Il filtro della piattaforma di filtraggio pacchetti IP di Windows è stato modificato. Windows Firewall in modalità di sicurezza avanzata: diagnosi e risoluzione dei problemi. Problemi comuni con il funzionamento di Windows Firewall in modalità di sicurezza avanzata

Sistema operativo console di gestione delle apparecchiature (MMC). Windows Vista™ è un firewall che registra la rete, per le postazioni di lavoro, che filtra gli ingressi e le uscite del sistema, in ogni momento. Ora è possibile configurare i parametri del firewall e il protocollo IPsec con l'aiuto di un unico strumento. Questo articolo descrive il funzionamento di Windows Firewall in modalità di sicurezza avanzata, problemi tipici e sintomi.

Come utilizzare Windows Firewall in modalità di sicurezza avanzata

firewall di Windows nella modalità di sicurezza avanzata - il firewall, che registra la guardia di sicurezza per le postazioni di lavoro. In prima linea i firewall per router, che vengono distribuiti sui gateway tra la rete locale e Internet, le creazioni di Windows Firewall per lavorare su altri computer. Vіdstezhuє vіdstezhuє solo traffico della stazione di lavoro: traffico che arriva all'indirizzo IP di questo computer, ovvero il traffico del computer stesso. Windows Firewall in modalità di sicurezza avanzata prevede le seguenti operazioni di base:

Il pacchetto di input viene verificato e confrontato con l'elenco del traffico consentito. Ogni volta che un pacchetto corrisponde a uno dei valori nell'elenco, Windows Firewall passa il pacchetto TCP/IP per un'ulteriore elaborazione. Se il pacchetto non corrisponde a nessuno dei valori dell'elenco, Windows Firewall bloccherà il pacchetto e, se viene annotata la registrazione, lo scriverà nel file di registro.

L'elenco del traffico consentito è formato in due modi:

Se la connessione è controllata dal firewall di Windows in modalità di sicurezza avanzata, il pacchetto viene modificato, il firewall crea un valore nell'elenco che gli consente di ricevere traffico dal router. È richiesta un'indennità aggiuntiva per il traffico in ingresso gratuito.

Se consenti Windows Firewall in modalità di sicurezza avanzata, il traffico per il quale è impostata la regola precedente sarà consentito su un computer con Windows Firewall. Questo computer accetta autorizzazioni esplicite per il traffico in entrata in modalità robotica come server, computer client o il nodo di una mesh unidirezionale.

Il primo passo per risolvere i problemi causati da Windows Firewall è verificare quale profilo è attivo. Windows Firewall nella modalità di sicurezza avanzata è un programma, come se fosse un taglio netto. Il profilo del firewall di Windows viene modificato quando si cambia l'orlo a giorno. Il profilo è un insieme di regole stabilite, che zastosovuetsya maggese sotto forma di affilatura di pizzo e soffice semplice connessione.

Il firewall distingue tre tipi di linee di travatura reticolare: titolazione di dominio, pubblica e privata. Dominio є unisci otochennya, in cui la connessione passa l'autenticazione sul controller del dominio. Dietro le serrature, altri tipi di lacci sono visti come legami pubblici. Quando un nuovo Connessione Windows Vista proponuє koristuvachu vkazati, chi є merezha è dato privato e pubblico. Evidenzia il profilo delle nomination per fare l'occhiolino comunità, per esempio, negli aeroporti chi cafè. Profilo privato degli appuntamenti per vikoristannya a casa o in ufficio, nonché alla protezione della terra. Per designare un provvedimento come privato, il coristuvach è responsabile della madre delle alte autorità amministrative.

Se il computer può essere collegato un'ora prima del tipo diverso, può essere attivo più di un profilo. Scegli un profilo attivo su cui sdraiarti per questi motivi:

Come per tutte le interfacce, si vince l'autenticazione sul controller di dominio e si vince il profilo di dominio.

Se vuoi che una delle interfacce si connetta a un link privato, e se vuoi connetterti a un dominio oa un link privato, si vince un profilo privato.

Profilo di Resht vipadkiv vikoristovuetsya zagalny.

Per designare un profilo attivo, premere il vuzol Attenzione attrezzato Windows Firewall in modalità di sicurezza avanzata. Sopra il testo mulino firewall Indicherà quale profilo è attivo. Ad esempio, come profilo attivo per il dominio, verrà visualizzata la parte superiore Profilo di dominio attivo.

Per profili aggiuntivi, il firewall di Windows può consentire automaticamente il traffico in entrata per scopi speciali dal computer, se il computer è nel dominio, e bloccare quel traffico stesso, se il computer è connesso a una rete pubblica o privata. In questo grado, assegnato al tipo di affilatura dei merletti, assicurerò la protezione del tuo linee locali senza shkody senza cura mobile coristuvachiv.

Problemi comuni con il funzionamento di Windows Firewall in modalità di sicurezza avanzata

Di seguito sono riportati i principali problemi che incolpano Windows Firewall per mezz'ora in modalità di sicurezza avanzata:

Se il traffico è bloccato, controlla di nuovo se il firewall è attivato e quale profilo è attivo. Come se il programma fosse bloccato, cambiare con ciò che è nell'apparecchiatura Windows Firewall in modalità di sicurezza avanzataІсnuє regola attivamente consentita per il profilo di streaming. Per passare in presenza della regola permissiva, fare doppio clic sul vuzol Attenzione, quindi scegli la distribuzione firewall. Poiché non ci sono regole attive per questo programma, vai al nodo e crea una nuova regola per questo programma. Creare una regola per un programma o servizio, oppure specificare un gruppo di regole, in modo che arrivi alla funzione, e modificarla, in modo che tutte le regole di questo gruppo siano incluse.

Per verificare che una regola consentita non sia sovrapposta a una regola di blocco, utilizzare quanto segue:

L'albero è attrezzato Windows Firewall in modalità di sicurezza avanzata fare clic su Vuzol Attenzione, quindi scegli la distribuzione firewall.

Esamina l'elenco delle regole locali attualmente attive politica di gruppo. Le regole difensive si sovrappongono alle regole consentite che possono essere trovate in momenti diversi, poiché il resto è determinato in modo più preciso.

Criteri di gruppo che rimescolano le regole locali

Se la modalità di protezione abilitata di Windows Firewall viene applicata da criteri di gruppo aggiuntivi, l'amministratore può specificare se le regole del firewall vengono ignorate o le regole di sicurezza della connessione create dagli amministratori locali. Potrebbe avere un senso in tal caso, come stabilire le regole del firewall locale, o le regole di sicurezza della connessione, come nella distribuzione quotidiana del firewall.

Per chiarire i motivi per cui eventuali regole firewall locali o regole di sicurezza della connessione sono incluse nella sezione "Attenzione", vedere quanto segue:

Attrezzatura Windows Firewall in modalità di sicurezza avanzata, fare clic sulla forza Autorità di Windows Firewall.

Seleziona la scheda del profilo attivo.

Al dettaglio Parametri, premi il bottone Nalashtuvati.

Come impostare le regole locali, dividi Consolidamento delle regole Sii attivo.

Le regole che richiedono una connessione sicura possono bloccare il traffico

Quando crei regole firewall per il traffico in entrata o in uscita, uno dei parametri è . Non appena questa funzione viene selezionata, è necessario utilizzare la regola di sicurezza della connessione, altrimenti imposterò la politica IPSec, come designerà, qualsiasi traffico sarà protetto. In caso contrario, tutto il traffico viene bloccato.

Per verificare se una o più regole del programma richiedono connessioni sicure, attenersi alla seguente procedura:

L'albero è attrezzato Windows Firewall in modalità di sicurezza avanzata fare clic su Dividi Regole per le connessioni in ingresso. Scegli una regola, in quanto è necessario rivedere e fai clic sul messaggio potenza nella sfera della console.

Seleziona scheda Zagalni quel rovescio, chi є sceglie il significato del cambiamento Consenti connessioni più sicure.

Ogni volta che viene specificato un parametro per una regola Consenti connessioni più sicure, razgornіt razdіl Attenzione sull'albero, scatta e scegli una divisione. Perekonaytes, scho for traffic, designato nel firewall, segue le regole della connessione sicura.

Avanzare:

Per la presenza di una politica IPSec attiva, cambia idea, che questa politica sta proteggendo il traffico di cui hai bisogno. Non creare regole di sicurezza della connessione per evitare conflitti tra il criterio IPSec e le regole di sicurezza della connessione.

Impossibile consentire le connessioni nel fine settimana

L'albero è attrezzato Windows Firewall in modalità di sicurezza avanzata scegli una sezione Attenzione. Seleziona la scheda del profilo attivo e presso la filiale mulino firewall pervertito, ciò che è incluso, ciò che non rientra nella regola consentita, è permesso.

Al dettaglio Attenzione scegli una sezione firewall, al fine di riconsiderare, quali le necessarie ricollegamenti non sono indicate nelle norme che si stanno tutelando.

Le politiche modificate possono portare al blocco del traffico

È possibile configurare le impostazioni del firewall e IPSec per interfacce Windows aggiuntive.

La creazione di politiche in alcune aree può portare a conflitti e blocchi del traffico. Sono disponibili i seguenti punti di regolazione:

Windows Firewall in modalità di sicurezza avanzata. La politica di Tsya viene stabilita per l'aiuto di apparecchiature appropriate a livello locale o come parte di una politica di gruppo. Questo criterio determina le impostazioni del firewall e IPSec sui computer con protezione di Windows Vista.

Modello amministrativo di Windows Firewall. Questa politica viene modificata per l'aiuto dell'editor degli oggetti della politica di gruppo nella distribuzione. Utilizzare questa interfaccia per modificare le impostazioni del firewall di Windows disponibili in precedenza vieni Windows Vista, e gli appuntamenti per la creazione di un oggetto Criteri di gruppo, quale versioni precedenti Finestre. Se vuoi questi parametri, puoi usarli per i computer keruvannyam Windows Vista Windows Firewall in modalità di sicurezza avanzata oskolki non garantirà al grande gnuchkіst quella sicurezza. Rispetta coloro che hanno impostato un profilo di dominio e stanno dormendo per il modello amministrativo e i criteri di Windows Firewall Windows Firewall in modalità di sicurezza avanzata, puoi utilizzare i parametri qui, impostati nel profilo del dominio per apparecchiature aggiuntive Windows Firewall in modalità di sicurezza avanzata.

Politiche IPSec. Questa politica è stabilita per l'aiuto delle apparecchiature locali Gestione delle politiche IPSec o l'Editor oggetti Criteri di gruppo in Configurazione computer\Configurazione di Windows\Impostazioni di sicurezza\Criteri di sicurezza IP sul computer locale. Questo criterio definisce i parametri IPSec in modo che possano essere sostituiti da versioni precedenti di Windows e Windows Vista. Non zastosovuvat immediatamente sullo stesso computer la politica e le regole di sicurezza della connessione, indicate nella politica Windows Firewall in modalità di sicurezza avanzata.

Per rivedere tutti questi parametri per diverse apparecchiature, creare una console adeguatamente attrezzata e aggiungervi apparecchiature Windows Firewall in modalità di sicurezza avanzata, і Bezpeka IP.

Per piegare l'attrezzatura bagnata della console, attenersi alla seguente procedura:

premi il bottone Inizio, vai al menu Tutti i programmi, possibilità al menu Standard e scegli un articolo Vikonati.

Al campo di testo Vidkriti ACCEDERE.

Continua.

Sul menu Console Selezionare .

Aggiungi alla lista Accessori disponibili scegli l'attrezzatura Windows Firewall in modalità di sicurezza avanzata e premere il pulsante Aggiungere.

premi il bottone OK.

Ripetere i passaggi da 1 a 6 per aggiungere il sartiame gestione politica di gruppo і Monitor di sicurezza IP.

Per verificare quali politiche sono attive nel profilo attivo, controllare la seguente procedura:

Se vuoi riconsiderare come rimarranno bloccati i politici, segui questi passaggi:

A riga di comando inserisci mmc e premi un tasto ACCEDERE.

Non appena appare una finestra di dialogo per il controllo dei registri pubblici dei coristuvach, confermare la conferma del dialogo energizzato e premere il pulsante Continua.

Sul menu Console scegliere oggetto Aggiungi o rimuovi equipaggiamento.

Aggiungi alla lista Accessori disponibili scegli l'attrezzatura Gestione delle politiche di gruppo e premere il pulsante Aggiungere.

premi il bottone OK.

Apri il vuzol vicino all'albero (canta l'albero alla volpe, chissà Computer danese) e fare doppio clic su Split nell'area della console.

Seleziona il valore del ponticello Visualizza le impostazioni dei criteri per dal valore koristuvach in linea o un altro koristuvach. Non è necessario modificare le impostazioni dei criteri per i corystuvacs, ma piuttosto le impostazioni dei criteri per il computer, scegliere il valore del jumper Non visualizzare la politica del koristuvach (rivisitazione della politica del computer) e premere due volte il pulsante Dalì.

premi il bottone Pronto. Master dei risultati delle politiche di gruppo per creare un suono nella sfera della console. Zvіt schede di vendetta Zvedennia, Parametriі Politica secondaria.

Per verificare se non ci sono conflitti con le politiche di sicurezza IP, dopo aver effettuato la chiamata, selezionare la scheda Parametri e quindi accedere a Configurazione computer\Configurazione Windows\Impostazioni di sicurezza\Impostazioni IP di protezione dei servizi directory Directory attiva. Se il resto della distribuzione è stato effettuato durante il giorno, la politica di sicurezza IP non è impostata. In caso contrario, verrà visualizzato il nome della descrizione della politica, nonché l'oggetto della politica di gruppo, che non dovrebbe essere. Se modifichi il criterio di sicurezza IP per un'ora e il criterio di Windows Firewall in modalità di sicurezza avanzata con le regole di sicurezza, questi criteri potrebbero entrare in conflitto. Si consiglia di vincere almeno una di queste polizze. La soluzione migliore sarebbe utilizzare la politica di sicurezza IP insieme alle regole del firewall di Windows nella modalità di sicurezza avanzata per il traffico in entrata e in uscita. Se i parametri vengono regolati in tempi diversi e non sono a proprio agio con se stessi, possono incolpare il ripiegamento dei conflitti politici.

Può anche essere accusato di conflitti tra politici, assegnati a oggetti locali di criteri e scenari di gruppo, imposti da IT-viddil. Converti tutti i criteri di sicurezza IP utilizzando il programma aggiuntivo "IP Security Monitor" o inserisci il seguente comando nella riga di comando:

Per rivedere le impostazioni specificate nel modello amministrativo di Windows Firewall, controllare la sezione Configurazione computer\Modelli amministrativi\Merezh\Connection Merezhni\Windows Firewall.

Per rivedere il resto dei casi relativi alla policy di flusso, puoi andare alla scheda eventi politici alla stessa console.

Per esaminare il criterio del firewall di Windows in modalità di sicurezza avanzata, controlla l'hardware sul computer che viene diagnosticato e guarda le impostazioni nella distribuzione Attenzione.

Per rivedere i modelli amministrativi, verifica la disponibilità Politica di gruppo quello in filiale Risultati dei criteri di gruppo dai un'occhiata, quali sono i parametri che sono in calo nella policy di gruppo, che possono portare al recupero del traffico.

Per rivedere la politica di sicurezza IP, controllare l'attrezzatura del monitor di sicurezza IP. Scegli dall'albero computer locale. Nell'area della console, scegli la potenza Politica attiva, Modalità di base o Modalità svedese . Invertire l'aspetto delle politiche concorrenti, che possono portare al blocco del traffico.

Al dettaglio Attenzione attrezzatura Windows Firewall in modalità di sicurezza avanzataÈ possibile rivedere le regole delle politiche locali e di gruppo. Per otrimannya ulteriori informazioni torna alla distribuzione " Vykoristannya funktsії ї storezhennya sei equipaggiato Windows Firewall in modalità di sicurezza avanzata » quale documento.

Per configurare l'agente criteri IPSec, attenersi alla seguente procedura:

premi il bottone Inizio e scegli Pannello di controllo.

Fare clic sull'icona Sistema e servizio її e scegli Amministrazione.

Fare doppio clic sul pittogramma Servizi. Continua.

Trova un servizio nell'elenco Agente criteri IPSec

Che servizio agente IPSecè in esecuzione, cliccaci sopra con il tasto destro del mouse e seleziona la voce nel menu Zupiniti. Inoltre, puoi ottenere il servizio agente IPSec dalla riga di comando per l'aiuto della squadra

La politica di rete peer-to-peer può portare al ritiro del traffico

Per la connessione che vince IPSec, offendere il computer è responsabilità della madre della politica di sicurezza IP summ_sn_. Queste politiche possono essere responsabili di regole di sicurezza aggiuntive per la connessione del firewall di Windows, dotato di Sicurezza IP o un altro fornitore di sicurezza IP.

Per rivedere le impostazioni dei criteri di sicurezza IP in modo peer-to-peer, attenersi alla seguente procedura:

Attrezzatura Windows Firewall in modalità di sicurezza avanzata scegli Vuzol Attenzioneі Regole di sicurezza della connessione, per riconsiderare, che entrambi i nodi del merezhі hanno stabilito una politica di sicurezza IP.

Come uno dei computer in una rete peer-to-peer funziona sotto il precedente Versioni di Windows, in Windows Vista, passare all'accettazione di uno dei set di crittografia in modalità principale e uno dei set di crittografia in modalità swid e gli algoritmi di crittografia supportati da entrambi i nodi.

1. Clicca sulla sezione Modalità di base, selezionare l'ordine di ricontrollo nell'area di visualizzazione della console, quindi premere il messaggio potenza nella sfera della console. Guarda oltre il potere di connessione per entrambi i nodi, al fine di perekonatisya nella loro totalità.

   Ripetere Croc 2.1 per la distribuzione Modalità svedese. Guarda oltre il potere di connessione per entrambi i nodi, al fine di perekonatisya nella loro totalità.

Per vincere l'autenticazione Kerberos 5, controlla che l'università si trovi nello stesso dominio attendibile.

Di conseguenza, i certificati sono vittoriosi, invertiti, che vengono installati i guardiamarina. Per i certificati, che richiedono lo scambio di chiavi IPSec su Internet (Internet Key Exchange, IKE), è necessaria una firma digitale. Affinché i certificati vincano IP su Authentication Protocol (AuthIP), è necessaria l'autenticazione del client (deposito in base al tipo di autenticazione del server). Per ulteriori informazioni sui certificati AuthIP, torna all'articolo Autenticazione IP in Windows Vista AuthIP in Windows Vista sul sito Web di Microsoft.

Impossibile configurare Windows Firewall in modalità di sicurezza avanzata

L'impostazione del firewall di Windows in modalità di sicurezza avanzata non è disponibile (in grigio), in questi casi:

Computer di connessione al merezhі con gestione centralizzata e amministratore Merezhevy Criterio di gruppo vicorist per l'impostazione dei parametri del firewall di Windows in modalità di sicurezza avanzata. Nella giusta direzione nelle montagne dell'attrezzatura Windows Firewall in modalità di sicurezza avanzata Dovresti dire "I parametri Deyak sono soggetti a criteri di gruppo". L'amministratore imposterà il criterio per aiutarti a modificare le impostazioni del firewall di Windows.

Il computer con blocco di Windows Vista non si connette a una rete di blocco centralizzata, ma le impostazioni di Windows Firewall vengono applicate dai criteri di gruppo locali.

Per modificare le impostazioni del firewall di Windows in modalità di sicurezza avanzata per criteri di gruppo locali aggiuntivi, utilizzare lo snap-in Politica del computer locale. Per aprire l'apparecchiatura, inserisci secpol nella riga di comando. Non appena appare una finestra di dialogo per il controllo dei registri pubblici dei coristuvach, confermare la conferma del dialogo energizzato e premere il pulsante Continua. Passare a Configurazione computer\Configurazione di Windows\Impostazioni di sicurezza\Windows Firewall in modalità di sicurezza avanzata per configurare le impostazioni dei criteri di Windows Firewall in modalità di sicurezza avanzata.

Il computer non risponde alla richiesta di ripetizione della chiamata

Il modo principale per verificare le connessioni tra computer consiste nell'utilizzare l'utilità Ping per verificare la connessione all'indirizzo IP originale. All'ora della riverificazione, la chiamata viene sopraffatta da un'eco ICMP (anche, come richiesta di eco ICMP) e viene richiesta un'eco ICMP. A causa della promozione, Windows Firewall consentirà l'input dell'eco ICMP, quindi il computer non può inviare un'eco ICMP.

Consenti input eco ICMP per consentire ad altri computer di eseguire il ping del computer. D'altra parte, possiamo rompere il computer per attacchi come le lune ICMP. Tim non meno, si consiglia di consentire tempestivamente le notifiche di eco ICMP in momenti diversi, dopodiché attivarle.

Per consentire l'override di ICMP, creare nuove regole per il traffico in entrata per consentire i pacchetti di richiesta ICMPv4 e ICMPv6.

Per abilitare le richieste ICMPv4 e ICMPv6, attenersi alla seguente procedura:

L'albero è attrezzato Windows Firewall in modalità di sicurezza avanzata scegli Vuzol Regole per le connessioni in ingresso e fare clic sulla forza nuova regola nella sfera della console.

Impostazioni e premere il pulsante Dalì.

Immettere il valore del ponticello Tutti i programmi e premere il pulsante Dalì.

Alla lista che si apre tipo di protocollo scegli un valore ICMPv4.

premi il bottone Nalashtuvati per il paragrafo Opzioni ICMP.

Impostare il ponticello sul valore Pevni Tipi ICMP, nominare guardiamarina Vidlunnya-zazat, premi il bottone OK e premere il pulsante Dalì.

Nella fase di selezione degli indirizzi IP locali e remoti che corrispondono a questa regola, impostare i ponticelli sul valore Indirizzi IP be-yaka o Specificare l'indirizzo IP. Yakshcho Wee otterrà il valore Specificare l'indirizzo IP, inserire gli indirizzi IP richiesti, premere il pulsante Aggiungere e premere il pulsante Dalì.

Immettere il valore del ponticello Consenti connessione e premere il pulsante Dalì.

Nella fase di selezione dei profili, designa uno o più profili (profilo di dominio, profilo privato o pubblico), nel qual caso vuoi vincere la regola, quindi premi il pulsante Dalì.

Nel campo Sono io inserire le regole, e nel campo Descrizione- Descrizione di Neobov'yazkovy. premi il bottone Pronto.

Ripetere il passaggio del mouse per ICMPv6 selezionando il passaggio tipo di protocollo valore dell'elenco a discesa ICMPv6 vice ICMPv4.

Se disponi di regole di sicurezza attive, puoi attivare il protocollo ICMP in aggiunta alla risoluzione dei problemi. Per chi puoi vedere nell'attrezzatura Windows Firewall in modalità di sicurezza avanzata finestra di dialogo potenza, vai alla scheda Impostazioni IPSec e indicare nell'elenco cosa si sta rivelando, il valore Così per parametro Disabilita ICMP da IPSec.

Nota

Le impostazioni di Windows Firewall possono essere modificate solo da amministratori e operatori di rete.

Impossibile rimuovere l'accesso completo a file e stampanti.

Se non desideri accedere a file e stampanti su un computer con un firewall Windows attivo, modificalo in modo che tutte le regole di gruppo siano abilitate. Accesso a file e stampanti Windows Firewall in modalità di sicurezza avanzata scegli Vuzol Regole per le connessioni in ingresso Accesso a file e stampanti Abilita regola nella sfera della console.

Rispetto:

Si sconsiglia vivamente di abilitare l'accesso condiviso a file e stampanti su computer collegati a Internet senza intermediari, gli hacker possono provare a rimuovere l'accesso a file caldi E ti farò del male rovinando i tuoi file speciali.

Impossibile rimuovere l'amministrazione di Windows Firewall

Come se il computer dell'amministratore con un firewall Windows attivo non fosse lontano, controlla che tutte le regole siano state aggiunte al team di promozione di gruppo Protezione remota da Windows Firewall profilo attivo. Attrezzatura Windows Firewall in modalità di sicurezza avanzata scegli Vuzol Regole per le connessioni in ingresso e scorrere l'elenco delle regole in un gruppo Telecomando. Perekonaytes, scho governa uvіmkneni. Seleziona la skin delle regole e premi il pulsante Abilita regola nella sfera della console. Dodatkovo perekonaytes, scho uymkneno Servizio di agenti delle politiche IPSec. Questo servizio è richiesto per assistenza a distanza Firewall di Windows.

Per verificare che l'agente IPSec sia in esecuzione, vedere quanto segue:

premi il bottone Inizio e scegli Pannello di controllo.

Fare clic sull'icona Sistema e servizio її e scegli Amministrazione.

Fare doppio clic sul pittogramma Servizi.

Non appena viene visualizzata una finestra di dialogo nel controllo dei record cloud del coristuvach, inserisci i dati necessari del coristuvach con gli aggiornamenti più importanti e premi il pulsante Continua.

Trova un servizio nell'elenco Agente criteri IPSec che perekonaytes, scho ha vinto lo status di "pratica".

Che servizio agente IPSec zupineno, cliccaci sopra con il tasto destro del mouse e seleziona menù contestuale paragrafo correre. Inoltre puoi avviare il servizio agente IPSec dalla riga di comando per l'aiuto del comando net start policy agent.

Nota

Per il servizio di chiusura Agente criteri IPSec lanciato. Il servizio di Tsya è colpevole di pratsyuvati, perché non lo ha fatto a mano.

Risolvere i problemi di Windows Firewall Robot

In questo ramo sono descritte le tecniche utilizzate per superare i problemi tipici. Questa distribuzione è composta dai prossimi sviluppi:

Funzionalità di sicurezza alternative in "Windows Firewall con modalità di sicurezza avanzata"

Il primo passo per risolvere i problemi causati dal firewall di Windows è una revisione delle regole attuali. Funzione Attenzione consente di rivedere le regole basate su criteri locali e di gruppo. Per rivedere le regole attuali per il traffico in entrata e in uscita presso l'albero delle apparecchiature Windows Firewall in modalità di sicurezza avanzata scegli una sezione Attenzione, quindi scegli la distribuzione firewall. Puoi anche guardare la corrente regole di sicurezza della connessioneі impostazioni di sicurezza (modalità di base e svedese).

Inclusione di tale supporto all'audit di sicurezza per l'aiuto della linea di comando auditpol

Per il blocco i parametri e il controllo sono inattivi. Per configurarlo, utilizzare la riga di comando auditpol.exe per modificare l'impostazione del criterio di controllo nel computer locale. Auditpol può essere verificato per l'inclusione o l'inclusione di diverse categorie di sottocategorie e la loro revisione a distanza nelle apparecchiature Rivisitazione del Pod.

Per esaminare l'elenco delle categorie supportate dal programma auditpol, immettere dalla riga di comando:

• Per esaminare l'elenco delle sottocategorie che salgono alla categoria tsієї (ad esempio, nella categoria Modifica della politica), immettere dalla riga di comando:

  auditpol.exe /list /category:"Modifica criterio"

• Per modificare la categoria o la sottocategoria, immettere dalla riga di comando:

  /Sottocategoria:" Categorie di nomi"

Ad esempio, per impostare i criteri di controllo per una categoria e una sottocategoria, è necessario immettere il comando seguente:

auditpol.exe /set /category:"Modifica criteri" /sottocategoria:"Modifica criteri in base alle regole MPSSVC" /success:enable /failure:enable

Cambio di politica

Modifica delle politiche in base alle regole MPSSVC

Modifica della politica della piattaforma di filtraggio

Entrata Uscita

Modalità base IPsec

modalità IPsec svedese

Estensioni in modalità IPsec

Sistema

driver IPSec

Altri sub di sistema

Accesso agli oggetti

Controllo dei dati per il pacchetto da parte della piattaforma di filtraggio

Collegamento della piattaforma di filtraggio

Per modificare il criterio di controllo della sicurezza, è necessario reimpostare il computer locale o modificare il criterio manualmente. Per l'aggiornamento della politica primus, immettere dalla riga di comando:

secedit/refreshpolicy<название_политики>

Al termine della diagnostica, è possibile attivare il controllo dei pod sostituendo il parametro enable negli altri comandi con disable ed eseguendo nuovamente i comandi.

Rivisitazione di podіy, pov'yazanih z audit di sicurezza, sul diario

Dopo aver riconosciuto l'audit, rivendicare l'attrezzatura Pereglyad podіy per pereglyad podіy audit nella rivista podіy bezpeki.

Per aprire la finestra "Pereslyad Podіy" presso il papato "Administrevannya", leggi quanto segue:

1. premi il bottone Inizio.

   Scegli una sezione Pannello di controllo. Fare clic sull'icona Sistema e servizio її e scegli Amministrazione.

   Fare doppio clic sul pittogramma Rivisitazione del Pod.

Per aggiungere l'attrezzatura Pereglyad Podіy alla console MMC, attenersi alla seguente procedura:

premi il bottone Inizio, vai al menu Tutti i programmi, possibilità al menu Standard e scegli un articolo Vikonati.

Al campo di testo Vidkriti inserisci mmc e premi un tasto ACCEDERE.

Non appena appare una finestra di dialogo per il controllo dei registri pubblici dei coristuvach, confermare la conferma del dialogo energizzato e premere il pulsante Continua.

Sul menu Console scegliere oggetto Aggiungi o rimuovi equipaggiamento.

Aggiungi alla lista Accessori disponibili scegli l'attrezzatura Rivisitazione del Pod e premere il pulsante Aggiungere.

premi il bottone OK.

Prima di ciò, chiudi lo snap-in, salva la console per un canto a distanza.

Attrezzatura Rivisitazione del Pod apri la sezione Registri di Windows e scegli Vuzol Bezpeka. Nell'area di lavoro della console è possibile visualizzare la sottosezione dell'audit di sicurezza. I baffi sono visualizzati nella parte superiore dell'area di lavoro della console. Fare clic sul podio vicino alla parte superiore dell'area di lavoro della console per visualizzare le informazioni del report nella parte inferiore del pannello. In deposito Zagalniè stata pubblicata una descrizione del pod_y come testo sensato. In deposito Dettagli disponibile parametri offensivi vodobrazhennya podії: Capire l'apparenzaі Modalità XML.

Configurazione di un registro del firewall per un profilo

Per prima cosa puoi esaminare i registri del firewall, devi impostare il firewall di Windows in modalità di sicurezza avanzata per mantenere i file nel registro.

Per configurare un registro per un profilo di Windows Firewall in modalità di sicurezza avanzata, attenersi alla seguente procedura:

L'albero è attrezzato Windows Firewall in modalità di sicurezza avanzata scegli una sezione Windows Firewall in modalità di sicurezza avanzata e premere il pulsante potenza nella sfera della console.

Selezionare la scheda del profilo, per la quale è necessario configurare il journal (profilo di dominio, profilo privato o globale), quindi fare clic sul pulsante Nalashtuvati nella vendita al dettaglio Tenere un diario.

Immettere il nome dell'elenco nel file di registro.

Specificare la dimensione massima per il file di registro (digitare da 1 a 32.767 kilobyte)

Alla lista che si apre Registra i pacchetti persi inserisci il valore Così.

Alla lista che si apre Registra connessione riuscita inserisci il valore Così e quindi premere il pulsante OK.

Visualizza i file nel registro del firewall

Aprire il file, da te indicato prima dell'ora della procedura “Impostazione del log del firewall per il profilo”. Per accedere al registro del firewall, è necessario disporre dei diritti di amministratore locale.

Puoi cercare nel file di registro un software Blocco note aggiuntivo o qualsiasi editor di testo.

Analisi dei file nel registro del firewall

Le informazioni registrate con il giornale di registrazione sono mostrate nella tabella successiva. I dati effettivi sono indicati solo per i singoli protocolli (standard TCP, tipo e codice ICMP sono troppo brevi), mentre i dati effettivi sono indicati solo per i pacchetti in uscita (scadenza).

Nota

Viene scelto un trattino (-) nei campi del record di streaming, in modo da non vendicarsi dell'informazione originale.

Creazione di file di testo in netstat e tasklist

È possibile creare due file di registro in fase di configurazione, uno per la revisione delle statistiche di unione (un elenco di tutte le porte che possono essere ascoltate) e l'altro per la revisione degli elenchi delle attività di servizio e delle aggiunte. Elenco dei lavori da eliminare Codice di processo (identificatore di processo, PID) per i sottotipi, ad esempio per il conteggio dei file di statistiche. Di seguito è riportata la procedura per unire due file.

Per creare file di testo nelle statistiche delle metriche e aggiungere quanto segue all'elenco:

Alla riga di comando entrare netstat -ano > netstat.txt e premere il tasto ACCEDERE.

Alla riga di comando entrare tasklist > tasklist.txt e premere il tasto ACCEDERE. È inoltre necessario creare un file di testo con un elenco di servizi, entrare tasklist /svc > tasklist.txt.

Apri i file tasklist.txt e netstat.txt.

Trova il codice di processo dal file tasklist.txt, che diagnosticherai e abbinerai i valori che si trovano nel file netstat.txt. Annotare i protocolli che sono vittoriosi.

Un esempio di visualizzazione di file in Tasklist.txt e Netstat.txt

netstat.txt
Indirizzo Proto Locale Indirizzo Estero Stato PID
TCP 0.0.0.0:XXX 0.0.0.0:0 IN ASCOLTO 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 IN ASCOLTO 322
Elenco attività.txt
Nome immagine PID Nome sessione Session# Utilizzo mem
==================== ======== ================ =========== ============
svchost.exe 122 Servizi 0 7.172 K
XzzRpc.exe 322 Servizi 0 5.104 K

Nota

Gli indirizzi IP reali vengono modificati in X e il servizio RPC viene modificato in z.

Verifica che i servizi principali siano in esecuzione

Sono stati lanciati alcuni dei seguenti servizi:

Servizio di filtraggio di base

Cliente di criteri di gruppo

Moduli chiave IPsec per lo scambio di chiavi su Internet e protocollo IP per l'autenticazione

IP di servizio aggiuntivo

Servizio agente criteri IPSec

Servizio di condimento della meringa

Unione elenco servizi

firewall di Windows

Per controllare lo snap-in "Servizi" e verificare che i servizi necessari siano in esecuzione, vedere quanto segue:

premi il bottone Inizio e scegli Pannello di controllo.

Fare clic sull'icona Sistema e servizio її e scegli Amministrazione.

Fare doppio clic sul pittogramma Servizi.

Non appena viene visualizzata una finestra di dialogo nel controllo dei record cloud del coristuvach, inserisci i dati necessari del coristuvach con gli aggiornamenti più importanti e premi il pulsante Continua.

Perekonaytes, servizi scolastici, metti di più, corri. Se uno o più servizi non sono in esecuzione, fare clic con il pulsante destro del mouse sul nome del servizio nell'elenco e selezionare un comando correre.

Modo additivo per risolvere i problemi

Come nota rimanente È possibile riconfigurare Windows Firewall dietro la promozione. Dopo il rinnovo del blocco, tutti gli aggiornamenti verranno utilizzati dopo l'installazione di Windows Vista. Puoi portarlo al punto che alcuni programmi smetteranno di funzionare. Quindi, se controlli il computer, la connessione a quello nuovo verrà disconnessa.

Prima di modificare le impostazioni per il blocco, modificare il firewall in modo da salvare la configurazione corrente. Permettimi di rinnovare la tua personalizzazione a diverse esigenze.

Di seguito, si suggerisce di salvare la configurazione del firewall e ripristinare le impostazioni di blocco.

Per salvare la configurazione corrente del firewall, attenersi alla seguente procedura:

Attrezzatura Windows Firewall in modalità di sicurezza avanzata clicca sul messaggio Politica di esportazione nella sfera della console.

Per confermare l'installazione di un firewall dietro un lucchetto, attenersi alla seguente procedura:

Attrezzatura Windows Firewall in modalità di sicurezza avanzata clicca sul messaggio Rafforzare il significato dietro la serratura nella sfera della console.

Dopo aver abilitato Windows Firewall, premere il pulsante in modalità di sicurezza Così per il rinnovo del valore promozionale.

Visnovok

Metodi inutili per diagnosticare e risolvere i problemi causati dal firewall di Windows in modalità di sicurezza avanzata. Compreso:

Funzioni in primo piano Attenzione per rivedere il firewall, le regole di sicurezza sono collegate e la sicurezza è impostata.

Analisi degli audit di sicurezza relativi al firewall di Windows.

Creazione di file di testo elenco delle attivitàі netstat per analisi casuali

Schermo intermedio (firewall o firewall) Windows non risponde. Leggermente cambiato quando si passa da XP a Vista, Windows non affronta male le loro semplici attività, ma non ha l'ambizione di diventare il miglior firewall personale. Comunque, indipendentemente da quelli che il firewall di Windows 7, avendo tolto un po' di nuove possibilità, non ha ancora tolto la colpa che avevo preso da quello nuovo.

Uscire con un gruppo di casa

Pid ora Installazione di Windows 7 ammonire per creare un “gruppo casa”. Nel mondo, viene mostrato in un certo numero di altri computer con Windows 7 che sono anche incoraggiati a partecipare al gruppo. І tutto ciò che è necessario per questo: la password è all'altezza. Tuttavia, quando ho un computer con Windows 7, non sono preoccupato per il processo di ingresso nel gruppo di altri computer, anche se non voglio rendertene conto. Mentre qualsiasi computer che esegue Windows 7 può unirsi al gruppo home, i computer che eseguono Windows 7 Home Basic e Windows 7 Starter non possono.

I computer nello stesso gruppo home possono dividere (altrimenti sembrano "dividere") stampanti e librerie di file specifiche. Per le serrature, le biblioteche dei più piccoli, la musica, i video e i documenti sono condivisi, tuttavia, il coristuvach può accerchiarli alla corte di rinvio. La guida del sistema operativo fornisce una spiegazione su come abilitare un file o una cartella dalla cartella, o come renderli più accessibili per la lettura, o come accedervi.

Hai il tuo misura casalinga koristuvach può condividere i tuoi contenuti per altri computer e componenti aggiuntivi e navigare per computer non in Windows 7 e navigare non per computer familiari. Microsoft ha mostrato esempi su come condividere contenuti per Xbox 360. Tuttavia, l'azienda non offre la connessione alla Wii. Sfortunatamente, la società Wii non si è qualificata come outlet di streaming multimediale.

Otzhe, naskolki home merge in Windows 7 sicuro? Suona i coristuvachi, come se scoprissero che c'erano errori nell'apertura di file e cartelle, risolvendo tutto bene, incluso il filewall, l'antivirus, ecc. Alla stessa ora, se perdoniamo il rozsharuvannya, la connessione può essere il più lontano possibile e scomparire.

Proprio come Vista condivide privato (Pubblico) e privato (Privato), Windows 7 condivide privato (Casa) e Lavoro (Lavoro). Il gruppo home è disponibile solo quando si sceglie un gruppo home. Tuttavia, nel linea di lavoro il tuo computer può ancora connettersi ad altri allegati. Al suo posto nel pubblico dominio (ad esempio, senza un dardo in un Internet cafè), Windows 7 ti blocca l'accesso e ti porta ad altri allegati per la tua sicurezza. Tse è piccolo, ma la ricompensa è buona.

Firewall a doppia modalità

In Vista e XP, la protezione del firewall è stata rinnovata semplice inclusione quel vimknennya. Stesso Ora di Windows 7 proponuє coristuvachevі vіznі vіznі configіgurаії nalashtuvan' per privato (casa e robіtnikіv) e pubblico merezh. In caso di tsimu koristuvachevі non è necessario entrare nel firewall, per migliorare, diciamo, al bar locale. È possibile selezionare una misura pubblica e il firewall stesso arresterà l'intero set di parametri intermedi. Nayimovіrnіshe, koristuvachі stabilisce una misura pubblica per bloccare tutti gli ingressi. A Vista era impossibile crescere senza interrompere tutto il traffico in entrata sulla linea elettrica del coristuvach.

Deyakі koristuvachі non razumіyut, navіscho ha bisogno di un firewall. Come funziona l'UAC, perché non un firewall o un overworld? In effetti, i programmi possono avere numeri assolutamente diversi. UAC per seguire i programmi e i loro robot nel mezzo sistemi locali. Firewall è rispettosamente sorpreso dai dati di input e output. Se riveli due programmi, come due eroi, per stare schiena contro schiena e sconfiggere gli attacchi di zombi, allora, possiamo dire, non avrai pietà.

Il primo momento mi ha catturato nuova possibilità“Avvisami se Windows Firewall si sta bloccando nuovo programma". Non è un segno che Windows Firewall ha tolto il controllo sui programmi ed è diventato un vero firewall a due vie? Mi è stato dato il bazhannya per aumentare le mie capacità. І come risultato di Windows Firewall senza prendere più soldi, abbassare le fauci.

Sono passati dieci anni da quando ZoneLabs ha reso popolare il firewall personale a due vie. Il programma ZoneAlarm ha dirottato tutte le porte del computer (incluso Windows Firewall) e ha anche consentito ai programmi di accedere a Internet (cosa che Windows Firewall non ha fatto). Non mi interessa il monitoraggio intelligente del comportamento dei programmi, come, ad esempio, Norton sicurezza in internet 2010 e in altri pacchetti. Ma sono sicuro che prima del rilascio di Windows 8, Microsoft consente ancora al suo firewall di configurare le funzionalità decimali di ZoneAlarm.

Microsoft sa miracolosamente che firewall e pacchetti di sicurezza di terze parti e basta attivare Windows Firewall sono installati in un pessimo modo. In passato, molti programmi di sicurezza di terze parti attivavano automaticamente Windows Firewall per eliminare i conflitti. Con Windows 7, Microsoft lo ha fatto da solo. Quando viene installato un firewall, il sistema operativo attiva il proprio firewall e richiede che "il firewall è configurato per essere controllato da un tale programma in tale finestra".

Chi sarà vikoristovuvat chi ni, Windows Firewall presente nella skin di Windows 7, volodiyuchi con questa integrazione a terra z sistema operativo. Quindi, perché non essere migliori, come possono i programmi di sicurezza di terze parti essere in grado di battere il filewall di Windows per i propri scopi? Questa idea è alla base dell'interfaccia di programmazione, chiamiamola piattaforma di filtraggio di Windows - Piattaforma di filtraggio di Windows. Ale chi koristuvatimutsya il suo rozrobnikov? Sulla parte successiva.

Sicurezza di Windows 7: Piattaforma di filtraggio di Windows - Piattaforma di filtraggio di Windows

I firewall sono colpevoli di lavorare su Windows 7 a un livello basso per odiare assolutamente il software Microsoft. Le tecnologie Microsoft, come PatchGuard, presenti nelle versioni a 64 bit di Windows 7 (Windows 7 a 64 bit potrebbe avere un margine di sicurezza basso rispetto a Windows 7 a 32 bit), bloccano gli intrusi e proteggono anche il kernel dall'accesso al nuovo . Microsoft non fornisce lo stesso livello di sicurezza del software di terze parti. Cos'è il lavoro?

La soluzione al problema è la piattaforma di filtraggio Windows (WFP). Il resto, nelle parole di Microsoft, ti consente di creare firewall di terze parti sulle funzionalità chiave di Windows Firewall: ti consente di aggiungere funzionalità che possono essere configurate e, facoltativamente, abilitare e disabilitare parti di Windows Firewall. Di conseguenza, puoi scegliere il tuo firewall, che è simile a Windows Firewall.

Ale, quanto vale per i rivenditori di programmi di sicurezza? Chi diventa puzzolente e accelera? Ho bevuto un piccolo numero di persone e portato via molte opinioni.

BitDefender LLC

Il responsabile della distribuzione del prodotto Julian Costache ha affermato che l'azienda sta ora vincendo la piattaforma Windows 7. Pardon è noto nel team Microsoft, cosa che ha confermato il più grande colosso del software. Tim non è da meno, Julian non sa se vincerà. Finora, il fetore ha sostituito il nuovo driver WFP con il vecchio TDI.

Check Point Software Technologies Ltd

Mirka Janus, Community Communications Manager di Check Point Software Technologies Ltd, ha affermato che la società ha iniziato ad affrontare il WFP con Vista. Puzza anche di vicoristing della piattaforma e di Windows 7. È una buona interfaccia che la supporta, ma che si tratti di un programma sciatto o di un driver pazzo può non essere sicuro per un prodotto di sicurezza che si basa su qualcosa di nuovo. ZoneAlarm si forma sempre a spirale in due sfere: le sfere dei bordi dello stesso livello di batch. A partire da Vista, Microsoft ha diffuso il WFP come metodo per filtrare i problemi di rete supportati. A partire da Windows 7 SP1, Microsoft deve introdurre il filtro dei pacchetti WFP.

“Alzare l'API significa migliorare la stabilità e ridurre i BSOD. È possibile registrare molti driver e il distributore di skin dei driver non deve preoccuparsi della somma degli altri. Come se ci fosse un driver, diciamo, bloccando, un'altra registrazione non potrebbe essere scavalcata bloccando. D'altra parte, il folle driver può diventare un problema se lo registri in altri posti. Non ci affidiamo al WFP per la sicurezza delle recinzioni".

F-Secure Corporation

Il reporter senior di F-Secure Corporation Mikko Hypponen ha affermato che per qualche motivo il WFP non è diventato popolare tra i rivenditori di software di sicurezza. Un tempo questa compagnia doveva finire il vicorystal a lungo termine del WFP, e io ne fui molto felice.

McAfee Inc.

Da parte sua, l'architetto McAfee Ahmed Sallam ha affermato che il WFP è un'interfaccia di filtraggio mesh più sottile e flessibile, un'interfaccia frontale inferiore basata su NDIS. McAfee promuove attivamente il WFP nei suoi prodotti di sicurezza.

Allo stesso tempo, indipendentemente da quelle che il WFP potrebbe avere capacità positive, i progressi della piattaforma possono accelerare e diventare cyber-maligni. La piattaforma può consentire l'aggiunta di programmi criptati allo stack edge del kernel di Windows. Tom 64 bit Driver di Windows il nucleo uguale della madre colpevole firme digitali, per rubare il nucleo dall'inizio del nuovo programmi shkidlivih. Tuttavia, le firme digitali non sono vincolanti per le versioni a 32 bit.

Quindi, in teoria, le firme digitali possono essere utilizzate con un meccanismo ragionevole, ma in realtà gli autori dei programmi shkіdlivih possono ancora inventarne di propri.

sicurezza del panda

Il portavoce di Panda Security, Pedro Bustamante, ha affermato che la società sta perseguendo la piattaforma del WFP, ma non sta vincendo. Le principali carenze del WFP, l'azienda rispetta, in primo luogo, la capacità di creare tecnologia, in quanto combina diverse tecnologie per massimizzare la copertura. La tecnologia è marna, poiché l'azienda non può meravigliarsi dei pacchetti di ingresso e uscita dell'auto. Inoltre, può essere un sensore per altre tecnologie. Non ci sono opportunità per il WFP. In un altro modo, WFP è supportato solo da Vista e dai sistemi operativi più recenti. La piattaforma non ha una totalità viziosa. E, in terzo luogo, il WFP deve essere completato con una nuova piattaforma e l'azienda è incoraggiata a fare affidamento su tecnologie più vecchie e riviste.

Symantec Corp.

Il direttore della gestione avanzata dei prodotti di Symantec, Dan Nadir, ha affermato che il WFP deve ancora vincere nei propri prodotti a causa della sua novità. Prote zgoda l'azienda prevede di migrare її y, tk. vecchie interfacce, su cui sputa subito la puzza, non possono dare tutte le funzionalità necessarie. Il WFP è rispettato come piattaforma, perché Il denaro è stato appositamente progettato per garantire l'integrità funzionale dei programmi software di terze parti. In linea di principio, in futuri problemi di coerenza, la piattaforma potrebbe avere meno. Il WFP è anche ben integrato con Microsoft Network Diagnostic Framework. Tse è più spaventoso, tk. Ricerca notevolmente più semplice di programmi specifici che sono in prima linea nel traffico. Io, nareshti, WFP può essere portato ad una riduzione della produttività e della stabilità del sistema operativo, tk. emulazione unica della piattaforma e problemi causati da conflitti o stabilità del driver.

D'altra parte, secondo Nadir, il WFP può creare gli stessi problemi che esistono in qualsiasi struttura: i rivenditori che si avvicinano al WFP non possono chiudere la stupidità nel mezzo del WFP stesso, così come non possono espandere le possibilità specifiche che promuovono il WFP. Proprio come molti programmi spiano il WFP, i creatori di piccoli programmi possono teoricamente tentare di attaccare lo stesso WFP.

Trend Micro Inc.

Direttore in servizio di Trend Micro Inc. Dale Liao, premesso che il maggior vantaggio della piattaforma è l'ingegnosità del sistema operativo. Inoltre, il firewall standard è diventato immediatamente marrone. Pertanto, ora il fetore può concentrarsi sull'abilità significativa del koristuvach. È brutto al WFP, quelli che, quando in piattaforma viene mostrata la grazia dell'azienda, vengono portati ai controlli e corretti da Microsoft.

PAM: Visnovok

Di conseguenza, la maggior parte della mia conoscenza degli sviluppatori di software di sicurezza si basa già sul WFP. Verità, deyaki in parallelo con altre tecnologie. È richiesta coerenza funzionale, documentazione e piattaforma ufficiale e viene trasferita anche la stabilità del robot. Dall'altro lato negativo, poiché tutti i rivenditori aspirano al WFP, la piattaforma può potenzialmente diventare un punto di contesa per tutti. І per risolvere il problema, contattare Microsoft. Inoltre, la piattaforma continua a non supportare il filtraggio di pacchetti uguali.

Le grandi carenze del WFP sono anche quelle che non si trovano in Windows XP. Che i rivenditori, che vogliono promuovere XP, dovranno guidare due progetti paralleli. Nel frattempo, dal momento che XP è sul mercato, penso che il WFP diventerà più popolare tra i rivenditori.

A partire da Server 2008 e Vista in Windows, viene introdotto il meccanismo WFP,
rappresenta un insieme di API e servizi di sistema. Per l'aiuto di uno nuovo, è diventato possibile
zaboronyati che consentono pacchetti z'єdnannya, keruvati okremim. qi
le innovazioni sono state riconosciute per semplificare la vita dei rivenditori
zachistiv. Introdotte nell'architettura mesh, le modifiche sono state apportate come in modalità kernel, quindi
quella parte del sistema in modalità utente. Per la prima volta vengono esportate le funzioni necessarie
fwpkclnt.sys, un altro - fwpuclnt.dll (lettere "k" e "u" nei nomi delle librerie
significa che il kernel e l'utente sono diversi). In questi articoli, ci viene detto della stagnazione
WFP per il crossover e il filtraggio del traffico e dopo aver conosciuto il principale
Scriveremo il nostro semplice filtro con l'aiuto delle capacità del WFP.

Comprensione di base

Prima di iniziare a scrivere codice, dobbiamo acquisire familiarità con la terminologia
Microsoft - e per la comprensione delle statistiche, sarà banale e letteratura aggiuntiva
sarà più facile da leggere :). Quindi andiamo.

Classificazione- Il processo per determinare cosa deve essere fatto con il pacchetto.
Tre possibili azioni: consentire, bloccare o callout callout.

Callout- tse insieme di funzioni per il conducente, come condurre un'ispezione
Pacchetti. puzza funzione speciale, che categorizzazione vikonu dei pacchetti Qia
la funzione può assumere la seguente soluzione:

• consentire(FWP_ACTION_PERMIT);
• blocco(FWP_ACTION_BLOCK);
• continuare l'elaborazione;
• richiedere più dati;
• interrompere la giornata.

Filtri- le regole che indicano, in qualche modo, che chiamano
il prossimo richiamo. Un driver può chiamare e
rozrobkoyu driver s callout'om mi e occupato da tsіy statti. Prima del discorso, kolauti
є th ubudovani, ad esempio, NAT-callout.

strato- segno tse, per il quale sono uniti diversi filtri (altrimenti,
come dice MSDN, "contenitore").

Apparentemente vero, la documentazione di Microsoft, finora sembra una calamità
non guardare il calcio WDK. A questo, come raptom, pensi a rozroblyat
sul serio, devi familiarizzare con loro. Bene, ora è tutto liscio
Passiamo alla pratica. Per una compilazione e un test di successo è necessario WDK (Windows
Driver Kit), VmWare, macchina virtuale da Windows installato e dal driver WinDbg.
Per quanto riguarda il WDK, ho una versione appositamente installata 7600.16385.0 - c'è tutto
nebhіdnі lіbi
fwpkclnt.lib e ntoskrnl.lib) e applicare il wiki del WFP. Costretto per tutto
gli strumenti sono già stati puntati più di una volta, quindi non lo ripeteremo.

Codifica

Per inizializzare il callout, ho scritto la funzione BlInitialize. Algoritmo caldo
creando un callout e aggiungendo un filtro come questo:

1. FWPENGINEOPEN0 zdіysnyuє vіdkrittya sessione;
2. FWMPTRANSACTIONBEGIN0- L'inizio dell'operazione con il WFP;
3. FWPSCALLOUTREGISTRO0- Creazione di un nuovo callout;
4. FWPMCALLOUTADD0- aggiunta di un oggetto callout al sistema;
5. FWPMFILTERADD0- Aggiunta di un nuovo/i filtro/i;
6. FWMPTRANSACTIONCOMMIT0- Salvataggio modifica (dodanih
   filtri).

Attenzione che le funzioni terminano con 0. Windows 7 non funziona.
le funzioni sono state modificate, ad esempio è apparso FwpsCalloutRegister1 (quando
salvando FwpsCalloutRegister0). Puzzano di argomenti e, come un'eredità,
prototipi di funzioni di classificazione, ma per noi non importa subito: 0-funzioni
Universale.

FwpmEngineOpen0 e FwpmTransactionBegin0 non sono come noi
fase di preparazione. Naytsіkavіshe inizia dalla funzione
FwpsCalloutRegister0:

FwpsCalloutRegister0 Prototipo

NTSTATUS NTAPI FwpsCalloutRegister0
__inout void *deviceObject,
__in const FWPS_CALLOUT0 *callout,
__out_opt UINT32 *calloutId
);

Ho già detto che il callout è un insieme di funzioni, ora è giunto il momento
raccontare il rapporto. Struttura FWPS_CALLOUT0
funzioni: classifica (classifyFn) e due notifiche (circa
aggiunta/eliminazione di un filtro (notifyFn) e chiusura di un flusso verificato (flowDeleteFn)).
Le prime due funzioni sono obov'azkovymi, il resto è necessario solo per il colpo di fortuna, come
Vuoi monitorare i pacchetti stessi e non solo l'ordine. Quindi la struttura
viene passato un identificatore univoco, callout GUID (calloutKey).

Codice di registrazione

FWPS_CALLOUT sCallout = (0);
sCallout.calloutKey = *calloutKey;
sCallout.classifyFn=BlClassify;
// funzione di classificazione
sCallout.notifyFn=(FWPS_CALLOUT_NOTIFY_FN0)BlNotify;
// funzione che ti dice di aggiungere/rimuovere il filtro
// crea un nuovo callout
stato = FwpsCalloutRegister(deviceObject, &sCallout, calloutId);

WINAPI DWORD FwpmCalloutAdd0(
__in HANDLE engineHandle,
__in const FWPM_CALLOUT0 *callout,
__in_opt PSECURITY_DESCRIPTOR sd,
__out_opt UINT32 *id
);
typedef struttura FWPM_CALLOUT0_(
calloutKey GUID;
FWPM_DISPLAY_DATA0 displayData; // descrizione del richiamo
flag UINT32;
GUID *providerKey;
FWP_BYTE_BLOB providerDati;
GUID del livello applicabile;
UINT32 calloutId;
) FWPM_CALLOUT0;

Nella struttura FWPM_CALLOUT0, abbiamo bisogno del campo applicabileLayer - unico
identificatore uguale, dato dal callout. La nostra mente è
FWPM_LAYER_ALE_AUTH_CONNECT_V4. "v4" al nome dell'identificatore indica la versione
Protocollo IPv4, anche FWPM_LAYER_ALE_AUTH_CONNECT_V6 per IPv6. vrakhovuyuchi
piccola ampiezza IPv6 attiva momento presente, pratsyuvati mi sarà solo s
IPv4. CONNECT nel nome significa che non abbiamo alcun controllo sull'installazione
z'ednannya, sull'ingresso e l'uscita a questo indirizzo, non ci sono pacchetti! Vzagali
rіvnіv, crіm vikoristannogo us, rich - il fetore della voce nel file di intestazione
fwpmk.h da WDK.

Aggiunta di un oggetto callout al sistema

// nome del richiamo
displayData.name = L"Richiamo del blocco";
displayData.description = L"Richiamo del blocco";
mCallout.calloutKey = *calloutKey;
mCallout.displayData = displayData;
// descrizione del richiamo
//FWPM_LAYER_ALE_AUTH_CONNECT_V4
mCallout.applicableLayer = *layerKey;
stato = FwpmCalloutAdd(gEngineHandle, &mCallout, NULL, NULL);

Da allora, in seguito, come richiamo degli invii riusciti al sistema, è necessario creare
filter, quindi per favore indica che in alcuni casi verrà chiamato il nostro callout, e
- Funzione di classificazione Yogo. Il nuovo filtro viene creato dalla funzione FwpmFilterAdd0,
La struttura FWPM_FILTER0 viene passata come argomento.

FWPM_FILTER0 ha una o più strutture FWPM_FILTER_CONDITION0 (sei
Il numero è assegnato dal campo numFilterConditions). Il campo LayerKey è riempito con un GUID
uguale (strato), che vogliamo venire. In questo contesto è possibile
FWPM_LAYER_ALE_AUTH_CONNECT_V4.

Diamo un'occhiata a FWPM_FILTER_CONDITION0. Primo
il campo fieldKey deve essere esplicitamente specificato cosa vogliamo controllare: porta, indirizzi,
il programma per ora In questo wippad WPM_CONDITION_IP_REMOTE_ADDRESS
dire al sistema come leggere gli indirizzi IP. Il valore del campo Chiave è impostato,
Che tipo di valore avrà la struttura FWP_CONDITION_VALUE, che entrerà prima
FWPM_FILTER_CONDITION0. In questo caso, gli indirizzi ipv4 vengono spostati al suo interno. Yidemo
lontano. Il campo matchType è impostato sull'ordine in cui si terrà la partita
Il valore di FWP_CONDITION_VALUE è lo stesso di quello che è successo attraverso la misura. Ci sono molte opzioni qui:
puoi specificare FWP_MATCH_EQUAL, che significa la stessa corrispondenza mentale, e
possibile - FWP_MATCH_NOT_EQUAL, quindi in effetti possiamo aggiungere tale
dall'ordine di disattivazione del filtraggio (gli indirizzi non sono noti).
Altre opzioni FWP_MATCH_GREATER, FWP_MATCH_LESS e altre (div. enum
FWP_MATCH_TYPE). In questo caso, possiamo FWP_MATCH_EQUAL.

Non ho scherzato molto e ho appena scritto la mia mente bloccando
un indirizzo IP selezionato. Wow, se provi il programma
inserire l'ordine con l'indirizzo prescelto, verrà richiamato in classifica
funzione del nostro callout. Codice, quello che viene detto, puoi meravigliarti
vrіztsі "Aggiunta del filtro al sistema".

Aggiunta di un filtro al sistema

filter.flags=FWPM_FILTER_FLAG_NONE;
filter.layerKey = *layerKey;
filter.displayData.name = L"Richiamo del blocco";
filter.displayData.description = L"Richiamo del blocco";
filter.action.type = FWP_ACTION_CALLOUT_UNKNOWN;
filter.action.calloutKey = *calloutKey;
filter.filterCondition = filterCondition;
// un filtro intelligente
filter.numFilterConditions = 1;
//filter.subLayerKey = FWPM_SUBLAYER_UNIVERSALE;
filter.weight.type=FWP_EMPTY; // peso automatico.
// aggiunge un filtro all'indirizzo specificato
filterConditions.fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS;
filterConditions.matchType = FWP_MATCH_EQUAL;
filterConditions.conditionValue.type = FWP_UINT32;
filterConditions.conditionValue.uint32 = ntohl(BLOCKED_IP_ADDRESS);
// Aggiungi un filtro
stato = FwpmFilterAdd(gEngineHandle, &filtro, NULL, NULL);

Vzagali, zvichayno, le menti filtranti possono essere ricche. Ad esempio, puoi
Specificare il blocco della connessione con l'ultima porta remota o locale (FWPM_CONDITION_IP_REMOTE_PORT
e FWPM_CONDITION_IP_LOCAL_PORT è valido). Puoi modificare tutti i pacchetti
protocollo del brano o programma del brano. E non è tutto! È possibile, è possibile
per esempio, bloccare il traffico di un koristuvach che canta. Zagalom, є de
vagare.

Vtim, passiamo al filtro. La funzione classica della nostra mente è semplice
bloccando la connessione dall'indirizzo assegnato (BLOCKED_IP_ADDRESS), girando
FWP_ACTION_BLOCK:

Il nostro codice funzione di classificazione

void BlClassify(
const FWPS_INCOMING_VALUES* inFixedValues,
const FWPS_INCOMING_METADATA_VALUES* inMetaValues,
Pacchetto VOID*, filtro IN const FWPS_FILTER*,
UINT64 flowContext,FWPS_CLASSIFY_OUT* classifyOut)
{
// scrivi la struttura FWPS_CLASSIFY_OUT0
if(classifyOut)( // blocca il pacchetto
classifyOut->actionType =
FWP_AZIONE_BLOCCO;
// Quando si blocca un pacchetto, è necessario
disattivato FWPS_RIGHT_ACTION_WRITE
classificaOut->diritti&=~FWPS_RIGHT_ACTION_WRITE;
}
}

In pratica la funzione di classificazione può anche impostare FWP_ACTION_PERMIT,
FWP_ACTION_CONTINUE e int.

Devo rimuovere tutto installato
callout (indovina cosa accadrà se il sistema tenta di callout
conducente vivace? Esatto, BSOD). Per chi è la funzione
FwpsCalloutUnregisterById. Il modo in cui il parametro viene passato è a 32 bit
identificatore di callout, ruotato dalla funzione FwpsCalloutRegister.

Completamento del lavoro di callout

NTSTATUS BlUninitialize()(
STATO NT ns;
if(gEngineHandle)(
FwpmEngineClose(gEngineHandle);

}
if(gBlCalloutIdV4)(
ns =FwpsCalloutUnregisterById(gBlCalloutIdV4);
}
ritorno ns;
}

Yak bachish, programmare il filtro WFP non è così facile, frammenti
MS ci ha fornito un'API difficile. Prima del discorso, siamo stati riportati alla nostra mente
filtro driver, ma puoi anche lavorare con la modalità utente! Ad esempio, campione da wdk
msnmntr (monitor del traffico di MSN Messenger)
cambia la parte del filtro in modalità kernel.

Proprio GUID

Per registrare un callout, è necessario un identificatore univoco. In modo da
controlla il tuo GUID (Globally Unique Identifier), usa guidgen.exe per entrare
in Visual Studio. Individua gli strumenti in (VS_Path) Common7 Tools. Imovirnіst kolіzії
troppo piccoli, gli oscillatori GUID diventano 128 bit e il totale disponibile è 2^128
identificatori.

Regolazione del filtro

Per migliorare la legna da ardere, vicorate manualmente in Windbg + VmWare. Per chi è necessario
si risolve come un sistema guest (sembra che Vista sia in esecuzione), quindi l'host
vento. Se WinXP aveva bisogno di modificare boot.ini per molto tempo, allora
per Vista+ utilità della console bcdedit. Di norma, è necessario attivare la ricompensa:

BCDedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 BCDedit /debug
ON (o BCDedit/imposta il debug su ON)

Ora è tutto pronto! Esegui il file batch con il testo seguente:

avvia windbg -b -k com:pipe,port=\\.\pipe\com_1,resets=0

e bachimo nalagodzhuvalny vysnovok a vіknі windbg (div. piccoli).

Visnovok

Yak bachish, la portata della raccolta del WFP è ampia. Tobi virishuvati, yak
zastosuvat tі conoscenza - per il male chi per il bene 🙂