Как создать правило для программы

Чтобы разрешить входящий сетевой трафик к указанной программе или службе, создайте правила брандмауэра Защитник Windows с расширенной безопасностью в оснастке MMC управления групповая политика. Этот тип правила позволяет программе прослушивать и получать входящий сетевой трафик на любом порту.

Примечание: Этот тип правила часто сочетается с правилом программы или службы. При объединении типов правил вы получите правило брандмауэра, которое ограничивает трафик указанным портом и разрешает трафик только при запуске указанной программы. Программа не может получать сетевой трафик на других портах, а другие программы не могут получать сетевой трафик на указанном порту. Чтобы объединить типы правил программы и портов в одно правило, выполните действия, описанные в процедуре Создание правила для входящих портов , а также действия, описанные в этой процедуре.

Учетные данные администратора

Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики.

БРАНДМАУЭР ● КАК СОЗДАТЬ ﴾ПРАВИЛО﴿

Создание правила брандмауэра для входящего трафика для программы или службы

1. Откройте консоль управления групповой политикой в узле Брандмауэр Защитника Windows в режиме повышенной безопасности.
2. В области навигации щелкните Правила для входящего трафика.
3. Щелкните Действие, а затем — Создать правило.
4. На странице Тип правила мастера создания правила для входящего трафика нажмите кнопку Пользовательский, а затем нажмите кнопку Далее.

Примечание: Хотя вы можете создать правила, выбрав Программа или Порт, эти параметры ограничивают количество страниц, представленных мастером. Если выбрать Пользовательский, вы увидите все страницы и будете максимально гибкими при создании правил.

• Если исполняемый файл содержит одну программу, нажмите кнопку Далее.
• Если исполняемый файл является контейнером для нескольких служб, которым должно быть разрешено получать входящий сетевой трафик, нажмите кнопку Настроить, выберите Применить только к службам, нажмите кнопку ОК и нажмите кнопку Далее.
• Если исполняемый файл является контейнером для одной службы или содержит несколько служб, но правило применяется только к одной из них, нажмите кнопку Настроить, выберите Применить к этой службе, а затем выберите службу из списка. Если служба не отображается в списке, нажмите кнопку Применить к службе с этим коротким именем службы, а затем введите короткое имя службы в текстовом поле. Нажмите кнопку ОК и нажмите кнопку Далее.

Важно Чтобы использовать параметры Apply to this service (Применить к этой службе ) или Apply to service with this service short name (Применить к этой службе ), необходимо настроить службу с идентификатором безопасности (SID) с типом RESTRICTED или UNRESTRICTED. Чтобы проверка тип идентификатора безопасности службы, выполните следующую команду:

Брандмауэр Windows Включить Отключить Создать правило

scqsidtype

Если результат — NONE, то правило брандмауэра не может быть применено к этой службе.

Чтобы задать тип идентификатора безопасности для службы, выполните следующую команду:

Scsidtype

В предыдущей команде значение может быть НЕОГРАНИЧЕНОЕ или RESTRICTED. Хотя команда также разрешает значение NONE, этот параметр означает, что службу нельзя использовать в правиле брандмауэра, как описано здесь. По умолчанию большинство служб в Windows настроены как UNRESTRICTED. Если изменить тип идентификатора безопасности на RESTRICTED, служба может не запуститься. Рекомендуется изменить тип идентификатора безопасности только для служб, которые вы хотите использовать в правилах брандмауэра, и изменить тип идентификатора безопасности на UNRESTRICTED.

Источник: learn.microsoft.com

Как создавать правила в брандмауэре

Встроенный брандмауэр Windows предоставляет возможность создавать мощные правила.

Вы можете блокировать программам доступ к сети Интернет, ограничивать трафик на определенные порты и IP-адреса, а также многое другое не устанавливая файрвол от стороннего производителя.

Брандмауэр включает в себя три различных профиля, с помощью которых вы можете настраивать различные правила для частных и общественных сетей.

Доступ к интерфейсу

Чтобы открыть окно настроек брандмауэра в Windows 8 из боковой панели выберите «Поиск» в его строке наберите слово «Брандмауэр» в категории «Параметры» слева нажмите «Брандмауэр Windows».

Это же окно можно открыть другим способом: примените комбинацию клавиш и в окне «Выполнить» наберите «firewall.cpl» и нажмиете «ок»

далее на боковой панели ссылку «Дополнительные параметры».

Настройка сетевых профилей

Брандмауэр Windows использует три различных профиля:
• Профиль домена: используется, когда компьютер подключен к домену.
• Частный профиль: Используется при подключении к частной сети, такие, как работа или домашняя сеть.
• Общий: Используется при подключении к сетям общего пользования, такие как публичный Wi-Fi, точки доступа или прямое подключение к Интернету.
Можно включить сразу несколько профилей, и пользоваться ими в зависимости от ситуации. Например, ноутбук подключаясь к домену на работе будет использовать профиль домена, в домашней сети- частный профиль, а при подключении к открытой Wi-Fi сети например в кафе — общий профиль.Нажмите ссылку «Свойства брандмауэра Windows» для настройки профилей.

Окно «Свойства брандмауэра» содержит отдельную вкладку для каждого профиля. ОС Windows блокирует входящие соединения и позволяет исходящие подключения для всех профилей по умолчанию. Но лучше также заблокировать исходящие подключения для всех профилей и создать правила, разрешающие определенные типы соединений.

Вкладка «Параметры» позволяет настроить например отображение уведомлений для пользователя в случаях когда программе запрещено принимать входящие подключения.

Во вкладке «Ведение журнала» указывается имя лога, его предельный размер в (киллобайтах) здесь же можно узнать путь по умолчанию для файлов журнала.

Создание правила

Чтобы создать правило, в левой части окна выберите тип подключений «входящие или исходящие» и нажмите на ссылку «Создать правило» справа.

Брандмауэр Windows предлагает четыре типа правил:
• Для программы — блокировать или разрешать подключения определенной программе.
• Для порта — Блокировать или разрешить порт, диапазон портов или протокол.
• Предопределенные — можно использовать заранее определенные правила включенные в брандмауэр Windows.
• Настраиваемые — указать комбинацию программ, портов и IP-адресов для блокировки или разрешения.

Пример разрешающего правила для программы

Если при настройке сетевых профилей как было описано выше, вы заблокировали все входящие и исходящие подключения, то ни одно приложение не сможет соединится с интернетом. Теперь вам нужно разрешить конкретной программе общение с интернетом. Создайте правило для исходящего подключения, для этого сначала выберите правило какого типа вы хотите создать – отметьте «Программа».

Далее в следующем экране нажмите кнопку «Обзор», чтобы выбрать исполняемый файл программы. Выберем для примера Internet Explorer – iexplore.exe

Указываем действие, которое должно выполняться — «Разрешить подключение».

В окне «Профиль» вы можете применить правило к конкретному профилю. Например, если вы только хотите, чтобы программа могла работать, когда вы подключены к общественным Wi-Fi и другим незащищенным сетям, оставьте флажок «Публичный». По умолчанию, Windows применяет правила ко всем профилям.

На странице «Имя» нужно назвать правило и ввести дополнительное описание. Это поможет вам находить правила позже.

Созданные правила вступают в силу немедленно и будут отображаться в списке, так что вы можете легко отключить или удалить их. Если вы два раза щелкните по выбранному правилу или выберите пункт «свойства» из контекстного меню, то откроется окно свойств этого правила и его можно будет редактировать. Возможно изменить порты, протоколы IP-адреса, профили к которым применяется правило. Добавить пользователей, удаленные компьютеры, указать интерфейсы адаптеров, к которым применимо данное правило.

Аналогично создаются блокирующие правила для программ. Для этого на этапе выбор действия нужно выбрать «Блокировать подключение»

Пример правила ограничение доступа

Предположим вы хотите, чтобы почтовый клиент только получал почту, но не мог отправлять. Я покажу вам как это делается на примере «The Bat». Сначала создадим для почтового клиента разрешающее правило, как было описано в предыдущем примере. Назовем это правило «Allow TheBat».

Так как почтовый клиент у меня настроен для работы по протоколу POP3, то прием почты происходит по 110 TCP- порту, а отправка по 25 порту. Значит, чтобы выполнить поставленную перед нами задачу нужно заблокировать 25 порт. Создадим блокирующее правило для порта. Выберите пункт «Правила для исходящего подключения» — «Создать правило» Тип правила – для порта:

Указываем протокол – TCP. Выбираем «Определенные удаленные порты» и в поле напротив пишем 25.

Действие – блокировать подключение. Отмечаем нужные профили и даем название новому правилу «Block 25 Ports».

В списке правил для исходящих соединений мы теперь видим наши созданные правила, где зеленым значком помечены разрешающие,а красным блокирующие правила. Таким образом Internet Explorer имеет доступ в интернет, а почтовая программа TheBat без проблем принимает входящие письма, но не может их отправлять.

• безопасность,
• брандмауэр,

Источник: servis2010.ru

Алгоритм работы с брандмауэром Windows в режиме повышенной безопасности (создание, настройка и удаление правил для программ, портов, служб)⚓︎

Режим повышенной безопасности — это оснастка управления для брандмауэра, из которой вы можете управлять всеми его настройками, правилами и исключениями. Для получения доступа к расширенным настройкам вам нужно открыть брандмауэр, а затем нажать на Дополнительные параметры в левом столбце

Брандмауэр Windows теперь открыт в режиме повышенной безопасности. Эта оснастка выглядит сначала непонятной, и не без оснований. Здесь сохраняются и редактируются все правила на продвинутом уровне

Общие сведения о профилях и типах трафика⚓︎

Профили⚓︎

Microsoft рекомендует активировать все профили и позволить API-интерфейсу установленному в системе, выбрать, какой из них использовать

Профиль домена

Для компьютеров, подключенных к сети, содержащей доменные контроллеры, к которым принадлежат сетевые компьютеры. Этот профиль не используется для домашних ПК. Когда компьютер успешно зарегистрирован в домене, он автоматически использует данный профиль

Частный профиль

Предназначен для домашних или офисных сетей, которые не подключены напрямую к Интернету, но находится за каким-то устройством безопасности, таким как маршрутизатор или другой аппаратный брандмауэр

Общий профиль

Обычно используется, когда компьютер подключен к публичной сети (Интернет или публичная точка доступа Wi-Fi), например в кафе, гостинице или по кабельному соединению дома. По умолчанию будут заблокированы все входящие подключения, которые не входят в список разрешенных.

Типы трафика⚓︎

Трафик поступающий из сети или Интернета на компьютер или другое устройство. Например, если вы загружаете файл через uTorrent, скачивание этого файла фильтруется входящим правилом

Общие правила, которые используются для защиты трафика между двумя конкретными компьютерами и используется в очень контролируемых средах с особыми требованиями безопасности. В отличие от входящих и исходящих, применяющихся только к вашему компьютеру или устройству, правила безопасности подключения требуют, чтобы оба компьютера, участвующие в соединении и применяли одни и те же правила

Правила безопасности подключений

Все они могут быть настроены специфическим образом для определенных компьютеров, учетных записей пользователей, программ, приложений, служб, портов, протоколов или сетевых адаптеров

Вы можете просматривать правила определенного типа, выбрав соответствующую категорию в столбце слева

Здесь увидите множество правил входящего и исходящего трафика. Некоторые из них будут иметь зеленую галочку рядом с их именем, в то время как другие будут показаны серым цветом. Зеленая галочка означает что они используются. Те, у которых установлен серый флажок, отключены, и не используются

Правила брандмауэра Windows имеют следующие параметры, которые можно редактировать:

• Имя — имя просматриваемого правила
• Группа — описывает приложение или функцию Windows, к которой принадлежит это правило. Например, правила, относящиеся к определенному приложению или программе, будут иметь имя приложения / программы в качестве группы Правила, относящиеся к одной и той же сетевой функции, например «Общий доступ к файлам и принтерам», будут иметь название группы, к которой они относятся
• Профиль — сетевое местоположение / профиль, к которому применяется правило: домен частный или публичный (для сетей компании с сетевыми доменами)
• Включено — сообщает вам, включено ли правило и применяется ли брандмауэром
• Действие — действие может «Разрешить» или «Блокировать» в зависимости от того, что должно делать правило
• Частота — указывает, переопределяет ли это правило существующее правило блока. По умолчанию все правила должны иметь значение «Нет» для этого параметра
• Программа — настольная программа, к которой применяется правило
• Локальный адрес — указывает, применяется ли правило только тогда, когда ваш компьютер имеет определенный IP-адрес или нет
• Удаленный адрес — указывает, применяется ли правило только при подключении устройств с определенными IP-адресами.
• Протокол — разделяет сетевые протоколы, для которых применяется правило
• Локальный порт — указывает, применяется ли правило для соединений, сделанных на определенных локальных портах, или нет
• Удаленный порт — указывает, применяется ли правило для соединений, сделанных на определенных удаленных портах, или нет
• Авторизованные пользователи — учетные записи пользователей, для которых применяется правило (только для входящих правил)
• Разрешенные компьютеры — компьютеры, для которых применяется правило
• Авторизованные локальные субъекты — учетные записи пользователей, для которых применяется правило (только для исходящих правил)
• Локальный пользователь-владелец — учетная запись пользователя, установленная как владелец / создатель правила
• Пакет приложения — относится только к приложениям из Microsoft Store, и отображает имя пакета приложения, к которому применяется правило

Что можно отслеживать в брандмауэре Windows в режиме повышенной безопасности⚓︎

Под тремя типами правил, вы найдете раздел с названием наблюдение и если развернуть его, то можно просмотреть активные правила брандмауэра, правила безопасности активных соединений и сопоставления безопасности

Сопоставления безопасности — это информация о безопасном зашифрованном канале на локальном компьютере или устройстве, информация может использоваться для будущего сетевого трафика на конкретном удаленном компьютере или устройстве. Здесь вы можете посмотреть, какие одноранговые узлы подключены к вашему компьютеру и какой пакет защиты использовался Windows для формирования сопоставлений безопасности

Как управлять существующими правилами⚓︎

Помните, лучше отключить правило, чем его удалить. Тогда будет очень легко все восстановить, просто повторно включив отключенные правила

Для отключения правила, нужно отметить его и нажать соответствующую кнопку в правом меню

Кроме того, можно просто щелкнуть правой кнопкой мыши по правилу и отключить

Если необходимо отредактировать правило, сделайте это в столбце справа зайдя в свойства или через контекстное меню вызванное правым щелчком мыши

Все параметры, упомянутые ранее в нашей инструкции, могут быть изменены в окне свойства для конкретного правила

Когда изменения внесены, не забудьте нажать ОК , для их применения

Как создать исходящее правило⚓︎

Создание правил в режим повышенной безопасности гораздо проще, чем вы думаете. Чтобы продемонстрировать это, давайте создадим исходящее правило, которое блокирует автоматическое обновление Microsoft Edge в публичных сетях, т.е. только когда вы подключены к ненадежным общедоступным сетям

Для этого перейдите в Правила для исходящего подключения и нажмите Создать правило в столбце справа

Откроется Мастер создания правила для нового исходящего подключения , где вы создадите новое правило всего за пару шагов. Во-первых, вас попросят выбрать тип правила, которое вы хотите создать

• Для программ — правило управляющее конкретной программой
• Для порта — правило управляющее подключениями для порта TCP или UDP
• Предопределенные — правило, контролирующее подключения, выполняемые определенной службой или функцией Windows
• Настраиваемые — настраиваемое правило, которое может блокировать все программы и порты или определенную комбинацию

В нашем случае выбираем для программ и нажимаем далее

Вам предлагается выбрать все программы или определенную программу

Выбираем исполняемый файл программы, которую хотим заблокировать — Microsoft Edge Update и переходим далее

Затем указываем действие, которое необходимо предпринять:

• Разрешить подключение — включает как защищенные IPSec , так и соединения без защиты
• Разрешить безопасное подключение — включает только подключения с проверкой подлинности с помощью IPSec . Вы можете указать тип аутентификации и шифрования, которые вы хотите применить, нажав Настроить
• Блокировать подключение — блокирует соединение, независимо от того, является ли оно безопасным или нет

Выбираем блокировать подключение и нажимаем далее

Теперь вас попросят выбрать, для каких профилей применяется правило:

• Доменный — применяется при подключении компьютера к домену своей организации
• Частный — применяется, когда компьютер подключен к частной сети, например домашней или рабочей
• Публичный — применяется если компьютер подключен к ненадежной общественной сети