Брандмауэр в режиме повышенной безопасности


Режиме повышенной безопасности в брандмауэре Windows

Далеко не каждый пользователь знает, что брандмауэр Windows может работать в двух режимах: обычном и повышенной безопасности. В принципе, что первое, что второе – одно и тоже. Разница только в возможностях, которые они предоставляют. Например, стандартный Брандмауэр весьма ограничен в возможностях настройки правил, однако обычным пользователям этого будет вполне достаточно. Второй же был разработан для юзеров, которым нужны более гибкие настройки.

Открываем Брандмауэр в режиме повышенной безопасности

Повышенная безопасность брандмауэра активируется тремя способами:

  1. Ввести с поисковую строку название инструмента.
  2. Перейти в Панель управления, где открыть раздел «Система и безопасность», затем открыть Брандмауэр Windows, а там кликнуть по кнопке «Дополнительные параметры».
  3. Запустить специальную консоль MMC, куда добавить нужный инструмент и запустить Брандмауэр.

Возможности, которые предоставляет расширенный Брандмауэр Windows

  1. Производить настройку правил как для входящего, так и исходящего трафика.
  2. Создавать правила, основываясь на протоколах и портах.
  3. Устанавливать, каким образом будет происходить обмен данными между службами и сетью.
  4. Установить, чтобы проходил только авторизованный трафик.
  5. Параметры безопасности или брандмауэра могут блокировать подключение.

Как создавать правила для входящих и исходящий соединений

Для начала, нужно в левой части Windows Firewall выбрать, какое правило мы будем создавать: для входящих или исходящих соединений. Затем кликнуть по нужному варианту правой кнопкой мыши и выбрать «Создать правило».

Запустится специальный мастер для создания правил. Они бывают разных видов:

  • Для конкретного приложения;
  • Для порта;
  • Настраиваемые;
  • Предопределенные.

Давайте создадим правило, используя брандмауэр Виндовс, например, для Google Chrome. Выбираем пункт «Для программы» и нажимаем далее. Затем нужно указать, где находится данная программа.

Затем нужно выбрать: разрешить приложению доступ в сеть, разрешить только безопасный доступ в сеть, блокировать подключение к интернету. Выберем последний пункт и кликнем «Далее».

Затем нужно выбрать к какому сетевому профилю применить это правило, после чего установить ему имя и описание.

Создаем правило для порта

Процесс практически не отличается от предыдущего за исключением того, что следует выбирать пункт «Для порта». Благодаря этому можно блокировать работу какого-либо порта для протоколов TCP или UDP. То есть, нужно будет выбрать протокол, а также порт, для которого создаётся правило.

Активация уже существующих правил Брандмауэра

В самой операционной систему уже существуют некоторые правила, которые могут быть использованы как самим пользователем, так и Windows. Для их активации следует выбрать пункт «Предопределенные». Они нужны, если вам понадобится выполнить какое-либо действие, например, создать домашнюю группу или воспользоваться технологией BranchCache.

Заключение

Теперь вы имеете небольшое представление, что такое брандмауэр Windows в режиме повышенной безопасности, для чего он нужен и как выполняется настройка брандмауэра.

Брандмауэр Windows в режиме повышенной безопасности руководство по развертыванию

 

Применимо к:Windows Server 2012

Можно использовать Брандмауэр Windows в режиме повышенной безопасности оснастку MMC в Windows 8, Windows 7, Windows Vista, Windows Server 2012, Windows Server 2008, и Windows Server 2008 R2 для защиты компьютеров и данных для совместного использования по сети.

Брандмауэр Windows можно использовать для управления доступом к компьютеру из сети. Можно создать правила, разрешить или блокировать сетевой трафик в любом направлении, в зависимости от требований предприятия. Можно также создать соединения IPsec правила безопасности для защиты данных при передаче по сети с одного компьютера.

Это руководство предназначено для системных администраторов и системных инженеров. Он предоставляет подробные указания по развертыванию Брандмауэр Windows в режиме повышенной безопасности конструктора выбранный пользователь или архитектор инфраструктуры системы или специалист в вашей организации.

Начните с просмотра информации в Планирование развертывания повышенной безопасности брандмауэра Windows.

Если проект еще не выбран, рекомендуется отложить следуйте инструкциям в этом руководстве до, после просмотра параметры макета в Брандмауэр Windows в режиме повышенной безопасности руководство по проектированию и выбрали наиболее подходящий для вашей организации.

После выбора макета и соберите сведения об операционных системах зон (изоляции, границ и шифрования), для поддержки и другие сведения, можно затем использовать в этом руководстве для развертывания вашего Брандмауэр Windows в режиме повышенной безопасности разработки в рабочей среде. В этом руководстве шаги для развертывания любой следующий основной макет, описанных в руководство по разработке:

Чтобы определить, как эффективнее использовать инструкции в этом руководстве по развертыванию конкретной топологии, используйте контрольные списки в разделе Реализация плана разработки повышенной безопасности брандмауэра Windows.

Внимание

Корпорация Майкрософт рекомендует использовать методик, описанных в данном руководстве только для объектов групповой политики, которые должны быть развернуты в большей части компьютеров в организации, и только в том случае, если иерархия Подразделений в домене Active Directory не соответствует требованиям развертывания этих объектов групповой политики. Эти характеристики типичные объектов групповой политики сервера и сценарии изоляции домена, но не являются типичными для большинства других объектов групповой политики. Когда его поддерживает иерархии Подразделений, развертывание объекта групповой Политики, путем связывания ее на более низкий уровень, содержащий все учетные записи, к которым применяется GPO Подразделения.

В среде крупных корпораций с сотнями или тысячами объектов групповой политики с помощью этой методики с слишком много объектов групповой политики может привести пользователя или компьютера учетные записи, которые являются членами слишком большое число групп; Это может привести к проблем с сетевым подключением, при превышении ограничений сетевого протокола. Дополнительные сведения о проблемах, связанных с членством в слишком большом количестве групп, см. в следующих статьях базы знаний Майкрософт:

Брандмауэр Windows в режиме повышенной безопасности в Windows 8, Windows 7, Windows Vista, Windows Server 2012, Windows Server 2008, и Windows Server 2008 R2 является брандмауэр с отслеживанием, помогает обеспечить безопасность компьютера, что позволяет создавать правила, определяющие, какой сетевой трафик может указывать компьютер от сети и какие сетевого трафика компьютера может отправлять к сети.Брандмауэр Windows в режиме повышенной безопасности также поддерживает IP-безопасность (IPsec), который можно использовать для требования проверки подлинности с любого компьютера, который пытается связаться с компьютером. Когда требуется проверка подлинности компьютеров, которые не удается пройти проверку подлинности как доверенного компьютера не может поддерживать связь с компьютером. Можно также использовать IPsec требуется шифрование определенного сетевого трафика для предотвращения чтения по сети анализаторы сетевых пакетов, которые можно подключить к сети злонамеренным пользователем.

Брандмауэр Windows в режиме повышенной безопасности Оснастки MMC является более гибким и обеспечивает гораздо больше возможностей, чем интерфейс брандмауэра Windows ориентированные на потребителей, найти в панели управления. Оба интерфейса взаимодействия с одной базовой службы, но предоставляют различные уровни контроля над этими службами. Программа панели управления брандмауэра Windows можно защитить один компьютер в домашней среде, он не предоставляет достаточно централизованного управления и безопасности функций для обеспечения безопасности в среде предприятия типичные более сложные сетевого трафика.

Дополнительные сведения о Брандмауэр Windows в режиме повышенной безопасности, в разделе брандмауэр Windows в режиме повышенной безопасности Обзор в http://technet.microsoft.com/library/hh831365.aspx.

Брандмауэр Windows в режиме повышенной безопасности стратегия разработки

Эта документация перемещена в архив и не поддерживается.

 

Применимо к:Windows Server 2012

Чтобы выбрать наиболее эффективный конструктора для помогает защитить сеть, необходимо тратить время сбора данных ключа сведения о текущей среды компьютера. Необходимо хорошо понимать какие компьютеры в сети выполнять задачи и как их использовать сеть для выполнения этих задач. Необходимо понимать сетевого трафика, формируемого программ, запущенных на компьютерах.

  • Сбор сведений, необходимых

  • Определение состояния доверенных компьютеров

Сведения, собираемые поможет ответить на следующие вопросы. Ответы помогают понять требования к безопасности и выберите схему, что лучше всего соответствует этим требованиям. Сведения также помогут когда придет время для развертывания дизайна, помогая создавать, экономически эффективные стратегии развертывания и эффективный ресурсов. Он поможет вам проекта и обосновать ожидаемые затраты, связанные с реализации конструктора.

  • Трафик всегда должны быть разрешены? Что такое характеристики сетевого трафика создается и используется бизнес-приложениями

  • Трафик всегда должна быть заблокирована? У вашей организации политики, запретить использование определенных программ? Если это так, что такое характеристики сетевого трафика, запрещенных программ и

  • Поскольку компьютеры или устройства, отправки или приема трафика не поддерживают IPsec трафик в сети не может быть защищен IPsec?

  • Для каждого типа сетевого трафика, выполняет конфигурации по умолчанию брандмауэра (блокировать все незапрошенный входящий сетевой трафик, разрешить весь исходящий трафик) разрешить или запретить трафика при необходимости?

  • У вас домена Active Directory (или леса доверенных доменов), в которой все компьютеры присоединены? Если этого не сделать, не может использовать групповую политику для более удобного развертывания массы правила безопасности брандмауэра и подключения. Можно также нельзя воспользоваться легко, все клиенты домена используется проверка подлинности Kerberos V5.

  • Компьютеры, которые необходимо принимать незапрошенные входящие подключения от компьютеров, не являющихся частью домена?

  • Компьютеры, которые содержат данные, которые должны быть зашифрованы при обмене с другого компьютера?

  • Компьютеры, которые содержат конфиденциальные данные, к которому должен быть ограничен специально авторизованным пользователям и компьютерам доступ?

  • У вашей организации устранения неполадок устройств или компьютеров (например, анализаторов протоколов), которые должны быть предоставлены неограниченный доступ к компьютерам в сети, по существу обход брандмауэра конкретной сети?

Брандмауэр Windows в режиме повышенной безопасностивWindows 8Windows 7Windows VistaWindows Server 2012Windows Server 2008иWindows Server 2008 R2имеет много новых возможностей, которые недоступны в более ранних версиях Windows.

Если в вашей организации уже есть развертывания изоляции домена или сервера, то можно продолжить использование существующих объектов групповой политики и применить их к компьютерам под управлениемWindows 8иWindows Server 2012.

Примечание

Компьютеры под управлением Windows XP и Windows Server 2003 не будет участвовать в этом плане развертывания изоляции домена или сервера.

В этом руководстве описывается планирование групп и объектов групповой политики для среды с сочетание операционных систем, начиная сWindows VistaиWindows Server 2008. Windows XP и Windows Server 2003 не описанные в данном руководстве. Подробные сведения можно найти в разделеПланирование развертывания групповой политики для зон изоляцииДалее в этом руководстве.

Next: Сбор сведений, необходимых

Брандмауэр Windows в режиме повышенной безопасности руководства по разработке

В этом руководстве содержатся рекомендации по можно выбрать или создать схему для развертыванияБрандмауэр Windows в режиме повышенной безопасностив среде предприятия. Руководство описывает некоторые общие цели с помощьюБрандмауэр Windows в режиме повышенной безопасностии затем сопоставить цели, применимые в сценарии схемы, которые представлены в этом руководстве.

Это руководство предназначено для ИТ-специалистов, которому назначена задач развертывания брандмауэра и IPsec технологий в сети организации, чтобы помочь достичь целей безопасности организации.

Брандмауэр Windows в режиме повышенной безопасностидолжно быть частью решения защиты, реализующий разнообразных технологий безопасности, таких как брандмауэры периметра, системы обнаружения вторжений, виртуальные частные сети (VPN), проверку подлинности IEEE 802.1 X для беспроводных и проводных подключений и правила безопасности подключения IPsec.

Для успешного использования в этом руководстве, необходимо знать о возможностях, обеспечиваемыхБрандмауэр Windows в режиме повышенной безопасностии способы доставки параметры конфигурации на управляемых компьютерах с помощью групповой политики в Active Directory.

Можно использовать целей развертывания для формирования одной из этихБрандмауэр Windows в режиме повышенной безопасностисхемы или пользовательской системы, объединяет элементы из тех, представленные здесь:

  • Создание политики брандмауэра. Ограничивает сетевой трафик и компьютеров только то, что требуется и авторизацию.

  • Разработка политики изоляции доменов. Предотвращает компьютеры, являющиеся членами домена, получение незапрошенного трафика от компьютеров, не являющихся членами домена. Можно установить дополнительные «зоны» поддерживают особые требования некоторые компьютеры, такие как:

    • «Пограничная зона» для компьютеров, которые должны иметь возможность получать запрашивает у компьютеров без изоляции.

    • «Зона шифрования» для компьютеров, хранить конфиденциальные данные, которые должны быть защищены при передаче по сети.

  • Разработка политики изоляции сервера. Ограничивает доступ к серверу только ограниченной группой авторизованных пользователей и компьютеров. Обычно настроен как зоны в структуре изоляции домена, но также может быть настроен как изолированной разработки, предоставляя преимущества изоляции домена на небольшое количество компьютеров.

  • Разработка политики изоляции на основе сертификатов. Этот конструктор является дополнением к любой из предыдущих двух схем и поддерживает все возможности. Он использует сертификатами шифрования, развернутые для клиентов и серверов для проверки подлинности вместо проверки подлинности Kerberos V5, используется по умолчанию в Active Directory. Это позволяет компьютеров, которые не являются частью домена Active Directory, таких как компьютеры под управлением операционных систем, отличных от Windows, для участия в решении изоляции.

Помимо описания и примеры для каждого конструктора вы найдете рекомендации для сбора необходимых данных о среде. Затем можно использовать эти рекомендации для планирования и разработки вашейБрандмауэр Windows в режиме повышенной безопасностиразвертывания. После ознакомления с этим руководством и окончания сбора, Документирование и сопоставление требованиями вашей организации, у вас есть сведения, необходимые для начала развертыванияБрандмауэр Windows в режиме повышенной безопасностис использованием инструкций вБрандмауэр Windows в режиме повышенной безопасностируководство по развертыванию.

Можно найтиБрандмауэр Windows в режиме повышенной безопасностируководство по развертыванию в этих расположениях:

  •  (Веб-страница)

  • (Загружаемый документ)


Смотрите также