Энциклопедия Windows
Все об использовании и настройке Windows
Брандмауэр Windows Vista
Брандмауэр (другие кликухи: сетевой экран, firewall, фаерволл) можно представить в виде стены или фильтра, стоящего на страже локальной сети или вашего компьютера. Брандмауэр проверяет каждое соединение между внешней сетью, такой как Интернет, и внутренней сетью, после чего или разрешает, или запрещает его. Брандмауэр Windows Vista должен быть обязательно включен, обязательно! Отключить его можно (и нужно) только в том случае, если вы установили полноценную защиту в виде отдельного брандмауэра (вроде Outpost Firewall) или комплексной защиты из брандмауэра, антивируса, антишпиона и т.д. (такую как Kaspersky Internet Security).
Основная задача персональных брандмауэров заключается в анализе передаваемых по сети данных, назначении разрешений доступа для локальных программ и служебных процессов, блокировке доступа для нежелательных программ и защите от разнообразных сетевых атак. В Windows Vista установлен собственный брандмауэр, возможности которого серьезно уступают возможностям таких мощных брандмауэров, как Agnitum Outpost или ZoneLabs ZoneAlarm. Тем не менее встроенный брандмауэр Windows Vista все же позволит вам в некоторой степени уберечься от основных угроз, поджидающих пользователя в Интернете.
Впервые брандмауэр появился в Windows XP после внедрения второго служебного пакета обновлений (Service Pack 2). Этот брандмауэр был несовершенным и оставлял открытыми абсолютно все порты вашего компьютера. Порт – это своеобразный туннель, предназначенный для передачи различных данных в Интернет и обратно. Этими туннелями пользуется как операционная система, так и все программы, которым нужен доступ в Интернет. В свою очередь, брандмауэр Windows Vista способен закрыть все ненужные порты.
Еще одно отличие от брандмауэра в Windows XP состоит в том, что первый фильтровал только входящие данные, поэтому все данные, исходящие от компьютера, без всяких преград передавались в Интернет. В брандмауэре Windows Vista реализована возможность блокирования и входящих данных, хотя использовать эту возможность не совсем удобно, что мы обсудим немного позже.
Почему может быть такой опасной неконтролируемая отправка данных в Интернет? Практически все вредоносные программы, такие как троянский конь, отправляют данные о себе и зараженном компьютере владельцу программы. Это, как правило, служит сигналом к началу сетевой атаки как на сам компьютер, так и на компьютеры, подключенные к нему в домашней или офисной сети.
Результатом такой атаки может стать то, что ваш компьютер станет частью «зомбированной» сети, о чем уже говорилось выше. Более того, удаленный злоумышленник может с помощью своей программы, проникшей на ваш компьютер, просто собрать интересующие его данные, и все потому, что брандмауэр в Windows XP не блокирует исходящие соединения. К счастью, в Windows Vista брандмауэр является более полноценным, хотя и уступающим другим аналогичным программам.
Чтобы открыть окно с параметрами брандмауэра Windows, выберите команду Пуск>Панель управления>Безопасность>Брандмауэр Windows. В открывшемся окне будет показано, работает брандмауэр (зеленый цвет категории) или он отключен (красный цвет).
Теперь щелкните на кнопке Включение и отключение брандмауэра Windows, чтобы открыть основное окно брандмауэра.
Основное окно брандмауэра содержит три вкладки. На первой вкладке Общие вы можете включить брандмауэр, выбрав переключатель Включить (рекомендуется) или Выключить (не рекомендуется). Также вы можете установить флажок Блокировать все входящие подключения, в результате чего доступ к Интернету с вашего компьютера будет полностью блокирован. Режим блокировки входящих и исходящих подключений может понадобиться в том случае, если вы заподозрили неладное и хотите разобраться со своими подозрениями как можно быстрее, не ожидая, пока с компьютера в Интернет будет тайком от вас передана какая-либо информация.
Визуально работа брандмауэра в Windows Vista выглядит таким образом. Каждый раз, когда какая-либо программа пытается передать данные в Интернет, на экране появляется сообщение с информацией об этой программе. Если вы уверены, что программе действительно нужен доступ к Интернету, щелкните на кнопке Разблокировать. В противном случае оставьте программу заблокированной и обязательно проверьте с помощью антивируса. Как правило, доступ к Интернету следует разрешать программам, которые вы запустили сами. Если же в Интернет «просится» программа, которую вы и в глаза не видели, стоит задуматься.
Несмотря на очевидные преимущества, есть у брандмауэра Windows и недостатки. В частности, нередко брандмауэр блокирует вполне безобидные программы, поэтому, если ваш любимый QIP не может получить доступ к Интернету, прежде чем направлять свой гнев на провайдера, изучите параметры брандмауэра – возможно, программа просто была ошибочно блокирована, следовательно, для нее требуется настроить вручную исключение доступа.
Сделать это можно на вкладке Исключения, в которой будет предоставлен список всех программ, которым разрешен доступ к Интернету. Выберите необходимую программу из списка и установите слева от нее флажок, чтобы программа попала в список исключений. Если программа в списке отсутствует, щелкните на кнопке Добавить программу и укажите главный исполняемый файл заблокированной программы. Убедитесь в том, что установлен флажок Уведомлять, когда брандмауэр блокирует программу – это позволит вам оперативно разрешать доступ к Интернету всем программам, которым он требуется.
На вкладке Дополнительно представлены сети, защищенные брандмауэром. Как правило, для домашнего компьютера на этой вкладке будут перечислены два подключения – к Интернету и локальной сети. Отменять защиту для какой-либо сети не рекомендуется.
По умолчанию пользователь имеет доступ лишь к базовым параметрам брандмауэра. Чтобы комплексно настроить все функции брандмауэра, следует воспользоваться расширенным режимом безопасности. Для этого откройте меню Пуск и введите в панели поиска команду wf.msc. Откроется окно новое прикольное окно с кучей параметров.
Учтите, что расширенный режим брандмауэра – штука достаточно сложная, там легко напортачить, поэтому не изменяйте в нем параметры, если не уверены на 100% в том, что вы делаете.
Благодаря расширенному режиму вы сможете не только заблокировать исходящие данные, но и просмотреть журнал всех подключений, блокированных и разрешенных вашим брандмауэром. При этом не забывайте, что если вы не уверены в правильности своих действий, расширенный режим лучше не использовать, поскольку вы можете случайно заблокировать доступ в Интернет нужным программам.
Не забывайте, что брандмауэр Windows Vista обладает лишь базовыми возможностями. Если вы намерены действительно надежно защитить компьютер от сетевых напастей, установите полноценный брандмауэр, поддерживающий Windows Vista. Более того, его даже не обязательно покупать – в настоящее время выпускается несколько бесплатных брандмауэров, среди которых выделяется Comodo Firewall – простой, надежный и бесплатный зверь.
А здесь можно скачать Comodo Firewall
Обязательно отключите брандмауэр Windows, если вы установили другой брандмауэр. Два брандмауэра в одной системе с большой долей вероятности приведут к проблемам в работе компьютера и перебоям с доступом в Интернет.
Брандмауэр Windows Vista
Панели управления брандмауэров очень похожи, потому что в Windows Vista Beta 2 контроль над исходящим трафиком выключен по умолчанию, и его нельзя включить (или получить доступ) через стандартную панель брандмауэра. В Windows Vista Beta 2 реализована новая система защиты брандмауэра с расширенными параметрами настройки, доступ к которой можно получить в административном инструментарии, набрав wf.msc (Start>Run) и нажав Enter.
Изображение, приведенное выше, показывает часть консоли управления MMC (Microsoft Management Console) для брандмауэра с расширенными параметрами настройки (Windows Firewall with Advanced Settings). Слева расположена основная область панели, где могут быть изменены параметры настройки; полное дерево было расширено, чтобы показать пользователю его доступные области. В правой стороне панели, представлен краткий обзор, который сообщает пользователю, какой «Профиль» является активным для брандмауэра (только ОДИН профиль может быть активен за один раз) и состояние параметров настройки для каждого из этих профилей.
ПРИМЕЧАНИЕ: на изображении показана информация, при которой контроль над исходящим трафиком отключен по умолчанию, т.е. режим «блокировать», но это не совсем точно, поскольку дальнейшие настройки брандмауэра покажут, что фактические параметры по умолчанию полностью противоположны тому, что показано. Администраторы могут также импортировать и экспортировать параметры настройки брандмауэра с главной страницы (не показана здесь), которые расположены в правом углу главной страницы.
Клик на ссылке свойства брандмауэра Windows отобразит диалоговое окно, разрешающее пользователям корректировать индивидуальные параметры настройки каждого профиля, а так же параметры IPsec:
Обратите внимание, что заданные по умолчанию параметры настройки для входящих и исходящих подключений перечислены для каждого профиля как вкладка (что бы не тратить время, обсудим только показанный профиль). Четко видно, что настройки по умолчанию для входящих и исходящих подключений отличаются от показанных на главной странице параметров. В графе «State» можно подобрать/проверить состояние настроек, включить или выключить брандмауэр; выбираемые значения для входящих/исходящих подключений представлены следующими: Блокировать, Разрешить и Блокировать все (Block, Allow, Block All). Кнопка “Настроить” (Customize), в области параметров настройки этого диалогового окна, позволяет пользователю настроить уведомления в случае блокировки соединения брандмауэром, а так же разрешить или нет, отвечать при одностороннем режиме передачи на групповые или иные запросы. Кнопка “Настроить” (Customize) в разделе регистрации пользователей позволяет присваивать имена пользователям, сохранять лог-файл в определенном месте на жестком диске, там же можно установить предельный размер лог-файла и настроить этот файл так, чтобы в нем фиксировалась информация о документах, отправленных в корзину и/или информацию об успешных подключениях.
Вкладка IPsec позволяет администраторам настраивать определенные IPsec параметры подключений для сетевого окружения (так же не обсуждается в этой статье).
Контроль над входящим и исходящим трафиками имеет похожие параметры настройки, поэтому в этой статье будут обсуждаться только новейшие возможности контроля исходящего трафика брандмауэром.
Центр нового брандмауэра сосредоточен в консоли Windows Firewall with Advanced Settings, с помощью этой консоли можно проверить производительность брандмауэра, так же можно задать, изменить или удалить правила, а администраторы могут установить объем информации, которая может быть записана и где именно она может быть записана. Определенные области (касающиеся входящего или исходящего трафика или того и другого) детально показывают все установленные правила, позволяя изменить любое правило или создать новое. Кроме того, каждое правило имеет свои свойства, где почти любое значение может быть изменено.
Примечание: Некоторые системные службы Windows Vista обладают правилами в которых некоторые настройки предопределены и не могут быть изменены, в таком случае брандмауэр покажет уведомление пользователю, как показано ниже:
Данные правила представлены свойствами службы BITS — Фоновая Интеллектуальная Служба Передачи (Background Intelligent Transfer Service). Обратите внимание на 6 закладок, с помощью которых можно детально изучить настройки правил и изменить их. Управление новыми правилами отсюда не возможно, этого можно добиться на главной странице консоли брандмауэра в правой стороне панели:
Обратите внимание: Если никакое правило не установлено (входящее или исходящее), то это меню закончится пунктом Помощь, а опции для правил будут недоступны.
Новый брандмауэр Windows Vista Beta 2 это огромный прыжок вперед по сравнению с брандмауэром Windows XP, особенно в сфере возможностей настройки безопасности; начиная с IP адресов, услуг, программ, и доступа пользователей, все это может быть «разрешено или блокировано».
Дизайн нового брандмауэра Windows Vista похож на брандмауэр Windows XP, и большинство пользователей не заметят большого различия между ними.
Новая панель управления брандмауэра Windows Vista окажется знакомой пользователям Windows XP, поскольку оба брандмауэра почти идентичны в плане пользовательского интерфейса и назначениях.
Пользователи не смогут произвольно «выключить» важную защиту системы через настройки брандмауэра, поскольку они просто не будут доступны для пользователей, что обеспечит лучшую защиту ОС и работу пользователей.
Если когда-либо в службе брандмауэра Windows Vista произойдет сбой, это приведет к блокировке всех подключений («Block All Connections»), это должно обеспечить лучшую общую безопасность ОС.
Advanced Firewall и настройки безопасности сложны в освоении для обычного пользователя, так как предназначены для ИТ-администраторов, которые знают что они хотят сделать, и знают потребности в безопасности, брандмауэр Windows Vista дает им богатые возможности.
Нет никакого мастера установки или подсказчика, который подсказывал бы пользователям как блокировать ту или иную программу/службу, и при этом нет ярлыка для консоли Windows Vista Firewall with Advanced Settings.
Консоль Windows Vista Firewall with Advanced Settings лишена интуитивного интерфейса, который был бы полезен для новых пользователей, которые еще не знакомы с технологией брандмауэра. Пользователи и администраторы должны точно знать, что они делают и владеть знаниями технических терминов, чтобы получить желаемые результаты.
По умолчанию исходящие соединения не фильтруются, но могут быть блокированы при помощи настроек консоли Windows Vista Firewall with Advanced Settings, это может быть слишком сложной задачей для понимания и достижения новыми пользователями.
Новый брандмауэр Windows Vista – долгожданное обновление системы безопасности со времени Windows XP. Есть некоторое ощущение того, что Microsoft переоценила важность контроля над исходящим трафиком в Windows Vista, поскольку сама ОС достаточно безопасна и предотвратит установку вредоносной программы или службы, к тому же состояние ОС полностью контролируется во время работы в Интернете. Со временем станет ясно, правильно ли поступает компания. Тот факт, что Microsoft включила в Windows Vista брандмауэр со всеми задействованными настройками, весьма убедительно говорит о том, что безопасность ОС и безопасность пользователя в сети является главными беспокойствами для разработчиков из Redmond.