Брандмауер Windows xp.

Натиснувши кнопку «Брандмауэр Windows», ми можемо дістатися вікна налаштування вбудованого брандмауера операційної системи (рис.6). Відзначимо, що на відміну від продуктів сторонніх виробників, вбудований брандмауер Windows призначений лише для контролю вхідного трафіку, тобто він захищає комп’ютер лише від зовнішнього вторгнення. Він не контролює вихідний трафік, тобто ту інформацію, яку відправляє Ваш комп’ютер. Отже, якщо на Вашому комп’ютері вже встановлено «троянський кінь» або вірус, які самі встановлюють зв’язок з іншими комп’ютерами, брандмауер Windows не буде блокувати їхню мережеву активність.

Рис. 6. Вікно налаштувань брандмауера.

Крім того, за замовчуванням брандмауер захищає усі мережеві з’єднання і вхідний запит по протоколу ІСМР заборонено. Це значить, що якщо на комп’ютері буде включено брандмауер Windows, то перевіряти наявність цього комп’ютера в мережі командою PING стає беззмістовним.

Дуже часто в організаціях, де використовується ПЗ, яке вимагає вхідних з’єднань, виникає необхідність відкрити деякі порти на компєєютерах. Для вирішення цієї проблеми необхідно задати винятки у налаштуваннях брандмауера Windows. Існує два способи вирішення цієї задачі:

1. Можна задати виняток, вказавши програму, яка вимагає вхідного з’єднання. В цьому випадку брандмауер сам визначить, які порти необхідно відкрити і відкриє їх лише на час роботи вказаної програми.

2. Можна задати виняток, вказавши конкетний порт, по якому програма очікує вхідного з’єднання. В цьому випадку порт буде відкритий весь час, навіть тоді, коли ця програма не буде запущена. З точки зору безпеки цей варіант менш прийнятний.

Існує кілька способів створення винятків у налаштуваннях брандмауера. Можна використати графічний інтерфес (рис.7). Цей варіант досить детально описано у довідковому центрі Windows. Можна також скористатися налаштуваннями групової політики. Цей варіант більш прийнятний для мереж з великою кількістю комп’ютерів. Розглянемо його детальніше.

Параметри брандмауера у груповій політиці розміщено у вузлі «Конфигурация комп’ютера\Административные шаблоны\Сеть\Сетевые подключения\Брандмауэр Windows».

При налаштуваннях через групову політику необхідно налаштувати два профілі:

1. Профіль домену. Налаштування цього профілю використовуються, якщо комп’ютер підключений до мережі з контролером домену організації.

2. Стандартний профіль. Налаштування цього профілю використовуються, коли комп’ютер не підключений до мережі з контролером домену, наприклад, коли ноутбук організації використовується у відрядженні і підключений до Інтернету через Інтернет-провайдера. В цьому випадку налаштування брандмауера повинні бути більш суворими порівняно з налаштуваннями доменного профілю, оскільки комп’ютер підключено до публічної мережі без використання міжмережевих екранів своєї організації.

Якщо налаштування брандмауера виконуються через групову політику, локальні користувачі не будуть мати право змінювати їх через графічний інтерфейс програми. Деякі властивості програми в такому разі буде блоковано (див. рис.8).

Рис.8. Вікно брандмауера, який налаштовано за допомогою групової політики.

Розглянемо, як налаштувати винятки для програми та портів за допомогою групової політики. В якості прикладу оберемо запит Сервера адміністрування Kaspersky Administration Kit до комп’ютера, на якому встановлено Агент адміністрування, для отримання інформації про стан антивірусного захисту на ньому. В цьому випадку необхідно, щоби на клієнтському комп’ютері було відкрито порт UDP 15000 або дозволено вхідні запити для програми «C:\Program Files\ Kaspersky Lab\NetworkAgent\ klnagent.exe».