Windows Vista. Для профессионалов Клименко Роман
• Системные службы – содержит список всех служб, доступных в системе, и позволяет определить способы их запуска.
• Реестр – позволяет указать права доступа к различным ветвям реестра. Для этого сначала нужно добавить в данный подраздел необходимую ветвь реестра , что легко сделать с помощью команды Добавить раздел контекстного меню. После этого оснастка предложит вам указать права для доступа к данной ветви реестра.
• Файловая система – позволяет указать права доступа к различным каталогам файловой системы Windows ХР. Для этого сначала нужно добавить в данный подраздел путь к каталогу. Это делается с помощью команды Добавить файл контекстного меню. После этого оснастка предложит вам выбрать права для доступа к данному каталогу или файлу, а также указать, будут ли определенные вами права распространяться на все вложенные в каталог папки и файлы.
После того как вы отредактируете шаблон безопасности, необходимо сохранить все сделанные изменения. Для этого в контекстном меню шаблона безопасности нужно выбрать команду Сохранить. После этого можно применить настройки созданного вами шаблона безопасности с помощью оснастки Анализ и настройка безопасности.
Управление ТРМCLSID-номер оснастки: {7d3830aa-e69e-4e17-8bdl-lb87b97099da}.
Библиотека: tpmcompc.dll.
Используется в стандартных консолях: tpm.msc.
Данная оснастка является нововведением операционной системы Windows Vista. С ее помощью можно управлять работой микросхемы ТРМ, которая устанавливается на современные материнские платы и позволяет хранить конфиденциальные данные пользователя, а также параметры конфигурации компьютера и операционной системы. Благодаря данной микросхеме можно повысить безопасность компьютера в отношении таких угроз, как самовольное добавление оборудования в компьютер, самовольная установка программ и т. д.Групповые политики для настройки ТРМ
Работу с ТРМ можно ограничить с помощью групповых политик. Для этого применяются политики, описанные в файле ТРМ. admx и расположенные в подразделе Конфигурация компьютера Административные шаблоны Система Служба доверенного платформенного модуля. Политики данного подраздела изменяют следующие параметры REG_DWORD-типа, расположенные в ветви HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\TPM.
• ActiveDirectoryBackup – если значение данного параметра равно 1, то будет разрешено копировать основную информацию о данных владельца ТРМ (криптографический хэш главного пароля ТРМ) на контроллер домена Active Directory.
• RequireActiveDirectoryBackup – если значение параметра равно 1, то копирование основной информации владельца ТРМ на контроллер домена Active Directory будет обязательным. При этом пароль владельца ТРМ не будет назначен, если архивирование нового пароля на контроллере домена не прошло успешно.
Некоторые возможности работы ТРМ можно настроить и с помощью следующих параметров REG_DWORD-типа ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\TPM\BlockedCommands.
• Enabled – если значение данного параметра равно 1, то операционная система будет использовать параметры строкового типа, расположенные в дочернем подразделе List ветви реестра , чтобы запретить определенные команды ТРМ.
• IgnoreDef aultList – при установке значения этого параметра равным 1 список команд ТРМ, выполнять которые по умолчанию запрещено, будет игнорироваться. Однако список дочернего подраздела List данной ветви реестра и локальный список команд ТРМ по-прежнему будут работать.
• IgnoreLocalList – если значение данного параметра равно 1, то локальный список команд ТРМ, выполнять которые запрещено, будет игнорироваться. Однако список дочернего подраздела List данной ветви реестра по-прежнему будет работать. Также будет работать список, определенный по умолчанию.Возможности репозитария CIM
Репозитарий CIM операционной системы Windows Vista также позволяет работать с чипом ТРМ. Для этого предназначено пространство имен \\root\CIMV2\Security\MicrosoftTpm. Оно включает в себя лишь один класс: Win32_Tpm, который определяет настройки работы чипа ТРМ и даже позволяет управлять его работой. Класс содержит следующие свойства, доступные только для чтения:
• Manufacturerld, тип: uint32 – определяет идентификатор производителя чипа ТРМ;
• Manuf acturerVersion, тип: string – указывает версию чипа ТРМ;
• Manuf acturerVersionInfo, тип: string – определяет версию чипа ТРМ;
• PhysicalPresenceVersionInfo, тип: string – указывает версию чипа ТРМ;
• SpecVersion, тип: string – определяет версию чипа ТРМ.
Класс также поддерживает следующие методы.
• AddBlockedCommand – добавляет команду к списку блокируемых команд. Входящий параметр: строковый параметр, определяющий команду. Возвращаемые параметры: нет.
• ChangeOwnerAuth – изменяет параметры аутентификации. Входящие строковые параметры:
• содержащий старую строку аутентификации;
• хранящий новую строку аутентификации. Возвращаемые параметры: нет.
• Clear – удаляет настройки чипа ТРМ.
Входящий параметр: строковый параметр, содержащий строку аутентификации.
Возвращаемые параметры: нет.
• ConvertToOwnerAuth – преобразует пароль в строку аутентификации.
Входящий параметр: строковый параметр, содержащий пароль для аутентификации.
Возвращаемый параметр: строковый параметр, содержащий строку аутентификации.
• CreateEndorsementKeyPair – создает пару ключей подтверждения.
Входящие параметры: нет.
Возвращаемые параметры: нет.
• Disable – отключает чип ТРМ.
Входящий параметр: строковый параметр, содержащий строку аутентификации.
Возвращаемые параметры: нет.
• Enable – включает чип ТРМ.
Входящий параметр: строковый параметр, содержащий строку аутентификации.
Возвращаемые параметры: нет.
• GetPhysicalPresenceRequest – возвращает физическое присутствие запроса.
Входящие параметры: нет.
Возвращаемый параметр: определяет запрос, имеет тип uint32.
• GetPhysicalPresenceResponse – возвращает физическое присутствие ответа.
Входящие параметры: нет.
Возвращаемые параметры:
• определяет запрос, имеет тип uint32;
• определяет ответ, имеет тип uint32.
• GetPhysicalPresenceTransition – возвращает физическое присутствие перемещения.
Входящие параметры: нет.
Возвращаемый параметр: определяет перемещение, имеет тип uint32.
• IsActivated – определяет, активирован ли ТРМ.
Входящие параметры: нет.
Возвращаемый параметр: определяет, активирован ли ТРМ. Имеет тип boolean
• IsCommandBlocked – определяет, заблокирована ли команда.
Входящий параметр: определяет порядок команды, имеет тип uint32.
Возвращаемый параметр: определяет, заблокирована ли команда, имеет тип uint32.
• IsCommandPresent – определяет команду, выполняемую в текущий момент.
Входящий параметр: определяет порядок команды, имеет тип uint32.
Возвращаемый параметр: определяет команду, выполняемую в текущий момент, имеет тип uint32.
• IsEnabled – определяет, включен ли ТРМ.
Входящие параметры: нет.
Возвращаемый параметр: определяет, включен ли ТРМ, имеет тип boolean.
• IsEndorsementKeyPairPresent – определяет, подтверждена ли текущая пара ключей.
Входящие параметры: нет.
Возвращаемый параметр: определяет, подтверждена ли текущая пара ключей, имеет тип boolean.
• IsOwned – определяет, является ли ТРМ-модуль основным.
Входящие параметры: нет.
Возвращаемый параметр: определяет, является ли ТРМ-модуль основным, имеет тип boolean.
• IsOwnerClearDisabled – определяет, запрещена ли очистка.
Входящие параметры: нет.
Возвращаемый параметр: определяет, запрещена ли очистка, имеет тип boolean.
• IsOwnershipAllowed – определяет, разрешено ли владение.
Входящие параметры: нет.
Возвращаемый параметр: определяет, разрешено ли владение, имеет тип boolean.
• IsPhysicalClearDisabled – определяет, запрещена ли физическая очистка.
Входящие параметры: нет.
Возвращаемый параметр: определяет, запрещена ли физическая очистка, имеет тип boolean.
• IsPhysicalPresenceHardwareEnabled – определяет, разрешены ли текущие компоненты компьютера.
Входящие параметры: нет.
Возвращаемый параметр: определяет, разрешены ли текущие компоненты компьютера, имеет тип boolean.
• IsSrkAuthCompatible – определяет, поддерживается ли аутентификация.
Входящие параметры: нет.
Возвращаемый параметр: определяет, поддерживается ли аутентификация, имеет тип boolean.
• RemoveBlockedCommand – удаляет блокирующую команду. Входящий параметр: определяет порядок команды, имеет тип uint32. Возвращаемые параметры: нет.
• ResetAuthLockOut – сбрасывает блокировку аутентификации. Входящий параметр: определяет аутентификацию, имеет тип uint32. Возвращаемые параметры: нет.
• ResetSrkAuth – сбрасывает аутентификацию.
Входящий параметр: строковый параметр, содержащий строку аутентификации.
Возвращаемые параметры: нет.
• Self Test – выполняет самотестирование ТРМ.
Входящие параметры: нет.
Возвращаемый параметр: массив параметров типа uint8, содержащих результаты самотестирования ТРМ.
• SetPhysicalPresenceRequest – устанавливает текущий физический запрос. Входящий параметр: определяет запрос, имеет тип uint32. Возвращаемые параметры: нет.
• TakeOwnership – позволяет изменить владельца.
Входящий параметр: строковый параметр, содержащий строку аутентификации.
Возвращаемые параметры: нет.
Брандмауэр Windows в режиме повышенной безопасностиCLSID-номер оснастки: {b05566ac-f e9c-4368-be02-7a4cbb7cbell}.
Библиотека: AuthFWSnapin.dll.
Используется в стандартных консолях: secpol.msc, WF.msc.
В операционной системе Windows Vista, помимо стандартного окна Брандмауэр Windows, который совершенно не изменился, присутствует новая оснастка Брандмауэр Windows в режиме повышенной безопасности. Возможности этой оснастки существенно превышают возможности окна Брандмауэр Windows.
Сведения о работе стандартного брандмауэра операционной системы Windows Vista можно просмотреть с помощью счетчиков производительности объектов WFPv4 и WFPv6. Например, с их помощью можно узнать следующие сведения:
• количество отброшенных за последнюю секунду входящих и исходящих пакетов (счетчики Отброшено входящих пакетов/сек и Отброшено исходящих пакетов/сек), а также общее количество отброшенных пакетов (счетчик Отброшено пакетов/сек);
• количество заблокированных за последнюю секунду входящих и исходящих соединений (счетчики Заблокировано входящих подключений/сек и Заблокировано исходящих подключений/сек), а также количество разрешенных соединений (счетчики Разрешено входящих подключений/сек, Разрешено исходящих подключений/сек);
• общее количество входящих и исходящих соединений (счетчики Входящие подключения и Исходящие подключения), а также количество активных из них (счетчики Активные входящие подключения и Активные исходящие подключения).
При загрузке оснастки Брандмауэр Windows в режиме повышенной безопасности нужно указать компьютер, параметры брандмауэра которого будут загружены в оснастку. Основное окно оснастки представлено на рис. 5.18.
Рис. 5.18. Оснастка Брандмауэр Windows в режиме повышенной безопасности
Основное окно оснастки состоит из следующих элементов.
• Обзор – отображает основные сведения о настройках брандмауэра: включен ли брандмауэр для доменного профиля (используется, если компьютер является частью домена Active Directory), частной сети и публичной сети (при создании сетевого подключения можно определить, является это подключение частным, то есть локальным, или публичным, то есть через Интернет), настроены ли фильтры входящего и исходящего соединения. Кроме того, данное поле содержит в себе ссылку Свойства брандмауэра Windows, с помощью которой отображается основное окно настройки брандмауэра.
• Приступая к работе – содержит четыре ссылки на подразделы оснастки Брандмауэр Windows в режиме повышенной безопасности: Правила безопасности подключений, Правила для входящих подключений, Правила для исходящих подключений и Наблюдение.
• Ресурсы – включает в себя ссылки на различные разделы справки операционной системы, описывающей те или иные аспекты работы с оснасткой Брандмауэр Windows в режиме повышенной безопасности.Окно Свойства
Окно настройки основных параметров работы брандмауэра можно отобразить как с помощью ссылки Свойства брандмауэра Windows основного окна оснастки, так и с помощью команды Свойства контекстного меню подраздела оснастки. Окно имеет четыре вкладки (рис. 5.19).
Рис. 5.19. Окно Свойства: Брандмауэр Windows в режиме повышенной безопасности
Вкладки Профиль домена, Частный профиль и Общий профиль имеют одни и те же возможности настройки, но настраивают, соответственно, работу доменного, частного и публичного профиля работы брандмауэра. Данные вкладки имеют следующие поля.
• Состояние – с помощью данного поля можно включить или отключить работу брандмауэра для данного типа сетевых подключений (раскрывающийся список Состояние брандмауэра), а также можно настроить действие по умолчанию для входящих и исходящих подключений (разрешены или не разрешены данные подключения).
• Параметры – если вы нажмете кнопку Настроить, то сможете настроить дополнительные параметры работы брандмауэра, указанные в следующих раскрывающихся списках:
– Вывести уведомление – определяет, будет ли отображаться сообщение о том, что входящее подключение было заблокировано;
– Разрешить одноадресный ответ – указывает, разрешено ли отвечать направленными сообщениями на групповые и широковещательные сообщения;
– Правила локального брандмауэра – определяет, разрешено ли применять правила стандартного брандмауэра данного компьютера;
– Правила безопасности локальных подкл. – указывает, разрешено ли применять правила сетевых подключений данного компьютера.
• Ведение журнала – если вы нажмете кнопку Настроить, то сможете настроить такие параметры ведения файла журнала, как путь к нему, максимальный размер файла, а также указать, будут ли в нем регистрироваться успешно установленные сетевые соединения и потерянные пакеты.
Это окно также содержит вкладку Параметры IPSec, на которой расположена кнопка Настроить и раскрывающийся список Исключить ICMP из IPSec. С помощью списка можно определить, будут ли пакеты протокола ICMP исключаться из трафика IPSec.
Если вы нажмете кнопку Настроить, то отобразится окно Выбор параметров IPSec, позволяющее настроить следующие параметры работы протокола IPSec.
• Обмен ключами (основной режим) – дает возможность изменить алгоритм шифрования, используемый при обмене ключами, алгоритм шифрования и проверки целостности передаваемых пакетов, а также время жизни ключа (как на основе количества прошедшего времени, так и на основе количества созданных сессий).
По умолчанию используется проверка целостности пакетов на основе алгоритма SHA1, но можно также использовать алгоритм MD5.
Используется шифрование пакетов с помощью алгоритма AES-128, но можно также использовать такие алгоритмы, как AES-256, AES-l92, 3DES, DES (AES-256 обеспечивает самое надежное шифрование, a DES – самое ненадежное, но быстрое).
По умолчанию используется шифрование ключей с помощью алгоритма Диффи-Хелмана второй группы. Можно также использовать такие разновидности алгоритма Диффи-Хелмана, как алгоритм первой группы, четырнадцатой, а также алгоритм эллиптической кривой Р-256 или Р-384. Алгоритм первой группы обеспечивает наименьшую защиту ключа. Алгоритмы на основе эллиптической кривой обеспечивают самое надежное шифрование, однако они поддерживаются только операционной системой Windows Vista.
• Защита данных (быстрый режим) – также позволяет изменить алгоритмы, используемые для шифрования и проверки целостности пакетов. Кроме того, с помощью данного поля можно определить, какой протокол и в какой последовательности будет использоваться при подключении по протоколу IPSec (ESP (использует как проверку целостности пакетов, так и шифрование) или АН (использует только проверку целостности пакетов)).
• Метод проверки подлинности – дает возможность изменить способ аутентификации пользователей при создании соединения на основе протокола IPSec. При этом можно указать следующие методы аутентификации:
– аутентификация компьютера и пользователя на основе протокола Кеrberos;
– аутентификация компьютера на основе протокола Kerberos;
– аутентификация пользователя на основе протокола Kerberos;
– использование сертификата пользователя для аутентификации;
– использование пароля.
Обратите также внимание на команду Восстановить значения по умолчанию контекстного меню оснастки. С ее помощью можно изменить все настройки брандмауэра на стандартные, если созданные настройки не удовлетворяют вашим требованиям. Стандартные настройки брандмауэра хранятся в ветви реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\ Firewall Pol icy. Текущие же параметры настройки брандмауэра хранятся в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ SharedAccess\Parameters\FirewallPolicy. Эти ветви реестра содержат одинаковые подразделы.
• DomainProfile, PublicProfile и StandardProfile – хранят настройки данного профиля брандмауэра. Например, в них содержатся такие параметры типа REG_DWORD, как EnableFirewall и DisableNotification. Кроме того, эти подразделы могут содержать дочерний подраздел Logging, хранящий настройки ведения файла журнала.
• FirewallRules – содержит параметры строкового типа, каждый из которых определяет одно правило для брандмауэра.
• RestrictedServices – хранит сведения о службах, доступ к сети которых запрещен.Подраздел Правила для входящих подключений
Этот подраздел оснастки содержит список всех правил для входящих подключений операционной системы. Он хранит множество стандартных правил, однако не все из них включены. Если напротив названия правила установлен значок в виде флажка, то данное правило используется. Если же напротив правила изображен значок со стрелкой вниз, то правило не используется. Чтобы включить или выключить использование данного правила, нужно в его контекстном меню выбрать соответственно команду Включить правило или Отключить правило. Можно также изменить параметры созданного правила. Для этого используется команда Свойства контекстного меню правила. После ее выбора отобразится окно, содержащее следующие вкладки.
• Общие – позволяет настроить имя правила и его описание, а также действие, которое будет выполнено при удовлетворении данного правила. В качестве действия могут использоваться следующие возможности:
– разрешить все подключения, удовлетворяющие данному правилу;
– разрешить только подключения на основе протокола IPSec (также можно дополнительно определить, должен ли при подключении использоваться протокол ESP);
– заблокировать все подключения, удовлетворяющие данному правилу.
• Программы и службы – дает возможность указать программы и службы, подключения которых подпадают под данное правило. По умолчанию правило создается для любых программ.
• Пользователи и компьютеры – позволяет определить компьютеры и пользователей, соединения которых будут всегда разрешены.
• Протоколы и порты – дает возможность настроить локальный и удаленный порт, а также протокол, который должен использоваться при соединении, чтобы оно удовлетворяло данному правилу. С помощью кнопки Параметры для некоторых протоколов можно определить конкретные типы пакетов данного протокола, на которые будет распространяться правило.
• Область – позволяет указать локальные и удаленные IP-адреса, для которых будет применяться данное правило.
• Дополнительно – дает возможность настроить дополнительные параметры работы правила. В частности, можно определить профиль сети, для которого будет применяться данное правило, а также интерфейс сетевого подключения, для которого будет применяться правило (локальное подключение, беспроводное подключение или удаленное подключение).
Конечно, по умолчанию присутствует довольно много правил для входящих подключений, но часто необходимо создать свое собственное правило. Для этого применяется команда Создать правило контекстного меню подраздела Правила для входящих подключений. После выбора данной команды отобразится мастер создания нового правила, который состоит из пяти шагов. На первом шаге нужно указать, на основе каких данных будет определяться работа правила (на основе названия программы, на основе службы, на основе определенного порта и протокола или на основе нескольких типов данных). После этого необходимо указать действие при удовлетворении сетевого подключения правилу, профиль сети, для которого будет применяться правило, имя правила и т. д. Все возможности настройки правила, которые предоставляет мастер, были описаны выше, при рассмотрении окна настройки правила.
Когда созданных правил для входящих подключений станет много, вам могут потребоваться такие команды контекстного меню подраздела Правила для входящих подключений как Фильтровать по профилю, Фильтровать по состоянию и Фильтровать по группе, которые позволят отобразить только удовлетворяющие фильтру правила.
Все описанные выше возможности подраздела Правила для входящих подключений присутствуют и в подразделе Правила для исходящего подключения. Как видно из названия, этот подраздел определяет правила для исходящих подключений.Подраздел Правила безопасности подключения
С помощью данного подраздела можно создать правила для сетевых подключений между двумя компьютерами на основе протокола IPSec. Благодаря этим правилам можно определить параметры работы протокола IPSec для подключений между двумя определенными компьютерами сети. По умолчанию в данном подразделе не существует ни одного правила.
Как и в предыдущих подразделах, чтобы создать новое правило IPSec, нужно воспользоваться командой Новое правило контекстного меню подраздела. После этого отобразится мастер, позволяющий создать следующие правила:
• Изоляция – запрещает соединения на основе таких критериев аутентификации, как членство в домене;
• Освобождение от проверки подлинности – правило, при котором соединение с определенным компьютером не будет требовать аутентификации;
• Сервер-сервер – правило аутентификации между двумя определенными компьютерами;
• Туннельный – правило аутентификации между шлюзами компьютеров;
• Настраиваемый – составное правило.
Как и раньше, для настройки правила все-таки лучше воспользоваться окном Свойства данного правила. Для правил IPSec это окно содержит следующие вкладки.
• Общие – как и раньше, позволяет изменить имя правила и его описание, однако с помощью данной вкладки нельзя изменить действие правила, ведь для правил IPSec такого понятия вообще не существует. Благодаря этой вкладке можно включить или отключить правило.
• Компьютеры – дает возможность указать локальные и удаленные IP-адреса, для которых будет применяться данное правило.
• Проверка подлинности – позволяет указать способ аутентификации, который должен применяться при соединении компьютеров, указанных на вкладке Компьютеры.
• Дополнительно – с помощью этой вкладки можно определить профиль сети, а также интерфейс сетевого подключения, для которых будет применяться правило (локальное подключение, беспроводное подключение или удаленное подключение). Кроме того, с ее помощью можно определить параметры создаваемого между двумя компьютерами туннеля (IP-адреса двух компьютеров).Подраздел Наблюдение
С помощью данного подраздела можно просмотреть список правил, применяемых в данный момент. Он содержит следующие дочерние подразделы.
• Брандмауэр – отображает список правил для подключений на основе IP-протокола. С помощью окна Свойства определенного правила можно просмотреть такие сведения о работе правила, как протокол, порты, локальные и удаленные адреса, приложения и службы, тип интерфейса, для которого применяется данное правило.
• Правила безопасности подключения – определяет применяемые в данный момент правила для подключений на основе протокола IPSec.
• Сопоставления безопасности – содержит список сетевых подключений на основе протокола IPSec, установленных в данный момент.
Не стоит также забывать и о самом подразделе Наблюдение. После его выбора перед вами отобразятся текущие настройки профилей стандартного брандмауэра Windows: включен ли данный профиль, блокируются ли по умолчанию входящие и исходящие подключения, какие параметры ведения файла журнала используются и т. д. Все эти параметры изменялись с помощью окна Свойства подраздела Брандмауэр Windows в режиме повышенной безопасности и были рассмотрены ранее.Окно Параметры брандмауэра Windows Несмотря на то что операционная система Windows Vista обзавелась новой оснасткой для работы со стандартным брандмауэром, окно Брандмауэр Windows, известное вам по предыдущим версиям операционной системы, никуда не исчезло. Однако теперь доступ непосредственно к нему можно получить не с помощью одноименного значка папки Панель управления, а с помощью программы FirewallSettings.ехе. И теперь он называется Параметры брандмауэра Windows. Что же касается возможностей данного окна, то они совершенно не изменились.
Примечание
Окно Параметры брандмауэра Windows можно отобразить и с помощью команды rundll32.exe firewall.cpl, ShowControlPanel.
Окно Параметры брандмауэра Windows представляет собой более простой способ изменения некоторых параметров работы публичного профиля стандартного брандмауэра Windows Vista. Он содержит следующие вкладки.
• Общие – позволяет включить или отключить публичный профиль брандмауэра Windows Vista, а также определить, будет ли разрешено указывать исключения, на которые настройки брандмауэра действовать не будут.
• Исключения – дает возможность определить исключения, на которые настройки брандмауэра действовать не будут (исключения представляют собой правила оснастки Брандмауэр Windows в режиме повышенной безопасности). Если напротив программы из списка данной вкладки установлен флажок, то пакеты соответствующей программы или службы будут пропускаться брандмауэром. С помощью данной вкладки вы можете как указать новую программу и порт, так и изменить параметры уже указанных программ. Используя флажок Уведомлять, когда брандмауэр блокирует новую программу данной вкладки, можно определить, будет ли выдаваться сообщение о блокировании пакетов программ, не входящих в список исключений. Здесь можно добавить указанную программу в список исключений.
По умолчанию установлены следующие исключения.
– Общий доступ к файлам и принтерам – предоставляет доступ к ресурсам общего доступа компьютера.
– Удаленный помощник – позволяет получить удаленный доступ к компьютеру с помощью мастера Удаленный помощник Windows. Работа с удаленным помощником будет описана далее в этой книге.
– Маршрутизация и удаленный доступ – предоставляет доступ одноименной службе.
– Возможности подключения устройств на платформе Windows Mobile – открывает порт 990 протокола TCP для взаимодействия компьютера и таких устройств, как, например, коммуникаторы.
• Дополнительно – дает возможность настроить параметры ведения файла журнала для публичного профиля, указать пакеты ICMP, которые брандмауэру разрешено пропускать, указать сетевые соединения, для которых брандмауэр включен, а также восстановить настройки брандмауэра по умолчанию.
Окно Брандмауэр Windows Получить доступ к стандартному брандмауэру операционной системы можно и с помощью окна Брандмауэр Windows, которое отображается после щелчка кнопкой мыши на одноименном значке папки Панель управления.
Примечание
Сведения о диагностике работы окна Брандмауэр Windows заносятся в журнал Журналы приложений и служб Microsoft Windows Firewall-CPL.
Можно также просмотреть различные сведения о диагностике работы службы Брандмауэр Windows. Для этого применяются журналы разделов MPS-CLNT, MPS-DRV. MPS-SRV подраздела Журналы приложений и служб Microsoft Windows.
По сути, окно Брандмауэр Windows является чем-то вроде набора ссылок для запуска окна Параметры брандмауэра Windows, рассмотренного выше. Это окно содержит сведения о том, активен ли в данный момент брандмауэр Windows, отображаются ли уведомления при блокировании подключения, какой сетевой профиль используется для подключения к локальной сети (публичный или частный). Кроме предоставления сведений, окно Брандмауэр Windows хранит несколько ссылок, однако все они отображают окно Параметры брандмауэра Windows, рассмотренное выше.
Настройка брандмауэра с помощью программы netsh.exe
Настроить работу стандартного брандмауэра операционной системы можно также с помощью команд программы командной строки netsh.ехе. Программа поддерживает две команды, предназначенные для настройки брандмауэра: firewall и advf irewall. Первая присутствовала и в операционной системе Windows ХР, вторая же является нововведением Windows Vista.
Команда firewall. Она позволяет управлять возможностями, предоставляемыми стандартным окном Брандмауэр Windows. Для этого команда поддерживает следующие дочерние команды.
• Show – позволяет просмотреть сведения о текущих настройках брандмауэра. Она, в свою очередь, поддерживает следующие дочерние команды.
• Allowedprogram. – отображает список программ-исключений, работа которых в сети блокироваться не будет.
• Conf ig – выводит все настройки брандмауэра (все остальные дочерние команды команды show показывают лишь определенную часть настроек, которые отображаются командой conf ig).
• Currentprof ile – отображает профиль брандмауэра, используемый в данный момент.
• Icmpsetting – выводит параметры блокирования пакетов протокола ICMP (какие типы пакетов брандмауэр будет игнорировать, а какие – блокировать). Подробнее о пакетах ICMP вы можете прочесть далее.
• Logging – отображает параметры ведения файла журнала (путь к нему, его максимальный размер, какие сведения будут в него заноситься).Примечание
В файл журнала брандмауэра помещается следующая информация: время поступления пакета, действие брандмауэра (блокировка пакета или его игнорирование), протокол, используемый для передачи пакета, исходный IP-адрес (и порт) и IP-адрес назначения (и порт), размер пакета, кнтрольные флаги протокола TCP.
• Opmode – выводит режимы работы брандмауэра, которые разрешены операционной системой.
• Portopening – отображает список портов-исключений, работа с сетью через которые не будет блокироваться брандмауэром.
• Service – выводит список служб-исключений, работа с сетью которых не будет блокироваться брандмауэром.
• State – отображает сведения о текущем состоянии брандмауэра (объединяет команды Portopening, Opmode, multicastbroadcastresponse и notifications).
• Multicastbroadcastresponse – определяет, разрешен ли режим однонаправленного ответа на широковещательные запросы.