Защитна стена на Windows: Разширени правила, приоритети и най-добри практики

  • Защитната стена на Windows използва разширени правила с ясен приоритет между разрешаване, блокиране и разрешаване, като първо оценява най-специфичните.
  • Правилата могат да бъдат създадени по програма, порт, услуга или AppID, като се коригират мрежови профили, IP адреси и протоколи за максимална фина настройка.
  • В управлявани среди, комбинацията от локални политики и GPO/CSP, заедно с добра документация и инвентаризация на приложенията, е от съществено значение.
  • Одитирането с auditpol, регистрационни файлове на защитната стена и инструменти като netstat или TSS улеснява диагностицирането на проблеми със свързаността и сигурността.
Daniel Terrasa

14 Minutos

Разширени настройки на защитната стена на Windows

Контролирайте разширени правила за защитната стена на Windows Това прави разликата между минимално защитен компютър и наистина сигурна система. Въпреки че конзолата може да изглежда малко плашеща на пръв поглед, след като разберете как работи приоритетът на правилата, мрежовите профили и как да създавате прецизни изключения за портове, приложения или услуги, вие наистина започвате да контролирате трафика, влизащ и излизащ от вашия компютър.

В тази статия ще намерите ръководство много подробен и практичен Това ръководство обяснява как работи защитната стена на Windows с разширена защита, какви често срещани проблеми може да срещнете, как се обработват правилата, какви типове конфигурации се препоръчват и как да създавате всичко - от прости до сложни правила за ICMP, RPC, приложения, специфични портове и по-модерни опции, като етикети за контрол на приложения. Целта е да ви помогне да преминете от просто разбиране на концепцията към лесно управление на защитната стена.

Основни понятия за защитната стена на Windows и нейните профили

Вградената в Windows защитна стена е защитна стена за филтриране на пакети Разчита на платформата за филтриране на Windows (WFP). Може да анализира всеки пакет въз основа на критерии като IP адрес, протокол, порт, приложение или услуга и да реши дали да го разреши или блокира според конфигурираните правила.

Тази защитна стена винаги работи с двупосочен трафик: входящи и изходящи връзкиВходящите правила контролират какво влиза в компютъра ви от мрежата, докато изходящите правила контролират какво изпраща компютърът ви. Разбирането на посоката на трафика е ключово: ако искате да предотвратите влизането на нещо от интернет, променяте входящо правило; ако искате да предотвратите „излизането“ на програма към мрежата, конфигурирате я в изходящо правило.

Windows организира правилата и политиките в три мрежови профиликоито се прилагат в зависимост от типа мрежа, към която сте свързани:

  • Домейн: за компютри, присъединени към домейн на Active Directory.
  • частен: предназначени за домашни или служебни мрежи, считани за надеждни.
  • Обществен: за Wi-Fi в кафенета, летища или всяка ненадеждна мрежа.

По подразбиране защитната стена Блокира почти всичко входящо. и в трите профила и позволява изходящ трафик. Тоест, ограничаваща входяща политика и разрешителна изходяща политика. Можете да промените това глобално поведение от Свойства на защитната стена на Windows Defender (в разширената конзола), като изберете за всеки профил дали входящите и изходящите връзки да са разрешени или блокирани по подразбиране.

Профили и правила на защитната стена на Windows

Как да получите достъп до защитната стена на Windows с разширена защита

Мощната част на защитната стена се управлява от конзолата. „Защитна стена на Windows с разширена защита“Можете да го достигнете по няколко начина, в зависимост от това дали работите в един екип или в домейн среда:

На отделен компютър с Windows 10 или Windows 11, просто отворете „Старт“, въведете wf.msc и натиснете Enter. Можете също да отидете в Контролен панел > Система и сигурност > Защитна стена на Windows Defender и да кликнете върху „Разширени настройки“ отстрани.

В домейн среда идеалният вариант е да се използва Групова политика (GPO)От редактора на GPO отидете на Компютърни правила > Настройки на Windows > Настройки за сигурност > Защитна стена на Windows с разширена защита. Това ще ви позволи да внедрите централизирани правила и политики на всички компютри под този GPO.

В разширения интерфейс ще видите ключовите секции в левия панел: Правила за влизане, Правила за изходПравила за сигурност на връзката и възелът за наблюдение. Оттам се контролират почти всички аспекти на защитната стена.

Приоритет и ред на оценка на правилата

Една от по-малко интуитивните части е как защитната стена решава какво Правилото важи, когато няколко съвпадат. с един и същ трафик. Не всички ще бъдат „добавени“; използва се само един. Познаването на приоритета ви предпазва от това да се побъркате, когато нещо бъде блокирано „без видима причина“.

На логическо ниво правилата се оценяват съгласно това приоритет на действието:

  • Първо, правила, които позволяват „ако е сигурно“ (IPsec) и също така имат Анулиране на блокове активиран.
  • След това, правила, чието действие е заключвам.
  • Накрая, правила, които позволи движение без специални условия.

Освен това, между правила с едно и също действие, a приоритет по специфичностПо-специфичните правила имат предимство пред по-общите. Например, правило, което се прилага само за конкретен IP адрес То има предимство пред друго, което обхваща широк диапазон, при условие че няма изрично правило за блокиране.

В сценарии, където защитната стена вътрешно подрежда правилата последователно, се следва следният модел: първо най-рестриктивните правила (например тези, засягащи конкретни компютри, конкретни портове или конкретни приложения) и накрая по-малко рестриктивните. Те позволяват целия трафик или се прилагат за големи диапазони. След като дадено правило съвпадне и диктува действие, следващите правила вече не се оценяват.

Следователно, ако поставите много общо правило, което блокира всичко и има предимство пред друго правило, което позволява нещо по-специфично, Всичко ще бъде блокираноОт съществено значение е наборът от правила да се проектира, като се избягват нежелани припокривания, особено при изрични правила за блокиране.

Разширено управление на правилата на защитната стена на Windows

Активни правила, наблюдение и предварително дефинирани групи

Възелът на надзор Конзолата за разширена сигурност показва само правилата, които са активни в момента. Това означава, че дадено правило може да съществува във „Входящи правила“ или „Изходящи правила“, но да не е видимо в „Мониторинг“, ако е деактивирано или ако не е функционално, защото поведението по подразбиране на профила вече позволява този трафик.

Например, ако политиката за изход е зададена на „Разрешено“ за даден профил, Правилата за изходящи отпуски няма да бъдат изброени Те не трябва да добавят допълнителни ограничения. Същото важи и за определени входящи правила, когато политиката и контекстът вече позволяват трафика. Това е нормално; не означава, че конзолата е повредена.

От фабриката, някои групи правила Те са активирани, защото се считат за необходими в повечето среди. Сред тях са:

  • Правила на Основни мрежи за всички профили.
  • Набор от правила за Отдалечена помощ, с някои правила само в домейна, а други както в домейна, така и в частния сектор.
  • Правила на Откриване на мрежано само в личния профил.

Освен това, инсталирането на определени функции на Windows или приложения на трети страни може автоматично активиране на допълнителни правила така че тези компоненти да функционират без ръчна намеса от потребителя.

Видове правила: програмни, портови, предварително дефинирани и персонализирани

Когато създавате ново правило (както входящо, така и изходящо), съветникът предлага четири основни типа, които покриват повечето сценарии:

Правила Програма Те са свързани с конкретен изпълним файл. Те разрешават или блокират целия трафик от дадено приложение, без да се налага да се притеснявате кои портове използва. Просто избирате .exe файла, решавате дали да го разрешите или блокирате и посочвате за кои профили се отнася. Това е много полезно за предотвратяване на свързването на програми с интернет или за ограничаване на използването им в публични мрежи.

Правила Пуерто Те филтрират по протокол (обикновено TCP или UDP) и един или повече портове и могат да включват диапазони (например „5000-5100“) или комбинирани списъци („21, 22, 80, 443“). Могат да се използват за затваряне на конкретен порт (като 21/TCP) при входящ трафик или за предотвратяване на използването на определени портове от дадена услуга при изходящ трафик или за отварянето им само когато е необходимо.

Правилата Предварително дефинирано Това са шаблони, които се доставят със самия Windows за вътрешни услуги (като например отдалечен работен плот, споделяне на файлове и принтери и др.). Вие избирате предварително дефинирания набор, избирате дали да разрешите или блокирате и в кои профили, а системата се грижи за детайлизирането на всички участващи портове и услуги.

Правилата Персонализирани Те са най-гъвкавите и ви позволяват да комбинирате всичко: програма или услуга, тип протокол (включително ICMPv4, ICMPv6, GRE, IPv6-Route и др.), локални и отдалечени портове, локални и отдалечени IP адреси, обхвати на приложения, условия за сигурност (IPsec) и профили. Те се използват за прецизни сценарии, например: разрешаване на конкретна услуга да слуша само в ограничен IP диапазон в рамките на ограничена подмрежа и на динамични RPC портове.

Разширени правила за защитната стена на Windows

Правила за приложения и контрол на изхода

Когато инсталирате приложение, което слуша в мрежата, е обичайно самото приложение да... инсталаторът регистрира правило за защитна стена така че всичко да работи, без да се изискват твърде много въпроси от потребителя. Ако не е така, потребителят или администраторът ще трябва създайте го ръчно.

Проблемът възниква, когато разчитате на защитната стена да оправи всичко сама. Защитната стена на Windows по подразбиране е доста... разрешителен за изходящ трафикПозволява почти всичко, което не е изрично блокирано. Също така не показва изскачащи прозорци всеки път, когато програма се опита да се свърже, както правят много защитни стени на трети страни.

Ако се притеснявате кои приложения могат да се свържат онлайн, можете да промените политиката за изходящи потоци на „Блокиране“ и да настроите подробен бял списъкТова обаче е предназначено за силно контролирани среди (например компании с висока степен на сигурност). Включва поддържане на инвентаризация на приложения, като се знае кои от тях изискват свързаност и се създава правило за всяко от тях, обикновено разпространявано чрез GPO или CSP.

Освен това, има малко известно поведение: при опит за автоматично създаване на правило по време на изпълнение (например, когато се появи известие, изискващо разрешение за приложение), резултатът може да варира в зависимост от ролята и действията на потребителя. Привилегирован потребител може неволно да отхвърли известието, което да доведе до създаването на нови правила. правила за блокиранеАко няма достатъчно привилегии или известията са деактивирани, правилата за разрешения не се генерират и трафикът остава блокиран от политиката по подразбиране.

Етикети за контрол на приложенията и PolicyAppId в правилата на защитната стена

В съвременните бизнес среди защитната стена на Windows може да бъде интегрирана с Контрол на приложението да се използват етикети на приложения (AppIDs) вместо пътища до изпълними файлове. Това позволява правилата да бъдат свързани с групи от маркирани процеси, без да е необходимо изпълнимият файл винаги да е в една и съща папка.

Операцията се основава на две стъпки. Първо, Правила за етикетиране на контрола на приложенията който прилага етикет PolicyAppId към токените на процесите на определени приложения или групи приложения. Този етикет след това се използва като обхват в правилата на защитната стена.

След това, правилата на защитната стена, отнасящи се до PolicyAppId Има два основни начина: използване на възела PolicyAppId на CSP на защитната стена от MDM решение, като например Microsoft Intune (чрез посочване на идентификатора в полето Policy Application ID) или създаване на локални правила с помощта на PowerShell с командлета New-NetFirewallRule, като се посочва параметърът -PolicyAppId със съответния етикет.

Този подход подобрява безопасността, защото избягвайте да разчитате на абсолютни маршрути и ви позволява да групирате приложения под една и съща политика, което намалява поддръжката при промяна на версии или местоположения.

Комбинация от локални и домейн политики

В управлявани среди е жизненоважно да се контролира как се извършват нещата местните правила са объркани които администратор на екип може да създаде, използвайки централизирани правила, разпространявани чрез GPO или CSP. Това се постига чрез настройката на политиката за сливане на правила (AllowLocalPolicyMerge) за всеки профил.

Използвайки пътища на MDM CSP (например ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/AllowLocalPolicyMerge) или от GPO „Защитна стена на Windows Defender с разширена защита“, можете да решите дали защитната стена приема или игнорира локално създадените правила, в допълнение към тези, дефинирани от централната политика.

В среди на висока сигурност Пренасочването на локални портове обикновено е деактивирано, за да се предотврати добавянето на изключения от потребителите и приложенията в движение, които отварят портове без контрол. Тази мярка обаче може да повреди приложения или услуги, които при инсталиране се опитват да създадат свои собствени правила за локални портове.

Следователно е изключително важно да се поддържа инвентаризация на приложенията Те изискват изключения, включително кои портове и протоколи използват и от кои мрежи трябва да бъдат достъпни. Ако това не е правилно документирано, може да се сблъскате с периодични повреди, които са трудни за диагностициране.

Препоръки за проектиране на правила за защитна стена

При проектирането на последователен набор от правила има редица добри практики които трябва да се спазват, за да се избегне създаването на „експлозивен коктейл“ от изключения:

Винаги, когато е възможно, оставете настройка по подразбиране Блокирането по подразбиране на входящите връзки от защитната стена на Windows е основна мярка за сигурност и трябва да се облекчава само при много обосновани обстоятелства.

Когато активирате услуга, която трябва да слуша в мрежата, създайте правила и в трите профилаНо активирайте само необходимите. Например, ако дадено приложение ще се използва само в частни мрежи, можете да имате подготвена дефиниция за домейна, частния и публичния, но да активирате групата правила само за частния профил.

Регулирайте отдалечени адреси според профила и картографиране на топологията на локалната мрежа (LAN) Когато е необходимо. Услуга, предназначена само за локалната мрежа (домашна или за малък бизнес), трябва да бъде ограничена до локалната подмрежа в частни и публични профили, докато в домейн профила тя обикновено е по-малко ограничаваща в рамките на корпоративната мрежа. Не прилагайте тези ограничения за приложения, които се нуждаят от глобален достъп до интернет.

Когато създавате правила за влизане, бъдете максимално внимателни. конкретни, които можетеВъпреки това, избягвайте микроуправлението на отделни портове, когато това не добавя стойност. Понякога е по-добре да дефинирате съседни диапазони, за да предотвратите необходимостта защитната стена да управлява огромен обем филтри, което би могло да повлияе на производителността.

Документирайте всяко правило подробно: кое приложение засяга, кои портове, кои профили и най-вече, За какво е било създадено? И на коя дата. Тази информация е безценна, когато месеци по-късно се наложи да прегледате или прецизирате политиката.

Специфични съображения относно правилата за излизане

В повечето битови инсталации и много бизнеси е обичайно политика за излизане Използвайте „Разрешаване“ и създавайте само специфични правила, за да блокирате много конкретни неща. Това значително опростява внедряването на приложения.

Въпреки това, в среди, където сигурността е с предимство пред удобството, може да си струва да конфигурирате защитната стена така, че Блокиране на всички изходи по подразбиранеВ този случай всяко приложение, което трябва да се свърже, трябва да има собствено правило за разрешения.

За да работи този модел, без да се превърне в кошмар, е важно да се поддържа актуализиран инвентар на софтуер, като се отбелязва кой от тях има мрежова свързаност и какъв тип. Оттам администраторите създават и разпространяват централизирани правила, обикновено блокирайки всичко, което не е в белия списък.

Основни услуги за функционирането на защитната стена

Компонентът на защитната стена на Windows с разширена защита разчита на няколко системни услугиАко някое от тези неща не работи, защитната стена може да се държи неправилно или просто да не работи:

  • Базов филтриращ двигател.
  • Клиент за групови правила.
  • Модули за създаване на IPsec ключове за IKE и AuthIP.
  • IP асистент.
  • Агент за IPsec политики.
  • Разпознаване на местоположението в мрежата.
  • Услуга за мрежов списък.
  • Защитна стена на Windows.

Ако имате необичайни проблеми със защитната стена (правилата не се прилагат, политиките не се изтеглят от GPO и др.), препоръчително е да проверите Мениджър услуги че всички тези услуги работят и са с правилния тип стартиране.

Одит, записи и събиране на данни

За отстраняване на грешки в сложни проблеми е много полезно да активирате одит на сигурността свързани със защитната стена и IPsec и конфигурирайте лог файл, който оставя следа от разрешени и блокирани връзки.

Инструментът на командния ред auditpol.exe Това ви позволява да активирате или деактивирате категории и подкатегории на събития за одит. Например, можете да изброите категориите с:

auditpol.exe /списък /категория

И прегледайте подкатегориите на конкретна категория (като например Промяна на политиката) с:

auditpol.exe /list /category:»Промяна на политиката»

За да активирате категория и подкатегория, използвайте:

auditpol.exe /set /category:»ИмеНаКатегория» /SubCategory:»ИмеНаПодкатегория»

Що се отнася до лог файла на защитната стена, можете да го отворите от разширената конзола. Свойства на защитната стена След това, във всеки раздел на профила (домейн, частен, публичен), щракнете върху „Персонализиране“ в секцията за регистриране. Там определяте пътя и името на файла, максималния размер (между 1 и 32767 KB) и дали искате да регистрирате изгубени пакети, успешни връзки или и двете.

За по-задълбочен анализ и одитирайте локалната си мрежаДобра идея е също да генерирате мрежова статистика и списъци с процеси: команди като „netstat -ano > netstat.txt“ и „tasklist /svc > tasklist.txt“ ви позволяват да правите кръстосани препратки към отворени портове, PID-ове и инсталирани услуги, което помага да се идентифицира кой процес стои зад определен трафик.

В корпоративни среди Microsoft предлага скриптове за поддръжка, като например TSS.ps1 (сценарий NET_WFP), които събират разширени следи от платформата за филтриране, опаковайки ги в ZIP файл в C:\MS_DATA, готов за изпращане до поддръжката.

Като цяло, разбирането и използването на разширени правила за защитната стена на Windows Това ви позволява да отидете далеч отвъд простото „включване или изключване на защитната стена“. Чрез комбиниране на внимателно проектиране на правила, разумно използване на профили, ясна политика за комбиниране на директиви и добра система за одит и регистриране, можете да имате прецизен контрол върху мрежовия си трафик, без да жертвате използваемостта на оборудването.

защитна стена на windows
Свързана статия:
Конфигурирайте правилата на защитната стена в Windows, за да блокирате приложения