Рекомендации по настройке брандмауэра Защитник Windows

• Применяется к:

  ✅ Windows 10 and later, ✅ Windows Server 2016 and later

Защитник Windows Брандмауэр в режиме повышенной безопасности обеспечивает двусторонняя фильтрацию сетевого трафика на основе узла и блокирует несанкционированный сетевой трафик, поступающий на локальное устройство или из него. Настройка брандмауэра Windows на основе следующих рекомендаций поможет оптимизировать защиту устройств в сети. Эти рекомендации охватывают широкий спектр развертываний, включая домашние сети и корпоративные настольные или серверные системы.

Чтобы открыть брандмауэр Windows, перейдите в меню Пуск , выберите Выполнить, введите WF.msc, а затем нажмите кнопку ОК. См. также раздел Открытие брандмауэра Windows.

Сохранить параметры по умолчанию

При первом открытии брандмауэра Защитник Windows вы увидите параметры по умолчанию, применимые к локальному компьютеру. На панели Обзор отображаются параметры безопасности для каждого типа сети, к которой может подключаться устройство.

Рис. 1. Брандмауэр Защитник Windows

1. Профиль домена: используется для сетей, в которых есть система проверки подлинности учетной записи на контроллере домена Active Directory.
2. Частный профиль: предназначен и лучше всего используется в частных сетях, таких как домашняя сеть.
3. Общедоступный профиль: разработан с учетом более высокого уровня безопасности для общедоступных сетей, таких как Wi-Fi горячие точки, кафе, аэропорты, отели или магазины

Чтобы просмотреть подробные параметры для каждого профиля, щелкните правой кнопкой мыши узел Защитник Windows Брандмауэр в режиме повышенной безопасности в левой области и выберите Свойства.

По возможности сохраняйте параметры по умолчанию в брандмауэре Защитник Windows. Эти параметры предназначены для защиты устройства для использования в большинстве сетевых сценариев. Одним из ключевых примеров является поведение блока по умолчанию для входящих подключений.

Рис. 2. Параметры входящего и исходящего трафика по умолчанию

Важно.

Чтобы обеспечить максимальную безопасность, не изменяйте параметр блокировать по умолчанию для входящих подключений.

Дополнительные сведения о настройке основных параметров брандмауэра см. в разделах Включение брандмауэра Windows и Настройка поведения по умолчанию и Контрольный список: настройка основных параметров брандмауэра.

Общие сведения о приоритете правил для входящих правил

Во многих случаях следующим шагом для администраторов будет настройка этих профилей с помощью правил (иногда называемых фильтрами), чтобы они могли работать с пользовательскими приложениями или другими типами программного обеспечения. Например, администратор или пользователь может добавить правило для размещения программы, открыть порт или протокол или разрешить предопределенный тип трафика.

Эту задачу добавления правил можно выполнить, щелкнув правой кнопкой мыши правила для входящего трафика или Правила для исходящего трафика и выбрав Создать правило. Интерфейс для добавления нового правила выглядит следующим образом:

Рис. 3. Мастер создания правил

Примечание.

В этой статье не рассматривается пошаговая настройка правил. Общие рекомендации по созданию политики см. в руководстве по развертыванию брандмауэра Windows в режиме повышенной безопасности .

Во многих случаях для работы приложений в сети требуется разрешение определенных типов входящего трафика. Администраторы должны помнить о следующем поведении приоритета правил, разрешая эти входящие исключения.

1. Явно определенные правила разрешений будут иметь приоритет над параметром блока по умолчанию.
2. Явные правила блокировки будут иметь приоритет над любыми конфликтующими правилами разрешения.
3. Более конкретные правила будут иметь приоритет над менее конкретными правилами, за исключением случаев, когда существуют явные блочные правила, как упоминалось в 2. (Например, если параметры правила 1 включают диапазон IP-адресов, а параметры правила 2 включают один IP-адрес узла, правило 2 будет иметь приоритет.)

Из-за значений 1 и 2 важно убедиться, что при разработке набора политик вы убедитесь, что нет других явных правил блокировки, которые могли бы случайно перекрываться, тем самым предотвращая поток трафика, который вы хотите разрешить.

Общие рекомендации по обеспечению безопасности при создании правил для входящего трафика должны быть как можно более конкретными. Однако если необходимо создать новые правила, использующие порты или IP-адреса, рассмотрите возможность использования последовательных диапазонов или подсетей вместо отдельных адресов или портов, где это возможно. Такой подход позволяет избежать создания нескольких фильтров под капотом, снизить сложность и избежать снижения производительности.

Примечание.

Брандмауэр Защитник Windows не поддерживает традиционное взвешение правил, назначаемое администратором. Эффективный набор политик с ожидаемым поведением можно создать, учитывая несколько, согласованных и логических правил, описанных выше.

Создание правил для новых приложений перед первым запуском

Правила разрешения для входящего трафика

При первой установке сетевые приложения и службы выполняют вызов прослушивания, указывая сведения о протоколе или порту, необходимые для правильной работы. Так как в брандмауэре Защитник Windows есть действие блокировки по умолчанию, необходимо создать правила для входящих исключений, чтобы разрешить этот трафик. Обычно приложение или установщик приложений добавляют это правило брандмауэра. В противном случае пользователю (или администратору брандмауэра от имени пользователя) необходимо вручную создать правило.

Если нет активных правил разрешений, определенных приложением или администратором, диалоговое окно предложит пользователю разрешить или заблокировать пакеты приложения при первом запуске приложения или попытке взаимодействовать по сети.

• Если у пользователя есть разрешения администратора, будет предложено. Если они отвечают нет или отменяют запрос, будут созданы правила блокировки. Обычно создаются два правила, по одному для трафика TCP и UDP.

• Если пользователь не является локальным администратором, он не будет запрашиваться. В большинстве случаев будут созданы блочные правила.

В любом из описанных выше сценариев после добавления этих правил они должны быть удалены, чтобы снова создать запрос. В противном случае трафик будет по-прежнему заблокирован.

Примечание.

Параметры брандмауэра по умолчанию предназначены для обеспечения безопасности. Если разрешить все входящие подключения по умолчанию, сеть будет ознакомиться с различными угрозами. Поэтому создание исключений для входящих подключений из стороннего программного обеспечения должно определяться доверенными разработчиками приложений, пользователем или администратором от имени пользователя.

Известные проблемы с автоматическим созданием правил

При разработке набора политик брандмауэра для сети рекомендуется настроить правила разрешений для любых сетевых приложений, развернутых на узле. Наличие этих правил до того, как пользователь впервые запустит приложение, поможет обеспечить беспроблемную работу.

Отсутствие этих промежуточных правил не обязательно означает, что в конечном итоге приложение не сможет взаимодействовать по сети. Однако поведение, связанное с автоматическим созданием правил приложений во время выполнения, требует взаимодействия с пользователем и прав администратора. Если ожидается, что устройство будет использоваться пользователями без прав администратора, следует следовать рекомендациям и предоставить эти правила перед первым запуском приложения, чтобы избежать непредвиденных проблем с сетью.

Чтобы определить, почему некоторые приложения заблокированы для обмена данными в сети, проверьте наличие следующих экземпляров:

1. Пользователь с достаточными привилегиями получает уведомление о запросе о том, что приложению необходимо внести изменения в политику брандмауэра. Не полностью понимая запрос, пользователь отменяет или отклоняет запрос.
2. У пользователя отсутствуют достаточные привилегии, поэтому ей не предлагается разрешить приложению вносить соответствующие изменения в политику.
3. Локальное слияние политик отключено, что не позволяет приложению или сетевой службе создавать локальные правила.

Создание правил приложения во время выполнения также может быть запрещено администраторами с помощью приложения "Параметры" или групповая политика.

Рис. 4. Диалоговое окно для разрешения доступа

См. также контрольный список: создание правил брандмауэра для входящего трафика.

Установка правил слияния локальных политик и приложений

Можно развернуть правила брандмауэра:

1. Локально с помощью оснастки брандмауэра (WF.msc)
2. Локально с помощью PowerShell
3. Удаленное использование групповая политика, если устройство является членом имени Active Directory, System Center Configuration Manager или Intune (с помощью присоединения к рабочему месту)

Параметры слияния правил управляют способом объединения правил из разных источников политик. Администраторы могут настраивать различные варианты поведения слияния для доменных, частных и общедоступных профилей.

Параметры слияния правил разрешают или запрещают локальным администраторам создавать собственные правила брандмауэра в дополнение к правилам, полученным из групповая политика.

Рис. 5. Параметр слияния правил

Совет

В поставщике службы конфигурации брандмауэра эквивалентным параметром является AllowLocalPolicyMerge. Этот параметр можно найти в каждом соответствующем узле профиля, DomainProfile, PrivateProfile и PublicProfile.

Если слияние локальных политик отключено, для любого приложения, которому требуется входящее подключение, требуется централизованное развертывание правил.

Администраторы могут отключить LocalPolicyMerge в средах с высоким уровнем безопасности, чтобы обеспечить более строгий контроль над конечными точками. Этот параметр может повлиять на некоторые приложения и службы, которые автоматически создают локальную политику брандмауэра после установки, как описано выше. Чтобы эти типы приложений и служб работали, администраторы должны централизованно отправлять правила с помощью групповой политики (GP), мобильного Управление устройствами (MDM) или обоих (для гибридных сред или сред совместного управления).

Брандмауэр CSP и CSP политики также имеют параметры, которые могут повлиять на слияние правил.

Рекомендуется выводить список и регистрировать такие приложения, включая сетевые порты, используемые для обмена данными. Как правило, на веб-сайте приложения можно найти порты, которые должны быть открыты для данной службы. Для более сложных развертываний или развертываний клиентских приложений может потребоваться более тщательный анализ с помощью средств сбора сетевых пакетов.

Как правило, для обеспечения максимальной безопасности администраторы должны отправлять исключения брандмауэра только для приложений и служб, которые настроены на законные цели.

Примечание.

Использование шаблонов с подстановочными знаками, таких как C:*\teams.exe , не поддерживается в правилах приложений. В настоящее время поддерживаются только правила, созданные с использованием полного пути к приложениям.

Узнайте, как использовать режим "экранирования вверх" для активных атак

Важной функцией брандмауэра, которая может использоваться для устранения ущерба во время активной атаки, является режим "экранирования вверх". Это неофициальный термин, обозначающий простой метод, который администратор брандмауэра может использовать для временного повышения безопасности перед лицом активной атаки.

Экранирования можно достичь, установив флажок Блокировать все входящие подключения, в том числе в списке разрешенных приложений , который находится в приложении "Параметры Windows" или в файле прежних версийfirewall.cpl.

Рис. 6. Параметры Windows App/Безопасность Windows/Firewall Protection/Network Type

Рис. 7. Устаревшая firewall.cpl

По умолчанию брандмауэр Защитник Windows блокирует все, если не создано правило исключения. Этот параметр переопределяет исключения.

Например, функция удаленного рабочего стола автоматически создает правила брандмауэра при включении. Однако при наличии активного эксплойта с использованием нескольких портов и служб на узле можно вместо отключения отдельных правил использовать режим экранирования для блокировки всех входящих подключений, переопределяя предыдущие исключения, включая правила для удаленного рабочего стола. Правила удаленного рабочего стола остаются неизменными, но удаленный доступ не будет работать до тех пор, пока активированы экраны.

После завершения аварийной ситуации снимите флажок, чтобы восстановить обычный сетевой трафик.

Создание правил для исходящего трафика

Ниже приведены несколько общих рекомендаций по настройке правил для исходящего трафика.

• Конфигурация по умолчанию заблокирована для правил исходящего трафика может рассматриваться для некоторых сред с высоким уровнем безопасности. Однако конфигурацию правила для входящего трафика никогда не следует изменять таким образом, чтобы разрешить трафик по умолчанию.
• Рекомендуется разрешить исходящий трафик по умолчанию для большинства развертываний, чтобы упростить развертывание приложений, если только предприятие не предпочитает строгие средства управления безопасностью, чем простоту использования.
• В средах с высоким уровнем безопасности администратор или администраторы должны выполнять инвентаризацию всех корпоративных приложений и регистрировать их в журнале. Записи должны указывать, требуется ли для используемого приложения сетевое подключение. Администраторам потребуется создать новые правила, относящиеся к каждому приложению, которому требуется сетевое подключение, и отправить эти правила централизованно с помощью групповой политики (GP), мобильного Управление устройствами (MDM) или обоих (для гибридных сред или сред совместного управления).

Задачи, связанные с созданием правил для исходящего трафика, см. в разделе Контрольный список. Создание правил брандмауэра для исходящего трафика.

Документирование изменений

При создании правила для входящего или исходящего трафика следует указать сведения о самом приложении, используемом диапазоне портов и важные заметки, такие как дата создания. Правила должны быть хорошо документированы для удобства проверки как вами, так и другими администраторами. Мы настоятельно рекомендуем уделить время, чтобы упростить работу по проверке правил брандмауэра на более позднем этапе. И никогда не создавайте ненужные дыры в брандмауэре.