Решение проблем брандмауэра Windows XP SP2

Данная статья описывает принципы работы Брандмауэра Windows (Windows Firewall), наиболее распространённые проблемы, возникающие при его использовании, а также набор инструментов, позволяющих устранять эти неполадки. Статья адресована сетевым администраторам и опытным пользователям, знакомым с ОС Windows XP и протоколом TCP/IP.

25.07.2006 00:00,
Решение проблем брандмауэра Windows XP SP2
Страницы: Пред. 1 2 3 4 След.

Как определить, настроен ли Брандмауэр Windows с помощью групповой политики

Для компьютеров, принадлежащих домену, конфигурация Брандмауэра Windows складывается из локальных настроек, сохраняемых в реестре, и установок групповой политики. При решении проблем часто бывает полезно знать, действуют ли в отношении Брандмауэра только локальные настройки или также и установки групповой политики, и, в последнем случае, какой из профилей Брандмауэра Windows задействован (Профиль домена или Стандартный профиль). Для определения профиля, который необходимо применить, ОС Windows XP SP2 выполняет проверку параметров сети.

Чтобы определить сетевые параметры, выполните команду netsh firewall show state verbose=enable в командной строке. Вот пример первой секции экрана : 

Состояние брандмауэра:

-------------------------------------------------------------------

Профиль                            = Обычный

Рабочий режим                      = Enable

Режим исключения                   = Enable

Режим многоадр./широковещ. ответов = Enable

Режим уведомления                  = Enable

Версия групповой политики          = Нет

Режим удаленного администрирования = Disable

        Область: * 

В разделе «Состояние брандмауэра» (“Firewall status”) посмотрите на значения параметров «Профиль» (“Profile”) и «Версия групповой политики» (“Group Policy Version”). В приведённой таблице перечисляются варианты значений этих параметров и их смысл. 

Значение параметра «Профиль»Значение параметра «Версия групповой политики»Описание
ОбычныйНетГрупповая политика Брандмауэра не определена. На компьютере действуют только локальные настройки Брандмауэра.
ОбычныйБрандмауэр WindowsНа компьютере действуют настройки групповой политики Брандмауэра.
DomainНетКомпьютер подключен к сети, содержащей Ваш домен, но групповая политика Брандмауэра не определена.
DomainLegacy Firewall (ICF)Применена установка групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network), и групповая политика Брандмауэра Windows не определена.
DomainБрандмауэр WindowsКомпьютер подключен к сети, содержащей Ваш домен, и на нём действуют настройки групповой политики Брандмауэра Windows.

Примечание. Активация настройки групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network) может отключить Брандмауэр Windows (в этом случае параметр «Рабочий режим» (“Operational Mode”) на экране, отображающемся после выполнения команды netsh, принимает значение «Disable»), если при этом не включена настройка групповой политики Брандмауэра Windows Защитить все сетевые подключения (Windows Firewall: Protect All Network Connections)

Чтобы определить, было ли исключение для приложения или порта задано в локальных настройках или через групповую политику, просмотрите разделы «Исключения для программ» ("Program exceptions") и «Исключения для порта» ("Port exceptions") в содержании экрана, выводимого командой netsh firewall show state verbose=enable. Эти разделы отображаются в виде таблиц, содержащих списки исключений. В каждой таблице имеется столбец «Локальная политика» (“Local Policy”). Если выбранному исключению в этом столбце сопоставлено значение «Да», значит, данное исключение было задано через настройки локальной политики. Если это значение «Нет», то исключение было установлено через настройки групповой политики.

Ниже приведён пример фрагмента раздела экрана «Исключения для порта», выводимого командой netsh firewall show state verbose=enable

Примечание. Некоторые строки кода перенесены для удобства чтения. 

Исключения для порта:

Порт   Протокол  Лок. политика   Режим    Имя / Тип службы

-------------------------------------------------------------------

137    UDP       Да              Enable   Служба имени NetBIOS / Общий доступ к файлам и принтерам

        Область:LocalSubNet

138    UDP       Да             Enable   Служба датаграмм NetBIOS / Общий доступ к файлам и принтерам

        Область:LocalSubNet

139    TCP       Да              Enable   Служба сеанса NetBIOS / Общий доступ к файлам и принтерам

        Область:LocalSubNet

445    TCP       Да              Enable   SMB поверх TCP / Общий доступ к файлам и принтерам

        Область:LocalSubNet

3389   TCP       Нет            Enable   Дистанционное управление рабочим столом / Дистанционное управление рабочим столом

        Область: * 

В этом примере все исключения для портов, кроме заданного для Дистанционного управления рабочим столом, определены через настройки локальной политики.

Для получения полного списка настроек Брандмауэра Windows, определённых через групповую политику, используйте оснастку Результирующая политика (Resultant Set of Policy (RSOP)). Дополнительная информация содержится в Справке и поддержке Windows XP. 

Общие методы определения и настройки исключений

Если работа приложения или службы нарушается из-за блокирования Брандмауэром Windows незапрашиваемого входящего трафика, то вместо того, чтобы отключать сам Брандмауэр Windows, следует задать ему исключения таким образом, чтобы блокируемый трафик был разрешён. Отключение Брандмауэра Windows не рекомендуется, так как это сделает Ваш компьютер уязвимым для злоумышленников и вредоносных программ, если Вы при этом не используете сетевой экран от стороннего производителя.

Как описывается в разделе данной статьи «Игровой, веб- или иной сервер не доступен из Интернета», Брандмауэр Windows уведомляет пользователя, когда приложения пытаются прослушивать порты. В зависимости от выбранного пользователем варианта ответа в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), приложение либо добавляется в список исключений на вкладке Исключения (Exceptions), при этом трафик блокируется (опция Блокировать (Keep blocking)), либо добавляется в список исключений с разрешением трафика (опция Разблокировать (Unblock)), либо не добавляется в список и блокируется (опция Отложить (Ask Me Later)). Если Вы выбираете вариант Блокировать (Keep Blocking), разрешить трафик для этого приложения в случае необходимости Вы сможете из вкладки Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall). Исключения могут задаваться как приложениями при использовании API Брандмауэра Windows, так и вручную. 

Службы Windows, в отличие от приложений, не задействуют оповещения Брандмауэра Windows для автоматического создания и активации исключений. Исключения для служб Windows задаются либо службой, использующей API Брандмауэра Windows, либо ручной настройкой путём указания исключаемых программ или портов. Если служба запускается исполняемым файлом (таким, как *.exe), Вы можете задать исключение для программы. Если служба запускается другой службой, подобной Svchost.exe, Вам следует указать исключаемые порты.

Если требуется задать исключения для портов или сообщений ICMP, используемых какой-либо службой, то для определения нужных TCP или UDP портов, а также сообщений ICMP, обращайтесь к документации данной службы Windows или на соответствующий веб-сайт. Основываясь на документации, укажите необходимые исключения для портов и сообщений ICMP. Если же указания на используемые службой порты и ICMP сообщения в документации отсутствуют, выполните следующую последовательность действий:

  1. На вкладке Дополнительно (Advanced) диалогового окна Брандмауэр Windows (Windows Firewall) нажмите Параметры (Settings) в разделе Ведение журнала безопасности (Security Logging) и включите опцию Записывать пропущенные пакеты (Log dropped packets). Нажмите ОК для сохранения параметров ведения журнала и ОК для закрытия диалогового окна Брандмауэр Windows (Windows Firewall).
  2. Запишите IP-адрес другого клиентского компьютера, а затем попытайтесь, запустив на нём клиентское или равнозначное приложение, подключиться к компьютеру, на котором работает Брандмауэр Windows и ведётся журнал регистрации событий  брандмауэра. Например, если на сервере работает почтовый сервер, запустите соответствующую почтовую программу на клиентском компьютере.
  3. После того, как попытки программы-клиента связаться с сервером закончатся неудачей, вернитесь к серверу и просмотрите с помощью Проводника Windows (Windows Explorer) содержимое файла Pfirewall.log, хранящегося в корневой папке Windows.
  4. Среди последних записей в файле журнала  Pfirewall.log отыщите те, в которых отмечены отвергнутые пакеты с IP-адреса, совпадающего с IP-адресом клиентского компьютера. В этих записях найдите части, обозначенные «dst-port». Это и есть TCP или UDP порты, для которых нужно задать исключения. Для трафика ICMP следует найти фрагменты "icmptype" и "icmpcode" и проверить их на ICMP Parameters Web page, чтобы узнать название ICMP сообщения.

Определить номера портов, используемых службой, можно также с помощью аудита, выполнив следующие шаги:

  1. Включите ведение журналов аудита, как описано в разделе « с Брандмауэром Windows» данной статьи.
  2. Перезагрузите компьютер. Многие службы настроены на запуск при старте системы, и после перезагрузки события запуска служб будут зарегистрированы.
  3. Используйте оснастку Службы (Services), как описано в разделе « с Брандмауэром Windows» данной статьи, чтобы убедиться, что служба запущена.
  4. Воспользуйтесь оснасткой Просмотр событий (Event Viewer), как описано в разделе «Инструменты для решения проблем с Брандмауэром Windows» данной статьи, чтобы найти события Аудита отказов (Failure Audit), обозначенные в журнале безопасности кодом 861. Эти события относятся к приложениям или службам, прослушивающим TCP или UDP порты, чей трафик не был разрешён Брандмауэром Windows. В тексте сообщения об ошибке содержатся имя и путь к запросчику, код процесса, его тип - приложение или служба, и номера TCP или UDP портов.

Если можно отследить программу или службу по записям событий Аудита отказов (Failure Audit), используйте содержащуюся в них информацию о TCP или UDP портах для задания исключений. В качестве исключаемых необходимо указать все порты, запрашиваемые программой или службой.

Иногда службы запускаются в составе более ёмких процессов, одновременно задействующих несколько служб, подобных, например, процессу Svchost.exe. В таких случаях используйте команду netstat –abn, чтобы выявить все порты, через которые ведётся прослушивание сети. По списку компонентов, перечисляемых по именам файлов, Вы можете определить порты, запрашиваемые конкретной службой.

Ниже приводится пример использования команды netstat –abn

F:\>netstat -abn

Активные подключения

  Имя    Локальный адрес        Внешний адрес        Состояние         PID

  TCP    0.0.0.0:135            0.0.0.0:0            LISTENING         892

  f:\xp_pro\system32\WS2_32.dll

  F:\XP_PRO\system32\RPCRT4.dll

  f:\xp_pro\system32\rpcss.dll

  F:\XP_PRO\system32\svchost.exe

  -- неизвестные компоненты --

  [svchost.exe]

 

  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4

  [Система]

 

  TCP    127.0.0.1:1029         0.0.0.0:0              LISTENING       1888

  [alg.exe]

 

  TCP    131.107.81.167:139     0.0.0.0:0              LISTENING       4

  [System]

 

  UDP    0.0.0.0:500            *:*                                    688

  [lsass.exe]

 

  UDP    0.0.0.0:445            *:*                                    4

  [Система]

 

  UDP    0.0.0.0:4500           *:*                                    688

  [lsass.exe]

 

  UDP    127.0.0.1:1900         *:*                                    1144

  f:\xp_pro\system32\WS2_32.dll

  f:\xp_pro\system32\ssdpsrv.dll

  F:\XP_PRO\system32\ADVAPI32.dll

  F:\XP_PRO\system32\kernel32.dll

  [svchost.exe]

 

  UDP    127.0.0.1:1025         *:*                                    980

  f:\xp_pro\system32\WS2_32.dll

  F:\XP_PRO\system32\WLDAP32.dll

  F:\XP_PRO\System32\winrnr.dll

  f:\xp_pro\system32\WS2_32.dll

  f:\xp_pro\system32\w32time.dll

  [svchost.exe]

 

  UDP    131.107.81.167:137     *:*                                    4

  [Система]

 

  UDP    131.107.81.167:1900    *:*                                    1144

  f:\xp_pro\system32\WS2_32.dll

  f:\xp_pro\system32\ssdpsrv.dll

  F:\XP_PRO\system32\ADVAPI32.dll

  F:\XP_PRO\system32\kernel32.dll

  [svchost.exe]

 

  UDP    131.107.81.167:138     *:*                                    4

  [Система]


Страницы: Пред. 1 2 3 4 След.
Оцените материал:  
(Голосов: 16, Рейтинг: 3.39)

Каждый вечер мы будем присылать вам одно письмо со всеми опубликованными за день материалами. Нет материалов - нет писем, просто и удобно (другие варианты).

Материалы по теме


Комментарии (0)