Брандмауэр в Windows 7: включение и отключение защитника сети
Защиту Windows 7 от сетевых угроз обеспечивает специальная системная служба — брандмауэр. Иногда он также называется файрволом или персональным межсетевым экраном. Microsoft не рекомендует отказываться от использования защитника, но если вы установили сторонний файрвол, можно отключить брандмауэр в Windows 7. Иногда также может потребоваться внесение некоторых программ в «белый список» защитника сети.
Что такое брандмауэр и зачем он нужен
Основное предназначение этой встроенной утилиты — фильтрация интернет-трафика. Для определения подозрительной активности она использует набор предварительно заданных правил. Потенциально опасные соединения блокируются, не позволяя злоумышленникам получить доступ к компьютеру пользователя. Ограничения могут быть применены и к отправке исходящих пакетов. Таким образом обеспечивается конфиденциальность данных, хранящихся на жёстком диске.
Похожий функционал присутствует не только в операционной системе, но и на большинстве моделей роутеров. Между встроенным защитником Windows и сетевым экраном маршрутизатора есть принципиальное отличие. При активации этой функции на роутере обеспечивается сетевая безопасность всех домашних устройств, а не только одного ПК. Существуют и отдельные программы с аналогичными функциями, не входящие в прошивку маршрутизатора и комплект поставки «семёрки».
Обратите внимание! Не следует путать файрвол и антивирус. Второй тип приложений имеет другой функционал, так как он анализирует не сетевую активность, а пользовательские файлы и код запущенных программ. В системах Microsoft есть отдельная антивирусная служба — «Защитник Windows».
Как включить и настроить брандмауэр
Этот компонент системы автоматически включается после её установки. Поэтому никаких дополнительных действий для активации службы совершать не требуется. При этом, вы можете легко проверить её текущий статус. Достаточно открыть панель управления, затем выбрать пункт «Брандмауэр Windows». В этом разделе можно выполнить и другие действия:
- Отключить брандмауэр в Windows 7.
- Ознакомиться с текущими настройками.
- Восстановить рекомендуемые свойства сетевого защитника.
- Изменить порядок вывода уведомлений о деятельности службы.
Если служба выключена, на главной странице настроек её статус будет отображаться красным цветом. Чтобы включить защиту, нажмите кнопку «Использовать рекомендуемые параметры». Для более тонкой конфигурации перейдите в меню по ссылке, позволяющей включить/отключить защитник. Такая настройка заключается в разделении параметров файрвола при подключении к домашним и общественным сетям. Второй тип подключений обычно требует более строгих подходов по безопасности передачи данных.
Важно! Если блокировка соединений мешает корректной работе нужного вам приложения, внесите его в список исключений. Это делается на отдельной странице, которую можно включить через меню в левой части окна. Напротив названия программы установите галочки, затем сохраните параметры.
Как отключить брандмауэр в Windows 7
Отключить утилиту можно через тот же пункт панели управления, в котором настраивается защитник сети. Система позволяет полностью отключить файрвол или остановить его работу только в частных/общественных сетях. После выключения защитника ОС будет регулярно отображать предупреждения и предложения его включить. Чтобы избавиться от этих сообщений, воспользуйтесь разделом настройки уведомлений.
Для ускорения работы компьютера рекомендуется также отключить аналогичную службу в операционной системе. Чтобы это сделать, нужно включить меню «Пуск» и набрать «msconfig». Далее откройте предложенную программу и перейдите на вкладку «Службы». Здесь отображаются все фоновые процессы, автоматически запускаемые при загрузке ОС. Найдите службу с соответствующим названием и уберите флажок напротив неё. Затем примените изменения при помощи кнопки в нижней части окна.
Важный совет! Утилиту системной конфигурации также можно включить нажатием комбинации клавиш «Win+R» (выполнить). В появившемся окне введите название «msconfig» и кликните «ОК».
Полезное видео: Отключение защиты в Windows 7
Требования
Описанные здесь процедуры предполагают, что перед установкой и настройкой NAP было успешно настроено и протестировано подключение к VPN-клиенту.
NAP поддерживается на клиентах со следующими операционными системами.
Windows Server 2008
Обновленный список клиентских операционных систем, поддерживающих NAP, см. в статье «Какие версии Windows поддерживают защиту доступа к сети (NAP) в качестве клиента» по адресу http://www.microsoft.com/technet/network/nap/nap
Включение клиента принудительного карантина для удаленного доступа
Для метода принудительной защиты доступа к сети VPN необходимо, чтобы клиент принудительного карантина для удаленного доступа был включен на всех компьютерах с клиентом NAP.
- Нажмите кнопку Пуск, выберите Все программы, затем Стандартные и Выполнить.
Введите napclcfg.msc и нажмите клавишу ВВОД.
В дереве консоли выделите элемент Клиенты системы ограничений.
В области сведений щелкните правой кнопкой Клиент принудительного карантина для удаленного доступа и выберите команду Включить. См. пример ниже.
Закройте окно Конфигурация клиента NAP.
Включение и запуск службы агента NAP
По умолчанию служба агента защиты доступа к сети на компьютерах с операционной системой Windows Vista настроена на запуск вручную. Каждый клиент должен быть настроен таким образом, чтобы служба агента NAP запускалась автоматически, а затем необходимо запустить службу.
- Нажмите кнопку Пуск, выберите Панель управления, затем Система и ее обслуживание и Администрирование.
Дважды щелкните пункт Службы.
В списке служб дважды щелкните Агент защиты доступа к сети.
В диалоговом окне Свойства агента защиты доступа к сети измените Тип запуска на Автоматический, а затем нажмите кнопку Запустить.
Дождитесь, когда запустится служба агента NAP, а затем нажмите кнопку ОК.
Закройте консоль Службы и окна Администрирование и Система и ее обслуживание.
Настройка VPN-подключений
- Нажмите кнопку Пуск, щелкните Выполнить и введите NCPA.cpl, после чего нажмите клавишу ВВОД. Эта команда откроет окно Сетевые подключения (в операционных системах Windows Vista и Windows Server 2008).
Щелкните правой кнопкой соответствующее VPN-подключение, затем выберите Свойства и перейдите на вкладку Безопасность.
Убедитесь, что параметр Дополнительные (выборочные параметры) включен, и нажмите кнопку Параметры.
Для параметра Безопасный вход установите флажки ИспользоватьПротокол расширенной проверки подлинности (EAP) и Защищенный EAP (PEAP) (шифрование включено), а затем нажмите кнопку Свойства.
Щелкните Настройка, чтобы настроить свойства защищенного EAP в соответствии со способом развертывания, а затем нажмите кнопку ОК.
В разделе Выберите метод проверки подлинности выберите либо Безопасный пароль (MS-CHAP v2), либо Смарт-карта или иной сертификат в зависимости от способа развертывания.
Выберите параметр Включить проверки в карантине.
Нажмите кнопку ОК три раза, чтобы закрыть окна Свойства VPN-подключения.
Подстройка клиентов без защиты доступа к сети (необязательно)
Клиенты с другими операционными системами могут быть настроены для развертывания с защитой доступа к сети. Эти клиенты необходимо подключить к сети при помощи диспетчера подключений, а сервер политики сети (NPS) настроить таким образом, чтобы эти клиенты были помещены в карантинную сеть. В этом случае они смогут подключиться к сети VPN-клиентов через RQS/RQC.
Дополнительные сведения об использовании диспетчера подключений см. в разделе «Пакет администрирования диспетчера подключений» на веб-узле www.microsoft.com.
Сведения о настройке параметров сервера NPS см. в разделе «Настройка сетевой политики для клиентов без защиты доступа к сети» в статье Настройка защиты доступа к сети на сервере политики сети (NPS).
Проверка настройки клиента защиты доступа к сети
Выполните эту процедуру для проверки настройки клиентских компьютеров, поддерживающих защиту доступа к сети, на использование методов принудительной защиты доступа к сети с помощью IPsec. Компьютер, поддерживающий защиту доступа к сети, является компьютером с установленными компонентами NAP, который может проверить состояние работоспособности путем отправки состояния работоспособности для оценки на сервер политики сети. Дополнительные сведения о защите доступа к сети см. на веб-сайте
https://go.microsoft.com/fwlink/?LinkId=94393 .
Минимальным требованием для выполнения этой процедуры является членство в группе Domain Admins или наличие эквивалентных прав. Дополнительные сведения об использовании подходящих учетных записей и членств в группах можно получить по адресу
https://go.microsoft.com/fwlink/?LinkId=83477 .
Проверка клиентских компонентов NAP
Компоненты NAP состоят из службы агента NAP, одного или нескольких клиентов принудительной защиты NAP и хотя бы одного агента работоспособности системы (SHA). Могут требоваться и другие службы, если они поддерживают установленный агент работоспособности системы. В совокупности эти компоненты служат для постоянного отслеживания состояния работоспособности клиентского компьютера NAP и предоставления этого состояния на серверы NAP для оценки.
Агент защиты доступа к сети
Служба агента NAP служит для сбора сведений о работоспособности на клиентском компьютере и управления ими. Также агент NAP обрабатывает состояния работоспособности, полученные от установленных агентов работоспособности системы, и создает отчеты о работоспособности клиента для клиентов принудительной защиты. Агент NAP должен функционировать, чтобы клиентские компьютеры могли запрашивать или получать сертификаты работоспособности.
 | Проверка запуска службы агента NAP |
Нажмите кнопку Пуск, выберите пункты Панель управления, затем Система и ее обслуживание, щелкните Администрирование, затем дважды щелкните Службы
Под заголовком Имя в списке служб дважды щелкните Агент защиты сетевого доступа.
Убедитесь, что состояние Служба указано как Запущено, а Тип запуска выбран Автоматически.
Если служба не запущена, выберите Автоматически рядом с полем Тип запуска, затем нажмите кнопку Пуск.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства: Защита сетевого доступа (NAP).
Закройте консоль служб.
Перезапуск службы агента NAP приведет к автоматической повторной инициализации агентов работоспособности системы и попытке получить новый сертификат работоспособности. Это может оказаться полезным при решении вопросов, связанных с NAP.
Клиент принудительной защиты доступа к сети с помощью IPsec
Клиент принудительной защиты доступа к сети с помощью NAP должен быть установлен и включен на клиентских компьютерах. Клиент принудительной защиты NAP запрашивает доступ к сети и отправляет состояние работоспособности клиентского компьютера другим компонентам клиентской архитектуры NAP. Клиент принудительной защиты доступа к сети с помощью IPsec ограничивает доступ к сетям, защищенным с помощью IPsec, путем связи с хранилищем сертификатов на клиентском компьютере.
| Проверка инициализации клиента принудительной защиты NAP с помощью IPsec |
Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.
В командной строке введите команду netsh nap client show state и нажмите клавишу ВВОД. Будет отображено состояние NAP клиентского компьютера.
В выходных данных команды в разделе Состояние клиента системы ограничений проверьте, что состояние параметра Сторона, использующая IPsec равно Инициализировано = Да.
Проверка конфигурации клиента IPsec
Параметры клиентов NAP должны быть настроены таким образом, чтобы эти клиенты могли связываться с компонентами сервера NAP. Можно настроить эти параметры с помощью групповой политики, консоли конфигурации клиентов NAP или командной строки. Для метода принудительной защиты с помощью IPsec параметры клиента NAP содержат политику запросов и группы доверенных серверов.
Политика запросов
Нет необходимости изменять параметры политики запросов по умолчанию на клиентских компьютерах NAP. Если эти параметры изменены, важно убедиться в том, что такие же параметры включены на серверах NAP. По умолчанию клиентский компьютер, поддерживающий NAP, инициирует процесс согласования с сервером NAP, используя обоюдно приемлемые механизмы защиты по умолчанию для шифрования передаваемых данных. Для политики запросов рекомендуется использовать параметры по умолчанию.
| Проверка параметров политики запросов |
Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.
Если параметры клиента NAP развертываются с помощью групповой политики, в командной строке введите netsh nap client show group, а затем нажмите клавишу ВВОД. Если параметры клиента NAP развертываются с помощью локальной политики, в командной строке введите netsh nap client show config, а затем нажмите клавишу ВВОД. На клиентских компьютерах будут отображены параметры конфигурации NAP групповой и локальной политики.
В выходных данных команды проверьте, что параметры Поставщик службы криптографии (CSP) и Алгоритм хеширования соответствуют параметрам, настроенным в HRA. По умолчанию используется Поставщик службы криптографии Microsoft RSA SChannel, длина_ключа = 2048. Используемый по умолчанию алгоритм хэширования — sha1RSA (1.3.14.3.2.29).
Группы доверенных серверов
Группы доверенных серверов настроены в параметрах регистрации работоспособности клиента, чтобы клиентские компьютеры NAP могли связываться с веб-сайтами, используемыми центром регистрации работоспособности для обработки запросов на сертификаты работоспособности. Если группы доверенных серверов не настроены или настроены неправильно, клиентские компьютеры NAP не смогут получить сертификаты работоспособности.
| Проверка конфигурации групп доверенных серверов |
Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.
Если параметры клиента NAP развертываются с помощью групповой политики, в командной строке введите netsh nap client show group, а затем нажмите клавишу ВВОД. Если параметры клиента NAP развертываются с помощью локальной политики, в командной строке введите netsh nap client show config, а затем нажмите клавишу ВВОД. На клиентских компьютерах будут отображены параметры конфигурации NAP групповой и локальной политики.
В выходных данных команды в разделе Конфигурация группы доверенных серверов проверьте правильность конфигурации для записей рядом с Порядок обработки, Группа, Требуется префикс Https и URL-адрес.
Клиентский компьютер NAP попытается получить сертификат работоспособности с первого URL-адреса во всех настроенных группах доверенных серверов, если только сервер не был отмечен как недоступный. Дополнительные сведения см. в разделах Проверка конфигурации IIS и Общее представление о требованиях к проверке подлинности для центра регистрации работоспособности.
Просмотр событий клиента NAP
Просмотр сведений, содержащихся в событиях клиента NAP, может способствовать решению вопросов и устранению неполадок. Также эти сведения могут способствовать пониманию функционирования клиента NAP.
| Чтобы просмотреть события клиента NAP в средстве просмотра событий |
В меню Пуск перейдите к пункту Все программы, выберите Стандартные и щелкните Выполнить.
Введите eventvwr.msc и нажмите клавишу ВВОД.
В дереве слева перейдите к пункту Просмотр событий (локальных)\Журналы приложений и служб\Microsoft\Windows\Защита сетевого доступа\Работает.
В центральной области выберите событие.
По умолчанию отображается вкладка Общие. Откройте вкладку Сведения, чтобы просмотреть дополнительные сведения.
Также можно щелкнуть правой кнопкой мыши событие и выбрать Свойства события, чтобы открыть новое окно просмотра событий.