Rozpoczynanie pracy z zaporą systemu Windows z zabezpieczeniami zaawansowanymi w systemach Windows Vista i Windows Server 2008
Zapora systemu Windows z zabezpieczeniami zaawansowanymi (WFAS) w systemie Windows Vista® oraz Windows Server® 2008 to stanowa zapora działająca w oparciu o hosta, która filtruje przychodzące i wychodzące połączenia na podstawie konfiguracji. O ile typowa konfiguracja użytkownika zapory internetowej odbywa się za pomocą Panelu sterowania zapory systemu Windows, do zaawansowanej konfiguracji służy przystawka Microsoft Management Control (MMC) o nazwie Zapora systemu Windows z zabezpieczeniami zaawansowanymi. Uwzględnienie tej przystawki zapewnia nie tylko interfejs do lokalnej konfiguracji Zapory systemu Windows, ale także interfejs konfiguracji zapory na zdalnych komputerach za pomocą Zasad grupy. Ustawienia zapory są teraz zintegrowane z ustawieniami zabezpieczeń protokołu internetowego (IPsec), zostawiając pole dla synergii: Zapora systemu Windows może teraz zezwalać na ruch na podstawie niektórych wyników negocjowania protokołu IPsec.
Zapora systemu Windows z zabezpieczeniami zaawansowanymi obsługuje oddzielne profile w sytuacji, gdy komputery są uczestnikami domeny lub są podłączone do prywatnej albo publicznej sieci. Obsługuje także tworzenie reguł wdrażania zasad izolacji serwerów i domen. Zapora systemu Windows z zabezpieczeniami zaawansowanymi obsługuje bardziej szczegółowe zasady niż poprzednie wersje zapory, w tym użytkowników i grupy w usłudze katalogowej Active Directory, źródłowe i docelowe adresy protokołu internetowego IP, numer portu IP, ustawienia ICMP, ustawienia IPsec, określone typy interfejsów, usługi i wiele więcej opcji.
 |
Zawartość strony
W jaki sposób Zapora systemu Windows z zabezpieczeniami zaawansowanym spełnia zasady wielowarstwowych zabezpieczeń
Wielowarstwowa ochrona to sposób wdrożenia zasad zabezpieczeń, wykorzystujący wiele metod w celu ochrony komputerów i wszystkich składników sieci przed złośliwymi atakami. Ochrona musi zostać rozszerzona z sieci obwodowej na sieci wewnętrzne, komputery w sieci wewnętrznej, aplikacje uruchomione zarówno na serwerach jak i klientach oraz dane przechowywane na serwerach i klientach.
Typy zapory internetowej
Istnieją dwa główne typy zapory: zapory sieciowe zlokalizowane na granicy sieci oraz zapory działające w oparciu hosty zlokalizowane na poszczególnych hostach w sieci.
Zapory zlokalizowane na granicy sieci
Zapory sieciowe zlokalizowane na granicy sieci wewnętrznych udostępniają wiele różnych usług. Działają one w oparciu o sprzęt, oprogramowanie lub kombinację tych opcji. Niektóre udostępniają także usługi danych serwera proxy aplikacji, przykładem których może być Microsoft® Internet Security and Acceleration (ISA) Server.
Większość tego typu zapór sieciowych zawiera niektóre lub wszystkie z poniższych funkcjonalności:
| • | Zarządzanie i kontrola ruchu sieciowego dzięki sprawdzaniu stanowych pakietów, monitorowania łączności i filtrowania na poziomie aplikacji. |
| • | Analiza połączeń stanowych poprzez sprawdzanie stanu wszystkich kanałów komunikacji pomiędzy hostami i zapisywanie danych na temat połączeń w tabelach stanu. |
| • | Funkcjonalność bramy sieci VPN dzięki udostępnianiu uwierzytelniania protokołu IPsec oraz szyfrowania razem z technologią Network Address Translation-Traversal (NAT-T), pozwalając na przechodzenie dozwolonego ruchu protokołu IPsec przez zaporę dzięki translacji adresu IPV4 z publicznego na prywatny. |
| Uwaga: |
Nowa metoda technologii przejściowej NAT dla protokołu IPv6 o nazwie Teredo jest także dostępna w systemie Windows Vista oraz Windows Server 2008. |
Zapory działające w oparciu o hosty
Zapory na granicy sieci nie stanowią ochrony dla ruchu wygenerowanego wewnątrz zaufanej sieci. Z tego powodu potrzebne są zapory działające w oparciu o hosty uruchomione na poszczególnych komputerach. Zapory działające w oparciu o hosty, przykładem czego może być Zapora systemu Windows z zabezpieczeniami zaawansowanymi, chronią hosta przed nieautoryzowanym dostępem i atakami.
Możliwe jest skonfigurowanie Zapory systemu Windows z zabezpieczeniami zaawansowanymi tak, aby także blokowała określone typy ruchu wychodzącego. Zapory działające w oparciu o hosty udostępniają dodatkową warstwę zabezpieczeń w sieci i funkcjonują jako integralne składniki kompletnej strategii obronnej.
W Zaporze systemu Windows z zabezpieczeniami zaawansowanymi filtrowanie zapory oraz zabezpieczenia protokołu internetowego (IPsec) są zintegrowane. Ta integracja w dużym stopniu zmniejsza ryzyko wystąpienia konfliktu pomiędzy regułami zapory a ustawieniami zabezpieczeń połączenia protokołu IPsec.
| Uwaga: |
Protokół IPsec udostępnia strukturę zabezpieczeń dla warstwy 3 (warstwa sieciowa) stosu TCP/IP. Protokół IP IPsec to pakiet protokołów zapewniający poufność danych, ich integralność oraz uwierzytelnianie danych pomiędzy współpracownikami |
Kluczowe scenariusze wdrażania
Zapora systemu Windows z zabezpieczeniami zaawansowanymi może być pomocna w implementacji następujących kluczowych scenariuszy:
| • | Zapora hosta rozpoznająca lokalizację sieciową |
| • | Izolacja serwera i domeny |
Zapora hosta rozpoznająca lokalizację sieciową
Wiele aplikacji łączy się z siecią internetową w celu odnalezienia aktualizacji, pobrania informacji w czasie rzeczywistym oraz umożliwienia współpracy użytkowników. Jednak tworzenie aplikacji, które potrafią automatycznie przystosowywać się do zmieniających się warunków sieciowych jest dla programistów wielkim wyzwaniem. Interfejsy API rozpoznawania sieci umożliwiają aplikacjom wyczuwanie zmian w sieci, z którą połączony jest komputer, takich jak w sytuacji umieszczenia komputera przenośnego w trybie czuwania w pracy, a następnie ponowne jego uruchomienie w punkcie dostępowym do Internetu. To umożliwia systemom Windows Vista oraz Windows Server 2008 alarmowanie aplikacji o zmianach w sieci, a aplikacje mogą dostosować się do zmian i ułatwić pracę.
System Windows Vista oraz Windows Server 2008 identyfikuje oraz zapamiętuje każdą sieć, do której zostanie podłączony. Interfejsy API rozpoznawania sieci umożliwiają aplikacjom wysyłanie kwerend dotyczących charakterystyki każdej z tych sieci, w tym:
| • | Łączność. Sieć może być odłączona, może zapewniać dostęp wyłącznie do sieci lokalnej lub dostęp do sieci lokalnej oraz Internetu. |
| • | Połączenia. Komputer z zainstalowanym systemem Windows Vista lub Windows Server 2008 może być połączony z siecią za pomocą jednego z wielu połączeń. Interfejsy API Rozpoznawania sieci umożliwiają aplikacjom określenie, które połączenia są aktualnie wykorzystywane przez system Windows w celu połączenia się z określoną siecią. |
| • | Kategoria. Każda sieć ma przypisaną kategorię w systemie Windows Vista lub Windows Server 2008, która identyfikuje typ sieci. Niektóre ustawienia zostaną zmienione na podstawie kategorii sieci, z jaką system jest połączony. Przykładowo Zapora systemu Windows z zabezpieczeniami zaawansowanymi wdraża różne zasady na podstawie kategorii sieci, z którymi komputer jest aktualnie połączony. |
Istnieją trzy typy lokalizacji sieciowej w Zaporze systemu Windows z zabezpieczeniami zaawansowanymi:
| • | Domena. System Windows Vista oraz Windows Server 2008 automatycznie identyfikują sieci, w których system Windows może uwierzytelnić dostęp do kontrolera domeny dla domeny, z którą połączony jest komputer w tej kategorii. Żadne inne sieci nie mogą zostać umieszczone w tej kategorii. |
| • | Publiczna. Inaczej niż w przypadku sieci z domeną, wszystkie sieci są początkowo sklasyfikowane jako publiczne. Sieci reprezentujące bezpośrednie połączenia z Internetem lub znajdujące się w miejscach publicznych, takich jak lotniska lub kawiarnie, powinny pozostać w tej kategorii. |
| • | Prywatna. Sieć może zostać sklasyfikowana jako prywatna, jeżeli użytkownik lub aplikacja zidentyfikuje sieć jako prywatną. Wyłącznie sieci zlokalizowane za urządzeniem NAT, najlepiej zaporą sprzętową, mogą zostać zidentyfikowane jako sieci prywatne. Użytkownicy zazwyczaj identyfikują jako prywatne domowe lub małe sieci. |
Kiedy użytkownik łączy się z siecią, która nie jest typem lokalizacji sieciowej z domeną, system Windows wyświetla monit o identyfikację sieci jako publicznej lub prywatnej. Aby zidentyfikować sieć jako prywatną, użytkownik musi być lokalnym administratorem komputera. Po zidentyfikowaniu typu sieci, z którą połączony jest komputer, system Windows może zoptymalizować niektóre ustawienia konfiguracji, w szczególności w zakresie konfiguracji zapory, dla określonego typu lokalizacji sieciowej.
Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest przykładem aplikacji rozpoznającej sieć. Administrator może utworzyć profil dla każdego typu lokalizacji sieciowej, przy czym każdy profil zawierał będzie różne zasady dotyczące zapory. Przykładowo Zapora systemu Windows może automatycznie zezwalać na ruch przychodzący dla określonego narzędzia zarządzania pulpitem, gdy komputer znajduje się w sieci z domeną, lub blokować podobny ruch, kiedy komputer jest połączony z publiczną lub prywatną siecią. W ten sposób rozpoznawanie sieci może zapewnić elastyczność wewnętrznej sieci bez zwiększonego ryzyka podczas podróży pracowników mobilnych. Profil sieci publicznej powinien mieć bardziej rygorystyczne zasady zapory w celu ochrony przed nieautoryzowanym dostępem. Z kolei profil sieci prywatnej może mieć mniej restrykcyjne zasady zapory w celu umożliwienia udostępniania plików i wydruku, wykrywania elementów równorzędnych i łączności z urządzeniami z funkcją Połącz teraz w systemie Windows.
Profile są stosowane w następujący sposób:
1. | Jeżeli wszystkie interfejsy są uwierzytelnione w kontrolerze domeny dla domeny, do której należy dany komputer, stosowany jest profil domeny. |
2. | Jeżeli wszystkie interfejsy są uwierzytelnione w kontrolerze domeny lub połączone z sieciami sklasyfikowanymi jako prywatne lokalizacje sieciowe, stosowany jest profil prywatny. |
3. | W innych przypadkach zastosowanie ma profil publiczny. |
Cały ruch przychodzący jest blokowany domyślnie, z wyjątkiem podstawowych operacji sieciowych. W profilu prywatnym wykrywanie sieci i ruch pomocy zdalnej są dozwolone. Należy utworzyć określone reguły zezwalające pozostałemu uwierzytelnionemu ruchowi na przechodzenie przez zaporę do komputera. Domyślnym ustawieniem jest zezwalanie na ruch wychodzący. Konieczne jest wyraźne zablokowanie programów lub typów ruchu, na który nie chcemy zezwolić.
Izolacja serwera i domeny
W sieci opartej na systemie Microsoft Windows możliwe jest logiczne izolowanie zasobów serwera i domeny w celu ograniczenia dostępu do uwierzytelnionych i autoryzowanych komputerów. Przykładowo można utworzyć sieć logiczną wewnątrz istniejącej sieci fizycznej, w której komputery współdzielą zbiór wymagań dla bezpiecznej komunikacji. Każdy komputer w tej logicznie izolowanej sieci musi udostępni poświadczenia uwierzytelniania innym komputerom w sieci izolowanej w celu ustanowienia łączności.
Ta izolacja zapobiega uzyskaniu dostępu do zasobów przez nieautoryzowane komputery w sposób nieodpowiedni. Żądania od komputerów niebędących częścią sieci izolowanej są ignorowane. Izolacja serwera i domeny może pomóc w ochronie określonych danych oraz serwerów o wysokiej wartości, jak również chronić komputery zarządzane przed niezarządzanymi lub nieautoryzowanymi komputerami i użytkownikami.
Do ochrony sieci mogą zostać wykorzystane dwa typy izolacji:
| • | Izolacja serwera. W scenariuszu izolacji serwera określone serwery są konfigurowane tak, aby zasady protokołu IPsec akceptowały uwierzytelnioną komunikację pochodzącą od innych komputerów. Przykładowo serwer bazy danych może zostać tak skonfigurowany, aby akceptował wyłącznie połączenia pochodzące od serwera aplikacji sieci Web. |
| • | Izolacja domeny. W celu odizolowania domeny wykorzystuje się uczestnictwo w domenie usługi katalogowej Active Directory w celu zagwarantowania, że komputery należące do domeny będą akceptowały wyłącznie uwierzytelnioną i bezpieczną komunikację pochodzącą od innych komputerów należących do domeny. Sieć izolowana składa się wyłącznie z komputerów należących do domeny. Izolacja domeny wykorzystuje zasady protokołu IPsec w celu zapewnienia ochrony dla ruchu przesyłanego pomiędzy uczestnikami domeny, w tym wszystkich klientów i serwerów. |
Więcej informacji na temat izolacji serwera i domeny znajduje się w witrynie sieci Web firmy Microsoft pod adresem http://go.microsoft.com/fwlink/?LinkId=74576 (j. ang.).
Nowe lub ulepszone funkcje Zapory systemu Windows z zabezpieczeniami zaawansowanymi
| • | Integracja protokołu IPsec W przystawce Zapora systemu Windows z zaawansowanymi zabezpieczeniami filtrowanie zapory oraz konfiguracja reguł protokołu IPsec są zintegrowane. Jeżeli skonfigurowany ma zostać protokół IPsec dla komputerów z zainstalowaną wersją systemu Windows starszą niż system Windows Vista lub Windows Server 2008, należy użyć przystawki Zarządzanie zasadami protokołu IPsec. | ||||||
| • | Rozwinięte obejście uwierzytelnione Dzięki uwierzytelnieniu protokołu IPsec można skonfigurować reguły obejścia dla określonych komputerów, tak aby połączenia z tych komputerów obchodziły inne reguły ustawione w Zaporze systemu Windows z zaawansowanymi zabezpieczeniami. To umożliwia blokownie określonego typu ruchu, ale pozwala uwierzytelnionym komputerom obchodzić blokadę. Ta opcja jest szczególnie użyteczna w przypadku skanerów luk w zabezpieczeniach – programów, które przeszukują inne programy, komputery i sieci w poszukiwaniu możliwych słabych punktów, czego przykładem jest skaner portów. Przed pojawieniem się systemów Windows Vista oraz Windows Server 2008 możliwe było zezwolenie komputerowi na pełny dostęp do innego komputera pod warunkiem, że był on skonfigurowany z protokołem IPsec, ale nie było możliwości określania portów, protokołów, itp. Wszystko albo nic. W systemie Windows Vista oraz Windows Server 2008 Zapora systemu Windows może zezwolić na szczegółowe reguły uwierzytelnionego obejścia, umożliwiając administratorom określanie portów lub programów, które mogą mieć dostęp, jak również komputerów lub grup komputerów z dostępem. | ||||||
| • | Reguły sieciowe w zakresie funkcji Ograniczania funkcjonalności usług systemu Windows Ograniczanie funkcjonalności usług systemu Windows pomaga zapobiegać wykorzystaniu krytycznych usług systemu Windows w potencjalnie złośliwych czynnościach w systemie plików, rejestrze lub sieci. Jeżeli zapora wykryje niepoprawne zachowanie, określone w regułach sieciowych funkcji Ograniczanie funkcjonalności usług systemu Windows, zostanie ono zablokowane. Jeżeli usługa zostanie wykorzystana i uruchomi złośliwy kod, Ograniczanie funkcjonalności usług systemu Windows uniemożliwi jej ruch przychodzący oraz wychodzący przez nieautoryzowany port sieciowy. W ten sposób niwelowany jest wpływ złośliwego kodu na system operacyjny. Ta funkcja nie dotyczy wyłącznie usług systemu Windows. Niezależni dostawcy oprogramowania mogą także wykorzystać Ograniczanie funkcjonalności usług systemu Windows w przypadku swoich usług. | ||||||
| • | Reguły szczegółowe Domyślnie Zapora systemu Windows jest włączona zarówno dla przychodzących, jak i wychodzących połączeń. Zgodnie z zasadami domyślnymi blokowana jest większość połączeń przychodzących, a połączenia wychodzące są dozwolone. Możliwe jest zastosowanie interfejsu Zapory systemu Windows z zaawansowanymi zabezpieczeniami w celu skonfigurowania reguł dla połączeń wychodzących oraz przychodzących. Zapora systemu Windows z zaawansowanymi zabezpieczeniami obsługuje także filtrowanie wszelkich numerów protokołu Internet Assigned Numbers Authority (IANA), podczas gdy poprzednie wersje Zapory systemu Windows obsługiwały tylko filtrowanie protokołu UDP, TCP oraz ICMP. Zapora systemu Windows z zaawansowanymi zabezpieczeniami obsługuje konfigurację kont i grup usługi katalogowej Active Directory®, nazwy aplikacji, protokoły TCP, UDP, ICMPv4, ICMPv6, lokalne i zdalne adresy IP, typy interfejsów i protokołów, jako również typ ICMP oraz filtrowanie kodów. | ||||||
| • | Filtrowanie połączeń wychodzących Zapora systemu Windows udostępnia filtrowanie połączeń wychodzących, jak również przychodzących. To pomaga administratorom w ograniczeniu liczby aplikacji, które mogą zostać wykorzystane do przesłania ruchu do sieci, powodując wyegzekwowanie zasad firmy dotyczących zgodności. | ||||||
| • | Profile rozpoznające lokalizację Istnieje możliwość skonfigurowania różnych reguł i ustawień dla następujących profili zapory:
| ||||||
| • | Obsługa użytkownika, komputera lub grupy usługi Active Directory Możliwe jest tworzenie reguł zapory internetowej filtrujących połączenia według użytkowników, komputerów lub grup w usłudze Active Directory. Dla tych typów reguł połączenie musi zostać zabezpieczone protokołem IPsec za pomocą poświadczeń zawierających informacje na temat konta usługi Active Directory, takich jak Kerberos V5. | ||||||
| • | Obsługa protokołu IPv6 Zapora systemu Windows z zaawansowanymi zabezpieczeniami w pełni obsługuje macierzyste protokoły IPv6, IPv6 to IPv4 (6to4) oraz nową metodę przechodzenia translacji NAT dla protokołu IPv6 o nazwie Teredo. |
Zarządzanie Zaporą systemu Windows z zaawansowanymi zabezpieczeniami
Zapora systemu Windows z zaawansowanymi zabezpieczeniami udostępnia wiele sposobów wdrażania ustawień na lokalnych oraz zdalnych komputerach. Zaporę systemu Windows z zaawansowanymi zabezpieczeniami można skonfigurować w następujący sposób:
| • | Konfiguracja lokalnego lub zdalnego komputera za pomocą przystawki Zapora systemu Windows z zaawansowanymi zabezpieczeniami lub polecenia Netsh advfirewall. |
| • | Konfiguracja ustawień Zapory systemu Windows z zaawansowanymi zabezpieczeniami za pomocą Konsoli zarządzania zasadami grupy (GPMC) lub polecenia Netsh advfirewall. |
Zapora systemu Windows z zaawansowanymi zabezpieczeniami wykorzystuje określoną kolejność szacowania reguł.
| Uwaga: |
Reguły zezwalania i blokowania są dopasowywane pod względem stopnia specyficzności. Przykładowo, jeżeli reguła 1 ma określone parametry A i B, a reguła 2 ma parametry A, B i C, reguła 2 będzie szacowana jako pierwsza. |
Kolejność jest następująca:
| Lp. | Typ reguły | Opis |
1 | Ograniczanie funkcjonalności usług systemu Windows | Ten typ reguły ogranicza możliwości usług w zakresie ustanawiania połączeń, Ograniczenia usług są konfigurowane fabrycznie, żeby usługi systemu Windows mogły komunikować się w określony sposób (czyli ograniczając dozwolony ruch do określonego portu), jednak do momentu utworzenia reguły zapory ruch nie jest dozwolony. Niezależni dostawcy oprogramowanie mogą wykorzystać publiczne interfejsy API funkcji Ograniczanie funkcjonalności usług systemu Windows w celu wprowadzenia ograniczeń dla własnych usług. |
2 | Reguły zabezpieczeń połączeń | Ten typ reguł określa jak i w jakich okolicznościach komputery uwierzytelniają się za pomocą protokołu IPsec. Reguły zabezpieczeń połączeń są używane podczas tworzenia izolacji serwera i domeny, jak również wdrażania zasad ochrony dostępu do sieci (NAP). |
3 | Reguły uwierzytelnionego obejścia | Ten typ reguł umożliwia połączenie określonych komputerów, jeżeli ruch jest chroniony za pomocą protokołu IPsec, niezależnie od istnienia innych reguł dotyczących połączeń przychodzących. Określone komputery mogą obchodzić reguły połączeń przychodzących blokujące ruch: przykładem są tutaj skanery luk w zabezpieczeniach – programy, które skanują inne programy, komputery i sieci pod względem słabych punktów. |
4 | Reguły blokujące | Te reguły wyraźnie blokują określony typ ruchu przychodzącego i wychodzącego. |
5 | Reguły zezwalające | Te reguły wyraźnie zezwalają na określony typ ruchu przychodzącego i wychodzącego. |
6 | Reguły domyślne | Te reguły definiują działania zachodzące wtedy, gdy połączenie nie spełnia parametrów reguły wyższego poziomu. Fabrycznie, domyślnym ustawieniem dla ruchu przychodzącego jest blokowanie połączeń, a dla ruchu wychodzącego zezwalanie na połączenia. |
| Uwaga: |
Ta kolejność reguł ma zastosowanie we wszystkich przypadkach, nawet gdy są to reguły Zasad grupy. Reguły, w tym należące do Zasad grupy, są sortowane, a następnie stosowane. Administratorzy domen mogą zezwolić lub zablokować administratorom lokalnym pozwolenie na tworzenie nowych reguł. |
Zarządzanie jednym komputerem za pomocą przystawki Zapora internetowa systemu Windows z zabezpieczeniami zaawansowanymi
Możliwy jest dostęp do Zapory internetowej systemu Windows z zabezpieczeniami zaawansowanymi za pomocą jednej z poniższych procedur.
Otwieranie Zapory internetowej systemu Windows z zabezpieczeniami zaawansowanymi w Panelu sterowania
1. | Kliknij przycisk Start, a następnie kliknij polecenie Control Panel. |
2. | W panelu sterowanie kliknij polecenie Sytem and Maintenance. |
3. | Wybierz opcję Administrative Tools na dole ekranu. |
4. | Kliknij dwa razy polecenie Windows Firewall with Advanced Security. |
Dodawanie przystawki Zapora internetowa systemu Windows z zabezpieczeniami zaawansowanymi do konsoli MMC
1. | Kliknij przycisk Start, kliknij polecenie All Programs, kliknij Accessories, a następnie wybierz polecenie Run. |
2. | W polu tekstowym Open wpisz mmc, a następnie naciśnij klawisz ENTER. |
3. | Jeżeli pojawi się monit User Account Control, sprawdź przedstawione informacje, a następnie wprowadź żądane uprawnienia lub poświadczenia. |
4. | W nemu File kliknij polecenie Add/Remove Snap-in. |
5. | W polu listy Available snap-ins kliknij polecenie Windows Firewall with Advanced Security, a następnie kliknij polecenie Add. |
6. | Kliknij przycisk OK. |
7. | Powtórz kroki od 1 do 6 w celu dodania Group Policy Management Console, IP Security Monitor, IP Security Policy Management oraz innych przystawek, które można wykorzystać do skonfigurowania protokołu IPsec oraz Zasad grupy. Można także dodać funkcję Event Viewer w celu przeglądania plików dziennika inspekcji. |
8. | Przed zamknięciem przystawki nazwij i zapisz konsolę niestandardową do użycia w przyszłości. |
Konfigurowanie właściwości zapory
W celu skonfigurowania właściwości zapory, w okienku Overview kliknij polecenie Windows Firewall Properties. Arkusz właściwości Windows Firewall with Advanced Security on Local Computer (Zapora systemu Windows z zabezpieczeniami zaawansowanymi na komputerze lokalnym) wyświetli kartę dla każdego z trzech dostępnych profili (Domain Profile, Private Profile oraz Public Profile) oraz kartę IPsec Settings.
Konfigurowanie profilu
Karty dla każdego profilu zawierają identyczne opcje. Te opcje określają sposób zachowania się Zapory systemu Windows z zabezpieczeniami zaawansowanymi podczas połączenia komputera z danym typem sieci.
Opcje, które można skonfigurować dla każdego z tych profili są następujące:
| • | Firewall State (Stan zapory). Można włączyć Zaporę systemu Windows z zabezpieczeniami zaawansowanymi niezależnie w każdym profilu. | ||||||||
| • | Inbound Connections (Połączenia przychodzące). Połączenia przychodzące mogą zostać skonfigurowane, aby były zgodne z jedną z poniższych reguł:
| ||||||||
| • | Outbound Connections (Połączenia wychodzące). Połączenia wychodzące mogą zostać skonfigurowane, aby były zgodne z jedną z poniższych reguł:
| ||||||||
| • | Settings (Ustawienia). Kliknij przycisk Customize (Dostosuj) w obszarze Settings (Ustawienia) w celu skonfigurowania następujących ustawień:
| ||||||||
| • | Logging (Rejestrowanie). Kliknij przycisk Customize (Dostosuj) w obszarze Logging w celu skonfigurowania następujących opcji rejestrowania:
|
| Uwaga: |
W przypadku konfigurowania ustawień zapory za pomocą Zasad grupy należy się upewnić, że usługa Zapory systemu Windows ma wyraźne prawo do zapisu dla swojego identyfikatora usługi SID do określonej lokalizacji. |
Konfigurowanie ustawień protokołu IPsec
Okno dialogowe protokołu IPsec otwiera się po kliknięciu przycisku Customize (Dostosuj) w karcie IPsec Settings (Ustawienia protokołu IPsec) arkusza właściwości Windows Firewall with Advanced Security on Local komputer (Zapora systemu Windows z zabezpieczeniami zaawansowanymi na komputerze lokalnym). Te ustawienia są używane podczas tworzenia reguł zabezpieczeń połączeń komputerowych. Możliwe jest określenie następujących opcji:
| • | Key Exchange (Wymiana kluczy). W celu umożliwienia bezpiecznej komunikacji, dwa komputery muszą mieć dostęp do tego samego klucza udostępnionego bez konieczności przesyłania tego klucza w sieci. Kliknięcie przycisku Settings (Ustawienia) umożliwia skonfigurowanie metod zabezpieczeń, algorytmów wymiany kluczy oraz okresów istnienia kluczy. |
| • | Data Protection (Ochrona danych). Ochrona danych protokołu IPsec określa algorytmy używane w celu zapewnienia integralności danych praz szyfrowania danych. Integralność danych gwarantuje, że dane nie zostaną zmodyfikowane podczas przesyłania. Zapora systemu Windows z zabezpieczeniami zaawansowanymi wykorzystuje protokół Authentication Header (AH) lub Encapsulating Security Payload (ESP) w celu zapewnienia ochrony danych. Szyfrowanie danych chroni je ukrywając informacje. Zapora systemu Windows z zabezpieczeniami zaawansowanymi wykorzystuje do szyfrowania danych protokół ESP. |
| • | Authentication Metod (Metoda uwierzytelniania). To ustawienie umożliwia wybór domyślnej metody uwierzytelniania dla połączeń protokołu IPsec na komputerze lokalnym. Fabryczną metodą uwierzytelniania jest Kerberos V5. Inne ograniczenia, które można wybrać to ograniczenie dozwolonych połączeń do komputerów lub użytkowników należących do domeny oraz ograniczenie połączeń do komputerów posiadających certyfikat określonego urzędu certyfikacji (CA). |
Tworzenie nowych reguł
Zapora systemu Windows z zabezpieczeniami zaawansowanymi umożliwia tworzenie następujących typów reguł:
| • | Reguły dotyczące programów. Ten typ reguł zezwala na ruch dla określonego programu. Możliwe jest określenie programu na podstawie jego ścieżki oraz nazwy pliku wykonywalnego. |
| • | Reguły dotyczące portów. Ten typ reguł zezwala na ruch na określonych numerach portów TCP lub UDP lub zakresie numerów portów. |
| • | Reguły wstępnie zdefiniowane. System Windows zawiera funkcje, które mogą zostać włączone, takie jak Udostępnianie plików i drukarek, Pomoc zdalna oraz Współpraca w systemie Windows. Tworzenie reguły wstępnie zdefiniowanej powoduje w zasadzie utworzenie grupy reguł umożliwiających określonej funkcjonalności systemu Windows dostęp do sieci. |
| • | Reguły niestandardowe. Reguła niestandardowa umożliwia utworzenie reguły, której nie można utworzyć za pomocą innych typów reguł. |
Tworzenie reguł zabezpieczeń połączeń
Reguła zabezpieczeń połączeń opisuje sposób, w jaki dwa równorzędne komputery zostają uwierzytelnione zanim będą mogły ustanowić połączenie i bezpiecznie przesyłać dane. Zapora systemu Windows z zabezpieczeniami zaawansowanymi wykorzystuje protokół IPsec w celu wprowadzenia tych reguł. Możliwe jest utworzenie następujących reguł zabezpieczeń połączeń:
| • | Isolation (Izolacja). Ta reguła izoluje komputery ograniczając połączenia na podstawie poświadczeń, takich jak uczestnictwo w domenie lub kondycja. Reguły izolacji umożliwiają wdrożenie strategii izolacji serwera lub domeny. |
| • | Authentication exemption (Wykluczenie uwierzytelniania). Wykluczenie uwierzytelniania może zostać wykorzystane w celu wyznaczenia połączeń, które nie muszą być uwierzytelniane. Można wyznaczyć komputery o określonym adresie IP, zakresie adresu IP, podsieci lub należące do wstępnie zdefiniowanej grupy, takiej jak brama. |
| • | Server-to-server. Reguła serwer-serwer chroni połączenia pomiędzy określonymi komputerami. Ten typ reguł zazwyczaj chroni połączenia pomiędzy serwerami. Podczas tworzenia reguły określane są punkty końcowe sieci, pomiędzy którymi komunikacja jest chroniona. Następnie, wyznaczane są wymagania i uwierzytelnianie, które ma zostać zastosowane. |
| • | Tunel (Tunel). Reguła tunelu umożliwia ochronę połączeń pomiędzy komputerami bramy i jest zazwyczaj używana podczas połączeń internetowych dwóch bram zabezpieczeń. Należy określić punktu końcowe tunelu (adresy IP) oraz metodę uwierzytelniania. |
| • | Custom (Niestandardowa). Reguła niestandardowa jest używana do uwierzytelniania połączeń pomiędzy dwoma punktami końcowymi, kiedy nie można ustanowić potrzebnych reguł uwierzytelniania za pomocą innych dostępnych typów reguł. |
Więcej informacji na temat konfigurowania profili i ustawień protokołu IPsec, przeglądania i tworzenia nowych reguł oraz tworzenia reguł zabezpieczeń połączeń znajduje się w artykule Introduction to Windows Firewall with Advanced Security (j.ang) w witrynie sieci Web firmy Microsoft pod adresem http://go.microsoft.com/fwlink/?LinkId=74581 (j.ang).
Zarządzanie Zaporą systemu Windows z zabezpieczeniami zaawansowanymi za pomocą Zasad grupy
W celu zcentralizowania konfiguracji dużej liczby komputerów w sieci organizacji wykorzystującej usługę katalogową Active Directory możliwe jest wdrożenie ustawień dla Zapory systemu Windows z zabezpieczeniami zaawansowanymi za pomocą Zasad grupy. Zasady grupy umożliwiają dostęp do pełnego zestawu funkcji Zapory systemu Windows z zabezpieczeniami zaawansowanymi, w tym ustawień profili, reguł zapory oraz reguł zabezpieczeń połączeń komputerowych. Tak naprawdę ustawienia Zasad grupy są konfigurowane dla Zapory systemu Windows z zabezpieczeniami zaawansowanymi poprzez otwarcie tej samej przystawki za pomocą Konsoli zarządzania zasadami grupy. Komputer należący do domeny wysyła żądania aktualizacji Zasad grupy stanowiące dozwolony ruch, który nie jest domyślnie blokowany, gdy Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest włączona (o ile domyślne ustawienia połączeń wychodzących nie są skonfigurowane do blokowania ruchu).
| Ostrzeżenie: |
Jeżeli Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest wdrażana za pomocą Zasad grupy i połączenia wychodzące zostaną zablokowane, należy się upewnić, że reguły połączeń wychodzących Zasad grupy zostały włączone i przeprowadzić kompletne testy w środowisku testowym przed wdrożeniem. W innym przypadku można uniemożliwić wszystkim komputerom otrzymującym zasady ich aktualizację w przyszłości bez ręcznej interwencji. |
| Uwaga: |
Jeżeli Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest konfigurowana w sieci organizacji za pomocą Zasad grupy, lokalny administrator nie ma możliwości zmiany tego ustawienia. |
W poprzednich wersjach systemu Windows, system przetwarza Zasady grupy w następujących sytuacjach:
| • | Zasady komputera są przetwarzane podczas uruchamiania systemu operacyjnego Windows. |
| • | Zasady użytkowników są przetwarzane podczas logowania użytkownika. |
| • | Zarówno zasady komputera, jak i użytkownika są okresowo odświeżane. |
System Windows Vista oraz Windows Server 2008 przetwarza Zasady grupy w następujących dodatkowych sytuacjach:
| • | Zasady komputera i użytkownika są przetwarzane, kiedy komputer ustanawia połączenie wirtualnej sieci prywatnej (VPN) z witryną zdalną. |
| • | Zasady komputera i użytkownika są przetwarzane, kiedy komputer wychodzi ze stanu hibernacji lub wstrzymania. |
Dodatkowe okoliczności pomagają zagwarantować, że komputery otrzymują najbardziej aktualne ustawienia Zasad grupy częściej i za każdym razem, gdy komputer nastąpi zmiana połączenia.
Używanie narzędzia wiersza polecenia Netsh advfirewal
Netsh to narzędzie wiersza polecenia, które może zostać wykorzystane w celu skonfigurowania ustawień dla składników sieci. W systemie Windows Vista oraz Windows Server 2008 można skonfigurować Zaporę systemu Windows z zabezpieczeniami zaawansowanymi za pomocą serii poleceń w kontekście Netsh advfirewall. Używając narzędzia Netsh można tworzyć skrypty automatycznie konfigurujące zestaw ustawień Zapory systemu Windows z zabezpieczeniami zaawansowanymi, tworzyć reguły, monitorować połączenia i wyświetlać konfigurację oraz stan Zapory systemu Windows z zabezpieczeniami zaawansowanymi.
Przed zastosowaniem poleceń Netsh zaawansowanej zapory należy uruchomić wiersz polecenia z podwyższonymi uprawnieniami.
Uruchamianie wiersza polecenia z podwyższonymi uprawnieniami
1. | Kliknij przycisk Start,a następnie kliknij polecenie All Programs. |
2. | Kliknij polecenie Accessories. |
3. | Kliknij prawym klawiszem myszy ikonę wiersza polecenia i kliknij polecenie Run as administrator. |
4. | W polu User Account Control Prompt kliknij polecenie Continue. |
W celu wprowadzenia kontekstu Netsh advfirewall w wierszu polecenia należy wpisać:
netsh
Po wprowadzeniu kontekstu narzędzia Netsh, wiersz polecenia wyświetli wiersz narzędzia Netsh. W tym wierszu należy wpisać typ kontekstu advfirewall:
advfirewall
Po przejściu do kontekstu advfirewall można wpisać określone polecenia. Są to:
| • | export. Eksportuje bieżące zasady zapory do pliku. | ||||||||
| • | help. Wyświetla listę dostępnych poleceń. | ||||||||
| • | import. Importuje zasady z określonego pliku. | ||||||||
| • | reset. Przywraca domyślne ustawienia Zapory systemu Windows z zabezpieczeniami zaawansowanymi. | ||||||||
| • | show. Wyświetla właściwości dla określonego profilu. Na przykład:
|
Oprócz poleceń dostępnych w kontekście advfirewall, narzędzie advfirewall obsługuje także cztery podkonteksty. Aby przejść do podkontekstu, należy wpisać nazwę podkontekstu w wierszu polecenia Netsh advfirewall. Dostępne podkonteksty to:
| • | consec. Umożliwia wyświetlanie i konfigurowanie reguł zabezpieczeń połączeń komputerowych. |
| • | firewall. Umożliwia wyświetlanie i konfigurowanie reguł zapory. |
| • | monitor. Umożliwia wyświetlanie konfiguracji monitoringu. |
| Uwaga: |
W każdym kontekście narzędzia Netsh można wpisać polecenie „help”, aby wyświetlić kompletną listę poleceń, w tym poleceń specyficznych dla danego konteksty. W celu uzyskania informacji oraz składni dotyczącej używania określonego polecenia należy wpisać <nazwa_polecenia> /?. |
Monitorowanie
Zapora systemu Windows z zabezpieczeniami zaawansowanymi zawiera wbudowane narzędzia monitorowania reguł zapory, reguł zabezpieczeń połączeń komputerowych oraz skojarzenia zabezpieczeń.
Zapora
Należy zastosować ten folder w celu monitorowania szczegółów dotyczących wszystkich zastosowanych reguł zapory w zakresie połączeń wychodzących i przychodzących.
Zabezpieczenia połączeń
Należy zastosować ten folder w celu monitorowania następujących kwestii:
| • | Reguły zabezpieczeń połączeń. Ten folder zawiera listę wszystkich włączonych reguł zabezpieczeń połączeń razem ze szczegółowymi informacjami na temat ich ustawień. Reguły zabezpieczeń połączeń wykorzystują zabezpieczenia protokołu internetowego (IPser) w celu zabezpieczenia komunikacji pomiędzy danym komputerem i innymi maszynami. Reguły zabezpieczeń połączeń określają, jaka metoda uwierzytelniania, wymiany klucza, integralności danych oraz szyfrowania może zostać zastosowana w celu utworzenia skojarzenia zabezpieczeń (Security Association (SA)). Skojarzenie zabezpieczeń SA definiuje zabezpieczenia używane do ochrony komunikacji w relacji nadawca – odbiorca. |
| • | Skojarzenia zabezpieczeń. Ten folder zawiera listę wszystkich skojarzeń trybu głównego oraz trybu szybkiego razem ze szczegółowymi informacjami na temat ich ustawień i punktów końcowych. |
| • | Tryb główny. Ten folder zawiera listę wszystkich skojarzeń trybu głównego razem ze szczegółowymi informacjami na temat ich ustawień i punktów końcowych. Można go wykorzystać w celu wyświetlenia adresów IP punktów końcowych. |
| • | Tryb szybki. Ten folder zawiera listę wszystkich skojarzeń trybu szybkiego razem ze szczegółowymi informacjami na temat ich ustawień i punktów końcowych. Można go wykorzystać w celu wyświetlenia adresów IP punktów końcowych. |
Podsumowanie
Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest zaporą stanową działającą w oparciu o hosta, która filtruje przychodzące i wychodzące połączenia na podstawie konfiguracji. O ile typowa konfiguracja użytkownika zapory internetowej odbywa się za pomocą Panelu sterowania zapory systemu Windows, zaawansowana konfiguracja ma miejsce w przystawce Microsoft Management Control (MMC) o nazwie Zapora systemu Windows z zabezpieczeniami zaawansowanymi. Funkcje zapory są teraz zintegrowane z ustawieniami zabezpieczeń protokołu IPsec, dzięki czemu ryzyko konfliktu pomiędzy dwoma mechanizmami ochrony zostało zmniejszone.
Zapora systemu Windows z zabezpieczeniami zaawansowanymi współpracuje także z funkcją Rozpoznawania lokalizacji w sieci (NLA), aby możliwe było stosowanie ustawień zabezpieczeń na podstawie typu sieci, do której podłączony jest komputer. Zapora systemu Windows z zabezpieczeniami zaawansowanymi obsługuje oddzielne profile w sytuacji, gdy komputery należą do domeny lub są podłączone do sieci prywatnej lub publicznej.