Die Feinabstimmung der Windows-Firewall in Windows XP SP2

Neun neue Gruppenrichtlinieneinstellungen und die entsprechenden Befehle.

In einem Artikel in der letzten Ausgabe veröffentlicht wurde, habe ich bereits darüber gesprochen, die Windows-Firewall, eine Komponente des Pakets Windows XP Service Pack 2 (SP2) zu aktualisieren, frühere Versionen von denen eine als Internet Connection Firewall (ICF) bekannt waren. In diesem Artikel werde ich näher auf dieses Programm konzentrieren und zeigen Ihnen, wie es in einem bestimmten Netzwerk für den Einsatz vorzubereiten. In meinem Besitz nur eine vorläufige Version von SP2, in der endgültigen Fassung war möglicherweise geändert werden.

Daher betrachten wir neun neue Gruppenrichtlinieneinstellungen für die Windows-Firewall und die entsprechenden Befehle. Windows-Firewall-Einstellungen werden im Ordner Computerkonfiguration \ Administrative Vorlagen \ Netzwerk \ Netzwerkverbindungen \ Internet Connection Firewall gespeichert. In diesem Ordner befinden sich zwei Unterordner: Domänenprofil und Mobile Profile. Domänenprofil Richtlinieneinstellungen werden auf einem Computer mit Windows-Firewall aktiviert, wenn der Computer in der Domäne registriert ist; Andernfalls werden die Parameter Mobile Profile ausgewählt. Die beiden Unterordner enthalten den gleichen Satz von neun politischen Optionen.

In einem früheren Artikel haben wir über den ersten Parameter, Betriebsmodus. Diese Option bietet drei Modi: Deaktiviert deaktiviert die Firewall-Schutz wird die Firewall aktiviert und Shielded wird die Firewall aktiviert, aber der Computer ist isoliert aus dem Netz als im geschützten Modus, mit dem Sie bestimmte Ports öffnen können. Um den Computer auf Deaktiviert setzen, Protected oder geschirmte, sollten Sie den Befehl

netsh firewall ipv4 set opmode

Taste deaktiviert, aktiviert oder Schild. Die Bezeichnungen in der Befehlszeile unterscheiden sich manchmal von den entsprechenden Parameternamen Gruppenrichtlinien. Somit wird, um zuverlässig den Netzwerkadapter zu schützen, geben Sie den Befehl

netsh firewall ipv4 set opmode Schild

Dieser Befehl ist bequem in einer Batch-Datei zu verwenden. Sie können eine Batch-Datei auf eine Verknüpfung auf dem Desktop zu erstellen, die Namensgebung dieses System Shield, so können Sie einen Doppelklick auf sie auf Anzeichen von Gefahr für das Netzwerk. Mit dem Befehl

netsh firewall ipv4 zeigen opmode

Sie können die Firewall-Modus finden.

Ändern Firewall-Einstellungen

Eigenschaften nächsten Parameter Windows-Firewall-Richtlinie - Zulassen von Benutzereinstellungen / Gruppenrichtlinieneinstellungen Merge ist nicht ganz klar. In der Dokumentation der Windows-Firewall stellt fest, dass diese Option verwenden, können lokale Administratoren die Firewall-Modus zu ändern. Aber was bedeutet das Wort "change" - zu aktivieren oder deaktivieren Sie die Firewall oder konfigurieren zu öffnen und zu schließen Häfen? In diesem Fall "change" hat eine zweite Bedeutung: Mit Hilfe dieser Politik ein lokaler Administrator den Port öffnen oder schließen kann, aber nicht Disabled-Modus zu beenden, Protected oder abgeschirmte, Set-Domäne-Richtlinie (unter der Annahme, dass die Domänenrichtlinie für die Windows-Firewall vorhanden ist). Wenn die Richtlinie Deaktiviert-Modus eingestellt ist, kann ein lokaler Administrator nicht den Firewall-Betrieb zu steuern.

Die Verwirrung beginnt, wenn ein lokaler Administrator versucht, die Windows-Firewall-Einstellungen angegebene Objekt Gruppenrichtlinienobjekt (GPO) abzubrechen. In Reaktion auf den Befehl

netsh firewall ipv4 set OpMode deaktivieren

die OK-Ergebnis erhalten wird, und der folgende Befehl netsh firewall meldet, dass die Firewall deaktiviert ist. Indem jedoch bei den Eigenschaften eines Netzwerkadapters im Ordner Netzwerkverbindungen suchen, können Sie sehen, dass die Firewall aktiviert ist. Verschiedene Tests zeigen, dass die GUI-Informationen gilt: dominierten Domain-Einstellungen. Lassen Sie uns hoffen, dass in der endgültigen Fassung dieser Mängel korrigiert werden.

Sie können jedoch nicht immer auf Dialogfelder verlassen. Wenn Sie die Option zulassen Benutzereinstellungen / Gruppenrichtlinieneinstellungen auf Deaktiviert Merge Wert gesetzt wird, dann wird das Fenster Farbe wird grau, und die Schalter zu aktivieren und die Windows-Firewall nicht mehr anwenden deaktivieren. Dieser Ansatz ist vernünftig. Aber versuchen Sie, die Option zu aktivieren, und dann wieder auf die Windows-Firewall-Einstellungen angezeigt. Tasten zu aktivieren oder die Firewall zur Verfügung zu deaktivieren. Wenn Sie auf einem von ihnen, und klicken Sie dann auf OK, erscheint auf dem Bildschirm eine Fehlermeldung, aber auch werden die Änderungen nicht passieren. Allerdings kann ein lokaler Administrator öffnen und zu schließen Ports über die Befehlszeile oder gpedit.msc verwenden. Für politische Option Zulassen von Benutzereinstellungen / Gruppenrichtlinieneinstellungen Befehlszeilen Äquivalent existiert zusammenführen.

Offene Ports für Programme

Die folgende Richtlinieneinstellung - das erste von sieben Optionen, mit denen Sie öffnen können, oder (in einigen Fällen) einen bestimmten Port zu schließen. die Firewall öffnen bestimmte Arten von Datenverkehr zu passieren (zB Web-Traffic, Active Directory-Authentifizierungsdaten oder herunterladen E-Mail), ist es schwierig zu bestimmen, welcher Port für diese Art des Verkehrs erforderlich ist. Definieren Zulässige Programme Politik Die Aufgabe wird durch den Parameter vereinfacht. In der Standardeinstellung Windows-Firewall blockiert unerwünschten eingehenden Datenverkehr, aber nicht aufgeschlossen. Dieser Ansatz ist akzeptabel, wenn die Workstation als Client arbeitet, die eine Kommunikation initiiert (beispielsweise über das Vorhandensein von einem Mail-Server von Nachrichten oder Web-server anfragende - zur Information). Aber es funktioniert nicht, wenn die Workstation Dienste für andere Computer im Netzwerk bereitstellt, zum Beispiel, wenn der Mail-Server auf der Workstation befindet, weil die Firewall blockiert Versuche, einen Dialog mit dem Client-Server-Programm zu initiieren. Es ist auch nicht geeignet für die Ad-hoc (Peer-to-Peer, P2P) Verbindungen, wie Instant Messaging (IM), in dem zwei oder mehr Maschinen kommunizieren, gleichzeitig Aufgaben und Clients und Servern durchführen. Somit müssen die Server oder Organisation P2P-Verbindungen zu beginnen, einige Ports zu öffnen.

Aber welche Art von Ports offen sein sollte? Um diese Frage zu beantworten, ist genug, um ein spezifisches Programm im Definieren Zulässige Programme Option, um anzuzeigen, und die Windows-Firewall öffnet Ports das Programm erforderlich. Der Benutzer gibt in der Richtlinieneinstellung, um das Programm zu finden, definiert den Status (aktiv oder blockiert wird, zum Beispiel, Sie Port blockiert Politik für ein bestimmtes Programm erstellen kann, wenn das Programm ein "Trojanisches Pferd" war, in das Netzwerk eingedrungen) und öffnet die entsprechenden Ports für das gesamte Internet oder einfach nur lokale Subnetz.

Es sei angenommen, dass auf einem Computer ein Server-Programm C ausgeführt wird: \ Myprogs \ serverprog.exe. Es ist nicht bekannt, welche Ports bietet, aber es ist notwendig, dass diese Ports nur für Computer im Subnetz offen sind, zu dem sich der Server befindet. Es ist notwendig, die Parameter definieren Erlaubte Programme, dann klicken Sie auf die Schaltfläche anzeigen zu intensivieren, um ein Dialogfeld für die Eingabe der Mail-Server Informationen zu screenen. Dabei stellte ich eine Zeile im Dialogfeld

C: \ Myprogs \ serverprog.exe: LocalSubnet : aktiviert: E-Mail - Server

der definiert, vier Komponenten, von denen jede von dem Rest des Dickdarms getrennt ist. Die erste Komponente - der vollständige Pfad zum Programm. Sie können Umgebungsvariablen wie% Programfiles% verwenden. Die nächste Komponente, LocalSubnet, verweist auf die Notwendigkeit, Verkehr zu ergreifen, um die Ports eingeben, der Server nur Systeme im selben Subnetz. Die dritte Komponente, aktiviert ist, kann Verkehr zu übergeben. Die vierte Komponente, E-Mail-Server, ist einfach ein Etikett, das die Windows-Firewall kann bei der Erstellung von Berichten verwendet werden. Die Anzahl der Programme ist nicht begrenzt.

Öffnen bestimmter Ports

verschiedene Ports verwenden andere Parameter geöffnet. Es ist nicht klar, ob der erste von ihnen zu aktivieren, erlauben dynamisch zugewiesene Ports für RPC und DCOM. Im Allgemeinen ziehe ich es Tools auf Basis von Windows Management Instrumentation (WMI), wie WMI VBScripts und Inventar verwalten Computer-Konsole Microsoft Management Console (MMC), sind aber für die WMI-Remoteprozeduraufrufe (Remote Procedure Calls, RPC) erforderlich. Computer verwalten-Snap-In kann nicht für die Fernsteuerung des Systems ohne die WMI, deshalb verwendet werden, um entfernte Systeme verwalten, mit dem Computer verwalten mit aktiven Windows-Firewall, müssen Sie diese Option aktivieren. Die Gefahr von Ports für die RPC-Öffnung ist, dass in den letzten zwei Jahren hat RPC mehrere schwerwiegende Fehler gefunden worden, von denen einer zu einem unvergesslichen MSBlaster Angriff führte. Daher Aktivierung der Firewall mit offenen Ports für RPC - eine umstrittene Entscheidung; mit dem gleichen Erfolg kann in der Schleuse alle Türen im Haus, aus Gründen der Bequemlichkeit (und seine Räuber) gesperrt werden, die Haustür offen gelassen. Wie die vorherige, ermöglicht diese Option Ports zu öffnen für alle IP-Adressen oder das lokale Subnetz, aber diese Option ist nicht sehr erfolgreich. In vielen Fällen wird MSBlaster Virus von einem infizierten Computer zu verbreiten, dass jemand an die Firma gebracht. Deshalb, bevor Sie diese Option aktivieren, müssen Sie sorgfältig die Dinge zu durchdenken.

Da die RPC können die Parameter Datei- und Druckerfreigabe, Remoteunterstützung und Universal Plug and Play, Sie kündigen oder zu aktivieren, und die Wirkung der aktiven Einstellungen im lokalen Subnetz zu begrenzen. Alle diese Optionen mit Ausnahme der Unterstützung von Remoteunterstützung, kann mit dem Befehl aus der Befehlszeile aktiviert werden

netsh firewall ipv4 set service

gefolgt vom type = und der Name des Dienstes (zB FILEANDPRINT, RPCANDDCOM oder UPNP) oder scope = mit den folgenden Tasten alle (für alle IP-Adresse) und Subnet (für das lokale Subnetz). Zum Beispiel mit Dateien und Drucker im lokalen Subnetz zu ermöglichen, arbeiten, müssen Sie den Befehl eingeben

netsh firewall ipv4 set service type = fileandprint scope = Subnetz

Jedes Team kann ergänzt werden und Schlüsselprofil = interface =, so dass, wenn die Datei- und Druckdienst Sie für die Ethernet-verdrahteten Verbindungen geöffnet werden soll nur, wenn das System mit einer Domäne verbunden ist, geben Sie den folgenden Befehl ein

netsh firewall ipv4 set service type = fileandprint scope = Subnetz interface = "LAN-Verbindung" Profil = corporate

Gruppenrichtlinien arbeitet mit Profilen Domain und Mobile und Kommandozeilen-Tools - Unternehmen und anderen Profilen.

Es bleibt zwei Richtlinieneinstellung. ICMP-Einstellungen beeinflusst Subsystem ICMP (Internet Control Message Protocol - Internet Control Message Protocol). Im Wesentlichen ist der Administrator nur eine wichtige Komponente der ICMP: Ping. Standardmäßig Firewall das System alle ICMP-Anfragen blockieren, und da die Signale ping ignoriert. Die ICMP-Einstellungen Eigenschaften aufgelistet neun Arten von ICMP-Anforderungen erlaubt Firewall Windows-Firewall. Um zu testen, die Notwendigkeit zu aktivieren nur Anfrage Inbound-Echo-Request zulassen. Dieser Parameter ist nicht die ICMP-Verkehr lokale Subnetz zu begrenzen.

ICMP geöffnet von der Kommandozeile aus:

netsh firewall ipv4 set icmpsetting

gefolgt von Schlüsselnummer und type = (3, 4, 5, 8, 10, 11, 12, 13 oder 17) oder das ganze Wort. Die Zahl gibt an einer der neun ICMP-Einstellungen, und wir brauchen die Nummer 8 - die eingehende Anforderung (Eingehende Echoanforderung). Das Auto auf Testsignale zu erfüllen, müssen Sie den Befehl eingeben

netsh firewall ipv4 set icmpsetting type = 8

Der Befehl kann = mit dem Profil und key = Schnittstelle angegeben werden.

Wie einen Port für den Dienst zu öffnen, die in diesem Artikel nicht berücksichtigt worden? Sie können die neunte Richtlinieneinstellung verwenden, definieren Offene Ports. Dann sollten die Windows-Firewall die Portnummer angeben, den Anschlusstyp (TCP oder UDP), Umfang (alle IP-Adressen oder nur das lokale Subnetz) und Aktion (aktivieren oder deaktivieren). Falls gewünscht, kann der Port einen beschreibenden Namen gegeben werden. Zum Beispiel kann der weltweite TCP-Port 25 auf dem Mail-Server geöffnet werden:

25: TCP: *: aktiviert: SMTP

wo 25 - die Portnummer, die TCP - Protokoll, ein Sternchen (*) öffnet einen Port auf der ganzen Welt (nicht nur Subnetz), der freigegebene Schlüssel schließt sondern öffnet den Port und den SMTP - beschreibenden Ausdruck. An der Eingabeaufforderung eingeben

netsh firewall ipv4 portopening hinzufügen

gefolgt von Schlüssel protocol = (Optionen - TCP-, UDP- oder alle), port = (Zahl), name = (der Name), mode = (aktivieren oder deaktivieren) und scope = (alle oder Subnetz). Geben Sie den Befehl die E-Mail-Server zu aktivieren,

netsh firewall ipv4 portopening protocol = tcp hinzufügen port = 25 name = SMTP - Modus = Umfang enable = alle

Wenn der Modus nicht angegeben, ermöglichen die (aktiviert), und wenn kein Spielraum Bereich - bedeutet ein Subnetz (Subnetz).

Zum Schließen des Port, geben Sie den Befehl genug

netsh firewall ipv4 portopening löschen

Dieses Protokoll und die Port-Nummer, die die Ports schließen identifiziert. Zum Beispiel schließt Mail-Server-Port-Team

netsh firewall ipv4 portopening protocol = tcp löschen port = 25

Im Verlauf der Experimente kann ein Missverständnis sein - wurde der Hafen geschlossen, aber irgendwie bleibt offen. Um Verwirrung zu vermeiden, sollten Sie den Unterschied zwischen dem Verhalten von Firewalls verstehen, verwaltet von Gruppenrichtlinieneinstellung und über die Befehlszeile. Befehle geliefert von der Kommandozeile, in der Regel sofort wirksam. Änderungen in der Gruppenrichtlinie wirksam nach einer gewissen Zeit. Gruppenrichtlinien für die Windows-Firewall in Kraft treten, sofort zu ändern, verwenden Sie den Befehl gpupdate.

Es ist notwendig, zu warten, bis der Befehl die Verarbeitung abgeschlossen ist, dann gehen Sie auf die Funktion Dienste in einem Snap Computer verwalten und starten Sie den Internet Connection Firewall (in der endgültigen Version des Service-Namen geändert werden).

Zusätzliche Kommandozeilen-Funktionen

Wir haben die Möglichkeit, die Gruppenrichtlinieneinstellungen für die Windows-Firewall, aber breiter als die Kommandozeilenfunktionen berücksichtigt. Beachten Sie, dass die Windows-Firewall verfügt über zwei Profile: Domain und Mobile. Angenommen, wir müssen herausfinden, welches Profil gerade verwendet wird. Der folgende Befehl zeigt das aktive Profil - Domänenprofil (Unternehmens-) oder Mobile Profile (andere):

netsh firewall ipv4 show current

Team-Set Logging können Sie mehr über die Firewall zu lernen. Es verfügt über vier optionale Parameter: Filelocation = zeigt die Firewall, wo das Protokoll ASCII-Datei und maxfilesize zu schreiben = die maximale Dateigröße festlegt. Die Dateigröße wird in Kilobyte angegeben, und der maximal zulässige Wert - 32.767 Optionen und droppedpackets = Verbindungen = sind als aktivieren oder deaktivieren Sie die Firewall, und geben an, ob oder nicht die blockierten und erfolgreiche Verbindungen zu registrieren. \ Firelog.txt maximale Größe von 8 MB, geben Sie den folgenden Befehl ein: Zum Beispiel, beide erfolgreiche Verbindungen und blockiert in der Datei C aufnehmen

netsh firewall ipv4 set logging filelocation = " C: \ firelog.txt" maxfilesize = 8192 droppedpackets = enable Verbindungen = aktivieren

Das Magazin kann groß sein, aber wenn man den Einbrecher finden müssen, regelmäßig wurden Versuche zum Angriff gemacht, ist es sinnvoll, einen vollständigen, die alle Verbindungen und die TCP und UDP Ausfälle widerspiegelt. Stellen Sie den aktuellen Aufnahmemodus können Sie den Befehl

netsh firewall ipv4 show logging

Der folgende Befehl gibt eine umfassende Liste der Firewall-Einstellungen:

netsh firewall ipv4 show config

Ersetzen Sie diesen Befehl Schlüssel Konfigurationsschlüssel Zustand können Sie detaillierte Informationen über die Aktionen erhalten von der Firewall durchgeführt. Um einen kompakten Bericht erhalten, dass nur die Informationen über die offenen Ports enthält, sollte durch die Config auf icmpsetting oder portopening ersetzt werden.

Für die Arbeit mit der Windows-Firewall ist erforderlich, viele neue Konzepte zu meistern. Wenn jedoch eine persönliche Firewall vorhanden ist, wird die Windows-Firewall helfen, das Auto zu schützen, wird nur wenig Zeit aufwenden müssen, um das GPO erstellen, die erforderlichen Ports zu öffnen. Der Lohn für den Administrator ist das Bewusstsein, das sich hinter einem Firewall-System ist viel weniger anfällig sein.