Настройка брандмауэра Windows на предприятиях малого бизнеса при помощи групповой политики

Опубликовано 12 сентября 2004 | Обновлено 21/07/2006

На этой странице

Введение Прежде чем приступить к работе Установка исправлений на рабочие станции администрирования и сервер под управлением Windows Small Business Server 2003 Создание и обновление объекта групповой политики Настройка параметров брандмауэра Windows при помощи групповой политики Применение конфигурации при помощи GPUpdate Проверка применения настроек безопасности брандмауэра Windows. Дополнительные сведения

Введение

В этом документе разъяснена методика настройки функциональных возможностей брандмауэра Windows на компьютерах с установленной ОС Microsoft® Windows® XP Professional с пакетом обновления 2 (SP2) в средах малых и средних предприятий. В среде могут присутствовать доменные контроллеры под управлением Microsoft Windows Small Business Server 2003, Microsoft Windows Server™ 2003 или Microsoft Windows 2000 Server.

Наиболее эффективным способом управления настройками брандмауэра Windows на предприятии является использование службы каталогов Active Directory® и настройка параметров брандмауэра Windows в разделе «Групповая политика». Служба каталогов Active Directory и групповая политика позволяют централизованно определять настройки брандмауэра Windows и применить все эти настройки ко всем клиентским компьютерам под управлением Windows XP SP2.

ОС Windows XP SP2 содержит новые шаблоны администрирования для объектов групповой политики (GPO), что позволяет повысить уровень безопасности как для клиентского компьютера, так и для домена, в том числе и для функциональных возможностей брандмауэра Windows. Чтобы применить эти шаблоны, возможно, придется установить исправления, выбор которых зависит от операционной системы используемого сервера или рабочей станции домена.

После применения этих шаблонов в любые изменения групповой политики будут включены настройки брандмауэра Windows. Изменения групповой политики отправляются всем членам домена, их также можно запросить с компьютера, который принадлежит домену, с помощью программы GPUpdate.

Чтобы настроить брандмауэр Windows, следует использовать редактор объектов групповой политики от лица члена группы «Администраторы домена» или групп создателей или владельцев групповой политики.

В следующей таблице приведены настройки брандмауэра Windows по умолчанию.

Таблица 1. Параметры брандмауэра Windows по умолчанию

Параметр Конфигурация по умолчанию Изменить, если
Настройки сетевых подключений Все подключения Защита брандмауэра Windows больше не требуется для конкретного сетевого подключения, либо требуются индивидуальные настройки для каждого сетевого подключения.
Программные исключения Только удаленная поддержка Необходимо получать удаленные подключения от других программ и служб для этого компьютера.
Исключения для портов Отсутствуют Требуется получить подключения от другого компьютера, который использует особые порты этого компьютера.
Исключения ICMP Отсутствуют Требуется, чтобы компьютер был включен, а протокол TCP/IP правильно настроен.
Уведомления Включены Больше не получать уведомлений при неудачных попытках других компьютеров установить подключение к данному компьютеру.
Ведение журнала Отключено Требуется вести запись подключений или попыток подключений к этому компьютеру.
Не разрешать исключения Отключено Стало известно, что в компьютере обнаружена уязвимость, либо требуется использовать компьютер в менее безопасной среде, например в зале ожидания аэропорта.
Чтобы настроить брандмауэр Windows, необходимо выполнить следующие действия: - Установить исправления для GPO рабочих станций администрирования и для сервера под управлением ОС Windows Small Business Server 2003. - Создать и обновить GPO. - Настроить параметры брандмауэра Windows с помощью групповой политики. - Применить заданные настройки при помощи GPUpdate. - Удостовериться, что настройки брандмауэра Windows применены. Чтобы обеспечить безопасность этого компьютера от червей и других видов вредоносного программного кода, и при этом разрешить подключения как к Интернету, так и из Интернета, следует выполнить действия, описанные в этом документе. Специалисты Майкрософт настоятельно рекомендуют провести проверку любых параметров брандмауэра Windows в тестовой среде перед тем, как развернуть их в производственной среде компании. Это необходимо во избежание простоев и потери производительности. Определения терминов безопасности см. в - [глоссарии терминов, связанных с безопасностью Microsoft](http://go.microsoft.com/fwlink/?linkid=35468) на веб-узле Microsoft по адресу http://go.microsoft.com/fwlink/?LinkId=35468. #### Цель настоящего документа по обеспечению безопасности При выполнении шагов, описанных в этом документе, пользователи организуют защиту клиентских компьютеров под управлением ОС Windows XP Professional от несанкционированных пользователей и вредоносного программного обеспечения за счет использования брандмауэра. В качестве дополнения выполнение этих действий откроет расширенные возможности управления безопасностью за счет использования службы каталогов Active Directory. [](#mainsection)[К началу страницы](#mainsection) ### Прежде чем приступить к работе **Внимание!**   Указания, приведенные в данном документе, разработаны с учетом конфигурации меню **Пуск**, принятой по умолчанию. Если ранее вносились изменения в меню «Пуск», то предпринимаемые действия по изменению настроек могут различаться. ОС Windows XP с пакетом обновления 2 (SP2) может использоваться на клиентских компьютерах, принадлежащих домену службы каталогов Active Directory, доменные котроллеры которого созданы под управлением следующих ОС: - Windows Server 2003; - Windows Small Business Server 2003; - Windows 2000 Server SP4 или более поздний. В большинстве сетей аппаратный межсетевой брандмауэр, прокси-сервер, а также другие системы для обеспечения безопасности могут обеспечивать некоторый уровень защищенности при действиях из Интернета по отношению к компьютерам сети. Если в сетевых подключениях компьютера на сервере отсутствует локальный программный брандмауэр, например брандмауэр Windows, то компьютер такого пользователя уязвим для вредоносного программного обеспечения, которое может потенциально загружаться с других компьютеров при подключении к этой сети. Также при использовании компьютера вне основной сети, например при использовании ноутбука дома, а также при подключении к сети в аэропорте или гостинице, компьютер может быть уязвимым. Перед установкой исправлений убедитесь, что была сделана резервная копия данных компьютера, в том числе системного реестра. Для получения дополнительных сведений о создании резервной копии реестра см. следующие материалы: - База знаний Майкрософт, статья 322756, «[Создание резервной копии, изменение и восстановление системного реестра операционных систем Windows XP и Windows Server 2003](http://go.microsoft.com/fwlink/?linkid=36365)», на веб-узле справки и поддержки Майкрософт по адресу http://go.microsoft.com/fwlink/?linkid=36365. [](#mainsection)[К началу страницы](#mainsection) ### Установка исправлений на рабочие станции администрирования и сервер под управлением Windows Small Business Server 2003 Если управление настройками GPO происходит на более ранних версиях ОС или ОС с более ранними пакетами обновлений (например, Windows XP с пакетом обновлений SP1 или Windows Server 2003), то необходимо установить исправление ([KB842933](http://go.microsoft.com/fwlink/?linkid=35474)), что поможет корректному отображению параметров политик в редакторе групповой политики. Если используется ОС Small Business Server 2003, то необходимо установить дополнительное исправление ([KB872769](http://go.microsoft.com/fwlink/?linkid=35477)). По умолчанию брандмауэр Windows в ОС Small Business Server 2003 отключен. Это исправление позволяет устранить данный вопрос. **Примечание.**   Указанные исправления не включены в программу Microsoft Update и должны устанавливаться отдельно. Эти исправления необходимо применить на всех компьютерах сети по отдельности. Исправление KB842933 применимо к следующему: - Microsoft Windows Server 2003, Web Edition - Microsoft Windows Server 2003, Standard Edition (32-разрядная версия x86) - Выпуск Microsoft Windows Server 2003, Enterprise Edition (32-разрядная версия x86) - Microsoft Windows Server 2003, Enterprise Edition для систем с технологией Itanium - Microsoft Windows XP Professional SP1 - Microsoft Windows Small Business Server 2003 Premium Edition - Выпуск Microsoft Windows Small Business Server 2003 Standard Edition - Microsoft Windows 2000 Advanced Server - Microsoft Windows 2000 Server - Microsoft Windows 2000 Professional Edition Исправление KB872769 применимо к следующим ОС: - Выпуск Microsoft Windows Small Business Server 2003 Standard Edition - Microsoft Windows Small Business Server 2003 Premium Edition Для получения дополнительных сведений о том, как получить эти исправления, см. следующее: - Статья в базе знаний Майкрософт [842933](http://go.microsoft.com/fwlink/?linkid=35474) на веб-узле справки и поддержки Майкрософт по адресу: http://go.microsoft.com/fwlink/?linkid=35474. - Статья в базе знаний Майкрософт [872769](http://go.microsoft.com/fwlink/?linkid=35477) на веб-узле справки и поддержки Майкрософт по адресу: http://go.microsoft.com/fwlink/?linkid=35477. Для получения дополнительных сведений о загрузке файлов поддержки Майкрософт см. в статье: - [о том, как получить файлы поддержки Майкрософт с помощью оперативных служб](http://support.microsoft.com/kb/119591) на веб-узле справки и поддержки Майкрософт по адресу http://support.microsoft.com/kb/119591. #### Требования для выполнения этой задачи Для выполнения этой задачи потребуется следующее: - **Учетные данные**. Необходимо выполнить вход на клиентский компьютер в качестве члена группы администраторов домена, либо группы безопасности «Локальные администраторы». - **Сервис**. Свойства требуемого загруженного исправления для операционной системы описаны в статьях базы знаний Майкрософт 842933 и 872769. #### Как устанавливать исправления **Чтобы установить исправление 842933 для ОС Windows Small Business Server 2003,** **Windows 2000 Server SP4 или более поздней** **,** **Windows XP SP1,** **или Windows Server 2003** 1. На рабочем столе щелкните **Пуск**, затем **Выполнить**, затем введите путь и имя файла загруженного исправления, затем щелкните **OK**. 2. В окне **Мастер установки KB842933**, щелкните **Далее**. 3. На странице **Лицензионное соглашение** просмотрите его условия. Чтобы продолжить, щелкните **Я согласен**, затем щелкните **Далее**. 4. В окне **Завершение работы мастера установки обновления KB842933** щелкните **Готово**, чтобы закончить установку исправления, затем перезапустите компьютер. 5. Повторите шаги с 1 до 4 для всех компьютеров сети (серверы и рабочие станции управления). **Установка исправления 872769 для ОС Windows Small Business Server 2003** 1. На рабочем столе Windows щелкните **Пуск**, затем **Выполнить** и введите путь и имя файла загруженного обновления 872769, затем щелкните **OK**. 2. В окне **Мастер установки KB872769** щелкните **Далее**. 3. На странице **Лицензионное соглашение** просмотрите его условия. Чтобы продолжить, щелкните **Я согласен**, затем щелкните **Далее**. 4. В окне **Завершение работы мастера установки обновления KB872769** щелкните **Завершить**, чтобы закончить установку исправления, затем перезапустите компьютер. [](#mainsection)[К началу страницы](#mainsection) ### Создание и обновление объекта групповой политики В пакете обновления Windows XP SP2 содержатся дополнительные параметры шаблонов администрирования. Чтобы настроить эти новые параметры, необходимо обновить каждый GPO новыми шаблонами администрирования Windows XP SP2. Если отказаться от обновления GPO, то настройки брандмауэра Windows не будут доступны. На компьютере под управлением Windows XP SP2 можно увидеть консоль управления Microsoft (MMC) с установленной оснасткой редактора объектов групповой политики, который предназначен для обновлений GPO путем простого открытия одной из уже существующих GPO. После обновления GPO можно настраивать параметры сетевой защиты для компьютеров под управлением ОС Windows XP SP2. В следующем обучающем примере создается новая GPO, в которой будут сразу указаны параметры такой обновленной сетевой защиты. #### Требования для выполнения этой задачи Для выполнения этой задачи потребуется следующее: - **Учетные данные**. Потребуется выполнить вход в компьютер под управлением ОС Windows XP SP2, который является клиентом домена службы каталогов Active Directory, при этом потребуется использовать учетную запись, которая принадлежит группе «Администраторы домена» или группам создателей или владельцев групповой политики. - **Сервис**. Консоль управления (MMC) с установленным редактором объектов групповой политики. #### Создание и обновление объектов групповой политики **Обновление объектов групповой политики с помощью новых шаблонов администрирования Windows XP SP2** 1. На рабочем столе компьютера с Windows XP SP2 щелкните **Пуск**, затем **Выполнить**, затем введите **mmc** и щелкните **OK**. 2. В меню **Консоль** щелкните **Добавить или удалить оснастку**. 3. Во вкладке **Изолированные** щелкните **Добавить**. 4. В списке **Доступные изолированные оснастки** найдите и щелкните **Редактор объектов групповой политики**, затем щелкните **Добавить**. 5. В диалоговом окне **Выбор объектов групповой политики** щелкните **Обзор**. 6. В диалоговом окне **Просмотр объектов груповых политик** (показанном на экранном снимке) щелкните **Создать новый объект групповой политики** и присвойте имя для GPO **Проверочная политика для клиентских брандмауэров Windows**. ![](/security-updates/images/Cc875816.WFGP01(ru-ru,TechNet.10).gif) 7. Щелкните **OK**, затем щелкните **Готово**, чтобы закрыть мастер групповой политики и применить новый шаблон администрирования для выбранного GPO. 8. В диалоговом окне **Добавление отдельного модуля** щелкните **Закрыть**. 9. В диалоговом окне **Добавить или удалить оснастку** щелкните **OK**. 10. Закройте консоль MMC, щелкнув **Файл**, затем щелкнув **Выход**. Не сохраняйте изменения настроек консоли. **Примечание.**   Хотя не происходит сохранения изменений консоли, при выполнении этого действия происходит импортирование шаблонов администрирования из Windows XP SP2 в GPO. Эти шаблоны необходимо импортировать в каждый заданный объект GPO. 11. Повторите вышеуказанные шаги для каждого объекта GPO, который используется для применения групповой политики для компьютеров с ОС Windows XP SP2. Чтобы обновить объекты GPO для сетевых сред при помощи службы каталогов Active Directory и Windows XP SP2, специалисты корпорации Майкрософт рекомендуют использование консоли управления группами, которая доступна для бесплатной загрузки. Дополнительные сведения см. в статье, - [посвященной управлению предприятием при помощи консоли групповой политики](http://go.microsoft.com/fwlink/?linkid=35479) и расположенной на веб-узле Microsoft Windows Server 2003 по адресу http://go.microsoft.com/fwlink/?linkID=35479. [](#mainsection)[К началу страницы](#mainsection) ### Настройка параметров брандмауэра Windows при помощи групповой политики Существует два набора изменяемых настроек брандмауэра Windows: - **Профиль домена**. Эти параметры используются для компьютеров, подключенных в сеть, содержащую доменные контроллеры, к которым принадлежат сетевые компьютеры. - **Стандартный профиль**. Эти настройки используются компьютером при отсутствии подключения к сети, например при поездке с ноутбуком. Если не настраивать параметры стандартного профиля, то настройки по умолчанию не изменятся. Специалисты корпорации Майкрософт рекомендуют настроить как доменные, так и стандартные параметры профилей, а также включить брандмауэр Windows в обоих профилях. Единственным исключением является ситуация, когда используется серверный брандмауэр сторонних производителей (локальный программный брандмауэр). Специалисты корпорации Майкрософт рекомендуют отключить брандмауэр Windows, если уже используется серверный межсетевой экран сторонних производителей. Стандартные настройки профиля обычно накладывают большие ограничения, чем профиль домена, поскольку стандартные настройки профиля не включают приложения и службы, которые используются в среде управляемого домена. В объекте GPO как доменный, так и стандартный профиль содержат одни и те же настройки параметров брандмауэра Windows. ОС Windows XP SP2 позволяет сети определить действительные настройки профиля. **Примечание.**   Дополнительные сведения об определении сетевых настроек см. в статье, [посвященной ходу определения сетевых настроек для сетевых параметров групповой политики,](http://go.microsoft.com/fwlink/?linkid=35480) на веб-узле Microsoft TechNet по адресу: http://go.microsoft.com/fwlink/?linkid=35480. В этом разделе описаны возможные настройки брандмауэра Windows для GPO, а также рекомендуемые настройки для среды SMB. Здесь также описаны способы настройки четырех главных типов настроек GPO. #### Требования для выполнения этой задачи Для выполнения этой задачи потребуется следующее: - **Учетные данные**. Потребуется выполнить вход в компьютер под управлением ОС Windows XP SP2, который является клиентом домена службы каталогов Active Directory, при этом потребуется использовать учетную запись, которая принадлежит группе «Администраторы домена» или группам создателей или владельцев групповой политики. - **Сервис**. Консоль управления (MMC) с установленным редактором объектов групповой политики. **Примечание.**   Чтобы открыть объект GPO, следует использовать либо консоль MMC в сочетании с оснасткой редактора объектов групповой политики, либо консоль «Active Directory — пользователи и компьютеры». Чтобы использовать консоль «Active Directory — пользователи и компьютеры» на клиентском компьютере с ОС Windows XP, необходимо сначала запустить файл Aadminpak.msi с диска Windows Server 2003. #### Настройка параметров брандмауэра Windows при помощи групповой политики Чтобы изменить настройки брандмауэра Windows в соответствующих объектах GPO, используйте модуль групповой политики. После выполнения следующих пошаговых действий для настройки параметров брандмауэра Windows подождите, пока выполняется применение этих параметров на клиентских компьютерах в ходе стандартных циклов обновления, либо используйте средство GPUpdate на клиентских компьютерах. По умолчанию эти циклы обновления составляют 90 минут с допустимыми отклонениями в 30 минут. В ходе следующего обновления групповой политики в настройки компьютера будут загружены новые настройки брандмауэра Windows, которые будут применены на компьютерах под управлением Windows XP SP2. **Метод настройки параметров брандмауэра Windows при помощи групповой политики.** 1. На рабочем столе компьютера с Windows XP SP2 щелкните **Пуск**, затем **Выполнить**, затем введите **mmc** и щелкните **OK**. 2. В меню **Консоль** щелкните **Добавить или удалить оснастку**. 3. Во вкладке **Изолированные** щелкните **Добавить**. 4. В списке **Доступные изолированные оснастки** найдите и щелкните **Редактор объектов групповой политики**, затем щелкните **Добавить**. 5. В диалоговом окне **Выбор объектов групповой политики** щелкните **Обзор**. 6. Выберите **Проверочный объект политики для клиентских брандмауэров Windows** и щелкните **OK**, затем щелкните **Завершить**. 7. Щелкните **Закрыть**, чтобы закрыть диалоговое окно **Добавить изолированную оснастку**, затем в диалоговом окне **Добавить или удалить оснастку** щелкните **OK**. 8. В консольном дереве редактора объекта групповой политики откройте **Конфигурация компьютера**,**Шаблоны администрирвания**,**Сетевое окружение**, **Сетевые подключения**, затем **Брандмауэр Windows** (как показано на экранном снимке). ![](/security-updates/images/Cc875816.WFGP02(ru-ru,TechNet.10).gif) 9. Выберите либо **Профиль домена** (показан на экаранном снимке) или **Стандартный профиль**. ![](/security-updates/images/Cc875816.WFGP03(ru-ru,TechNet.10).gif) В следующей таблице приведены рекомендуемые настройки групповой политики брандмауэра Windows для доменного и стандартного профилей. **Таблица 2. Рекомендуемые настройки брандмауэра Windows.** 
<table style="border:1px solid black;">
<colgroup>
<col width="25%" />
<col width="25%" />
<col width="25%" />
<col width="25%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Настройка</th>
<th style="border:1px solid black;" >Описание</th>
<th style="border:1px solid black;" >Профиль домена</th>
<th style="border:1px solid black;" >Стандартный профиль</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Защитить все сетевые подключения</td>
<td style="border:1px solid black;">Указывает, что брандмауэр Windows включен для всех сетевых подключений.</td>
<td style="border:1px solid black;">Включено.</td>
<td style="border:1px solid black;">Включено.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Не разрешать исключения</td>
<td style="border:1px solid black;">Указывает, что весь входящий трафик экранируется, в том числе и трафик приложений в списке исключений.</td>
<td style="border:1px solid black;">Не настроено.</td>
<td style="border:1px solid black;">Включено, за исключением случаев, когда необходимо настроить исключения для программ.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Определить программные исключения</td>
<td style="border:1px solid black;">Определяет исключенный трафик по именам файлов программ.</td>
<td style="border:1px solid black;">Включено и конфигурируется программами (приложениями и службами), которые используются на компьютерах под управлением ОС Windows XP SP2 в сети.</td>
<td style="border:1px solid black;">Включено и конфигурируется программами (приложениями и службами), которые используются на компьютерах под управлением ОС Windows XP SP2 в сети.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Разрешить исключения для локальных программ</td>
<td style="border:1px solid black;">Разрешает локальную настройку исключений для программ.</td>
<td style="border:1px solid black;">Отключено, если локальным администраторам не разрешено локально контролировать программные исключения</td>
<td style="border:1px solid black;">Отключено.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Разрешить исключение для удаленного администрирования</td>
<td style="border:1px solid black;">Включить удаленное управление при помощи инструментов удаленного управления.</td>
<td style="border:1px solid black;">Отключено, если не требуется удаленное администрирование компьютеров при помощи оснастки консоли MMC.</td>
<td style="border:1px solid black;">Отключено.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Разрешить исключение для совместного использования файлов и принтеров</td>
<td style="border:1px solid black;">Указывает, разрешен ли общий трафик файлов и принтеров.</td>
<td style="border:1px solid black;">Отключено, если компьютеры под управлением ОС Windows XP SP2 совместно используют локальные ресурсы.</td>
<td style="border:1px solid black;">Отключено.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Разрешить исключения ICMP</td>
<td style="border:1px solid black;">Указывает разрешенные типы ICMP-сообщений.</td>
<td style="border:1px solid black;">Отключено, если не требуется использование команды «ping» для выяснения неисправностей.</td>
<td style="border:1px solid black;">Отключено.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Разрешить исключение для удаленного рабочего стола</td>
<td style="border:1px solid black;">Позволяет указать, может ли компьютер принимать подключения по протоколу удаленного рабочего стола.</td>
<td style="border:1px solid black;">Включено.</td>
<td style="border:1px solid black;">Включено.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Разрешить исключение для среды UPnP</td>
<td style="border:1px solid black;">Указывает, может ли компьютер принимать незапрошенные UPnP-сообщения.</td>
<td style="border:1px solid black;">Отключено.</td>
<td style="border:1px solid black;">Отключено.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Запретить уведомления</td>
<td style="border:1px solid black;">Отключает уведомления.</td>
<td style="border:1px solid black;">Отключено.</td>
<td style="border:1px solid black;">Отключено.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Разрешить ведение журнала</td>
<td style="border:1px solid black;">Позволяет сохранять информацию о трафике и определяет настройки файла журнала.</td>
<td style="border:1px solid black;">Не настроено.</td>
<td style="border:1px solid black;">Не настроено.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Запретить одноадресные ответы на многоадресные или широковещательные запросы</td>
<td style="border:1px solid black;">Отклоняет одноадресные пакеты, полученные в ответ на многоадресные или широковещательные запросы.</td>
<td style="border:1px solid black;">Включено.</td>
<td style="border:1px solid black;">Включено.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Задать исключения портов</td>
<td style="border:1px solid black;">Указывает исключенный трафик для протоколов TCP и UDP.</td>
<td style="border:1px solid black;">Отключено.</td>
<td style="border:1px solid black;">Отключено.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Разрешить локальные исключения для портов</td>
<td style="border:1px solid black;">Позволяет создать локальный список исключений для портов.</td>
<td style="border:1px solid black;">Отключено.</td>
<td style="border:1px solid black;">Отключено.</td>
</tr>
</tbody>
</table>
  1. Дважды щелкните каждую настройку, указанную в таблице 2, щелкните Включено, Отключено или Не настроено, затем щелкните OK.

Включение исключений для портов

Включение исключений для портов

  1. В разделе настроек Профиль домена или в разделе настроек Стандартный профиль дважды щелкните Брандмауэр Windows: Определить исключения портов. Отобразится следующее диалоговое окно.

  2. Выберите Включено, затем щелкните Показать. Появится диалоговое окно Вывод содержания (см. экранный снимок).

  3. Щелкните Добавить, при этом отобразится диалоговое окно Добавление элемента. Введите сведения о порте, который требуется заблокировать или использовать. Синтаксис ввода таков:

    port:transport:scope:status:name

    • port — это номер порта

    • transport — TCP или UDP

    • scope — это либо * (для всех компьютеров) или для списка компьютеров, которым разрешен доступ к этому порту

    • status — либо «Включен», либо «Отключен»

    • name — текстовая строка, которая служит ярлыком для данного порта

    В примере, показанном на следующем экранном снимке, строка называется WebTest и в ней используется по протоколу TCP порт 80 для всех соединений.

  4. После ввода сведений щелкните OK, чтобы закрыть диалоговое окно Добавление элемента. Появится диалоговое окно Вывод содержания (см. экранный снимок).

  5. Щелкните OK, чтобы закрыть диалоговое окно Вывод содержания.

  6. Щелкните OK, чтобы закрыть Брандмауэр Windows: определить свойства исключений портов.

Включение исключений для программ

Включение исключений для программ

  1. В разделе настроек Профиль домена или в разделе настроек Стандартный профиль дважды щелкните Брандмауэр Windows: Определить программные исключения. Отобразится следующее диалоговое окно.

  2. Выберите Включено, затем щелкните Показать. Появится диалоговое окно Вывод содержания (см. экранный снимок).

  3. Щелкните добавить, при этом отобразится диалоговое окно Добавление элемента. Введите сведения о программе, которую требуется заблокировать или разблокировать. Синтаксис ввода таков:

    path:scope:status:name

    • path — это имя файла программы и путь к нему

    • scope — это либо * (для всех компьютеров) или для списка компьютеров, которым разрешен доступ к этой программе

    • status — либо «Включен», либо «Отключен»

    • name — текстовая строка, которая служит ярлыком для данной программы

    На показанном экранном снимке исключение называется Messenger и позволяет программе Windows Messenger, которая расположена по адресу %program files%\messenger\msmsgs.exe, свободно подключаться к ресурсам сети.

  4. После ввода сведений щелкните OK, чтобы закрыть диалоговое окно Добавление элемента. Появится диалоговое окно Вывод содержания (см. экранный снимок).

  5. Щелкните OK, чтобы закрыть диалоговое окно Вывод содержания.

  6. Щелкните OK, чтобы закрыть Брандмауэр Windows: Определить Свойства программных исключений.

Настройка основных параметров ICMP

Настройка основных параметров ICMP

  1. В разделе настроек Профиль домена или в разделе настроек Стандартный профиль дважды щелкните Брандмауэр Windows: Разрешить исключения ICMP. Отобразится следующее диалоговое окно.

  2. Выберите Включено, затем выберите нужное исключение или исключения ICMP. На экранном снимке выбрано исключение Разрешить входящий запрос эха.

    Можно также выбрать настройку Отключено, чтобы отключить одно или более исключение ICMP.

  3. Щелкните OK, чтобы закрыть Брандмауэр Windows: Разрешить Свойства исключений ICMP.

Запись пропущенных пакетов и удачных соединений

Запись пропущенных пакетов и удачных соединений

  1. В разделе настроек Профиль домена или в разделе настроек Стандартный профиль дважды щелкните Брандмауэр Windows: Разрешить ведение журнала. Отобразится следующее диалоговое окно.

  2. Выберите Включено, затем Запись пропущенных пакетов, затем выберите Запись удачных подключений. Введите Имя файла журнала и путь к нему, затем по умолчанию оставьте Размер файла (KБ) для файла журнала. Затем нажмите кнопку OK.

    Примечание.   Необходимо убедиться, что файл журнала сохранен в безопасном месте, что позволит предотвратить случайное или преднамеренное его изменение.

  3. Когда внесение изменений в настройки брандмауэра Windows завершено, закройте консоль.

    Примечание.   При закрытии консоли будет выведен запрос на сохранение ее состояния. Вне зависимости от того, сохраняется консоль или нет, введенные настройки GPO будут сохранены.

  4. Если выводится запрос, требуется ли сохранить настройки консоли, щелкните Нет.

К началу страницы

Применение конфигурации при помощи GPUpdate

Утилита GPUpdate обновляет настройки групповой политики на базе Active Directory. После настройки групповой политики можно подождать, пока настройки будут применены для клиентских компьютеров в ходе стандартных циклов обновления. По умолчанию эти циклы обновления составляют 90 минут с допустимыми отклонениями в 30 минут. Чтобы сразу провести обновления групповой политики, можно использовать программу GPUpdate.

Требования для выполнения этой задачи

Для выполнения этой задачи потребуется следующее:

  • Учетные данные. Потребуется выполнить вход в компьютер под управлением ОС Windows XP SP2, который является клиентом домена службы каталогов Active Directory, при этом потребуется использовать учетную запись, которая принадлежит группе «Пользователи домена».

Запуск GPUpdate

Запуск GPUpdate

  1. На компьютере с ОС Windows XP SP2 щелкните Пуск, затем Выполнить.

  2. В диалоговом окне Выполнить введите команду cmd, затем щелкните OK.

  3. В командной строке введите GPUpdate, затем нажмите клавишу ВВОД. На экране должно появится примерно такое изображение:

  4. Чтобы закрыть командную строку, напечатайте Exit, затем нажмите клавишу ВВОД.

К началу страницы

Проверка применения настроек безопасности брандмауэра Windows.

Примечание.   При использовании групповой политики для конфигурирования брандмауэра Windows можно закрыть доступ к некоторым элементам конфигурации для локальных администраторов. Если доступ закрыт, то некоторые вкладки и параметры диалогового окна брандмауэра Windows недоступны на локальных компьютерах пользователей.

Требования для выполнения этой задачи

Для выполнения этой задачи потребуется следующее:

  • Учетные данные. Потребуется выполнить вход в компьютер под управлением ОС Windows XP SP2, который является клиентом домена службы каталогов Active Directory, при этом потребуется использовать учетную запись, которая принадлежит группе «Пользователи домена».

Проверка применения настроек брандмауэра Windows

  1. На компьютере с ОС Windows XP SP2 щелкните Пуск, затем Панель управления.

  2. В разделе Выберите категорию, щелкните Центр обеспечения безопасности. Появится экран, похожий на следующий:

  3. В разделе Настройка параметров безопасности щелкните Брандмауэр Windows.

  4. Щелкните вкладки Общие, Исключения и Дополнительно и убедитесь, что конфигурации, примененные в групповой политике, также применены в брандмауэре Windows на клиентском компьютере.

Если настройки конфигурации не применены, необходимо провести диагностику применения групповой политики. Чтобы это сделать, следует прочитать статью,

К началу страницы

Дополнительные сведения

Дополнительные сведения о брандмауэре Windows XP SP2 см. в следующих статьях:

Дополнительные сведения о безопасности Windows XP с пакетом обновления 2 (SP2) см. в

Чтобы ознакомиться с определениями терминов, связанных с обеспечением безопасности, см.:

Загрузить

Получить статью, посвященную настройке брандмауэра Windows в среде малого предприятия при помощи групповой политики

К началу страницы

  • Last updated on