Содержание
- 1 Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows
- 2 Включаем Windows Firewall с помощью GPO
- 3 Создаем правило файервола с помощью групповой политики
- 4 Проверка политик брандмаэера Windows на клиентах
- 5 Импорт / экспорт правил Брандмауэра Windows в GPO
- 6 Доменные и локальные правила брандмауэра
- 7 Несколько советов об управлении брандмауэром Windows через GPO
- 8 Определение и назначение брандмауэра в Windows 7
- 9 Как открыть брандмауэр в виндовс 7
- 10 Создание правил работы брандмауэра
- 11 Исключения брандмауэра виндовс 7
- 12 Разрешенные программы и сброс настроек
- 13 Отключение службы брандмауэр Windows
- 14 В какой ситуации может понадобиться брандмауэр стороннего производителя
- 15 Открываем 139 порт и разрешаем доступ к компьютеру по локальной сети
Брандмауэр Windows позволяет ограничить исходящий / входящий сетевой трафик для определенного приложения или TCP/IP порта, и является популярным средством ограничения сетевого доступа к (от) рабочим станциям пользователей или серверам. Правила Windows Firewall можно настроить индивидуально на каждом компьютере, или, если компьютер пользователя включен в домен Windows, администратор может управлять настройками и правилами брандмауэра Windows с помощью групповых политик.
В крупных организация правила фильтрации портов обычно выносятся на уровень маршрутизатором, L3 коммутаторов или выделенных межсетевых экранах. Однако ничего не мешает вам распространить ваши правила ограничения сетевого доступа Windows Firewall к рабочим станциям или серверам Windows.
Содержание:
Групповые политики, использующиеся для управления настройками Брандмауэра Защитника Windows
С помощью редактора доменной групповой политики (group Policy Management Console – gpmc.msc) создайте новую политику с именем Firewall-Policy и перейдите в режим редактирования (Edit).
В консоли групповой политики есть две секции, в которых можно управлять настройками брандмауэра:
- Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall – эта секция GPO использовалась для настройки правил брандмауэра для ОС Vista / Windows Server 2008 и ниже. Если у вас в домене нет компьютеров со старыми ОС, для настройки файервола используется следующая секция. Network -> Network Connections -> Windows Firewall » srcset=»http://besporovod.ru/wp-content/uploads/2022/11/pp_image_212574_hegzedq8itadministrative-templates-greater-network-greater-network-con.png 968w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-300×136.png 300w, https://winitpro.ru/wp-content/uploads/2018/12/administrative-templates-greater-network-greater-network-con-768×348.png 768w» sizes=»(max-width: 609px) 100vw, 609px» />
- Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security – это актуальный раздел для настройки Брандмауэра Windows в современных версиях ОС и по интерфейсу он напоминает интерфейс локальной консоли управления Брандмауэра.
Включаем Windows Firewall с помощью GPO
Чтобы пользователи (даже с правами локального админа) не могли выключить службу брандмауэра, желательно настроить автоматический запуск службы Windows Firewall через GPO. Для этого перейдите в раздел Computer Configuration- > Windows Settings -> Security Settings -> System Services. Найдите в списке служб Windows Firewall и измените тип запуск службы на автоматический (Define this policy setting -> Service startup mode Automatic). Убедитесь, что у пользователей нет прав на остановку службы.
Перейдите в раздел консоли GPO Computer Configuration -> Windows Settings -> Security Settings. Щелкните ПКМ по Windows Firewall with Advanced Security и откройте свойства.
На всех трех вкладках Domain Profile, Private Profile и Public Profile (что такое профиль сети) измените состояние Firewall state на On (recommended). В зависимости от политик безопасности в вашей организации вы можете указать, что все входящие подключения по умолчанию запрещены(Inbound connections -> Block), а исходящие разрешены (Outbound connections -> Allow) и сохраните изменения.
Создаем правило файервола с помощью групповой политики
Теперь попробуем создать разрешающее входящее правило файервола для всех. Например, мы хотим разрешить подключение к компьютерам по RDP (порт TCP 3389). Щелкните ПКМ по разделу Inbound Rules и выберите пункт меню New Rule.
Мастер создания правила брандмауэра очень похож на интерфейс локального Windows Firewall на обычном компьютере.
Выберите тип правила. Можно разрешить доступ для:
- Программы (Program) – можно выбрать исполняемый exe программы;
- Порта (Port) – выбрать TCP/UDP порт или диапазон портов;
- Преднастроенное правило (Predefined) – выбрать одно из стандартных правил Windows, в которых уже имеются правила доступа (описаны как исполняемые файлы, так и порты) к типовым службам (например, AD, Http, DFS, BranchCache, удаленная перезагрузка, SNMP, KMS и т.д.);
- Собственное правило (Custom) – здесь можно указать программу, протокол (другие протоколы помимо TCP и UDP, например, ICMP, GRE, L2TP, IGMP и т.д.), IP адреса клиентов или целые IP подсети.
В нашем случае мы выберем правило Port. В качестве протокола укажем TCP, в качестве порта – порт 3389 (RDP порт по-умолчанию, можно изменить).
Далее нужно выбрать что нужно сделать с таким сетевым соединением: разрешить (Allow the connection), разрешить если оно безопасное или заблокировать (Block the connection).
Осталось выбрать профили файервола, которым нужно применить правило. Можно оставить все профили (Domain, Private и Public).
На последнем шаге нужно указать имя правило и его описание. Нажмите кнопку Finish и оно появится в списке правил брандмауэра.
Аналогичным образом вы можете настроить другие правила для входящего трафика, которые должны применятся к вашим клиентам Windows.
Не забываете, что нужно создать правила для входящего и исходящего трафика.
Теперь осталось назначить политику Firewall-Policy на OU с компьютерами пользователей
Важно. Прежде, чем применять политику файервола к OU с продуктивными компьютерами, настоятельно рекомендуется проверить ее на тестовых компьютерах. В противном случае из-за неправленых настроек брандмауэра вы можете парализовать работу предприятия. Для диагностики применения групповых политик используйте утилиту gpresult.exe.
Проверка политик брандмаэера Windows на клиентах
Обновите политики на клиентах (gpupdate /force). Проверьте, что указанные вами порты доступны на компьютерах пользователей (можно использовать командлет Test-NetConnection или утилиту Portqry).
На ПК пользователя откройте Панель управленияСистема и безопасностьБрандмауэр Защитника Windows и убедитесь, что появилась надпись: Для обеспечения безопасности, некоторые параметры управляются групповой политикой (For your security, some settings are controlled by Group Policy), и используются заданные вами настройки брандмаэера.
Пользователь теперь не может изменить настройки брандмауэра, а в списке Inbound Rules должны быть указаны все созданные вами правила.
Также вы можете вывести настройки файервола с помощью команды:
netsh firewall show state
Импорт / экспорт правил Брандмауэра Windows в GPO
Конечно, процесс создания правил для брандмауэра Windows – очень кропотливое и долгое занятие (но результате того стоит). Для упрощения свое задачи можно воспользоваться возможностью импорт и экспорта настроек брандмауэра Windows. Для этого вам достаточно нужным образом настроить локальные правила брандмауэра на обычном рабочей станции. Затем встаньте на корень оснастки брандмауэра (Монитор Брандмауэра Защитника Windows в режиме повышенной безопасности) и выберите пункт Действие -> Экспорт политики.
Политика выгружается в WFW файл, который можно импортировать в редакторе Group Policy Management Editor, выбрав пункт Import Policy и указав путь к файлу wfw (текущие настройки будут перезаписаны).
Доменные и локальные правила брандмауэра
В зависимости от того, хотите ли вы, чтобы локальные администраторы могли создавать на своих компьютерах собственные правила брандмауэра и эти должны быть объединены с правилами, полученными с помощью групповой политики. в групповой политике вы можете выбрать режим объединения правил. Откройте свойства политики и обратите внимание на настройки в разделе Rule merging. По умолчанию режим объединения правил включен. Вы можете принудительно указать, что локальный администратор может создавать собственные правила брандмауэра: в параметре Apply local firewall rules выберите Yes (default).
Совет. Блокирующие правила файервола имеют приоритет перед разрешающими. Т.е. пользователь не сможет создать собственное разрешающее правило доступа, противоречащее запрещающему правилу, настроенному администратором через GPO. Однако пользователь может создать локальное запрещающее правило, даже если этот доступ разрешен администратором в политике.
Несколько советов об управлении брандмауэром Windows через GPO
Конечно, для серверов и рабочих станций нужно создавать отдельные политики управления правилами брандмауэра (для каждой группы одинаковых серверов возможно придется создать собственные политики в зависимости от их роли). Т.е. правила файервола для контроллера домена, почтового Exchange сервера и сервера SQL будут отличаться.
Какие порты нужно открыть для той или иной службы нужно искать в документации на сайте разработчика. Процесс довольно кропотливый и на первый взгляд сложный. Но постепенно вполне реальной придти к работоспособной конфигурации Windows файервола, который разрешает только одобренные подключения и блокирует все остальное. По опыту хочу отметить, что на ПО Microsoft можно довольно быстро найти список используемых TCP/UDP портов.
Компьютерные вирусы разрабатываются с различной целью. Это вред операционной системе, похищение важных данных, навязчивая реклама и невозможность открытия программ. Все это делается злоумышленниками в основном для попытки заработка. Антивирусное ПО, ключи активации максимальной защиты стоят денег.
К счастью, Microsoft позаботилось о возможности защиты своих операционных систем от несанкционированных доступов из Сети и проникновения вредоносного ПО на компьютер. Это специальная служба, называемая брандмауэр Windows 7. Еще его называют Firewall. Чтобы настроить полноценную защиту компьютера от проникновения вредоносных программ из Сети, необходимо детальнее разобраться в понятии и методах работы данной службы.
Брандмауэр Windows 7 стоит на страже от вредоносного ПО, но его можно выключать
Определение и назначение брандмауэра в Windows 7
Брандмауэр, или Firewall Windows 7 — программное или аппаратное обеспечение, служащее барьером для проникновения на компьютер вредоносного ПО и устраняющее ошибки. Обычные файерволы сторонних разработчиков или антивирусы фильтруют только информацию, проникающую из Сети.
К сведению! Файервол действует в обе стороны. Он не только блокирует сетевой трафик из Глобальной сети, но и при активации соответствующих настроек блокирует отдельные программы при попытке их подключения к Интернету. Он блокирует все подозрительные программы, в том числе и те, которые запрашивают большой список полномочий.
Назначение и определение брандмауэра, выключение которого сулит большие риски
Файервол является программой, установленной по умолчанию в операционных системах, начиная с версии XP. Он постоянно сканирует порты компьютера для защиты его от вредоносного ПО.
Основные функции брандмауэра, отключать который спешат многие пользователи:
- слежка за подозрительными подключениями с компьютера в Сети;
- блокирует нерабочие порты и сканирует трафик с рабочих;
- следит за работающими приложениями;
- предупреждает, если приложение пытается подключиться к данным компьютера.
Обратите внимание! Часто брандмауэр Windows 7 и других операционных систем называют файерволом, чем он по сути и является. Однако в народе же файервол — это защитные программы сторонних производителей. Защитником по умолчанию, встроенный в ОС, всегда является брандмауэр.
Как открыть брандмауэр в виндовс 7
Журнал событий Windows 10: как открыть, очистить или отключить
Найти брандмауэр в Windows 7 можно через панель управления. Однако, начиная с версии ОС 8 и 8.1, делается это другим способом.
Как открыть брандмауэр
Открывается фаейрвол следующим способом:
- Нажать «Пуск», затем «Панель управления».
- Кликнуть два раза по пункту «Система и безопасность».
- Здесь необходимо найти вкладку «Брандмауэр Windows» и зайти в ее.
- Откроется окно, где на боковой панели нужно из списка выбрать «Включение и отключение брандмауэра Windows».
- В открывшемся окне необходимо указать на пункты «Включить», которые относятся к домашним и общественным сетям.
Обратите внимание! Есть и другой способ открыть защитник через окно «Выполнить». Для этого необходимо в поле ввести «firewall.cpl» и нажать «Enter». Пользователь будет сразу перенесен в рабочее окно брандмауэра.
Создание правил работы брандмауэра
Как открыть порты в брандмауэре на Windows 10
Правила работы файервола создаются для ограничений работы программ. Ограничения действуют на доступ к Интернету, доступ к выбранным IP-адресам, возможность приложений использовать данные компьютера и многое другое.
Для наглядного примера можно рассмотреть порядок установки правила:
- В главном окне брандмауэре на боковой панели нужно найти раздел «Дополнительные параметры» и перейти в него.
- В главном окне показаны профили, с которыми работает защитник — «Профиль домена», «Частный профиль», Общий профиль«. Эти профили работают по правилам, установленным изначально или самим пользователем. Здесь нужно обратить внимание на навигационную панель слева, где присутствуют правили для входящих и исходящих подключений.
- Указав на одно из правил подключений, отобразится список приложений, которые работают с тем или иным видом подключений.
- В правой части открывшегося окна нужно нажать на строку «Создать правило».
- Выбрать тип создаваемого правила — для программы, порта и тому подобное.
- Затем нужно указать путь к файлу программы, для которой создается правило, или выбрать пункт «Для всех программ» и нажать «Далее».
- В открывшемся окне выбрать один из вариантов — «Разрешить подключение» или «Запретить подключение».
Таким образом пользователь разрешает или запрещает приложению подключаться к Сети, чтобы повысить безопасность.
Создание правила работы брандмауэра, которое можно легко удалить
Обратите внимание! Если выбрать для правила «Безопасное подключение», то возможно, что программа не будет подключаться к Сети вовсе, так как доступ осуществляется без соблюдения правил безопасного подключения. Таким образом брандмауэр будет блокировать подключение приложения к Интернету.
Исключения брандмауэра виндовс 7
Рабочий стол Виндовс 10: как открыть и настроить виртуальный монитор
Бывает, что программа работает некорректно из-за включенной защиты файервола. Тогда, перед тем как отключить брандмауэр Windows 7, потребуется исключение, которое не требует отключения файервола. Если приложение окажется в списке исключений, блокировка не коснется его.
Важно! Исключения не создаются автоматически. Программы в список нужно вводить вручную. Это сделано разработчиками в целях безопасности.
Исключения для какого-либо приложения создаются в следующем порядке:
- Открыть главное окно брандмауэра.
- В левой колонке кликнуть на пункт «Разрешить запуск программы или компонента через брандмауэр Windows».
- В окне отобразится список установленных программ, и галочкой будут отмечены приложения, находящиеся под исключением. Здесь нужно нажать на кнопку с надписью «Разрешить другую программу».
- Кликнуть из списка по нужному приложению.
- Чтобы программа работала без различных блокировок файервола, следует установить птички на пунктах «Домашняя или рабочая» и «Публичные».
- Нажать кнопку «Ок».
Теперь приложение, которое было отмечено галочкой, не будет блокироваться файерволом.
Обратите внимание! В списке исключений должны находиться приложения, которые проверены на наличие вирусов, а также призваны работать через Сеть — онлайн-игры, социальные сети, браузеры и тому подобное.
Список программ, находящихся в исключениях, запускаться которые могут без всяких препонов со стороны защиты ОС
Брандмауэры Windows 7, отключить которые можно лишь при отсутствии доступа к Сети, не рекомендуется настраивать при включенном соединении с Глобальной сетью. Как только он будет отключен, ворота для поступления вредоносного ПО на компьютер будут открыты.
Разрешенные программы и сброс настроек
Всегда можно восстановить список приложений, попадающих под исключение по умолчанию. Экспериментируя с различными программами, можно столкнуться с некорректностью их работы. А когда такой список большой, то иногда появляется необходимость вернуть все на свои места, как было изначально.
Сброс настроек и восстановление списка разрешенных программ
Сброс настроек осуществляется следующим образом:
- Открыть главное окно брандмауэра.
- В левой панели найти раздел «Восстановить по умолчанию».
- В появившемся окне будут предупреждение о возвращении брандмауэра к первичным настройкам и кнопка «Восстановить значения по умолчанию». Нужно кликнуть по ним, таким образом сбросив все настройки и стерев из списка разрешенные программы, которые были отмечены вручную.
Важно! Те программы, которые попали под исключение вручную, могут работать некорректно. Брандмауэр по умолчанию будет блокировать им доступ в Сеть.
Отключение службы брандмауэр Windows
Перед тем как отключить брандмауэр виндовс 7, стоит помнить, что это чревато тяжелыми последствиями для системы. Если в этот момент компьютер подключен к Сети, и некоторые приложения работают в фоновом режиме, то это может привести к проникновению вирусов, на которые защитник накладывал санкции.
На Windows 7 брандмауэр отключить можно 3 способами:
- через «Панель управления»;
- через службы диспетчера;
- через остановку службы в разделе «Конфигурации системы».
Панель управления
Это самый распространенный и простейший способ отключить блокировщик компьютера:
- Выбрать «Пуск», затем «Панель управления».
- Выбрать пункт «Система и безопасность».
- Выбрать «Брандмауэр Windows».
- В главном окне на боковой панели выбрать пункт «Включение и отключение брандмауэра Windows».
- На 2 пунктах, относящихся к домашним и общественным сетям, установить флажок на «Отключить», после чего будет осуществлен возврат в главное окно.
Отключение брандмауэра в панели управления
Службы диспетчера
В службу «Диспетчер задач» можно перейти с панели управления, однако есть более короткий путь. Чтобы на Windows 7 брандмауэр отключить быстро, надо нажать на сочетание клавиш «Ctrl + Alt + Delete», после чего откроется диспетчер задач. В нем нужно выбрать вкладку «Службы». Здесь отобразится перечень запущенных служб, под управлением которых находится семерка. Надо найти службу «Брандмауэр Windows», кликнуть по пункту и нажать на раздел боковой панели «Отключить службу».
Остановка службы в конфигурации системы
Также брандмауэры Windows 7 отключить можно и более сложным способом:
- Пройти путь: «Панель управление» — «Система и безопасность» — «Администрирование».
- Выбрать пункт «Конфигурации системы».
- В появившемся окне выбрать вкладку «Службы».
- В списке выбрать «Брандмауэр Windows», снять с него галочку и нажать «Ок».
- Перезагрузить ПК.
В какой ситуации может понадобиться брандмауэр стороннего производителя
Родной фаервол работает в фоновом режиме, и пользователь видит его деятельность, когда осуществляет установку или запуск программ. Сторонний же файервол делает ту же работу, что и родной, но работает он далеко не в фоновом режиме, перегружая ПК всеми возможными предупреждениями. Поэтому сторонний файервол пригодится только в тех случаях, когда пользователь нуждается в постоянных отчетах и сообщениях о безопасности его системы.
Брандмауэр — это не антивирус, а межсетевой блокировщик, который полностью защищает компьютер от вредоносных подключений Сети и проникновения вирусов. Антивирус же призван блокировать вирусы и бороться с ними, чего не может брандмауэр. Антивирус не ограничивает работу программ в целях безопасности. Однако файервол для обеспечения исправной работы ОС блокирует некоторые возможности приложения. Тем не менее, достаточно выключить брандмауэр, и вирусы будут поступать в систему один за другим. В этой ситуации даже Eset или «Касперский» попросту не справится с нагромождением подозрительных подключений из Сети.
Большинство пользователей спешит отключить брандмауэр Windows, потому что он часто блокирует нужные сетевые соединения. Однако, полное отключение Windows Firewall делает компьютер уязвимым для многих угроз из сети и Интернета. В этой статье вы узнаете, как открыть доступ к компьютеру по сети, создав одно правило в брандмаэуре. На это у вас уйдёт около 3 минут времени.
Внимание! Перед применением данной инструкции убедитесь, что включено сетевое обнаружение и открыт доступ хотя бы к одной сетевой папке.
Открываем 139 порт и разрешаем доступ к компьютеру по локальной сети
Войдите в настройки Брандмауэра (Windows Firewall)
В Windows 10 нужно сделать так:
Пуск => Параметры, ввести в поиске слово Брандмауэр и кликнуть на соответствующий пункт в результатах:
В Windows 7 нужно нажать Пуск => Панель управления => Брандмауэр.
После этого кликните по ссылке Дополнительные параметры:
Выберите Правила для входящих подключений:
Нажмите Создать правило:
Выберите Настраиваемые и нажмите Далее:
В этом окне просто нажмите Далее:
Здесь выберите:
Тип протокола: TCPЛокальный порт: Специальные порты. И в поле ниже укажите порт: 139
После этого нажмите Далее:
В этом окне можно просто нажать Далее, если вы хотите открыть общий доступ для всех компьютеров в локальной сети. Если вы хотите разрешить доступ избранным устройствам, нужно перечислить их адреса:
Далее:
Здесь отметьте профили, для которых будет работать правило. В данном случаев, когда мы разрешаем доступ к сетевым папкам через LAN (Samba, NetBIOS), разумно будет включить его лишь в доверенных сетях:
Дайте произвольное имя правилу, которое будет понятно для вас, и нажмите Готово:
Теперь доступ к сетевым папкам должен появиться. И при этом компьютер будет защищен брандмауэром.
Читайте также:
Используемые источники:
- https://winitpro.ru/index.php/2018/12/06/nastrojka-pravil-windows-firewall-gpo/
- https://mirinfo.ru/pk-i-noutbuki/brandmauer-windows-7.html
- https://compfixer.info/firewall-allow-lan-access/