiyalarida mavjud (64 bitli Windows 7 32 bitli Windows 7 ga nisbatan bir qator xavfsizlik afzalliklariga ega), tajovuzkorlarni bloklaydi va yadroni unga kirishdan himoya qiladi. Shunga qaramay, Microsoft uchinchi tomon dasturlari kabi xavfsizlik darajasini ta'minlamaydi. Xo'sh, nima qilish kerak?

Ushbu muammoning yechimi Windows filtrlash platformasi (WFP). Ikkinchisi, Microsoft-ga ko'ra, uchinchi tomon xavfsizlik devorlarini kalitga asoslangan bo'lishiga imkon beradi Windows imkoniyatlari Xavfsizlik devori - ularga maxsus imkoniyatlar qo'shish va Windows xavfsizlik devori qismlarini tanlab yoqish va o'chirish imkonini beradi. Natijada, foydalanuvchi Windows xavfsizlik devori bilan birga mavjud bo'lgan xavfsizlik devorini tanlashi mumkin.

Ammo bu xavfsizlikni ishlab chiquvchilar uchun qanchalik foydali? Ular undan foydalanadimi? Men bir necha kishidan so'radim va bir tonna javob oldim.

BitDefender MChJ

Mahsulotni ishlab chiqish bo'yicha menejeri Iulian Costachening aytishicha, uning kompaniyasi hozirda ushbu platformadan Windows 7 da foydalanmoqda. Biroq ularda xotirada sezilarli oqishlar kuzatilgan. Xato Microsoft tomonida, buni eng yirik dasturiy ta'minot giganti allaqachon tasdiqlagan. Biroq, Julian qachon hal qilinishini bilmaydi. Ayni paytda ular vaqtincha almashtirildi yangi haydovchi Qadimgi TDI bo'yicha WFP.

Check Point Software Technologies Ltd

Check Point Software Technologies Ltd kompaniyasining PR menejeri Mirka Yanusning aytishicha, uning kompaniyasi Vista'dan beri WFPdan foydalanmoqda. Ular, shuningdek, Windows 7 ostida platformadan foydalanadilar. Bu yaxshi, qo'llab-quvvatlanadigan interfeys, lekin har qanday zararli dastur yoki mos kelmaydigan drayver unga tayanadigan xavfsizlik mahsuloti uchun xavfli bo'lishi mumkin. ZoneAlarm har doim ikkita qatlamga - qatlamlarga tayangan tarmoq ulanishlari Va paket darajasi. Vista'dan boshlab Microsoft WFPni tarmoq ulanishlarini filtrlashning qo'llab-quvvatlanadigan usuli sifatida taklif qildi. Windows 7 SP1 dan boshlab, Microsoft paketlarni filtrlashni yoqish uchun WFPni o'rgatishi kerak.

"Qo'llab-quvvatlanadigan API-lardan foydalanish barqarorlikni oshirish va BSOD-larni kamaytirishni anglatadi. Ko'pgina drayverlarni ro'yxatdan o'tkazish mumkin va har bir drayverni ishlab chiquvchi boshqalar bilan muvofiqligi haqida tashvishlanmasligi kerak. Agar biron bir haydovchi bloklangan bo'lsa, boshqa ro'yxatdan o'tgan haydovchi bu blokirovkani chetlab o'tolmaydi. Boshqa tomondan, mos kelmaydigan haydovchi boshqa barcha ro'yxatdan o'tganlarni chetlab o'tib, muammoga aylanishi mumkin. Biz tarmoq xavfsizligi uchun faqat WFPga tayanmaymiz”.

F-Secure korporatsiyasi

F-Secure korporatsiyasining katta tadqiqotchisi Mikko Hypponenning aytishicha, WFP negadir hech qachon xavfsizlik dasturlarini ishlab chiquvchilar orasida mashhur bo'lmagan. Shu bilan birga, uning kompaniyasi WFPdan ancha vaqt foydalandi va bundan mamnun edi.

McAfee, Inc.

O'z navbatida, McAfee bosh me'mori Ahmad Sallam WFP avvalgi NDISga asoslangan interfeysga qaraganda kuchliroq va moslashuvchan tarmoq filtrlash interfeysi ekanligini aytdi. McAfee o'zining xavfsizlik mahsulotlarida WFPdan faol foydalanadi.

Shu bilan birga, WFP ijobiy imkoniyatlarga ega bo'lishiga qaramay, kiberjinoyatchilar ham platformaning afzalliklaridan foydalanishlari mumkin. Platforma zararli dasturlarning Windows yadro darajasidagi tarmoq stekiga kirishiga ruxsat berishi mumkin. Shuning uchun, 64-bit Windows uchun haydovchilar yadro darajasi yadroni unga yuklanishidan himoya qilish uchun raqamli imzolarga ega bo'lishi kerak zararli dastur. Biroq, 32-bitli versiyalarda raqamli imzo talab qilinmaydi.

Ha, nazariy jihatdan, raqamli imzolar oqilona xavfsizlik mexanizmidir, ammo aslida zararli dastur mualliflari ularni hali ham o'zlari uchun sotib olishlari mumkin.

Panda xavfsizligi

Panda Xavfsizlik vakili Pedro Bustamantening aytishicha, uning kompaniyasi WFP platformasini kuzatadi, ammo hozircha undan foydalanmaydi. Kompaniya WFPning asosiy kamchiliklarini, birinchi navbatda, himoyani maksimal darajada oshirish uchun turli texnikalarni birlashtirgan texnologiyani yarata olmaslik deb hisoblaydi. Agar kompaniya mashinadan kirayotgan va chiqayotgan paketlarga qaray olmasa, texnologiya foydasiz. Shuningdek, u boshqa xavfsizlik texnologiyalari uchun sensor sifatida ham harakat qilishi kerak. Ushbu xususiyatlarning hech biri WFP tomonidan taqdim etilmaydi. Ikkinchidan, WFP faqat Vista va undan yangi operatsion tizimlar tomonidan qo'llab-quvvatlanadi. Platforma orqaga qarab mos kelmaydi. Uchinchidan, WFP juda yaxshi yangi platforma, va kompaniya eski va tasdiqlangan texnologiyalarga tayanishni afzal ko'radi.

Symantec Corp.

Symantec kompaniyasining iste'molchi mahsulotlarini boshqarish bo'yicha direktori Den Nodirning aytishicha, WFP nisbatan yangiligi sababli ularning mahsulotlarida hali qo'llanilmaydi. Biroq, vaqt o'tishi bilan kompaniya unga ko'chib o'tishni rejalashtirmoqda, chunki... ular hozirda tayanadigan eski interfeyslar ular talab qiladigan to'liq funksionallikni ta'minlay olmaydi. Ular WFPni yaxshi platforma deb bilishadi, chunki... u turli uchinchi tomon dasturlari o'rtasida o'zaro hamkorlikni ta'minlash uchun maxsus ishlab chiqilgan. Asosan, kelajakda platformada kamroq moslik muammolari bo'lishi kerak. WFP ham ajoyib, chunki u Microsoft Network Diagnostic Framework bilan birlashtirilgan. Bu juda foydali, chunki ... to'siq bo'lgan aniq dasturlarni qidirishni sezilarli darajada osonlashtiradi tarmoq trafigi. Va nihoyat, WFP operatsion tizimning ishlashi va barqarorligini yaxshilashga olib kelishi kerak, chunki... Platforma emulyatsiya va drayverlar to'qnashuvi yoki barqarorligi bilan bog'liq muammolardan qochadi.

Biroq, boshqa tomondan, Nodirning so'zlariga ko'ra, WFP har qanday tuzilmada mavjud bo'lgan muayyan muammolarni keltirib chiqarishi mumkin - WFPga tayangan ishlab chiquvchilar WFPning o'zida zaifliklarni yopa olmaydi va ular WFP tomonidan taqdim etilgan maxsus imkoniyatlarni kengaytira olmaydi. Bundan tashqari, agar ko'plab dasturlar WFPga tayansa, zararli dastur yaratuvchilari nazariy jihatdan WFPning o'ziga hujum qilishga urinishi mumkin.

Trend Micro Inc.

Trend Micro Inc tadqiqot direktori. Deyl Liaoning aytishicha, platformaning eng katta afzalligi uning operatsion tizimga mos kelishidir. Bundan tashqari, standart xavfsizlik devori endi foydali bo'ldi. Shunday qilib, endi ular foydalanuvchi uchun muhim bo'lgan narsaga e'tibor qaratishlari mumkin. WFPning yomon tomoni shundaki, platformada xatolik aniqlansa, kompaniya Microsoft tomonidan tuzatilishini kutishi kerak.

WFP: Xulosa

Natijada, men suhbatlashgan xavfsizlikni ishlab chiquvchilarning ko'pchiligi allaqachon WFPdan foydalanadilar. To'g'ri, ba'zilari boshqa texnologiyalar bilan parallel. Ular platformaning hujjatlari va rasmiyligi, shuningdek, uning ishlashining barqarorligi kabi o'zaro muvofiqlikni yaxshi ko'radilar. Boshqa tomondan, agar barcha ishlab chiquvchilar WFPga tayansa, platforma har bir kishi uchun zaif nuqtaga aylanishi mumkin. Va uni tuzatish uchun ular Microsoft-ga ishonishlari kerak. Bundan tashqari, platforma hali paketlar darajasida filtrlashni taklif qilmaydi.

WFP ning yana bir katta kamchiligi shundaki, u Windows XP da mavjud emas. Shuning uchun XP-ni qo'llab-quvvatlamoqchi bo'lgan ishlab chiquvchilar ikkita parallel loyihani amalga oshirishlari kerak. Biroq, XP bozorni tark etar ekan, menimcha, WFP ishlab chiquvchilar orasida mashhur bo'ladi.

Server 2008 va Vista-dan boshlab, WFP mexanizmi Windows-ga o'rnatilgan,
API va tizim xizmatlari to'plami. Uning yordami bilan bu mumkin bo'ldi
ulanishlarni rad etish va ruxsat berish, alohida paketlarni boshqarish. Bular
Innovatsiyalar turli xil ishlab chiquvchilarning hayotini soddalashtirishga qaratilgan edi
himoya qilish Tarmoq arxitekturasiga kiritilgan o'zgarishlar yadro rejimiga ham, yadro rejimiga ham ta'sir qildi
va tizimning foydalanuvchi rejimi qismlari. Birinchi holda, kerakli funktsiyalar eksport qilinadi
fwpkclnt.sys, ikkinchisida - fwpuclnt.dll (kutubxona nomlarida "k" va "u" harflari
mos ravishda yadro va foydalanuvchini anglatadi). Ushbu maqolada biz dastur haqida gapiramiz
Trafikni ushlab turish va filtrlash uchun WFP va asosiy narsalar bilan tanishganingizdan so'ng
WFP ta'riflari va imkoniyatlaridan foydalanib, biz o'z oddiy filtrimizni yozamiz.

Asosiy tushunchalar

Kodlashni boshlashdan oldin, biz terminologiya bilan tanishib chiqishimiz kerak
Microsoft - va qo'shimcha adabiyotlar maqolani tushunish uchun foydali bo'ladi
O'qish osonroq bo'ladi :). Xo'sh, ketaylik.

Tasniflash- paket bilan nima qilish kerakligini aniqlash jarayoni.
Mumkin harakatlar: ruxsat berish, bloklash yoki chaqiruv.

Qo'ng'iroqlar drayverda tekshirishni amalga oshiradigan funktsiyalar to'plamidir
paketlar. Ular paketlarni tasniflashni amalga oshiradigan maxsus funktsiyaga ega. Bu
funktsiya quyidagilarni hal qilishi mumkin:

• ruxsat berish (FWP_ACTION_PERMIT);
• blok (FWP_ACTION_BLOCK);
• qayta ishlashni davom ettirish;
• qo'shimcha ma'lumotlarni so'rash;
• ulanishni to'xtating.

Filtrlar- qanday hollarda chaqirilishini ko'rsatadigan qoidalar
u yoki bu chaqiriq. Bitta haydovchi bir nechta qo'ng'iroqlarga ega bo'lishi mumkin va
Biz ushbu maqolada qo'ng'iroqlar bilan drayverni ishlab chiqamiz. Aytgancha, kolautalar
O'rnatilganlari ham mavjud, masalan, NAT-ko'rsatma.

Qatlam- bu turli xil filtrlarni birlashtiradigan belgi (yoki,
MSDN da aytganidek, "konteyner").

To'g'risini aytsam, Microsoft hujjatlari hozircha noaniq ko'rinadi
WDK dagi misollarga qaray olmaysiz. Shuning uchun, agar siz to'satdan biror narsani ishlab chiqishga qaror qilsangiz
jiddiy, siz ular bilan albatta tanishishingiz kerak. Xo'sh, endi silliq
Keling, amaliyotga o'tamiz. Muvaffaqiyatli kompilyatsiya va testlar uchun sizga WDK (Windows
Haydovchilar to'plami), VmWare, virtual mashina Vista o'rnatilgan va WinDbg tuzatuvchisi bilan.
WDK-ga kelsak, menda shaxsan 7600.16385.0 versiyasi o'rnatilgan - hamma narsa mavjud
kerakli libs (chunki biz drayverni ishlab chiqamiz, bizga faqat kerak
fwpkclnt.lib va ​​ntoskrnl.lib) va WFPdan foydalanish misollari. Hammaga havolalar
Asboblar allaqachon bir necha bor taqdim etilgan, shuning uchun biz ularni takrorlamaymiz.

Kodlash

Qo'ng'iroqni ishga tushirish uchun men BlInitialize funktsiyasini yozdim. Umumiy algoritm
qo'ng'iroqni yaratish va filtr qo'shish quyidagicha:

1. FWPMENGINEOPEN0 sessiyani ochadi;
2. FWPMTRANSACTIONBEGIN0- WFP bilan ishlashni boshlash;
3. FWPSCALLOUTREGISTER0- yangi qo'ng'iroqni yaratish;
4. FWPMCALLOUTADD0- tizimga chaqiruv ob'ektini qo'shish;
5. FWPMFILTERADD0- yangi filtr(lar)ni qo'shish;
6. FWPMTRANSACTIONCOMMIT0- o'zgarishlarni saqlash (qo'shilgan
   filtrlar).

E'tibor bering, funktsiyalar 0 bilan tugaydi. Windows 7 da ulardan ba'zilari
funktsiyalar o'zgartirildi, masalan, FwpsCalloutRegister1 paydo bo'ldi (bilan
FwpsCalloutRegister0 tomonidan saqlangan). Ular argumentlarda farqlanadi va natijada
tasniflash funktsiyalari prototiplari, lekin biz uchun bu hozir muhim emas - 0-funksiyalar
universal.

FwpmEngineOpen0 va FwpmTransactionBegin0 biz uchun unchalik qiziq emas - bular
tayyorgarlik bosqichi. Qiziqish funksiyadan boshlanadi
FwpsCalloutRegister0:

FwpsCalloutRegister0 prototipi

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *qo'ng'iroq,
__out_opt UINT32 *calloutId
);

Men qo'ng'iroq - bu funktsiyalar to'plami ekanligini aytdim, endi vaqt keldi
bu haqda bizga ko'proq ma'lumot bering. FWPS_CALLOUT0 strukturasi uchta ko'rsatkichni o'z ichiga oladi
funktsiyalari - tasniflash (classifyFn) va ikkita xabar berish (haqida
filtr qo'shish/o'chirish (notifyFn) va qayta ishlangan oqimni yopish (flowDeleteFn)).
Birinchi ikkita funktsiya majburiydir, oxirgisi faqat agar kerak bo'lsa
siz faqat ulanishlarni emas, balki paketlarni o'zlarini kuzatishni xohlaysiz. Shuningdek, tuzilishda
noyob identifikatorni o'z ichiga oladi, chaqiriq GUID (calloutKey).

Ro'yxatdan o'tish kodi

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn = BlClassify;
// tasniflash funktsiyasi
sCallout.notifyFn = (FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// filtr qo'shish/o'chirish haqida xabar beruvchi funksiya
// yangi qo'ng'iroq yaratish
status = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

DWORD WINAPI FwpmCalloutAdd0(
__HANDLE engine Handle da,
__in const FWPM_CALLOUT0 *ko'rsatma,
__opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef tuzilishi FWPM_CALLOUT0_ (
GUID chaqiruv kaliti;
FWPM_DISPLAY_DATA0 ma'lumotlarini ko'rsatish; // ko'rsatma tavsifi
UINT32 bayroqlari;
GUID *provayder kaliti;
FWP_BYTE_BLOB provayder ma'lumotlari;
GUID applicableLayer;
UINT32 calloutId;
) FWPM_CALLOUT0;

FWPM_CALLOUT0 strukturasida biz applicableLayer maydoniga qiziqamiz - noyob
Belgi qo'shilgan darajaning identifikatori. Bizning holatlarimizda shunday
FWPM_LAYER_ALE_AUTH_CONNECT_V4. Identifikator nomidagi "v4" versiyani bildiradi
Ipv4 protokoli, Ipv6 uchun FWPM_LAYER_ALE_AUTH_CONNECT_V6 ham mavjud. O'ylab
IPv6 ning past tarqalishi hozirda, biz faqat bilan ishlaymiz
IPv4. Nomdagi CONNECT, biz faqat o'rnatishni nazorat qilishimizni anglatadi
ulanishlar, bu manzilga kiruvchi yoki chiquvchi paketlar haqida gap yo'q! Umuman
Biz ishlatgan darajalardan tashqari ko'plab darajalar mavjud - ular sarlavha faylida e'lon qilingan
WDK dan fwpmk.h.

Tizimga qo'ng'iroq ob'ektini qo'shish

// chaqiruv nomi
displayData.name = L"Blokator qo'ng'iroqlari";
displayData.description = L "Blokerni chaqirish";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// ko'rsatma tavsifi
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
status = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Shunday qilib, qo'ng'iroqlar tizimga muvaffaqiyatli qo'shilgandan so'ng, siz yaratishingiz kerak
filtr, ya'ni qaysi holatlarda bizning chaqiruvimiz chaqirilishini ko'rsating
- uning tasniflash funktsiyasi. FwpmFilterAdd0 funktsiyasi tomonidan yangi filtr yaratiladi,
FWPM_FILTER0 strukturasini argument sifatida uzatadi.

FWPM_FILTER0 bir yoki bir nechta FWPM_FILTER_CONDITION0 tuzilmalariga ega (ularning
raqam numFilterConditions maydoni bilan aniqlanadi). LayerKey maydoni GUID bilan to'ldirilgan
biz qo'shmoqchi bo'lgan qatlam. Bunday holda biz ko'rsatamiz
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Endi FWPM_FILTER_CONDITION0 to‘ldirishni batafsil ko‘rib chiqamiz. Birinchidan, ichida
fieldKey biz nazorat qilmoqchi bo'lgan narsa aniq ko'rsatilishi kerak - port, manzil,
ilova yoki boshqa narsa. Bunday holda, WPM_CONDITION_IP_REMOTE_ADDRESS
tizimga bizni IP-manzilga qiziqtirayotganimizni bildiradi. FieldKey qiymati yoki yo'qligini aniqlaydi
FWP_CONDITION_VALUE tuzilmasida qanday turdagi qiymatlar bo'ladi
FWPM_FILTER_CONDITION0. Bunday holda, u ipv4 manzilini o'z ichiga oladi. Qani ketdik
yana. MatchType maydoni taqqoslash qanday amalga oshirilishini belgilaydi
tarmoq orqali kelgan narsalar bilan FWP_CONDITION_VALUE qiymatlari. Bu erda ko'plab variantlar mavjud:
FWP_MATCH_EQUAL ni belgilashingiz mumkin, bu shartga to'liq mos kelishini anglatadi va
mumkin - FWP_MATCH_NOT_EQUAL, ya'ni aslida biz buni qo'shishimiz mumkin
shunday qilib, filtrlash (manzil, ulanishi kuzatilmaydi) bundan mustasno.
FWP_MATCH_GREATER, FWP_MATCH_LESS va boshqa variantlar ham mavjud (qarang: raqam
FWP_MATCH_TYPE). Bu holatda bizda FWP_MATCH_EQUAL bor.

Men ko'p bezovta qilmadim va faqat blokirovka qilish uchun shart yozdim
bitta tanlangan IP manzil. Agar ba'zi dastur harakat qilsa
tanlangan manzilga ulanishni o'rnating, klassifikator chaqiriladi
chaqiruv funksiyamiz. Siz aytilgan narsalarni umumlashtiruvchi kodni ko'rishingiz mumkin
"Tizimga filtr qo'shish" yon paneliga qarang.

Tizimga filtr qo'shish

filter.flags = FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Blokator qo'ng'iroqlari";
filter.displayData.description = L"Blokator qo'ng'iroqlari";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterConditions;
// bitta filtr holati
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSAL;
filter.weight.type = FWP_EMPTY; // avtomatik vazn.
// masofaviy manzilga filtr qo'shing
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// filtr qo'shing
status = FwpmFilterAdd(gEngineHandle, &filtr, NULL, NULL);

Umuman olganda, albatta, ko'plab filtrlash shartlari bo'lishi mumkin. Misol uchun, mumkin
muayyan masofaviy yoki mahalliy portga ulanishlarni bloklashni belgilang (FWPM_CONDITION_IP_REMOTE_PORT
va mos ravishda FWPM_CONDITION_IP_LOCAL_PORT). Siz barcha paketlarni qo'lga olishingiz mumkin
ma'lum bir protokol yoki maxsus dastur. Va bu hammasi emas! mumkin,
masalan, muayyan foydalanuvchi trafigini bloklash. Umuman olganda, qaerda bor
sayr qilmoq.

Biroq, filtrga qaytaylik. Bizning holatimizda tasniflash funktsiyasi oddiy
belgilangan manzilga (BLOCKED_IP_ADDRESS) ulanishni bloklaydi, qaytaradi
FWP_ACTION_BLOCK:

Bizning tasniflash funksiyamizning kodi

bekor BlClassify(
FixedValues ​​ichidagi doimiy FWPS_INCOMING_VALUES*,
MetaValues ​​ichida doimiy FWPS_INCOMING_METADATA_VALUES*,
VOID* paket, IN doimiy FWPS_FILTER* filtri,
UINT64 flowContext, FWPS_CLASSIFY_OUT* classifyOut)
{
// FWPS_CLASSIFY_OUT0 tuzilmasini to'ldiring
if(classifyOut)( // paketni bloklash
classifyOut->actionType =
FWP_ACTION_BLOCK;
// sizga kerak bo'lgan paketni bloklashda
FWPS_RIGHT_ACTION_WRITE sozlamalarini tiklash
classifyOut->rights&=~FWPS_RIGHT_ACTION_WRITE;
}
}

Amalda, tasniflash funktsiyasi FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE va boshqalar.

Va nihoyat, drayverni tushirganda, o'rnatilgan barcha narsalarni olib tashlashingiz kerak
qo'ng'iroqlar (tizim qo'ng'iroq qilmoqchi bo'lsa, nima bo'lishini taxmin qiling
yuklanmagan haydovchi? To'g'ri, BSOD). Buning uchun funksiya mavjud
FwpsCalloutUnregisterById. Parametr sifatida u 32 bitli uzatiladi
FwpsCalloutRegister funktsiyasi tomonidan qaytarilgan qo'ng'iroq identifikatori.

Qo'ng'iroqni tugatish

NTSTATUS BlUniitialize())(
NTSTATUS ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
agar(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
qaytish ns;
}

Ko'rib turganingizdek, WFP filtrini dasturlash unchalik qiyin ish emas, chunki
MS bizga juda qulay API taqdim etdi. Aytgancha, bizning holatlarimizda biz o'rnatdik
drayverda filtr, lekin buni usermoddan ham qilish mumkin! Masalan, wdk dan namuna
msnmntr (MSN Messenger trafik monitori) aynan shunday qiladi - bu sizga buni qilmaslikka imkon beradi
filtrning yadro rejimi qismini ortiqcha yuklang.

Sizning GUID

Qo'ng'iroqni ro'yxatdan o'tkazish uchun unga noyob identifikator kerak. Uchun
GUID (Globally Unique Identifier) ​​ni oling, guidgen.exe faylidan foydalaning
Visual Studio'da. Asbob (VS_Path)\Common7\Tools-da joylashgan. To'qnashuv ehtimoli
juda kichik, chunki GUID uzunligi 128 bit va jami 2^128 mavjud
identifikatorlar.

Filtrni disk raskadrovka qilish

O'tinni tuzatish uchun Windbg + VmWare kombinatsiyasidan foydalanish qulay. Buning uchun sizga kerak
mehmon tizimini (bu Vista) va tuzatuvchini sozlang
WinDbg. Agar WinXP-da masofaviy disk raskadrovka uchun boot.ini-ni tahrirlashingiz kerak bo'lsa, unda
Vista+ uchun bcdedit deb nomlangan konsol yordam dasturi mavjud. Odatdagidek, disk raskadrovkani yoqishingiz kerak:

BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ON (yoki BCDedit / disk raskadrovkani ON)

Endi hamma narsa tayyor! Quyidagi matnli ommaviy ish faylini ishga tushiramiz:

start windbg -b -k com:pipe,port=\\.\pipe\com_1,reset=0

va windbg oynasida disk raskadrovka chiqishini ko'ring (rasmga qarang).

Xulosa

Ko'rib turganingizdek, WFPning qamrovi ancha keng. Qanday qilib buni o'zingiz hal qilasiz
bu bilimni qo'llang - yomonlik yoki yaxshilik uchun :)

OS boshqaruv konsoli (MMC) qo'shimcha elementi Windows Vista™ - bu kiruvchi va chiquvchi ulanishlarni filtrlaydigan ish stantsiyalari uchun tarmoq sensori xavfsizlik devori. berilgan sozlamalar. Endi siz xavfsizlik devori sozlamalarini sozlashingiz mumkin va IPsec protokoli bitta vosita bilan. Ushbu maqolada Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori qanday ishlashi, keng tarqalgan muammolar va echimlar tasvirlangan.

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori qanday ishlaydi

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori ish stantsiyalari uchun tarmoq holatini qayd qiluvchi xavfsizlik devoridir. Mahalliy tarmoq va Internet o'rtasidagi shlyuzda o'rnatilgan marshrutizator xavfsizlik devorlaridan farqli o'laroq, Windows xavfsizlik devori alohida kompyuterlarda ishlash uchun mo'ljallangan. U faqat ish stantsiyasi trafigini kuzatib boradi: ushbu kompyuterning IP-manziliga kiruvchi trafik va kompyuterning o'zidan chiquvchi trafik. Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori quyidagi asosiy operatsiyalarni bajaradi:

Kiruvchi paket tekshiriladi va ruxsat etilgan trafik ro'yxati bilan taqqoslanadi. Agar paket ro'yxat qiymatlaridan biriga to'g'ri kelsa, Windows xavfsizlik devori keyingi ishlov berish uchun paketni TCP/IP ga uzatadi. Agar paket ro'yxatdagi qiymatlardan birortasiga mos kelmasa, Windows xavfsizlik devori paketni bloklaydi va agar jurnalga kirish yoqilgan bo'lsa, jurnal faylida yozuv yaratadi.

Ruxsat etilgan trafik ro'yxati ikki shaklda tuziladi:

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori tomonidan boshqariladigan ulanish paketni yuborganda, xavfsizlik devori qaytib keladigan trafikni qabul qilish uchun ro'yxatda qiymat yaratadi. Tegishli kiruvchi trafik qo'shimcha ruxsat talab qiladi.

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori uchun ruxsat berish qoidasini yaratganingizda, siz qoida yaratgan trafikka Windows xavfsizlik devori ishlayotgan kompyuterda ruxsat beriladi. Ushbu kompyuter server, mijoz kompyuteri yoki peer-to-peer tarmoq xosti sifatida ishlaganda aniq ruxsat etilgan kiruvchi trafikni qabul qiladi.

Windows xavfsizlik devori bilan bog'liq muammolarni hal qilishning birinchi qadami qaysi profil faol ekanligini tekshirishdir. Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori tarmoq muhitingizni nazorat qiluvchi dasturdir. Tarmoq muhiti o'zgarishi bilan Windows xavfsizlik devori profili o'zgaradi. Profil tarmoq muhiti va joriyiga qarab qo'llaniladigan sozlamalar va qoidalar to'plamidir tarmoq ulanishlari.

Xavfsizlik devori tarmoq muhitining uch turini ajratadi: domen, umumiy va xususiy tarmoqlar. Domen - bu domen boshqaruvchisi tomonidan ulanishlar autentifikatsiya qilinadigan tarmoq muhiti. Odatiy bo'lib, barcha boshqa tarmoq ulanishlari umumiy tarmoqlar sifatida ko'rib chiqiladi. Yangisi kashf etilganda Windows ulanishlari Vista foydalanuvchidan yo'qligini ko'rsatishni taklif qiladi bu tarmoq xususiy yoki davlat. Umumiy profil jamoat joylarida, masalan, aeroportlarda yoki kafelarda foydalanish uchun mo'ljallangan. Shaxsiy profil uyda yoki ofisda, shuningdek, xavfsiz tarmoqda foydalanish uchun mo'ljallangan. Tarmoqni shaxsiy deb belgilash uchun foydalanuvchi tegishli ma'muriy imtiyozlarga ega bo'lishi kerak.

Kompyuter bir vaqtning o'zida tarmoqlarga ulanishi mumkin bo'lsa-da turli xil turlari, faqat bitta profil faol bo'lishi mumkin. Faol profilni tanlash quyidagi sabablarga bog'liq:

Agar barcha interfeyslar domen tekshiruvi autentifikatsiyasidan foydalansa, domen profili ishlatiladi.

Agar interfeyslardan kamida bittasi ulangan bo'lsa xususiy tarmoq, va boshqalar - domenga yoki shaxsiy tarmoqlarga shaxsiy profil ishlatiladi.

Boshqa barcha holatlarda umumiy profil ishlatiladi.

Faol profilni aniqlash uchun tugunni bosing Kuzatuv bir zumda Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori. Matn ustida Xavfsizlik devori holati qaysi profil faol ekanligini ko'rsatadi. Misol uchun, agar domen profili faol bo'lsa, u yuqorida ko'rsatiladi Domen profili faol.

Profillardan foydalangan holda, Windows xavfsizlik devori kompyuter domenda bo'lganida ma'lum kompyuter boshqaruv vositalari uchun kiruvchi trafikni avtomatik ravishda ruxsat berishi mumkin va kompyuter umumiy yoki shaxsiy tarmoqqa ulanganida bir xil trafikni blokirovka qilishi mumkin. Shunday qilib, tarmoq muhitining turini aniqlash sizni himoya qiladi mahalliy tarmoq mobil foydalanuvchilarning xavfsizligini buzmasdan.

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devorini ishga tushirishda keng tarqalgan muammolar

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori ishlayotganida quyidagi asosiy muammolar yuzaga keladi:

Trafik bloklangan bo'lsa, avval xavfsizlik devori yoqilganligini va qaysi profil faol ekanligini tekshirishingiz kerak. Agar ilovalardan birortasi bloklangan bo'lsa, qo'shimcha qurilma o'rnatilganligiga ishonch hosil qiling Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori Joriy profil uchun faol ruxsat berish qoidasi mavjud. Ruxsat beruvchi qoida mavjudligini tekshirish uchun tugunni ikki marta bosing Kuzatuv, so'ngra bo'limni tanlang Xavfsizlik devori. Agar ushbu dastur uchun faol ruxsat berish qoidalari bo'lmasa, saytga o'ting va ushbu dastur uchun yangi qoida yarating. Dastur yoki xizmat uchun qoida yarating yoki ushbu xususiyatga tegishli qoidalar guruhini belgilang va ushbu guruhdagi barcha qoidalar yoqilganligiga ishonch hosil qiling.

Ruxsat berish qoidasi bloklash qoidasi tomonidan bekor qilinmaganligini tekshirish uchun quyidagi amallarni bajaring:

Daraxtda Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori tugunni bosing Kuzatuv, so'ngra bo'limni tanlang Xavfsizlik devori.

Barcha faol mahalliy va guruh siyosati qoidalari roʻyxatini koʻring. Taqiqlash qoidalari, agar ular aniqroq belgilangan bo'lsa ham, ruxsat berish qoidalarini bekor qiladi.

Guruh siyosati mahalliy qoidalarni qo'llashni oldini oladi

Agar Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori Guruh siyosati yordamida sozlangan bo'lsa, administratoringiz mahalliy ma'murlar tomonidan yaratilgan xavfsizlik devori qoidalari yoki ulanish xavfsizligi qoidalari ishlatilishini belgilashi mumkin. Bu tegishli sozlamalar bo'limida bo'lmagan mahalliy xavfsizlik devori qoidalari yoki sozlangan ulanish xavfsizligi qoidalari mavjud bo'lsa, mantiqiy bo'ladi.

Monitoring bo'limida nima uchun mahalliy xavfsizlik devori qoidalari yoki ulanish xavfsizligi qoidalari yo'qligini aniqlash uchun quyidagi amallarni bajaring:

Tez orada Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori, havolani bosing Windows xavfsizlik devori xususiyatlari.

Faol profil yorlig'ini tanlang.

Bobda Variantlar, tugmasini bosing Sozlang.

Mahalliy qoidalar qo'llanilsa, bo'lim Qoidalarni birlashtirish faol bo'ladi.

Xavfsiz ulanishni talab qiladigan qoidalar trafikni bloklashi mumkin

Kiruvchi yoki chiquvchi trafik uchun xavfsizlik devori qoidasini yaratishda parametrlardan biri . Tanlangan bo'lsa bu funksiya, sizda tegishli ulanish xavfsizligi qoidasi yoki qaysi trafik xavfsizligini belgilaydigan alohida IPSec siyosati bo'lishi kerak. Aks holda, bu trafik bloklanadi.

Bir yoki bir nechta dastur qoidalari xavfsiz ulanishlarni talab qilishini tekshirish uchun quyidagi amallarni bajaring:

Daraxtda Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori bo'limni bosing Kiruvchi ulanishlar uchun qoidalar. Tekshirmoqchi bo'lgan qoidani tanlang va havolani bosing Xususiyatlari konsol doirasida.

Yorliq tanlang Umumiy va radio tugmasi qiymati tanlanganligini tekshiring Faqat ruxsat bering xavfsiz ulanishlar .

Agar qoida parametr bilan ko'rsatilgan bo'lsa Faqat xavfsiz ulanishlarga ruxsat bering, bo'limni kengaytiring Kuzatuv qo'shimcha daraxtda va bo'limni tanlang. Xavfsizlik devori qoidasida belgilangan trafik tegishli ulanish xavfsizligi qoidalariga ega ekanligiga ishonch hosil qiling.

Ogohlantirish:

Agar sizda faol IPSec siyosati mavjud bo'lsa, siyosat kerakli trafikni himoya qilishiga ishonch hosil qiling. IPSec siyosati va ulanish xavfsizligi qoidalariga zid kelmaslik uchun ulanish xavfsizligi qoidalarini yaratmang.

Chiquvchi ulanishlarga ruxsat berilmadi

Daraxtda Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori Bo'limni tanlang Kuzatuv. Faol profil yorlig'ini va bo'limni tanlang Xavfsizlik devori holati ruxsat berish qoidasiga kirmaydigan chiquvchi ulanishlarga ruxsat berilganligini tekshiring.

Bobda Kuzatuv Bo'limni tanlang Xavfsizlik devori talab qilinadigan chiquvchi ulanishlar rad etish qoidalarida ko'rsatilmaganligini ta'minlash.

Aralash siyosatlar trafikni blokirovka qilishga olib kelishi mumkin

Turli xil Windows interfeyslari yordamida xavfsizlik devori va IPSec sozlamalarini sozlashingiz mumkin.

Bir nechta joylarda siyosat yaratish mojarolarga va trafikni blokirovka qilishga olib kelishi mumkin. Quyidagi sozlash nuqtalari mavjud:

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori. Ushbu siyosat mahalliy yoki guruh siyosatining bir qismi sifatida tegishli qo'shimcha qurilma yordamida sozlangan. Ushbu siyosat Windows Vista bilan ishlaydigan kompyuterlarda xavfsizlik devori va IPSec sozlamalarini belgilaydi.

Windows xavfsizlik devori ma'muriy shabloni. Ushbu siyosat bo'limdagi Guruh siyosati ob'ekt muharriri yordamida sozlangan. Ushbu interfeys Windows Vista-dan oldin mavjud bo'lgan Windows xavfsizlik devori sozlamalarini o'z ichiga oladi va Windows-ning oldingi versiyalarini boshqaruvchi GPO-ni sozlash uchun ishlatiladi. Garchi bu parametrlar ishlaydigan kompyuterlar uchun ishlatilishi mumkin Windows boshqaruvi Vista, uning o'rniga siyosatdan foydalanish tavsiya etiladi Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori, chunki u ko'proq moslashuvchanlik va xavfsizlikni ta'minlaydi. Shuni esda tutingki, ba'zi domen profil sozlamalari Windows xavfsizlik devori ma'muriy shablonlari va siyosati uchun umumiydir Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori, shuning uchun siz qo'shimcha qurilma yordamida domen profilida sozlangan parametrlarni bu erda ko'rishingiz mumkin Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori.

IPSec siyosatlari. Bu siyosat mahalliy qo‘shimcha qurilma yordamida sozlangan IPSec siyosatini boshqarish yoki "Mahalliy kompyuter" dagi Kompyuter konfiguratsiyasi\Windows konfiguratsiyasi\Xavfsizlik sozlamalari\IP xavfsizlik siyosati bo'limidagi Guruh siyosati ob'ekt muharriri. Bu siyosat Windows va Windows Vista’ning oldingi versiyalarida ishlatilishi mumkin bo‘lgan IPSec sozlamalarini belgilaydi. Xuddi shu kompyuterda bir vaqtning o'zida ishlatilmasligi kerak bu siyosat va siyosatda belgilangan ulanish xavfsizligi qoidalari Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori.

Tegishli qo'shimcha qurilmalarda ushbu parametrlarning barchasini ko'rish uchun o'zingizning boshqaruv konsolingiz qo'shimchasini yarating va unga qo'shimcha qurilmalarni qo'shing. Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori, Va IP xavfsizligi.

O'zingizning boshqaruv konsolingiz qo'shimchasini yaratish uchun quyidagi amallarni bajaring:

Tugmasini bosing Boshlash, menyuga o'ting Barcha dasturlar, keyin menyuga o'ting Standart va tanlang Bajarish.

Matn maydonida Ochiq KIRISH.

Davom eting.

Menyuda Konsol elementni tanlang.

Ro'yxatda Mavjud aksessuarlar uskunani tanlang Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori va tugmani bosing Qo'shish.

Tugmasini bosing KELISHDIKMI.

Snap qo'shish uchun 1 dan 6 gacha bo'lgan bosqichlarni takrorlang Boshqaruv guruh siyosati Va IP xavfsizlik monitori.

Faol profilda qaysi siyosatlar faolligini tekshirish uchun quyidagi protseduradan foydalaning:

Qaysi siyosatlar qo'llanilishini tekshirish uchun quyidagi amallarni bajaring:

IN buyruq qatori mmc ni kiriting va tugmani bosing KIRISH.

Agar foydalanuvchi hisobini boshqarish dialog oynasi paydo bo'lsa, so'ralgan amalni tasdiqlang va bosing Davom eting.

Menyuda Konsol elementni tanlang Qo'shimcha elementni qo'shing yoki o'chiring.

Ro'yxatda Mavjud aksessuarlar uskunani tanlang Guruh siyosatini boshqarish va tugmani bosing Qo'shish.

Tugmasini bosing KELISHDIKMI.

Daraxtdagi tugunni kengaytiring (odatda u joylashgan o'rmon daraxti) bu kompyuter) va konsol tafsilotlari panelidagi bo'limni ikki marta bosing.

Radio tugmasi qiymatini tanlang Siyosat sozlamalarini ko‘rsatish qadriyatlardan joriy foydalanuvchi yoki boshqa foydalanuvchi. Agar siz foydalanuvchilar uchun siyosat sozlamalarini emas, balki faqat kompyuter uchun siyosat sozlamalarini ko'rsatishni xohlamasangiz, radio tugmani tanlang Foydalanuvchi siyosatini ko'rsatma (faqat kompyuter siyosatini ko'rish) va tugmani ikki marta bosing Keyinchalik.

Tugmasini bosing Tayyor. Guruh siyosati natijalari ustasi konsolning tafsilotlar panelida hisobot yaratadi. Hisobotda yorliqlar mavjud Xulosa, Variantlar Va Siyosiy voqealar.

IP xavfsizlik siyosati bilan ziddiyat yo'qligini tekshirish uchun hisobotni yaratgandan so'ng, yorliqni tanlang Variantlar va katalog xizmatida Kompyuter konfiguratsiyasi\Windows konfiguratsiyasi\Xavfsizlik sozlamalari\IP xavfsizlik sozlamalarini oching. Active Directory. Agar oxirgi bo'lim yo'q bo'lsa, IP xavfsizlik siyosati o'rnatilmagan. Aks holda, siyosatning nomi va tavsifi va unga tegishli bo'lgan GPO ko'rsatiladi. Agar siz IP xavfsizlik siyosati va Kengaytirilgan xavfsizlik siyosatiga ega Windows xavfsizlik devori ulanish xavfsizligi qoidalari bilan bir vaqtda foydalansangiz, bu siyosatlar ziddiyatli bo'lishi mumkin. Ushbu siyosatlardan faqat bittasini ishlatish tavsiya etiladi. Optimal yechim kiruvchi yoki chiquvchi trafik uchun Kengaytirilgan xavfsizlik qoidalariga ega Windows xavfsizlik devori bilan birga IP xavfsizlik siyosatlaridan foydalanadi. Agar parametrlar turli joylarda sozlangan bo'lsa va bir-biriga mos kelmasa, hal qilish qiyin bo'lgan siyosat ziddiyatlari paydo bo'lishi mumkin.

Mahalliy Guruh siyosati obyektlarida belgilangan siyosatlar va AT boʻlimi tomonidan sozlangan skriptlar oʻrtasida ziddiyatlar ham boʻlishi mumkin. IP Security Monitor dasturidan foydalanib yoki buyruq satriga quyidagi buyruqni kiritish orqali barcha IP xavfsizlik siyosatlarini tekshiring:

Windows xavfsizlik devori ma'muriy shablonida belgilangan sozlamalarni ko'rish uchun bo'limni kengaytiring Kompyuter konfiguratsiyasi\Ma'muriy shablonlar\Tarmoq\Tarmoq ulanishlari\Windows Xavfsizlik devori.

Joriy siyosat bilan bog'liq so'nggi voqealarni ko'rish uchun siz yorlig'iga o'tishingiz mumkin Siyosat voqealari xuddi shu konsolda.

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori ishlatadigan siyosatni ko'rish uchun diagnostika qilinayotgan kompyuterda qo'shimcha dasturni oching va quyidagi sozlamalarni ko'rib chiqing. Kuzatuv.

Ma'muriy shablonlarni ko'rish uchun qo'shimcha komponentni oching Guruh siyosati va bo'limda Guruh siyosati natijalari Guruh siyosatidan meros qilib olingan, trafikni rad etishiga olib keladigan sozlamalar mavjudligini ko'rib chiqing.

IP xavfsizlik siyosatlarini ko'rish uchun IP xavfsizlik monitori qo'shimchasini oching. Daraxtda tanlang mahalliy kompyuter. Konsol doirasida havolani tanlang Faol siyosat, Asosiy rejim yoki Tez rejim. Trafik bloklanishiga olib kelishi mumkin bo'lgan raqobatbardosh siyosatlarni tekshiring.

Bobda Kuzatuv armatura Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori Ko'rishingiz mumkin mavjud qoidalar ham mahalliy, ham guruh siyosati. Olish uchun Qo'shimcha ma'lumot bo'limiga qarang " Qo'shimcha qurilmada soat funksiyasidan foydalanish Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori » ushbu hujjat.

IPSec siyosat agentini to'xtatish uchun quyidagi amallarni bajaring:

Tugmasini bosing Boshlash va bo'limni tanlang Boshqaruv paneli.

Belgini bosing Tizim va unga xizmat ko'rsatish va bo'limni tanlang Ma'muriyat.

Belgini ikki marta bosing Xizmatlar. Davom eting.

Ro'yxatda xizmatni toping IPSec siyosat agenti

Agar xizmat IPSec agenti ishlayotgan bo'lsa, ustiga o'ng tugmasini bosing va menyu bandini tanlang STOP. Shuningdek, xizmatni to'xtatishingiz mumkin IPSec agenti buyruq yordamida buyruq satridan

Peer-to-peer siyosati trafikni rad etishga olib kelishi mumkin

IPSec-dan foydalanadigan ulanishlar uchun ikkala kompyuter ham mos IP xavfsizlik siyosatiga ega bo'lishi kerak. Ushbu siyosatlar Windows Xavfsizlik devori ulanishi xavfsizlik qoidalari qo'shimcha elementi yordamida aniqlanishi mumkin IP xavfsizligi yoki boshqa IP xavfsizlik provayderi.

Peer-to-peer tarmog'ida IP xavfsizlik siyosati sozlamalarini tekshirish uchun quyidagi amallarni bajaring:

Tez orada Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori tugunni tanlang Kuzatuv Va Ulanish xavfsizligi qoidalari IP xavfsizlik siyosati ikkala tarmoq tugunida ham sozlanganligiga ishonch hosil qilish.

Agar peer-to-peer tarmog'idagi kompyuterlardan biri ko'proq ishlayotgan bo'lsa erta versiya Windows Vista'dan ko'ra Windows, mahalliy rejimdagi shifrlar to'plamlaridan kamida bittasi va tezkor rejim shifrlash to'plamlaridan biri ikkala xost tomonidan qo'llab-quvvatlanadigan algoritmlardan foydalanishiga ishonch hosil qiling.

1. Bo'limni bosing Asosiy rejim, konsol tafsilotlari panelida sinab ko'rmoqchi bo'lgan ulanishni tanlang, so'ngra havolani bosing Xususiyatlari konsol doirasida. Ikkala tugunning mos kelishiga ishonch hosil qilish uchun ulanish xususiyatlarini ko'rib chiqing.

   Bo'lim uchun 2.1-bosqichni takrorlang Tez rejim. Ikkala tugunning mos kelishiga ishonch hosil qilish uchun ulanish xususiyatlarini ko'rib chiqing.

Agar siz Kerberos 5-versiyasi autentifikatsiyasidan foydalanayotgan bo'lsangiz, xost bir xil yoki ishonchli domenda ekanligiga ishonch hosil qiling.

Agar siz sertifikatlardan foydalanayotgan bo'lsangiz, kerakli katakchalar belgilanganligiga ishonch hosil qiling. Internet Key Exchange (IKE) IPSec dan foydalanadigan sertifikatlar uchun siz kerak raqamli imzo. Autentifikatsiya qilingan Internet Protocol (AuthIP) dan foydalanadigan sertifikatlar mijozning autentifikatsiyasini talab qiladi (serverning autentifikatsiya turiga qarab). AuthIP sertifikatlari haqida ko'proq ma'lumot olish uchun maqolaga qarang Windows Vista-da IP autentifikatsiyasi Microsoft veb-saytida Windows Vista'da AuthIP.

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devorini sozlab bo'lmaydi

Kengaytirilgan xavfsizlik sozlamalariga ega Windows xavfsizlik devori quyidagi hollarda kulrang (kulrang) bo'ladi:

Kompyuter tarmoqqa ulangan markazlashtirilgan boshqaruv, va tarmoq ma'muriyati Kengaytirilgan xavfsizlik sozlamalari bilan Windows xavfsizlik devorini sozlash uchun Guruh siyosatlaridan foydalanadi. Bunday holda, snapning yuqori qismida Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori Siz "Ba'zi sozlamalar Guruh siyosati tomonidan boshqariladi" xabarini ko'rasiz. Tarmoq ma'muringiz siyosatni sozlaydi va shu bilan Windows xavfsizlik devori sozlamalarini o'zgartirishingizga yo'l qo'ymaydi.

Windows Vista bilan ishlaydigan kompyuter markazdan boshqariladigan tarmoqqa ulanmagan, ammo Windows xavfsizlik devori sozlamalari mahalliy guruh siyosati bilan belgilanadi.

Mahalliy guruh siyosati yordamida kengaytirilgan xavfsizlik sozlamalari bilan Windows xavfsizlik devorini o'zgartirish uchun qo'shimcha dasturdan foydalaning Mahalliy kompyuter siyosati. Ushbu qo'shimchani ochish uchun buyruq satriga secpol kiriting. Agar foydalanuvchi hisobini boshqarish dialog oynasi paydo bo'lsa, so'ralgan amalni tasdiqlang va bosing Davom eting. Kengaytirilgan xavfsizlik siyosati sozlamalari bilan Windows xavfsizlik devorini sozlash uchun Kompyuter konfiguratsiyasi\Windows konfiguratsiyasi\Xavfsizlik sozlamalari\Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori-ga o'ting.

Kompyuter ping so'rovlariga javob bermaydi

Kompyuterlar o'rtasidagi ulanishni tekshirishning asosiy usuli - ma'lum bir IP-manzilga ulanishni tekshirish uchun Ping yordam dasturidan foydalanish. Ping paytida ICMP echo xabari (ICMP echo so'rovi sifatida ham tanilgan) yuboriladi va buning evaziga ICMP echo javobi so'raladi. Odatiy bo'lib, Windows xavfsizlik devori kiruvchi ICMP echo xabarlarini rad etadi, shuning uchun kompyuter ICMP echo javobini yubora olmaydi.

Kiruvchi ICMP echo xabarlariga ruxsat berish boshqa kompyuterlarga kompyuteringizga ping yuborish imkonini beradi. Boshqa tomondan, bu kompyuterni ICMP echo xabarlari yordamida hujumlarga qarshi himoyasiz qiladi. Biroq, agar kerak bo'lsa, kiruvchi ICMP echo xabarlariga vaqtincha ruxsat berish va keyin ularni o'chirish tavsiya etiladi.

ICMP echo xabarlariga ruxsat berish uchun ICMPv4 va ICMPv6 echo so'rov paketlariga ruxsat beruvchi yangi kirish qoidalarini yarating.

ICMPv4 va ICMPv6 echo so'rovlarini hal qilish uchun quyidagi amallarni bajaring:

Daraxtda Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori tugunni tanlang Kiruvchi ulanishlar uchun qoidalar va havolani bosing Yangi qoida konsol harakat sohasida.

Moslashuvchan va tugmani bosing Keyinchalik.

Kommutator qiymatini belgilang Barcha dasturlar va tugmani bosing Keyinchalik.

Ochiladigan ro'yxatda Protokol turi qiymatni tanlang ICMPv4.

Tugmasini bosing Sozlang element uchun ICMP protokoli parametrlari.

Radio tugmachasini o'rnating Maxsus ICMP turlari, katakchani belgilang Echo so'rovi, tugmasini bosing KELISHDIKMI va tugmani bosing Keyinchalik.

Ushbu qoidaga mos keladigan mahalliy va uzoq IP manzillarni tanlash bosqichida kalitlarni qiymatlarga o'rnating Har qanday IP manzil yoki Belgilangan IP manzillar. Agar siz qiymatni tanlasangiz Belgilangan IP manzillar, kerakli IP manzillarini belgilang, tugmani bosing Qo'shish va tugmani bosing Keyinchalik.

Kommutator qiymatini belgilang Ulanishga ruxsat bering va tugmani bosing Keyinchalik.

Profilni tanlash bosqichida ushbu qoidadan foydalanmoqchi bo'lgan bir yoki bir nechta profilni (domen profili, shaxsiy yoki umumiy profil) tanlang va tugmani bosing. Keyinchalik.

Dalada Ism qoida nomini kiriting, va maydonga Tavsif- ixtiyoriy tavsif. Tugmasini bosing Tayyor.

ICMPv6 protokoli uchun yuqoridagi amallarni takrorlang Protokol turi ochiladigan qiymat ICMPv6 o'rniga ICMPv4.

Agar sizda faol ulanish xavfsizligi qoidalari mavjud bo'lsa, ICMPni IPsec talablaridan vaqtincha chiqarib tashlash muammolarni hal qilishga yordam beradi. Buning uchun snapda oching Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori dialog oynasi Xususiyatlari, yorlig'iga o'ting IPSec sozlamalari va ochiladigan ro'yxatda qiymatni belgilang Ha parametr uchun IPSec-dan ICMP-ni chiqarib tashlang.

Eslatma

Windows xavfsizlik devori sozlamalarini faqat ma'murlar va tarmoq operatorlari o'zgartirishi mumkin.

Fayllar va printerlarni almashish imkonsiz

Agar ololmasang umumiy kirish Windows xavfsizlik devori faol bo'lgan kompyuterdagi fayllar va printerlar uchun barcha guruh qoidalari yoqilganligiga ishonch hosil qiling Fayllar va printerlarga kirish Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori tugunni tanlang Kiruvchi ulanishlar uchun qoidalar Fayllar va printerlarga kirish Qoidani yoqish konsol doirasida.

Diqqat:

To'g'ridan-to'g'ri Internetga ulangan kompyuterlarda fayl va printer almashishni yoqmaslik tavsiya etiladi, chunki tajovuzkorlar kirishga harakat qilishlari mumkin. umumiy fayllar va shaxsiy fayllaringizga zarar yetkazish orqali sizga zarar yetkazadi.

Windows xavfsizlik devori masofadan turib boshqarilmaydi

Agar siz Windows xavfsizlik devori faol bo'lgan kompyuterni masofadan boshqara olmasangiz, standart guruhdagi barcha qoidalar yoqilganligiga ishonch hosil qiling. Windows xavfsizlik devorini masofadan boshqarish faol profil. Tez orada Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori tugunni tanlang Kiruvchi ulanishlar uchun qoidalar va qoidalar ro'yxatini guruhga aylantiring Masofaviy boshqarish. Ushbu qoidalar yoqilganligiga ishonch hosil qiling. O'chirilgan qoidalarning har birini tanlang va tugmani bosing Qoidani yoqish konsol doirasida. Bundan tashqari, IPSec Policy Agent xizmati yoqilganligiga ishonch hosil qiling. Ushbu xizmat uchun talab qilinadi masofaviy boshqarish Windows xavfsizlik devori.

IPSec siyosat agenti ishlayotganligini tekshirish uchun quyidagi amallarni bajaring:

Tugmasini bosing Boshlash va bo'limni tanlang Boshqaruv paneli.

Belgini bosing Tizim va unga xizmat ko'rsatish va bo'limni tanlang Ma'muriyat.

Belgini ikki marta bosing Xizmatlar.

Agar foydalanuvchi hisobini boshqarish dialog oynasi paydo bo'lsa, tegishli ruxsatnomalar bilan kerakli foydalanuvchi ma'lumotlarini kiriting va bosing Davom eting.

Ro'yxatda xizmatni toping IPSec siyosat agenti va uning "Ishlayotgan" holatiga ega ekanligiga ishonch hosil qiling.

Agar xizmat IPSec agenti to'xtatildi, ustiga sichqonchaning o'ng tugmachasini bosing va kirishni tanlang kontekst menyusi paragraf Ishga tushirish. Shuningdek, siz xizmatni boshlashingiz mumkin IPSec agenti net start siyosati agenti buyrug'i yordamida buyruq satridan.

Eslatma

Standart xizmat IPSec siyosat agenti ishga tushirildi. Agar qo'lda to'xtatilmagan bo'lsa, bu xizmat ishlayotgan bo'lishi kerak.

Windows xavfsizlik devori muammolarini bartaraf qilish vositalari

Ushbu bo'limda umumiy muammolarni hal qilish uchun ishlatilishi mumkin bo'lgan vositalar va usullar tasvirlangan. Ushbu bo'lim quyidagi kichik bo'limlardan iborat:

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori monitoringi funksiyalaridan foydalaning

Windows xavfsizlik devori muammolarini hal qilishning birinchi qadami joriy qoidalarni ko'rib chiqishdir. Funktsiya Kuzatuv mahalliy va guruh siyosati asosida foydalaniladigan qoidalarni ko'rish imkonini beradi. Joriy kirish va chiqish qoidalarini biriktiruvchi daraxtda ko'rish uchun Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori Bo'limni tanlang Kuzatuv ni bosing va keyin bo'limni tanlang Xavfsizlik devori. Ushbu bo'limda siz joriylarni ham ko'rishingiz mumkin ulanish xavfsizligi qoidalari Va xavfsizlik uyushmalari (Asosiy va Tez rejimlar).

Audipol buyruq qatori vositasi yordamida xavfsizlik auditini yoqing va foydalaning

Odatiy bo'lib, audit opsiyalari o'chirilgan. Ularni sozlash uchun mahalliy kompyuterda audit siyosati sozlamalarini o'zgartiradigan auditpol.exe buyruq qatori vositasidan foydalaning. Auditpol turli toifadagi hodisalarni ko'rsatishni yoqish yoki o'chirish va keyin ularni qo'shimcha qismda ko'rish uchun ishlatilishi mumkin. Voqealarni ko'rish vositasi.

Audipol tomonidan qo'llab-quvvatlanadigan toifalar ro'yxatini ko'rish uchun buyruq satriga kiriting:

• Berilgan toifaga (masalan, Siyosatni o'zgartirish toifasi) kiritilgan kichik toifalar ro'yxatini ko'rish uchun buyruq qatoriga kiriting:

  auditpol.exe /list /category:"Siyosatdagi o'zgarishlar"

• Kategoriya yoki pastki toifani ko'rsatishni yoqish uchun buyruq qatoriga kiriting:

  /Subturum:" Kategoriya nomi"

Masalan, toifa va uning pastki toifasi uchun audit siyosatini o'rnatish uchun siz quyidagi buyruqni kiritasiz:

auditpol.exe /set /category:"Siyosatni o'zgartirish" /subcategory:"MPSSVC qoidasi darajasida siyosatni o'zgartirish" /success:enable /failure:enable

Siyosat o'zgarishi

MPSSVC qoidasi darajasida siyosatni o'zgartirish

Filtrlash platformasi siyosatini o'zgartirish

Chiqishga kiring

IPsec asosiy rejimi

IPsec tezkor rejimi

IPsec kengaytirilgan rejimi

Tizim

IPSEC haydovchi

Boshqa tizim hodisalari

Ob'ektlarga kirish

Filtrlash platformasi orqali paketlarni tushirish

Filtrlash platformasini ulash

Xavfsizlik auditi siyosatidagi o'zgarishlar kuchga kirishi uchun siz mahalliy kompyuterni qayta ishga tushirishingiz yoki siyosatni qo'lda yangilashni majbur qilishingiz kerak. Siyosat yangilanishini majburlash uchun buyruq satriga kiriting:

secedit/refreshpolicy<название_политики>

Diagnostika tugallangandan so'ng, yuqoridagi buyruqlardagi yoqish parametrini disable bilan almashtirish va buyruqlarni qayta ishga tushirish orqali hodisalarni tekshirishni o'chirib qo'yishingiz mumkin.

Hodisalar jurnalida xavfsizlik auditi hodisalarini ko'ring

Auditni yoqqaningizdan so'ng, Xavfsizlik hodisalari jurnalida audit hodisalarini ko'rish uchun Voqealarni ko'rish vositasidan foydalaning.

Voqealarni ko'rish dasturini Administrativ asboblar jildida ochish uchun quyidagi amallarni bajaring:

1. Tugmasini bosing Boshlash.

   Bo'limni tanlang Boshqaruv paneli. Belgini bosing Tizim va unga xizmat ko'rsatish va bo'limni tanlang Ma'muriyat.

   Belgini ikki marta bosing Voqealarni ko'rish vositasi.

MMC-ga Voqealar ko'rish dasturini qo'shish uchun quyidagi amallarni bajaring:

Tugmasini bosing Boshlash, menyuga o'ting Barcha dasturlar, keyin menyuga o'ting Standart va tanlang Bajarish.

Matn maydonida Ochiq mmc ni kiriting va tugmani bosing KIRISH.

Agar foydalanuvchi hisobini boshqarish dialog oynasi paydo bo'lsa, so'ralgan amalni tasdiqlang va bosing Davom eting.

Menyuda Konsol elementni tanlang Qo'shimcha elementni qo'shing yoki o'chiring.

Ro'yxatda Mavjud aksessuarlar uskunani tanlang Voqealarni ko'rish vositasi va tugmani bosing Qo'shish.

Tugmasini bosing KELISHDIKMI.

Qo'shimcha qurilmani yopishdan oldin konsolni kelajakda foydalanish uchun saqlang.

Tez orada Voqealarni ko'rish vositasi bo'limni kengaytiring Windows jurnallari va tugunni tanlang Xavfsizlik. Konsol ish sohasida siz xavfsizlik auditi hodisalarini ko'rishingiz mumkin. Barcha hodisalar konsol ish maydonining yuqori qismida ko'rsatiladi. Ko'rsatish uchun konsol ish maydonining yuqori qismidagi hodisani bosing batafsil ma'lumot panelning pastki qismida. Yorliqda Umumiy Voqealar aniq matn shaklida tasvirlangan. Yorliqda Tafsilotlar Quyidagi voqealarni ko'rsatish imkoniyatlari mavjud: Aniq taqdimot Va XML rejimi.

Profil uchun xavfsizlik devori jurnalini sozlang

Xavfsizlik devori jurnallarini ko'rishdan oldin, jurnal fayllarini yaratish uchun Windows xavfsizlik devorini Kengaytirilgan xavfsizlik bilan sozlashingiz kerak.

Kengaytirilgan xavfsizlik profiliga ega Windows xavfsizlik devori uchun jurnalga kirishni sozlash uchun quyidagi amallarni bajaring:

Daraxtda Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori Bo'limni tanlang Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori va tugmani bosing Xususiyatlari konsol doirasida.

Jurnalga kirishni sozlamoqchi bo'lgan profil yorlig'ini tanlang (domen profili, shaxsiy profil yoki umumiy profil) va keyin bosing. Sozlang Bobda Jurnal yozish.

Jurnal faylining nomi va joylashuvini belgilang.

Jurnal faylining maksimal hajmini belgilang (1 dan 32767 kilobaytgacha)

Ochiladigan ro'yxatda Yo'qolgan paketlarni qayd qiling qiymatini kiriting Ha.

Ochiladigan ro'yxatda Muvaffaqiyatli ulanishlarni yozib oling qiymatini kiriting Ha va keyin tugmani bosing KELISHDIKMI.

Xavfsizlik devori jurnali fayllarini ko'rish

Oldingi protsedura davomida ko'rsatgan faylni oching, "Profil uchun xavfsizlik devori jurnalini sozlash." Xavfsizlik devori jurnaliga kirish uchun siz mahalliy administrator huquqlariga ega bo'lishingiz kerak.

Siz jurnal faylini Notepad yoki istalgan matn muharriri yordamida ko'rishingiz mumkin.

Xavfsizlik devori jurnali fayllarini tahlil qilish

Jurnalda qayd etilgan ma'lumotlar quyidagi jadvalda ko'rsatilgan. Ba'zi ma'lumotlar faqat ma'lum protokollar uchun (TCP bayroqlari, ICMP turi va kodi va boshqalar) ko'rsatilgan va ba'zi ma'lumotlar faqat tushirilgan paketlar (hajmi) uchun ko'rsatilgan.

Eslatma

Defis (-) joriy yozuvning hech qanday ma'lumotga ega bo'lmagan maydonlarida qo'llaniladi.

Netstat va vazifalar ro'yxati matnli fayllarni yaratish

Siz ikkita maxsus jurnal faylini yaratishingiz mumkin, biri tarmoq statistikasini ko'rish uchun (barcha tinglash portlari ro'yxati), ikkinchisi esa xizmat va ilovalar vazifalar ro'yxatini ko'rish uchun. Vazifalar ro'yxati tarmoq statistikasi faylidagi hodisalar uchun jarayon identifikatorini (PID) o'z ichiga oladi. Ushbu ikkita faylni yaratish tartibi quyida tavsiflanadi.

Tarmoq statistikasi matnli fayllari va vazifalar roʻyxatini yaratish uchun quyidagi amallarni bajaring:

Buyruqning satriga kiring netstat -ano > netstat.txt va tugmani bosing KIRISH.

Buyruqning satriga kiring vazifalar roʻyxati > tasklist.txt va tugmani bosing KIRISH. Agar siz xizmatlar ro'yxati bilan matn faylini yaratishingiz kerak bo'lsa, kiriting tasklist /svc > tasklist.txt.

tasklist.txt va netstat.txt fayllarini oching.

Tashxis qilayotgan jarayon kodini tasklist.txt faylida toping va uni netstat.txt faylidagi qiymat bilan solishtiring. Amaldagi protokollarni yozib oling.

Tasklist.txt va Netstat.txt fayllarini chiqarishga misol

Netstat.txt
Proto Mahalliy manzil Xorijiy manzil Davlat PID
TCP 0.0.0.0:XXX 0.0.0.0:0 TINGLASH 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 TINGLASH 322
Tasklist.txt
Rasm nomi PID seans nomi Seans # xotiradan foydalanish
==================== ======== ================ =========== ============
svchost.exe 122 Xizmatlar 0 7,172 K
XzzRpc.exe 322 Xizmatlar 0 5,104 K

Eslatma

Haqiqiy IP manzillar "X" ga, RPC xizmati esa "z" ga o'zgartiriladi.

Muhim xizmatlar ishlayotganligiga ishonch hosil qiling

Quyidagi xizmatlar ishlayotgan bo'lishi kerak:

Asosiy filtrlash xizmati

Guruh siyosati mijozi

Internet kalitlari almashinuvi va IP autentifikatsiyasi uchun IPsec kalit modullari

Yordamchi IP xizmati

IPSec siyosat agenti xizmati

Tarmoq joylashuvi xizmati

Tarmoq ro'yxati xizmati

Windows xavfsizlik devori

Xizmatlar qo'shimchasini ochish va kerakli xizmatlar ishlayotganligini tekshirish uchun quyidagi amallarni bajaring:

Tugmasini bosing Boshlash va bo'limni tanlang Boshqaruv paneli.

Belgini bosing Tizim va unga xizmat ko'rsatish va bo'limni tanlang Ma'muriyat.

Belgini ikki marta bosing Xizmatlar.

Agar foydalanuvchi hisobini boshqarish dialog oynasi paydo bo'lsa, tegishli ruxsatnomalar bilan kerakli foydalanuvchi ma'lumotlarini kiriting va bosing Davom eting.

Yuqorida sanab o'tilgan xizmatlar ishlayotganligiga ishonch hosil qiling. Agar bir yoki bir nechta xizmatlar ishlamayotgan bo'lsa, ro'yxatdagi xizmat nomini o'ng tugmasini bosing va tanlang Ishga tushirish.

Muammolarni hal qilishning qo'shimcha usuli

Oxirgi chora sifatida siz Windows xavfsizlik devori sozlamalarini asl holatiga qaytarishingiz mumkin. Standart sozlamalarni tiklash Windows Vista o'rnatilgandan keyin qilingan barcha sozlamalarni yo'qotadi. Bu ba'zi dasturlarning ishlamay qolishiga olib kelishi mumkin. Bundan tashqari, agar siz kompyuterni masofadan boshqarsangiz, unga ulanish yo'qoladi.

Standart sozlamalarni tiklashdan oldin, joriy xavfsizlik devori konfiguratsiyasini saqlaganingizga ishonch hosil qiling. Bu sizga kerak bo'lganda sozlamalarni tiklash imkonini beradi.

Quyida xavfsizlik devori konfiguratsiyasini saqlash va standart sozlamalarni tiklash qadamlari keltirilgan.

Joriy xavfsizlik devori konfiguratsiyasini saqlash uchun quyidagi amallarni bajaring:

Tez orada Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori havolani bosing Eksport siyosati konsol doirasida.

Xavfsizlik devori sozlamalarini standart holatga qaytarish uchun quyidagi amallarni bajaring:

Tez orada Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori havolani bosing Standart sozlamalarni tiklash konsol doirasida.

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori so'rovini olganingizda, bosing Ha standart qiymatlarni tiklash uchun.

Xulosa

Kengaytirilgan xavfsizlik bilan Windows xavfsizlik devori bilan bog'liq muammolarni tashxislash va hal qilishning ko'plab usullari mavjud. Ular orasida:

Funktsiyadan foydalanish Kuzatuv xavfsizlik devori harakatlarini, ulanish xavfsizligi qoidalarini va xavfsizlik assotsiatsiyasini ko'rish uchun.

Windows xavfsizlik devori bilan bog'liq xavfsizlik auditi hodisalarini tahlil qiling.

Matn fayllarini yaratish vazifalar roʻyxati Va netstat qiyosiy tahlil qilish uchun.