Фільтрація вхідного і вихідного трафіку в брандмауері Windows в режимі підвищеної безпеки, Windows, Операційні системи, статті

Введення


Як я вже не раз говорив у своїх статтях з брандмауеру Windows в режимі підвищеної безпеки, починаючи з операційних систем Windows Vista і Windows Server 2008 R2, Брандмауер Windows за замовчуванням покращує безпеку кожного комп’ютера в організації шляхом блокування всього вхідного трафіку, який не був дозволений явним чином. При установці програми або компонента операційної системи, якому потрібні вхідні підключення, операційна система автоматично включає входять правила брандмауера і вам, в більшості випадків, не доводиться їх конфігурувати вручну. Якщо ви відкриєте у себе оснастку “Брандмауер Windows в режимі підвищеної безпеки” безпосередньо з панелі управління або виконавши команду wf.msc в діалоговому вікні “Виконати”, Або в командному рядку, то побачите, що у вас вже деякі правила автоматично включені. Наприклад, це може бути правило, яке автоматично створюється з установкою програми Windows Live Messenger або при розгортанні ролі Hyper-V, як показано на наступній ілюстрації:

Збільшити малюнок

Рис. 1. Автоматично воздаваемая правила вхідних підключень


Але не у всіх випадках правила вхідних підключень брандмауера Windows створюються автоматично. Для деяких програм, не створюють правила вхідних підключень за замовчуванням, вам доведеться створювати правила вручну. Якщо така програма встановлена ​​на одному комп’ютері або на кількох комп’ютерах, які розташовані в робочій групі, ви можете створювати правила безпосередньо в оснащенні “Брандмауер Windows в режимі підвищеної безпеки”. Але що робити, якщо комп’ютери ваших співробітників є членами домену та таких комп’ютерів десятки, а то й сотні? У такому випадку, для застосування адміністратором правил брандмауера Windows в організації слід скористатися груповою політикою, яка надає аналогічний інтерфейс.


У цій статті ви дізнаєтеся про те, як можна виконувати гнучке управління брандмауером Windows в режимі підвищеної безпеки засобами групових політик, а саме про створення вхідних і вихідних підключень для певної групи користувачів.



Створення об’єкта групової політики для управління брандмауерами Windows в режимі підвищеної безпеки


Перш ніж створювати правила вхідних і вихідних підключень для брандмауерів Windows в режимі безпеки клієнтських комп’ютерів вашої організації, вам потрібно знайти підрозділи, які містять облікові записи комп’ютерів вашої організації і створити об’єкт GPO, який потім буде містити набір політик з параметрами, призначеними для конкретного набору комп’ютерів. Після цього, за допомогою оснастки “Редактор управління груповими політиками”, Потрібно буде отконфигурировать правила для вхідних і вихідних підключень. У процесі створення об’єкта групової політики, призначеної для управління брандмауерів Windows в режимі підвищеної безпеки немає нічого специфічного. Для цього виконайте наступні дії:



  1. Насамперед переконайтеся, що у вашому домені для клієнтських комп’ютерів створено спеціальний підрозділ. Я вважаю, що ні для кого не є секретом те, що за замовчуванням всі клієнтські комп’ютери створюються в контейнері (не підрозділі) Computers, до якого неможливо прив’язати об’єкт групової політики. Тому, відкрийте оснащення “Active Directory – користувачі та комп’ютери”, В дереві консолі розгорніть свій домен і переконайтеся, що для клієнтських комп’ютерів створено підрозділ;

  2. Якщо такий підрозділ раніше не було вами створено, в області відомостей натисніть правою кнопкою миші і з контекстного меню виберіть команду “Створити”, А потім “Підрозділ”. У діалоговому вікні “Новий об’єкт – Підрозділ” вкажіть ім’я підрозділи, наприклад, “Клієнти”, І встановіть прапорець “Захистити контейнер від випадкового видалення”;

  3. Перейдіть в контейнер “Computers”, Виділіть створені раніше облікові записи комп’ютерів, натисніть на них правою кнопкою миші і з контекстного меню виберіть команду “Перемістити”. У діалоговому вікні “Перемістити”, Виберіть підрозділ, який ви створили на попередньому кроці і натисніть на кнопку “ОК”. Дане діалогове вікно показано на наступній ілюстрації:

  4. Рис. 2. Діалогове вікно “Перемістити”


  5. Після того як ви перенесете всі створені раніше облікові записи комп’ютерів у створене вами підрозділ, вміст даного підрозділу має виглядати так, як показано на наступній ілюстрації:

  6. Рис. 3. Вміст підрозділу “Клієнти”


    Тепер, коли всі облікові записи перенесені в потрібний підрозділ, можна закрити оснастку “Active Directory – користувачі та комп’ютери” і переходити до створення об’єкта групової політики.


  7. Даний крок виконувати необов’язково, але якщо ви відразу перенаправляти контейнер комп’ютерів за замовчуванням, всі нові об’єкти комп’ютерів, що генеруються в разі приєднання комп’ютера до домену без попереднього розміщення облікового запису, будуть створюватися в керованому підрозділі. Для цього у вікні командного рядка введіть наступну команду: redircmp “OU = Клієнти, DC = Biopharmaceutic, DC = com” ;

  8. Відкрийте оснастку “Управління груповою політикою”, В дереві консолі розгорніть вузол “Ліс:% ім’я лісу%”, Вузол “Домени”, Потім вузол з назвою вашого домену, після чого вузол “Об’єкти групової політики”. На сайті “Об’єкти групової політики” натисніть правою кнопкою і виберіть команду “Створити”. У діалоговому вікні “Новий об’єкт групової політики”, В поле “Ім’я” введіть ім’я нового об’єкта групової політики, наприклад “Налаштування брандмауера Windows” і натисніть на кнопку “ОК”. Для клієнтських комп’ютерів і для серверів бажано створювати різні об’єкти групової політики;

  9. Так як брандмауер Windows в режимі підвищеної безпеки налаштовується безпосередньо у вузлі “Конфігурація комп’ютера”, Для підвищення продуктивності комп’ютера клієнта під час застосування параметрів об’єкта групової політики бажано для даного об’єкта GPO відключити параметри конфігурації користувача. Виберіть створений об’єкт групової політики, перейдіть на вкладку “Таблиця” і в списку “Стан GPO” виберіть “Параметри конфігурації користувача відключені”, Після чого під сплив діалоговому вікні “Управління груповою політикою” натисніть на кнопку “ОК”, Як показано на наступній ілюстрації:

  10. Рис. 4. Відключення параметрів конфігурації користувача


  11. На останньому кроці попередньої підготовки об’єкта групової політики вам потрібно зв’язати створений раніше об’єкт групової політики з підрозділом, що містить облікові записи комп’ютерів, для яких повинні застосовуватися параметри даного GPO. У дереві консолі виберіть підрозділ, що містить облікові записи комп’ютерів, натисніть на ньому правою кнопкою миші і з контекстного меню виберіть команду “Зв’язати існуючий об’єкт групової політики”. У відобразиться діалогове вікні “Вибір об’єкта групової політики” виберіть створений раніше об’єкт GPO, в даному випадку, “Налаштування брандмауера Windows” і натисніть на кнопку “ОК”.

  12. Рис. 5. Зв’язування об’єкта GPO з підрозділом комп’ютерів


Після того як ви виконаєте всі зазначені раніше дії, можна зайнятися створенням вхідних і вихідних правил для брандмауера Windows у режимі підвищеної безпеки.



Налаштування правила для вхідного і вихідного підключення


На цьому етапі ми створимо правило для вхідних підключень, що застосовується до програми Windows Live Messenger на 1900 порт для 64-розрядних операційних систем Windows Vista і Windows 7, А також правило для вихідного підключення, яке дозволяє запити від браузера Internet Explorer в об’єкті групової політики, який створювався в попередньому розділі цієї статті. За замовчуванням члени локальної групи адміністраторів також можуть створювати і змінювати правила для вхідних і вихідних підключень в оснащенні “Брандмауер Windows в режимі підвищеної безпеки”. Такі правила об’єднуються з правилами, отриманими з групових політик, і застосовуються до конфігурації комп’ютера. Для того щоб створити правило вхідного підключення в створеному раніше об’єкті групової політики, виконайте наступні дії:



  1. У вузлі “Об’єкти групової політики” оснащення “Управління груповою політикою” виберіть створений раніше об’єкт GPO, в даному випадку, об’єкт “Налаштування брандмауера Windows”, Натисніть на ньому правою кнопкою миші і з контекстного меню виберіть команду “Змінити”;

  2. В оснащенні “Редактор управління груповими політиками” в дереві консолі розгорніть вузол Конфігурація компьютераПолитикиКонфигурация WindowsПараметри безопасностіБрандмауер Windows в режимі підвищеної безопасностіБрандмауер Windows в режимі підвищеної безопасностіПравіла для вхідних підключень. Клацніть правою кнопкою миші елемент “Правила для вхідних підключень” і з контекстного меню виберіть команду “Створити правило”, Як показано на наступній ілюстрації:

  3. Рис. 6. Створення нового правила для вхідних підключень


  4. На першій сторінці “Майстра створення правила для нового вхідного підключення” ви можете вибрати одну з опцій, які детально описані далі:

    • Для програми. Цей тип правила для брандмауера служить для створення правила, що дозволяє або блокуючого підключення конкретного виконуваного файлу, незалежно від використовуваних номерів портів. Для більшості людей даний тип правила може виявитися найбільш корисним, оскільки далеко не всі знають, які порти використовує конкретна програма. Найкраще в більшості випадків застосовувати саме цей тип правила, але варто звернути увагу на те, що даний тип не застосовується у тому випадку, якщо конкретна служба не містить власний виконуваний файл;

    • Для порту. Цей тип правила для брандмауера служить для створення правила, що дозволяє або блокуючого комунікації для певного TCP або UDP порту, незалежно від програми, яка генерує трафік. Створюючи правило даного типу, ви можете вказати одночасно кілька портів;

    • Зумовлені. Цей тип правила для брандмауера служить для створення правила, керуючого підключеннями конкретної програми чи служби операційної системи, яка відображається у відповідному списку. Деякі програми після своєї установки додають свої записи в даний список для спрощення процесу створення правил для вхідних підключень;

    • Настроювані. Цей тип правила для брандмауера служить для створення правила, яке може комбінувати відомості про програму і порте одночасно.

  5. Для того щоб розглянути максимальну кількість сторінок майстра, виберемо тип “Налаштовуване правило”;

    Збільшити малюнок

    Рис. 7. Сторінка “Тип правила” майстра створення правила для нового вхідного підключення


  6. На сторінці “Програма” майстер створення правила для нового вхідного підключення дозволяє вказати шлях до програми, яку буде перевіряти брандмауер Windows в режимі підвищеної безпеки на те, щоб їх посилають або прийняті мережні пакети задовольняли даному правилу. У нашому випадку встановимо перемикач на опцію “Шлях програми” і у відповідному текстовому полі введемо “C:Program Files (x86)Windows LiveMessengermsnmsgr.exe”, Як показано нижче:

  7. Збільшити малюнок

    Рис. 8. Сторінка “Програма” майстра створення правила для нового вхідного підключення


  8. На сторінці “Протокол і порти” майстра створення правила для нового вхідного підключення ви можете вказати протокол і порти, використовувані в мережевому пакеті, які будуть задовольняти поточному правилу. Якщо вам потрібно вказати кілька портів, ви можете їх ввести через кому. А якщо вам необхідно вказати цілих діапазон портів, розділіть менше і більше значення портів дефісом. Коротенько розглянемо параметри локальних портів для правил вхідних підключень:

    • Всі порти. Правило застосовується для всіх вхідних і вихідних підключень по протоколам TCP або UDP;

    • Спеціальні порти. В даному випадку ви можете вказати конкретні порти, які будуть застосовуватися для вхідного або вихідного підключення за протоколами TCP або UDP;

    • Сопоставітель кінцевих точок RPC. Дане значення можна вибрати тільки для вхідних підключень по протоколу TCP. У даному випадку комп’ютер буде отримувати вхідні RPC-запити по протоколу TCP через порт 135 у запиті RPC-EM, де вказується Мережева служба і запитується номер порту, за яким і прослуховується дана мережева служба;

    • Динамічні порти RPC. Також як і для попереднього значення, це значення можна вибрати тільки для вхідних підключень по протоколу TCP, де комп’ютер буде отримувати вхідні мережеві RPC-пакети через порти, які призначаються середовищем виконання RPC;

    • IPHTTPS. Це значення є тільки для вхідних підключень по протоколу TCP. У цьому випадку дозволяється приймати вхідні пакети по протоколу тунелювання IPHTTPS, що підтримує впровадження пакетів IPv6 в мережні пакети IPv4 HTTPS від віддаленого комп’ютера;

    • Обхід вузлів. Ви можете вибрати це значення тільки для вхідних підключень по протоколу UDP, яке дозволяє отримувати вхідні мережеві пакети Teredo.

  9. Наприклад, для того щоб вказати для програми Windows Live Messenger TCP порти 80, 443 і 1900, в списку “Тип протоколу” виберіть “TCP”, У списку “Локальний порт” виберіть значення “Спеціальні порти”, А в текстовому полі, розташованому під зазначеним вище спадному меню введіть “80, 443, 1900”. Залиште значення списку “Віддалений порт” без змін і натисніть на кнопку “Далі”;

    Збільшити малюнок

    Рис. 9. Сторінка “Протокол і порти” майстра створення правила для нового вхідного підключення


  10. На сторінці “Область” даного майстра ви можете вказати IP-адреси локальних і видалених комп’ютерів, мережевий трафік яких буде застосовуватися для поточного правила. Тут доступні два розділи: локальні і видалені IP-адреси, до яких буде застосовуватися дане правило. Як у першому, так і в другому розділах, мережевий трафік буде задовольняти дане правило тільки в тому випадку, якщо IP-адреса призначення присутній в даному списку. При виборі опції “Будь-який IP-адреса”, Правилу будуть задовольняти мережеві пакети з будь-яким IP-адресою, які будуть вказані в якості адреси локального комп’ютера або які будуть адресовані від будь-якого IP-адреси (у випадку з правилом для вхідного підключення). Якщо ж вам потрібно вказати конкретні IP-адреси, установіть перемикач на опцію “Зазначені IP-адреси” і певну адресу або підмережа використовуючи діалогове вікно, що відкривається після натискання на кнопку “Додати”. У нашому випадку, залишимо цю сторінку без змін і натиснемо на кнопку “Далі”;

  11. Збільшити малюнок

    Рис. 10. Сторінка “Область” майстра створення правила для нового вхідного підключення


  12. На сторінці “Дія” ви можете вибрати дію, яка виконуватиметься для вхідних чи вихідних пакетів у даному правилі. Тут ви можете обрати одне з трьох наступних дій:

    • Дозволити підключення. При виборі даного значення, ви дозволяєте все підключення, які відповідають критерію, вказаному на всіх попередніх сторінках майстра;

    • Дозволити безпечне підключення. Поточне значення для правила брандмауера Windows у режимі підвищеної безпеки дозволяє вирішувати підключення тільки в тому випадку, якщо вони відповідають критеріям, які були вказані вами раніше, а також захищені по протоколу IPSec. Не будемо зупинятися на даному значенні, так як воно буде детально розглянуто в моїх наступних статтях;

    • Блокувати підключення. У цьому випадку брандмауер Windows в режимі підвищеної безпеки буде скидати будь-які спроби підключення, які відповідають критеріям, зазначеним вами раніше. Незважаючи на те, що спочатку всі підключення блокуються брандмауером, дане значення доцільно вибирати в тому випадку, якщо вам потрібно заборонити підключення для конкретного додатка.

  13. Так як нам потрібно дозволити доступ для програми Windows Live Messenger, встановлюємо перемикач на опції “Дозволити підключення” і натискаємо на кнопку “Далі”;

    Збільшити малюнок

    Рис. 11. Сторінка “Дія” майстра створення правила для нового вхідного підключення


  14. На сторінці “Профіль” майстра створення правила для нового вхідного підключення ви можете вибрати профіль, до якого буде застосовано дане правило. Ви можете вибрати або один з трьох доступних профілів або відразу декілька. Найчастіше для організації вибирається або профіль “Доменний” або всі три профілі. Якщо ж у вашій організації не використовуються доменні служби Active Directory або ви налаштовуєте правила брандмауера для домашнього комп’ютера, вам буде достатньо вказати тільки профіль “Приватний”. Правила для профілю “Публічний” створюються для загальнодоступних підключень, що, в принципі, робити небезпечно. У нашому випадку, встановимо прапорці на всіх трьох профілях і натиснемо на кнопку “Далі”;

  15. Збільшити малюнок

    Рис. 12. Сторінка “Профіль” майстра створення правила для нового вхідного підключення


  16. На сторінці “Ім’я” вкажіть ім’я для створеного вами нового правила брандмауера Windows у режимі підвищеної безпеки для вхідного підключення, при необхідності введіть опис для поточного правила і натисніть на кнопку “Готово”.

  17. Збільшити малюнок

    Рис. 13. Сторінка “Ім’я” майстра створення правила для нового вхідного підключення


За замовчуванням брандмауер Windows в режимі підвищеної безпеки дозволяє весь вихідний трафік, що, по суті, піддає комп’ютер меншою загрозу злому, ніж дозвіл вхідного трафіку. Але, в деяких випадках, вам необхідно контролювати не тільки вхідний, але ще і вихідних трафік на комп’ютерах ваших користувачів. Наприклад, такі шкідливі програмні продукти як хробаки і деякі типи вірусів можуть виконувати реплікацію самих себе. Тобто, якщо вірус успішно зміг ідентифікувати комп’ютер, то він буде намагатися всіма доступними (для себе) способами відправляти витікаючий трафік для ідентифікації інших комп’ютерів даної мережі. Таких прикладів можна наводити досить багато. Блокування вихідного трафіку обов’язково порушить роботу більшості вбудованих компонентів операційної системи і встановленого програмного забезпечення. Тому, при включенні фільтрації витікаючих підключень вам потрібно ретельно протестувати кожне встановлене на комп’ютерах користувачів додаток.


Створення вихідних правил незначно відрізняється від вказаної вище процедури. Наприклад, якщо ви заблокували на комп’ютерах користувачів всі вихідні підключення, а вам потрібно відкрити користувачам доступ на використання браузера Internet Explorer, виконайте наступні дії:



  1. Якщо вам потрібно, щоб правило брандмауера Windows для вихідного підключення було призначено в новому об’єкті групової політики, виконайте дії, які були вказані в розділі “Створення об’єкта групової політики для управління брандмауерами Windows в режимі підвищеної безпеки”;

  2. В оснащенні “Редактор управління груповими політиками” в дереві консолі розгорніть вузол Конфігурація компьютераПолитикиКонфигурация WindowsПараметри безопасностіБрандмауер Windows в режимі підвищеної безопасностіБрандмауер Windows в режимі підвищеної безопасностіПравіла для вихідних підключень. Клацніть правою кнопкою миші елемент “Правила для вихідних підключень” і з контекстного меню виберіть команду “Створити правило”;

  3. На сторінці майстра “Тип правила” виберіть опцію “Для програми” і натисніть на кнопку “Далі”;

  4. На сторінці “Програма”, Установіть перемикач на опцію “Шлях програми” і введіть у відповідне текстове поле %ProgramFiles%Internet Exploreriexplore.exe або виберіть даний виконуваний файл, натиснувши на кнопку “Обзор”;

  5. На сторінці “Дія” даного майстра виберіть опцію “Дозволити підключення” і натисніть на кнопку “Далі”;

  6. На сторінці “Профіль” погодитеся зі значеннями за замовчуванням і натисніть на кнопку “Далі”;

  7. На заключній сторінці, сторінці “Ім’я”, Введіть ім’я для даного правила, наприклад, “Правило для браузера Internet Explorer” і натисніть на кнопку “Готово”.

В області відомостей оснащення “Редактор управління груповими політиками” у вас повинно відображатися створене правило, як показано на наступній ілюстрації:

Збільшити малюнок

Рис. 14. Створене правило для вихідного підключення



Призначення фільтрації для створеного правила


Тепер, після того як ви створили об’єкт групової політики з вхідним і вихідним правилом для підключень, вам потрібно звернути увагу на наступний момент. При створенні правила для вхідного підключення ми вказали шлях до Windows Live Messenger для 64-розрядної операційної системи. Чи всі комп’ютери у вашій організації оснащені 64-розрядними операційними системами. Якщо всі, то вам сильно пощастило і більше нічого не потрібно робити. Але якщо у вас є клієнтські комп’ютери з 32-розрядними ОС, то ви зіткнетеся з якоюсь проблемою. Правило просто не буде працювати. Звичайно, ви можете створити різні підрозділи для комп’ютерів з 32-розрядними та для комп’ютерів з 64-розрядними операційними системами, але це не зовсім раціонально. Іншими словами, вам потрібно вказати в оснащенні “Управління груповою політикою”, Що об’єкт GPO повинен застосовуватися тільки на комп’ютерах з 64-розрядної операційною системою. Таке обмеження ви можете створити за допомогою WMI-фільтра. Більш докладно про фільтрування WMI ви дізнаєтеся в одній з таких статей, а зараз стоїть лише зупинитися на створенні такого фільтра. Для того щоб вказати WMI-фільтр для визначення 64-розрядних операційних систем, виконайте наступні дії:



  1. В оснащенні “Управління груповою політикою” розгорніть вузол “Фільтри WMI”, Виберіть його, натисніть на ньому правою кнопкою миші і з контекстного меню виберіть команду “Створити”;

  2. У діалоговому вікні “Новий фільтр WMI”, В текстовому полі “Ім’я” вкажіть ім’я фільтра, наприклад “64-bitArch”, В поле “Опис” вкажіть докладний описи для даного фільтра, наприклад, “Визначення 64-розрядних операційних систем”. Щоб додати запиту натисніть на кнопку “Додати”;

  3. Інструментарій WMI витягує простору імен, де є класи, які можна запитувати. У даному прикладі, необхідні класи розташовані в кореневому класі rootCIMv2. Для визначення 64-розрядних операційних систем потрібно скористатися наступним запитом: Select * FROM Win32_OperatingSystem WHERE OSArchitecture=”64-bit” , Як показано на наступній ілюстрації:

  4. Рис. 15. Створення WMI-запиту


  5. У діалоговому вікні “Запит WMI” натисніть на кнопку “ОК”, А потім у діалоговому вікні “Новий фільтр WMI” натисніть на кнопку “Зберегти”;

  6. Знову перейдіть в “Об’єкти групової політики” і виберіть створений вами об’єкт GPO. На вкладці “Область”, В розділі “Фільтр WMI” з відповідного списку виберіть створений вами фільтр;

  7. У отобразившейся діалоговому вікні прийміть зміни і закрийте оснащення “Управління груповою політикою”.

  8. Рис. 16. Застосування фільтра WMI



Висновок


У даній статті ви дізналися про те, як можна створити правила брандмауера Windows у режимі підвищеної безпеки для вхідних і вихідних підключень засобами оснащення “Брандмауер Windows в режимі підвищеної безпеки”, А також за допомогою групових політик для комп’ютерів організації, які є членами домену Active Directory. Описано попередні роботи, а саме створення підрозділу з комп’ютерами, а також об’єкта групової політики. Були розглянуті приклади створення настроюваного правила для вхідного підключення, а також правило типу “Для програми” для вихідного з’єднання.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*