Как определить, настроен ли Брандмауэр Windows с помощью групповой политики
Для компьютеров, принадлежащих домену, конфигурация Брандмауэра Windows складывается из локальных настроек, сохраняемых в реестре, и установок групповой политики. При решении проблем часто бывает полезно знать, действуют ли в отношении Брандмауэра только локальные настройки или также и установки групповой политики, и, в последнем случае, какой из профилей Брандмауэра Windows задействован (Профиль домена или Стандартный профиль). Для определения профиля, который необходимо применить, ОС Windows XP SP2 выполняет проверку параметров сети.
Чтобы определить сетевые параметры, выполните команду netsh firewall show state verbose=enable в командной строке. Вот пример первой секции экрана :
Состояние брандмауэра:
-------------------------------------------------------------------
Профиль = Обычный
Рабочий режим = Enable
Режим исключения = Enable
Режим многоадр./широковещ. ответов = Enable
Режим уведомления = Enable
Версия групповой политики = Нет
Режим удаленного администрирования = Disable
Область: *
В разделе «Состояние брандмауэра» (“Firewall status”) посмотрите на значения параметров «Профиль» (“Profile”) и «Версия групповой политики» (“Group Policy Version”). В приведённой таблице перечисляются варианты значений этих параметров и их смысл.
| Значение параметра «Профиль» | Значение параметра «Версия групповой политики» | Описание |
| Обычный | Нет | Групповая политика Брандмауэра не определена. На компьютере действуют только локальные настройки Брандмауэра. |
| Обычный | Брандмауэр Windows | На компьютере действуют настройки групповой политики Брандмауэра. |
| Domain | Нет | Компьютер подключен к сети, содержащей Ваш домен, но групповая политика Брандмауэра не определена. |
| Domain | Legacy Firewall (ICF) | Применена установка групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network), и групповая политика Брандмауэра Windows не определена. |
| Domain | Брандмауэр Windows | Компьютер подключен к сети, содержащей Ваш домен, и на нём действуют настройки групповой политики Брандмауэра Windows. |
Примечание. Активация настройки групповой политики Запретить использование общего доступа к подключению Интернета в сети DNS-домена (Prohibit use of Internet Connection Firewall on your DNS domain network) может отключить Брандмауэр Windows (в этом случае параметр «Рабочий режим» (“Operational Mode”) на экране, отображающемся после выполнения команды netsh, принимает значение «Disable»), если при этом не включена настройка групповой политики Брандмауэра Windows Защитить все сетевые подключения (Windows Firewall: Protect All Network Connections).
Чтобы определить, было ли исключение для приложения или порта задано в локальных настройках или через групповую политику, просмотрите разделы «Исключения для программ» ("Program exceptions") и «Исключения для порта» ("Port exceptions") в содержании экрана, выводимого командой netsh firewall show state verbose=enable. Эти разделы отображаются в виде таблиц, содержащих списки исключений. В каждой таблице имеется столбец «Локальная политика» (“Local Policy”). Если выбранному исключению в этом столбце сопоставлено значение «Да», значит, данное исключение было задано через настройки локальной политики. Если это значение «Нет», то исключение было установлено через настройки групповой политики.
Ниже приведён пример фрагмента раздела экрана «Исключения для порта», выводимого командой netsh firewall show state verbose=enable
Примечание. Некоторые строки кода перенесены для удобства чтения.
Исключения для порта:
Порт Протокол Лок. политика Режим Имя / Тип службы
-------------------------------------------------------------------
137 UDP Да Enable Служба имени NetBIOS / Общий доступ к файлам и принтерам
Область:LocalSubNet
138 UDP Да Enable Служба датаграмм NetBIOS / Общий доступ к файлам и принтерам
Область:LocalSubNet
139 TCP Да Enable Служба сеанса NetBIOS / Общий доступ к файлам и принтерам
Область:LocalSubNet
445 TCP Да Enable SMB поверх TCP / Общий доступ к файлам и принтерам
Область:LocalSubNet
3389 TCP Нет Enable Дистанционное управление рабочим столом / Дистанционное управление рабочим столом
Область: *
В этом примере все исключения для портов, кроме заданного для Дистанционного управления рабочим столом, определены через настройки локальной политики.
Для получения полного списка настроек Брандмауэра Windows, определённых через групповую политику, используйте оснастку Результирующая политика (Resultant Set of Policy (RSOP)). Дополнительная информация содержится в Справке и поддержке Windows XP.
Общие методы определения и настройки исключений
Если работа приложения или службы нарушается из-за блокирования Брандмауэром Windows незапрашиваемого входящего трафика, то вместо того, чтобы отключать сам Брандмауэр Windows, следует задать ему исключения таким образом, чтобы блокируемый трафик был разрешён. Отключение Брандмауэра Windows не рекомендуется, так как это сделает Ваш компьютер уязвимым для злоумышленников и вредоносных программ, если Вы при этом не используете сетевой экран от стороннего производителя.
Как описывается в разделе данной статьи «Игровой, веб- или иной сервер не доступен из Интернета», Брандмауэр Windows уведомляет пользователя, когда приложения пытаются прослушивать порты. В зависимости от выбранного пользователем варианта ответа в диалоговом окне Оповещение системы безопасности Windows (Windows Security Alert), приложение либо добавляется в список исключений на вкладке Исключения (Exceptions), при этом трафик блокируется (опция Блокировать (Keep blocking)), либо добавляется в список исключений с разрешением трафика (опция Разблокировать (Unblock)), либо не добавляется в список и блокируется (опция Отложить (Ask Me Later)). Если Вы выбираете вариант Блокировать (Keep Blocking), разрешить трафик для этого приложения в случае необходимости Вы сможете из вкладки Исключения (Exceptions) диалогового окна Брандмауэр Windows (Windows Firewall). Исключения могут задаваться как приложениями при использовании API Брандмауэра Windows, так и вручную.
Службы Windows, в отличие от приложений, не задействуют оповещения Брандмауэра Windows для автоматического создания и активации исключений. Исключения для служб Windows задаются либо службой, использующей API Брандмауэра Windows, либо ручной настройкой путём указания исключаемых программ или портов. Если служба запускается исполняемым файлом (таким, как *.exe), Вы можете задать исключение для программы. Если служба запускается другой службой, подобной Svchost.exe, Вам следует указать исключаемые порты.
Если требуется задать исключения для портов или сообщений ICMP, используемых какой-либо службой, то для определения нужных TCP или UDP портов, а также сообщений ICMP, обращайтесь к документации данной службы Windows или на соответствующий веб-сайт. Основываясь на документации, укажите необходимые исключения для портов и сообщений ICMP. Если же указания на используемые службой порты и ICMP сообщения в документации отсутствуют, выполните следующую последовательность действий:
- На вкладке Дополнительно (Advanced) диалогового окна Брандмауэр Windows (Windows Firewall) нажмите Параметры (Settings) в разделе Ведение журнала безопасности (Security Logging) и включите опцию Записывать пропущенные пакеты (Log dropped packets). Нажмите ОК для сохранения параметров ведения журнала и ОК для закрытия диалогового окна Брандмауэр Windows (Windows Firewall).
- Запишите IP-адрес другого клиентского компьютера, а затем попытайтесь, запустив на нём клиентское или равнозначное приложение, подключиться к компьютеру, на котором работает Брандмауэр Windows и ведётся журнал регистрации событий брандмауэра. Например, если на сервере работает почтовый сервер, запустите соответствующую почтовую программу на клиентском компьютере.
- После того, как попытки программы-клиента связаться с сервером закончатся неудачей, вернитесь к серверу и просмотрите с помощью Проводника Windows (Windows Explorer) содержимое файла Pfirewall.log, хранящегося в корневой папке Windows.
- Среди последних записей в файле журнала Pfirewall.log отыщите те, в которых отмечены отвергнутые пакеты с IP-адреса, совпадающего с IP-адресом клиентского компьютера. В этих записях найдите части, обозначенные «dst-port». Это и есть TCP или UDP порты, для которых нужно задать исключения. Для трафика ICMP следует найти фрагменты "icmptype" и "icmpcode" и проверить их на ICMP Parameters Web page, чтобы узнать название ICMP сообщения.
Определить номера портов, используемых службой, можно также с помощью аудита, выполнив следующие шаги:
- Включите ведение журналов аудита, как описано в разделе « с Брандмауэром Windows» данной статьи.
- Перезагрузите компьютер. Многие службы настроены на запуск при старте системы, и после перезагрузки события запуска служб будут зарегистрированы.
- Используйте оснастку Службы (Services), как описано в разделе « с Брандмауэром Windows» данной статьи, чтобы убедиться, что служба запущена.
- Воспользуйтесь оснасткой Просмотр событий (Event Viewer), как описано в разделе «Инструменты для решения проблем с Брандмауэром Windows» данной статьи, чтобы найти события Аудита отказов (Failure Audit), обозначенные в журнале безопасности кодом 861. Эти события относятся к приложениям или службам, прослушивающим TCP или UDP порты, чей трафик не был разрешён Брандмауэром Windows. В тексте сообщения об ошибке содержатся имя и путь к запросчику, код процесса, его тип - приложение или служба, и номера TCP или UDP портов.
Если можно отследить программу или службу по записям событий Аудита отказов (Failure Audit), используйте содержащуюся в них информацию о TCP или UDP портах для задания исключений. В качестве исключаемых необходимо указать все порты, запрашиваемые программой или службой.
Иногда службы запускаются в составе более ёмких процессов, одновременно задействующих несколько служб, подобных, например, процессу Svchost.exe. В таких случаях используйте команду netstat –abn, чтобы выявить все порты, через которые ведётся прослушивание сети. По списку компонентов, перечисляемых по именам файлов, Вы можете определить порты, запрашиваемые конкретной службой.
Ниже приводится пример использования команды netstat –abn
F:\>netstat -abn
Активные подключения
Имя Локальный адрес Внешний адрес Состояние PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 892
f:\xp_pro\system32\WS2_32.dll
F:\XP_PRO\system32\RPCRT4.dll
f:\xp_pro\system32\rpcss.dll
F:\XP_PRO\system32\svchost.exe
-- неизвестные компоненты --
[svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
[Система]
TCP 127.0.0.1:1029 0.0.0.0:0 LISTENING 1888
[alg.exe]
TCP 131.107.81.167:139 0.0.0.0:0 LISTENING 4
[System]
UDP 0.0.0.0:500 *:* 688
[lsass.exe]
UDP 0.0.0.0:445 *:* 4
[Система]
UDP 0.0.0.0:4500 *:* 688
[lsass.exe]
UDP 127.0.0.1:1900 *:* 1144
f:\xp_pro\system32\WS2_32.dll
f:\xp_pro\system32\ssdpsrv.dll
F:\XP_PRO\system32\ADVAPI32.dll
F:\XP_PRO\system32\kernel32.dll
[svchost.exe]
UDP 127.0.0.1:1025 *:* 980
f:\xp_pro\system32\WS2_32.dll
F:\XP_PRO\system32\WLDAP32.dll
F:\XP_PRO\System32\winrnr.dll
f:\xp_pro\system32\WS2_32.dll
f:\xp_pro\system32\w32time.dll
[svchost.exe]
UDP 131.107.81.167:137 *:* 4
[Система]
UDP 131.107.81.167:1900 *:* 1144
f:\xp_pro\system32\WS2_32.dll
f:\xp_pro\system32\ssdpsrv.dll
F:\XP_PRO\system32\ADVAPI32.dll
F:\XP_PRO\system32\kernel32.dll
[svchost.exe]
UDP 131.107.81.167:138 *:* 4
[Система]
Комментарии (0)