На многочисленных форумах и блогах, посвященных компьютерной безо-пасности, до сих пор ведутся горячие споры о пользе программных брандмауэров для настольных систем. Основной аргумент противников таких решений по-прежнему заключается в том, что от применения таких программ больше вреда, чем пользы, так как они вызывают ложное чувство защищенности и своими чрезмерно частыми и непонятными уведомлениями вырабатывают привычку в случае сомнений всегда нажимать на кнопку «да».
В WINDOWS XP ЕЩЕ НЕ ПОЛНЫЙ
Очевидно, специалисты и разработчики Microsoft не разделяют это мнение: со времен Windows XP они постоянно развивали и все глубже интегрировали базовый брандмауэр в свои операционные системы. Если поначалу брандмауэр по умолчанию был деактивирован, то, начиная с Service Pack 2 для Windows XP, он автоматически устанавливался в систему таким образом, чтобы активация осуществлялась без дополнительных действий со стороны пользователей или администраторов. Правда, у этой версии были и некоторые недостатки, поэтому системные администраторы и пользователи отзывались о нем скорее как о бесполезной функции.
Уже в этой версии брандмауэра Windows имелось два разных профиля (Corpnet и Internet), и управление им можно было осуществлять с помощью групповых правил. Множество критиков в качестве основного недостатка постоянно упоминали тот факт, что брандмауэр контролировал только входящий сетевой трафик: он пропускал без ограничений весь исходящий трафик, но блокировал входящий, за исключением ответов на ранее отосланные запросы. В результате, если какой-то вредоносной программе удавалось отправить из системы запрос в Интернет, то ответ на него проходил через брандмауэр беспрепятственно, так как воспринимался им как разрешенный поток данных.
УЛУЧШЕНИЯ В VISTA
C появлением Windows Vista и Server 2003 инженеры Microsoft создали основательно переработанную версию брандмауэра, которая сегодня представлена также в Windows 7 и Windows Server 2008 R2 (см. Рисунок 1). При этом внешний вид и возможности настройки практически не отличаются, так что системные администраторы, работающие на разных платформах Windows, имеют дело с однотипным интерфейсом. Новый межсетевой экран, получивший слегка громоздкое наименование «брандмауэр Windows с расширенной безопасностью», отличается от своего предшественника главным образом четырьмя важными пунктами:
- интегрируемый модуль (Snap-in) для консоли Microsoft Management Console (MMC) обеспечивает наглядность и существенно упрощает управление;
- настройки IPv6 и различных правил фильтрации можно задавать прямо в интегрируемом модуле;
- у администратора появилось гораздо больше возможностей для назначения исключений (к примеру, для учетных записей Active Directory);
- исходящий и входящий сетевой трафик контролируется, а в сомнительных случаях блокируется.
Само собой разумеется, при задании базовых настроек брандмауэром можно по-прежнему управлять — так же как в XP и Windows Server 2003 — через пиктограмму на панели управления, как показано на Рисунке 1 для серверной системы. На компьютере под управлением Windows 7
пользователь увидит аналогичную картину и из пункта «Дополнительные параметры» сможет перейти в интегрируемый модуль для более тонкой настройки брандмауэра. Естественно, любые подобные действия допускаются только при наличии прав администратора, в новых системах на это дополнительно указывает значок щита рядом с соответствующим пунктом меню.
ВЫБОР МЕСТОПОЛОЖЕНИЯ СЕТИ
Особое внимание следует обратить на местонахождение сети, которое всегда необходимо указывать в современных системах Windows, так как этот выбор оказывает существенное влияние на настройки брандмауэра. Этот параметр необходимо задавать в случае любого изменения сети, а управление им осуществляется системной службой Network Location Awareness (NLA), задача которой заключается в том, чтобы собирать необходимую информацию о конфигурации сети и уведомлять затрагиваемые программы о возникновении изменений.
При этом система использует четыре различных профиля: домашняя сеть, офисная сеть, общедоступная сеть и домен. Последний вариант доступен, только если данный компьютер действительно является частью домена. Как для домашней, так и для небольших офисных сетей конфигурация брандмауэра меняется: коммуникация извне становится возможной, поскольку в этих сетях активируется обнаружение сети, что позволяет найти и распознать другие компьютеры и устройства, например принтеры.
Самый надежный вариант — выбор так называемой общедоступной сети. На мобильных устройствах такую настройку следует устанавливать по умолчанию. В этом режиме брандмауэр блокирует все запросы, поступающие по сети. Важное замечание: если пользователь меняет этот параметр, к примеру, на подключенном к общественной точке доступа ноутбуке (для соединения со службой мгновенного обмена сообщениями), то это изменение сохраняется и активируется затем для всех сетей, в отношении которых используется профиль «публичная сеть»; поэтому после использования все изменения стоит вернуть в исходное состояние.
Режим «домен» (Рисунок 2) применяется только на компьютерах, работающих внутри так называемых доменов доступа (Access Domain, AD), что типично для большинства офисных рабочих мест. В этом случае все управление осуществляет сетевой администратор, а пользователь лишен как права выбора, так и возможностей вносить изменения.
ПРАВИЛА ДЛЯ ВХОДЯЩЕГО И ИСХОДЯЩЕГО СЕТЕВОГО ТРАФИКА
Как и ранее упомянутая версия из Windows XP, новый брандмауэр Windows умеет отклонять любой незатребованный входящий сетевой трафик. Речь идет о сетевых пакетах, которые не являются прямым ответом на запрос, произведенный системой, если для них не задано никаких правил исключения. Брандмауэры в Windows 7 и Server 2008 теперь поддерживают также и функцию контроля исходящего сетевого трафика. Так, администратор может задать правила, в соответствии с которыми будут блокироваться, к примеру, все пакеты, отправляемые на определенные порты. Это могут быть порты, к которым обращаются вредоносные программы, тогда как собственные приложения не должны ими пользоваться (см. Рисунок 3).
При составлении правил для входящего и исходящего трафика системный администратор может выбрать один из четырех режимов:
- программа — блокирование или разрешение доступа к четко определенным приложениям;
- порт — блокирование или разрешение доступа через один или несколько портов TCP или UDP (как видно на Рисунке 3, можно задать диапазон портов);
- предопределенный — правила, которые уже входят в число предварительно настроенных функций систем Windows, к примеру разрешение доступа к файлам или настройки Branch Cache;
- заданные пользователем — администратор сам выбирает произвольные параметры для создания собственных правил.
Администраторы сетей, желающие создавать свои правила, могут выбирать из большого числа разнообразных настроек, причем последние доступны не только для локально действующих правил, но и для тех, которые будут распределяться и применяться посредством групповых директив. В число разрешенных для использования параметров и элементов входят учетные записи и группы пользователей и компьютеров в том виде, в каком их можно найти в Active Directory. Кроме того, администратор может задать свои правила для портов, адресов и номеров протоколов (включая TCP и UDP), для различных сетевых интерфейсов (как для традиционных, так и для беспроводных и удаленных соединений), а также для типов и кодов ошибок протокола Internet Control Message Protocol (ICMP). Эти правила хранятся, как обычно в Windows, в реестре Registry, где их можно найти по следующему адресу: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParameters. В этом реестре есть подветвь FirewallPolicy, где имеются дополнительные подразделы: DomainProfile, Firewall Rules, Public Profile, Restricted Services и StandardProfile. Хотя все настройки компактно объединены, администраторам все же не следует вносить изменения непосредственно в базе данных реестра: слишком велик риск возникновения ошибок. К тому же Microsoft поддерживает лишь обработку правил через интегрируемый в MMC модуль. Как в Windows 7, так и в Windows Server 2008 R2 события, связанные с работой брандмауэра Windows с расширенными настройками безопасности, сохраняются в журнале событий. Найти их можно в разделе «Протоколы приложений и службMicrosoftWindowsбрандмауэр Windows с расширенной безопасностью». Там отображается информация о событиях, имеющая отношение к брандмауэрам и IPSec (безопасность соединений).
ПРАВИЛА БЕЗОПАСНОСТИ ДЛЯ СОЕДИНЕНИЙ
Благодаря правилам для безопасности соединений администратор получает возможность управлять множеством разно-образных параметров. Если рассмотренные ранее правила лишь фиксировали разрешенные и запрещенные коммуникации, то эта категория правил безопасности позволяет установить более тонкую градацию. С их помощью администратор может задать разнообразные сценарии, в которых он определяет необходимость аутентификации соединения и способ ее осуществления. Если условие, выбранное в основных правилах, допускает только защищенные соединения, то для получения разрешения от брандмауэра коммуникация должна соответствовать одному из таких правил безопасности соединений. Соответствующие настройки представлены в консоли MMC, где они сразу отображаются на правой панели (см. Рисунок 4).
При нажатии правой клавиши мыши и выборе пункта «новое правило» появляется «помощник». Администратору сети предлагаются пять различных подходов для задания способа аутентификации соединения. Текст в окне еще раз напоминает о том, что создание такого типа правил не определяет, будет ли соединение в принципе разрешено. При этом указываются лишь условия для способа и момента осуществления аутентификации при построении соединения. Администратор может выбрать один из следующих типов правил:
- Изоляция: соответствующее правило устанавливает, какую систему следует изолировать. Это осуществляется либо с помощью инфраструктуры AD, либо посредством статуса компьютера. Таким образом, аутентификация позволяет полностью управлять соединениями, как исходящими от системы, так и поступающими к ней.
- Освобождение от аутентификации: с помощью IP-адреса можно задать системы, которым не нужно аутентифицироваться или для которых не требуется защищенная коммуникация.
- От сервера к серверу: так регулируются соединения между компьютерами, при этом администратору необходимо задать IP-адреса конечных точек и указать метод аутентификации и момент, когда она должна осуществляться.
- Туннель: он может применяться при создании интернет-соединения между двумя шлюзовыми системами. И в этом случае необходимо задать конечные точки туннеля с помощью IP-адресов.
- Пользовательский режим: сетевой администратор может свободно создавать собственные правила.
Вновь созданное правило появляется в области детализации для защиты соединений. С помощью щелчка правой клавиши мыши можно выбирать и изменять дополнительные характеристики правил (в том числе их имена и метод аутентификации).
ДЛЯ ПРОФЕССИОНАЛОВ: ДОСТУП ЧЕРЕЗ КОМАНДНУЮ СТРОКУ
Помимо очень удобного доступа через интегрируемый модуль, профессионалы могут и в новых операционных системах Windows получить доступ к брандмауэру посредством командной строки. Администраторы, которые управляли брандмауэром через командную строку в Windows XP или Windows Server 2003, наверняка еще помнят команду netsh Firewall. В новых системах данная команда по-прежнему присутствует, однако Microsoft настоятельно подчеркивает, что это сделано исключительно из соображений совместимости. Так, она не поддерживает управление и конфигурирование тех функций брандмауэра, которые были введены в более новых версиях Windows, и не позволяет осуществлять прямую настройку брандмауэра посредством удаленного доступа к компьютеру. Все эти возможности появляются в результате применения нового контекста netsh, вызов которого выглядит следующим образом:
c: > netsh
netsh > advfirewall
netsh advfirewall >
Теперь поддерживается команда show, с помощью которой администратор может просмотреть профильные и глобальные характеристики. В advfirewall имеются еще четыре подпункта, вызываемые с помощью указания их имени после приглашения к вводу netsh advfirewall. При этом доступны следующие варианты:
- firewall отображение и настройка правил для безопасности соединений на системах;
- mainmode отображение и настройка правил для брандмауэра;
- monitor отображение и настройка правил для основного режима (доступна только в Windows 7 и Windows 2008 R2);
- с помощью этой команды сетевой администратор может запросить отображение заданных в данный момент правил для брандмауэра и IPSec, а также правил, задействованных в результате их соотнесения с активными профилями.
Кроме того, контекст monitor позволяет просматривать параметры безопасности для активных соединений в системе соотносятся с. Таким же образом из командной строки можно вывести на экран опции безопасности, выбранные при создании соединения. Все возможности и настройки соответствующего «контекста netsh» администратор может просмотреть, поставив вопросительный знак или указав команду help в соответствующем приглашении к вводу в подконтексте.
Франк-Михаэль Шледе — независимый журналист.