– заблокировать все подключения, удовлетворяющие данному правилу.
• Программы и службы – дает возможность указать программы и службы, подключения которых подпадают под данное правило. По умолчанию правило создается для любых программ.
• Пользователи и компьютеры – позволяет определить компьютеры и пользователей, соединения которых будут всегда разрешены.
• Протоколы и порты – дает возможность настроить локальный и удаленный порт, а также протокол, который должен использоваться при соединении, чтобы оно удовлетворяло данному правилу. С помощью кнопки Параметры для некоторых протоколов можно определить конкретные типы пакетов данного протокола, на которые будет распространяться правило.
• Область – позволяет указать локальные и удаленные IP-адреса, для которых будет применяться данное правило.
• Дополнительно – дает возможность настроить дополнительные параметры работы правила. В частности, можно определить профиль сети, для которого будет применяться данное правило, а также интерфейс сетевого подключения, для которого будет применяться правило (локальное подключение, беспроводное подключение или удаленное подключение).
Конечно, по умолчанию присутствует довольно много правил для входящих подключений, но часто необходимо создать свое собственное правило. Для этого применяется команда Создать правило контекстного меню подраздела Правила для входящих подключений. После выбора данной команды отобразится мастер создания нового правила, который состоит из пяти шагов. На первом шаге нужно указать, на основе каких данных будет определяться работа правила (на основе названия программы, на основе службы, на основе определенного порта и протокола или на основе нескольких типов данных). После этого необходимо указать действие при удовлетворении сетевого подключения правилу, профиль сети, для которого будет применяться правило, имя правила и т. д. Все возможности настройки правила, которые предоставляет мастер, были описаны выше, при рассмотрении окна настройки правила.
Когда созданных правил для входящих подключений станет много, вам могут потребоваться такие команды контекстного меню подраздела Правила для входящих подключений как Фильтровать по профилю, Фильтровать по состоянию и Фильтровать по группе, которые позволят отобразить только удовлетворяющие фильтру правила.
Все описанные выше возможности подраздела Правила для входящих подключений присутствуют и в подразделе Правила для исходящего подключения. Как видно из названия, этот подраздел определяет правила для исходящих подключений.
Подраздел Правила безопасности подключения
С помощью данного подраздела можно создать правила для сетевых подключений между двумя компьютерами на основе протокола IPSec. Благодаря этим правилам можно определить параметры работы протокола IPSec для подключений между двумя определенными компьютерами сети. По умолчанию в данном подразделе не существует ни одного правила.
Как и в предыдущих подразделах, чтобы создать новое правило IPSec, нужно воспользоваться командой Новое правило контекстного меню подраздела. После этого отобразится мастер, позволяющий создать следующие правила:
• Изоляция – запрещает соединения на основе таких критериев аутентификации, как членство в домене;
• Освобождение от проверки подлинности – правило, при котором соединение с определенным компьютером не будет требовать аутентификации;
• Сервер-сервер – правило аутентификации между двумя определенными компьютерами;
• Туннельный – правило аутентификации между шлюзами компьютеров;
• Настраиваемый – составное правило.
Как и раньше, для настройки правила все-таки лучше воспользоваться окном Свойства данного правила. Для правил IPSec это окно содержит следующие вкладки.
• Общие – как и раньше, позволяет изменить имя правила и его описание, однако с помощью данной вкладки нельзя изменить действие правила, ведь для правил IPSec такого понятия вообще не существует. Благодаря этой вкладке можно включить или отключить правило.
• Компьютеры – дает возможность указать локальные и удаленные IP-адреса, для которых будет применяться данное правило.
• Проверка подлинности – позволяет указать способ аутентификации, который должен применяться при соединении компьютеров, указанных на вкладке Компьютеры.
• Дополнительно – с помощью этой вкладки можно определить профиль сети, а также интерфейс сетевого подключения, для которых будет применяться правило (локальное подключение, беспроводное подключение или удаленное подключение). Кроме того, с ее помощью можно определить параметры создаваемого между двумя компьютерами туннеля (IP-адреса двух компьютеров).
Подраздел Наблюдение
С помощью данного подраздела можно просмотреть список правил, применяемых в данный момент. Он содержит следующие дочерние подразделы.
• Брандмауэр – отображает список правил для подключений на основе IP-протокола. С помощью окна Свойства определенного правила можно просмотреть такие сведения о работе правила, как протокол, порты, локальные и удаленные адреса, приложения и службы, тип интерфейса, для которого применяется данное правило.
• Правила безопасности подключения – определяет применяемые в данный момент правила для подключений на основе протокола IPSec.
• Сопоставления безопасности – содержит список сетевых подключений на основе протокола IPSec, установленных в данный момент.
Не стоит также забывать и о самом подразделе Наблюдение. После его выбора перед вами отобразятся текущие настройки профилей стандартного брандмауэра Windows: включен ли данный профиль, блокируются ли по умолчанию входящие и исходящие подключения, какие параметры ведения файла журнала используются и т. д. Все эти параметры изменялись с помощью окна Свойства подраздела Брандмауэр Windows в режиме повышенной безопасности и были рассмотрены ранее.
Окно Параметры брандмауэра Windows Несмотря на то что операционная система Windows Vista обзавелась новой оснасткой для работы со стандартным брандмауэром, окно Брандмауэр Windows, известное вам по предыдущим версиям операционной системы, никуда не исчезло. Однако теперь доступ непосредственно к нему можно получить не с помощью одноименного значка папки Панель управления, а с помощью программы FirewallSettings.ехе. И теперь он называется Параметры брандмауэра Windows. Что же касается возможностей данного окна, то они совершенно не изменились.
...
Примечание
Окно Параметры брандмауэра Windows можно отобразить и с помощью команды rundll32.exe firewall.cpl, ShowControlPanel.
Окно Параметры брандмауэра Windows представляет собой более простой способ изменения некоторых параметров работы публичного профиля стандартного брандмауэра Windows Vista. Он содержит следующие вкладки.
• Общие – позволяет включить или отключить публичный профиль брандмауэра Windows Vista, а также определить, будет ли разрешено указывать исключения, на которые настройки брандмауэра действовать не будут.
• Исключения – дает возможность определить исключения, на которые настройки брандмауэра действовать не будут (исключения представляют собой правила оснастки Брандмауэр Windows в режиме повышенной безопасности). Если напротив программы из списка данной вкладки установлен флажок, то пакеты соответствующей программы или службы будут пропускаться брандмауэром. С помощью данной вкладки вы можете как указать новую программу и порт, так и изменить параметры уже указанных программ. Используя флажок Уведомлять, когда брандмауэр блокирует новую программу данной вкладки, можно определить, будет ли выдаваться сообщение о блокировании пакетов программ, не входящих в список исключений. Здесь можно добавить указанную программу в список исключений.
По умолчанию установлены следующие исключения.
– Общий доступ к файлам и принтерам – предоставляет доступ к ресурсам общего доступа компьютера.
– Удаленный помощник – позволяет получить удаленный доступ к компьютеру с помощью мастера Удаленный помощник Windows. Работа с удаленным помощником будет описана далее в этой книге.
– Маршрутизация и удаленный доступ – предоставляет доступ одноименной службе.
– Возможности подключения устройств на платформе Windows Mobile – открывает порт 990 протокола TCP для взаимодействия компьютера и таких устройств, как, например, коммуникаторы.
• Дополнительно – дает возможность настроить параметры ведения файла журнала для публичного профиля, указать пакеты ICMP, которые брандмауэру разрешено пропускать, указать сетевые соединения, для которых брандмауэр включен, а также восстановить настройки брандмауэра по умолчанию.
Окно Брандмауэр Windows Получить доступ к стандартному брандмауэру операционной системы можно и с помощью окна Брандмауэр Windows, которое отображается после щелчка кнопкой мыши на одноименном значке папки Панель управления.
...
Примечание
Сведения о диагностике работы окна Брандмауэр Windows заносятся в журнал Журналы приложений и служб → Microsoft → Windows → Firewall-CPL.
Можно также просмотреть различные сведения о диагностике работы службы Брандмауэр Windows. Для этого применяются журналы разделов MPS-CLNT, MPS-DRV. MPS-SRV подраздела Журналы приложений и служб → Microsoft → Windows.
По сути, окно Брандмауэр Windows является чем-то вроде набора ссылок для запуска окна Параметры брандмауэра Windows, рассмотренного выше. Это окно содержит сведения о том, активен ли в данный момент брандмауэр Windows, отображаются ли уведомления при блокировании подключения, какой сетевой профиль используется для подключения к локальной сети (публичный или частный). Кроме предоставления сведений, окно Брандмауэр Windows хранит несколько ссылок, однако все они отображают окно Параметры брандмауэра Windows, рассмотренное выше.
Настройка брандмауэра с помощью программы netsh.exe
Настроить работу стандартного брандмауэра операционной системы можно также с помощью команд программы командной строки netsh.ехе. Программа поддерживает две команды, предназначенные для настройки брандмауэра: firewall и advf irewall. Первая присутствовала и в операционной системе Windows ХР, вторая же является нововведением Windows Vista.
Команда firewall. Она позволяет управлять возможностями, предоставляемыми стандартным окном Брандмауэр Windows. Для этого команда поддерживает следующие дочерние команды.
• Show – позволяет просмотреть сведения о текущих настройках брандмауэра. Она, в свою очередь, поддерживает следующие дочерние команды.
• Allowedprogram. – отображает список программ-исключений, работа которых в сети блокироваться не будет.
• Conf ig – выводит все настройки брандмауэра (все остальные дочерние команды команды show показывают лишь определенную часть настроек, которые отображаются командой conf ig).
• Currentprof ile – отображает профиль брандмауэра, используемый в данный момент.
• Icmpsetting – выводит параметры блокирования пакетов протокола ICMP (какие типы пакетов брандмауэр будет игнорировать, а какие – блокировать). Подробнее о пакетах ICMP вы можете прочесть далее.
• Logging – отображает параметры ведения файла журнала (путь к нему, его максимальный размер, какие сведения будут в него заноситься).
...
Примечание
В файл журнала брандмауэра помещается следующая информация: время поступления пакета, действие брандмауэра (блокировка пакета или его игнорирование), протокол, используемый для передачи пакета, исходный IP-адрес (и порт) и IP-адрес назначения (и порт), размер пакета, контрольные флаги протокола TCP.
• Opmode – выводит режимы работы брандмауэра, которые разрешены операционной системой.
• Portopening – отображает список портов-исключений, работа с сетью через которые не будет блокироваться брандмауэром.
• Service – выводит список служб-исключений, работа с сетью которых не будет блокироваться брандмауэром.
• State – отображает сведения о текущем состоянии брандмауэра (объединяет команды Portopening, Opmode, multicastbroadcastresponse и notifications).
• Multicastbroadcastresponse – определяет, разрешен ли режим однонаправленного ответа на широковещательные запросы.
• Notifications – определяет, будут ли отображаться уведомления о том, что брандмауэр заблокировал работу определенной программы.
• Add – позволяет добавить программу или порт, работа через который не будет блокироваться брандмауэром. Команда, в свою очередь, поддерживает следующие дочерние команды.
• Allowedprogram – добавить программу-исключение.
• Portopening – добавить порт-исключение.
• Set – дает возможность настроить параметры работы стандартного брандмауэра. Команда поддерживает следующие дочерние команды.
• Allowedprogram – позволяет изменить настройки определенной программы-исключения.
• Icmpsetting – дает возможность настроить параметры блокирования пакетов ICMP.
• Logging – позволяет настроить параметры ведения файла журнала.
• Opmode – дает возможность настроить режим работы брандмауэра (глобальный или для отдельного сетевого интерфейса).
• Portopening – позволяет изменить настройки определенного порта-исключения.
• Service – дает возможность разрешить или запретить блокирование определенной службы. С помощью данной команды можно управлять только определенными службами (ключевые слова, определяющие службы: FILEANDPRINT, REMOTEADMIN, REMOTEDESKTOP, UPNP, ALL).
• Notifications – позволяет настроить параметры отображения уведомлений при блокировании работы программы с сетью.
• Multicastbroadcastresponse – дает возможность определить, разрешен ли режим однонаправленного ответа на широковещательные запросы.
• Delete – позволяет удалить программу или порт, работа через которые ранее не блокировалась брандмауэром. Команда поддерживает следующие дочерние команды.
• Allowedprogram – удалить программу-исключение.
• Portopening – удалить порт-исключение.
• Reset – установить все настройки стандартного брандмауэра по умолчанию.
С помощью счетчиков производительности вы можете просмотреть информацию о получении и отправке пакетов ICMP разных типов. Для этого применяются счетчики объекта ICMP (или объекта ICMPv6). Например, с помощью данных счетчиков можно узнать следующее.
• Количество отправленных пакетов типа Destination Unreachable (место назначения недостижимо), Time Exceeded (истечение допустимого на передачу времени), Source Quench (принимающий узел не успевает обработать получаемые сообщения), Parameter Problem (параметры принятого сообщения ошибочны), Redirect (перенаправление), Echo Reply (эхо-ответы), Timestamp Reply (запрос на получение штампа времени), Address Mask (запрос на получение маски адреса). Соответственно, для этого применяются счетчики Отправлено сообщений \'Destination Unreachable\', Отправлено сообщений \'Time Exceeded\', Отправлено сообщений \'Source Quench\', Отправлено сообщений \'Parameter Problem\', Отправлено сообщений о перенаправлении/сек, Отправлено эхо-ответов/сек, Отправлено ответов штампа времени/сек, Отправлено ответов с маской адреса.
• Количество полученных пакетов типа Destination Unreachable, Time Exceeded, Source Quench, Parameter Problem, Redirect, Echo Reply, Timestamp Reply, Address Mask.
• Общее количество отправленных и полученных сообщений (счетчики Сообщений/сек, Получено сообщений/сек, Отправлено сообщений/сек), а также количество отправленных и полученных сообщений, которые не были обработаны из-за ошибки (счетчики Ошибок при получении сообщений, Ошибок исходящих сообщений).
Команда advfirewall. С помощью данной команды вы можете управлять новым стандартным брандмауэром операционной системы Windows Vista (реализованным в оснастке Брандмауэр Windows в режиме повышенной безопасности). Возможности данной команды будут описаны в гл. 8, посвященной сетевым функциям операционной системы.
Другие компоненты операционной системы
Службы компонентов
CLSID-номер оснастки: {C9BC92DF-5B9A-11D1-8F00-00C04FC2C17B}.
Библиотека: comsnap.dll.
Используется в стандартных консолях: comexp.msc, также можно запустить с помощью файла dcomcnf g.ехе.
Оснастка Службы компонентов является стандартной оснасткой операционных систем семейства Windows, но мало пользователей ее используют. С ее помощью можно просмотреть список зарегистрированных в системе СОМ-компонентов и приложений СОМ+, а также настроить параметры их взаимодействия с удаленными компьютерами и локальными пользователями. Благодаря данной оснастке можно также настроить работу координатора распределенных транзакций (MSDTC).
Используя оснастку, вы можете получить доступ к ActiveX-объектам как локального, так и удаленного компьютера. По умолчанию выполняется подключение к локальному компьютеру, но вы можете подключиться к удаленному компьютеру с помощью команды Создать → Компьютер контекстного меню раздела Компьютеры загруженной оснастки Службы компонентов.
Оснастка состоит из следующих разделов.
• Приложения С0М+ – позволяет управлять приложениями СОМ+, установленными на данном компьютере (приложение СОМ+ представляет собой набор компонентов СОМ, которые взаимодействуют друг с другом и выполняют управление очередями или реализуют возможность настройки параметров безопасности на основе ролей). С помощью контекстного меню данного раздела можно также установить новое приложение СОМ+ (команда Создать → Приложение). Естественно, это можно сделать и с помощью службы Установщик Windows.
Раздел содержит набор вложенных подразделов, которые и определяют приложения СОМ+. Одним из таких стандартных подразделов является подраздел Системное приложение. Он определяет параметры работы системного приложения, которое управляет функциями настройки и развертывания служб компонентов (то есть пользователи, имеющие доступ к данному приложению, могут управлять работой СОМ-компонентов и устанавливать новые).
Каждый из подразделов, в свою очередь, может включать в себя дочерние подразделы. Например, следующие.
– Компоненты – хранит список СОМ-компонентов данного приложения СОМ+. С помощью контекстного меню данного подраздела вы можете добавить новый СОМ-компонент к списку используемых. Для этого нужно выбрать команду Создать → Компонент, после чего отобразится мастер добавления компонентов, содержащий список всех зарегистрированных на компьютере СОМ-компонентов.