Фильтрация входящего и исходящего трафика в брандмауэре Windows в режиме повышенной безопасности

Дмитрий Буланов

Введение

Как я уже не раз говорил в своих статьях по брандмауэру Windows в режиме повышенной безопасности, начиная с операционных систем Windows Vista и Windows Server 2008 R2, брандмауэр Windows по умолчанию улучшает безопасность каждого компьютера в организации путем блокировки всего входящего трафика, который не был разрешен явным образом. При установке приложения или компонента операционной системы, которому требуются входящие подключения, операционная система автоматически включает входящие правила брандмауэра и вам, в большинстве случаев, не приходится их конфигурировать вручную. Если вы откроете у себя оснастку "Брандмауэр Windows в режиме повышенной безопасности" непосредственно из панели управления или выполнив команду wf.msc в диалоговом окне "Выполнить", или в командной строке, то увидите, что у вас уже некоторые правила автоматически включены. Например, это может быть правило, которое автоматически создается с установкой программы Windows Live Messenger или при развертывании роли Hyper-V, как показано на следующей иллюстрации:

*

Увеличить рисунок

Рис. 1. Автоматически воздаваемые правила входящих подключений

Но не во всех случаях правила входящих подключений брандмауэра Windows создаются автоматически. Для некоторых приложений, не создающих правила входящих подключений по умолчанию, вам придется создавать правила вручную. Если такая программа установлена на одном компьютере или на нескольких компьютерах, которые расположены в рабочей группе, вы можете создавать правила непосредственно в оснастке "Брандмауэр Windows в режиме повышенной безопасности". Но что делать, если компьютеры ваших сотрудников являются членами домена и таких компьютеров десятки, а то и сотни? В таком случае, для применения администратором правил брандмауэра Windows в организации следует воспользоваться групповой политикой, которая предоставляет аналогичный интерфейс.

В этой статье вы узнаете о том, как можно выполнять гибкое управление брандмауэром Windows в режиме повышенной безопасности средствами групповых политик, а именно о создании входящих и исходящих подключений для определенной группы пользователей.

Создание объекта групповой политики для управления брандмауэрами Windows в режиме повышенной безопасности

Прежде чем создавать правила входящих и исходящих подключений для брандмауэров Windows в режиме безопасности клиентских компьютеров вашей организации, вам нужно найти подразделения, которые содержат учетные записи компьютеров вашей организации и создать объект GPO, который потом будет содержать набор политик с параметрами, предназначенными для конкретного набора компьютеров. После этого, при помощи оснастки "Редактор управления групповыми политиками", нужно будет отконфигурировать правила для входящих и исходящих подключений. В процессе создания объекта групповой политики, предназначенной для управления брандмауэров Windows в режиме повышенной безопасности нет ничего специфического. Для этого выполните следующие действия:

  1. Первым делом убедитесь, что в вашем домене для клиентских компьютеров создано специальное подразделение. Я полагаю, что ни для кого не является секретом то, что по умолчанию все клиентские компьютеры создаются в контейнере (не подразделении) Computers, к которому невозможно привязать объект групповой политики. Поэтому, откройте оснастку "Active Directory - пользователи и компьютеры", в дереве консоли разверните свой домен и убедитесь, что для клиентских компьютеров создано подразделение;
  2. Если такое подразделение ранее не было вами создано, в области сведений нажмите правой кнопкой мыши и из контекстного меню выберите команду "Создать", а затем "Подразделение". В диалоговом окне "Новый объект - Подразделение" укажите имя подразделения, например, "Клиенты", и установите флажок "Защитить контейнер от случайного удаления";
  3. Перейдите в контейнер "Computers", выделите созданные ранее учетные записи компьютеров, нажмите на них правой кнопкой мыши и из контекстного меню выберите команду "Переместить". В диалоговом окне "Переместить", выберите подразделение, которое вы создали на предыдущем шаге и нажмите на кнопку "ОК". Данное диалоговое окно показано на следующей иллюстрации:

  4. *

    Рис. 2. Диалоговое окно "Переместить"

  5. После того как вы перенесете все созданные ранее учетные записи компьютеров в созданное вами подразделение, содержимое данного подразделения должно выглядеть так, как показано на следующей иллюстрации:

  6. *

    Рис. 3. Содержимое подразделения "Клиенты"

    Теперь, когда все учетные записи перенесены в нужное подразделение, можно закрыть оснастку "Active Directory - пользователи и компьютеры" и переходить к созданию объекта групповой политики.

  7. Данный шаг выполнять необязательно, но если вы сразу перенаправите контейнер компьютеров по умолчанию, все новые объекты компьютеров, генерируемые в случае присоединения компьютера к домену без предварительного размещения учетной записи, будут создаваться в управляемом подразделении. Для этого в окне командной строки введите следующую команду: redircmp "OU=Клиенты,DC=Biopharmaceutic,DC=com" ;
  8. Откройте оснастку "Управление групповой политикой", в дереве консоли разверните узел "Лес: %имя леса%", узел "Домены", затем узел с названием вашего домена, после чего узел "Объекты групповой политики". На узле "Объекты групповой политики" нажмите правой кнопкой и выберите команду "Создать". В диалоговом окне "Новый объект групповой политики", в поле "Имя" введите имя нового объекта групповой политики, например "Настройки брандмауэра Windows" и нажмите на кнопку "ОК". Для клиентских компьютеров и для серверов желательно создавать разные объекты групповой политики;
  9. Так как брандмауэр Windows в режиме повышенной безопасности настраивается непосредственно в узле "Конфигурация компьютера", для повышения производительности клиентского компьютера во время применения параметров объекта групповой политики желательно для данного объекта GPO отключить параметры конфигурации пользователя. Выберите созданный объект групповой политики, перейдите на вкладку "Таблица" и в раскрывающемся списке "Состояние GPO" выберите "Параметры конфигурации пользователя отключены", после чего во всплывшем диалоговом окне "Управление групповой политикой" нажмите на кнопку "ОК", как показано на следующей иллюстрации:

  10. *

    Рис. 4. Отключение параметров конфигурации пользователя

  11. На последнем шаге предварительной подготовки объекта групповой политики вам нужно связать созданный ранее объект групповой политики с подразделением, содержащим учетные записи компьютеров, для которых должны применяться параметры данного GPO. В дереве консоли выберите подразделение, содержащее учетные записи компьютеров, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду "Связать существующий объект групповой политики". В отобразившемся диалоговом окне "Выбор объекта групповой политики" выберите созданный ранее объект GPO, в данном случае, "Настройки брандмауэра Windows" и нажмите на кнопку "ОК".

  12. *

    Рис. 5. Связывание объекта GPO с подразделением компьютеров

После того как вы выполните все указанные ранее действия, можно заняться созданием входящих и исходящих правил для брандмауэра Windows в режиме повышенной безопасности.

Настройка правила для входящего и исходящего подключения

На этом этапе мы создадим правило для входящих подключений, применяемое к программе Windows Live Messenger на 1900 порт для 64-разрядных операционных систем Windows Vista и Windows 7, а также правило для исходящего подключения, разрешающее запросы от браузера Internet Explorer в объекте групповой политики, который создавался в предыдущем разделе данной статьи. По умолчанию члены локальной группы администраторов также могут создавать и изменять правила для входящих и исходящих подключений в оснастке "Брандмауэр Windows в режиме повышенной безопасности". Такие правила объединяются с правилами, полученными из групповых политик, и применяются к конфигурации компьютера. Для того чтобы создать правило входящего подключения в созданном ранее объекте групповой политики, выполните следующие действия:

  1. В узле "Объекты групповой политики" оснастки "Управление групповой политикой" выберите созданный ранее объект GPO, в данном случае, объект "Настройка брандмауэра Windows", нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду "Изменить";
  2. В оснастке "Редактор управления групповыми политиками" в дереве консоли разверните узел Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасности\Брандмауэр Windows в режиме повышенной безопасности\Правила для входящих подключений. Щелкните правой кнопкой мыши элемент "Правила для входящих подключений" и из контекстного меню выберите команду "Создать правило", как показано на следующей иллюстрации:

  3. *

    Рис. 6. Создание нового правила для входящих подключений

  4. На первой странице "Мастера создания правила для нового входящего подключения" вы можете выбрать одну из опций, которые подробно описаны далее:
    • Для программы. Этот тип правила для брандмауэра служит для создания правила, разрешающего или блокирующего подключения конкретного исполняемого файла, независимо от используемых номеров портов. Для большинства людей данный тип правила может оказаться самым полезным, так как далеко не все знают, какие порты использует конкретная программа. Лучше всего в большинстве случаев применять именно этот тип правила, но стоит обратить внимание на то, что данный тип не применяется в том случае, если конкретная служба не содержит собственный исполняемый файл;
    • Для порта. Этот тип правила для брандмауэра служит для создания правила, разрешающего или блокирующего коммуникации для определенного TCP или UDP порта, независимо от программы, которая генерирует трафик. Создавая правило данного типа, вы можете указать одновременно несколько портов;
    • Предопределённые. Этот тип правила для брандмауэра служит для создания правила, управляющего подключениями конкретной программы или службы операционной системы, которая отображается в соответствующем раскрывающемся списке. Некоторые программы после своей установки добавляют свои записи в данный список для упрощения процесса создания правил для входящих подключений;
    • Настраиваемые. Этот тип правила для брандмауэра служит для создания правила, которое может комбинировать сведения о программе и порте одновременно.
  5. Для того чтобы рассмотреть максимальное количество страниц мастера, выберем тип "Настраиваемое правило";

    *

    Увеличить рисунок

    Рис. 7. Страница "Тип правила" мастера создания правила для нового входящего подключения

  6. На странице "Программа" мастер создания правила для нового входящего подключения позволяет указать путь к программе, которую будет проверять брандмауэр Windows в режиме повышенной безопасности на то, чтобы посылаемые или принимаемые сетевые пакеты удовлетворяли данному правилу. В нашем случае установим переключатель на опцию "Путь программы" и в соответствующем текстовом поле введем "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe", как показано ниже:

  7. *

    Увеличить рисунок

    Рис. 8. Страница "Программа" мастера создания правила для нового входящего подключения

  8. На странице "Протокол и порты" мастера создания правила для нового входящего подключения вы можете указать протокол и порты, используемые в сетевом пакете, которые будут удовлетворять текущему правилу. Если вам нужно указать несколько портов, вы можете их ввести через запятую. А если вам необходимо указать целых диапазон портов, разделите меньшее и большее значение портов дефисом. Вкратце рассмотрим параметры локальных портов для правил входящих подключений:
    • Все порты. Правило применяется для всех входящих и исходящих подключений по протоколам TCP или UDP;
    • Специальные порты. В данном случае вы можете указать конкретные порты, которые будут применяться для входящего или исходящего подключения по протоколам TCP или UDP;
    • Сопоставитель конечных точек RPC. Данное значение можно выбрать только для входящих подключений по протоколу TCP. В данном случае компьютер будет получать входящие RPC-запросы по протоколу TCP через порт 135 в запросе RPC-EM, где указывается сетевая служба и запрашивается номер порта, по которому и прослушивается данная сетевая служба;
    • Динамические порты RPC. Также как и для предыдущего значения, данное значение можно выбрать только для входящих подключений по протоколу TCP, где компьютер будет получать входящие сетевые RPC-пакеты через порты, которые назначаются средой выполнения RPC;
    • IPHTTPS. Это значение доступно только для входящих подключений по протоколу TCP. В этом случае разрешается принимать входящие пакеты по протоколу туннелирования IPHTTPS, поддерживающему внедрение пакетов IPv6 в сетевые пакеты IPv4 HTTPS от удаленного компьютера;
    • Обход узлов. Вы можете выбрать это значение только для входящих подключений по протоколу UDP, которое позволяет получать входящие сетевые пакеты Teredo.
  9. Например, для того чтобы указать для программы Windows Live Messenger TCP порты 80, 443 и 1900, в раскрывающемся списке "Тип протокола" выберите "TCP", в раскрывающемся списке "Локальный порт" выберите значение "Специальные порты", а в текстовом поле, расположенном под указанным выше раскрывающемся меню введите "80, 443, 1900". Оставьте значение раскрывающегося списка "Удаленный порт" без изменений и нажмите на кнопку "Далее";

    *

    Увеличить рисунок

    Рис. 9. Страница "Протокол и порты" мастера создания правила для нового входящего подключения

  10. На странице "Область" данного мастера вы можете указать IP-адреса локальных и удаленных компьютеров, сетевой трафик которых будет применяться для текущего правила. Здесь доступны два раздела: локальные и удаленные IP-адреса, к которым будет применяться данное правило. Как в первом, так и во втором разделах, сетевой трафик будет удовлетворять данное правило только в том случае, если IP-адрес назначения присутствует в данном списке. При выборе опции "Любой IP-адрес", правилу будут удовлетворять сетевые пакеты с любым IP-адресом, которые будут указаны в качестве адреса локального компьютера или которые будут адресованы от любого IP-адреса (в случае с правилом для входящего подключения). Если же вам нужно указать конкретные IP-адреса, установите переключатель на опцию "Указанные IP-адреса" и определенный адрес или подсеть используя диалоговое окно, открывающееся по нажатию на кнопку "Добавить". В нашем случае, оставим данную страницу без изменений и нажмем на кнопку "Далее";

  11. *

    Увеличить рисунок

    Рис. 10. Страница "Область" мастера создания правила для нового входящего подключения

  12. На странице "Действие" вы можете выбрать действие, которое будет выполняться для входящих или исходящих пакетов в данном правиле. Здесь вы можете выбрать одно из трех следующих действий:
    • Разрешить подключение. При выборе данного значения, вы разрешаете все подключения, которые соответствуют критерию, указанному на всех предыдущих страницах мастера;
    • Разрешить безопасное подключение. Текущее значение для правила брандмауэра Windows в режиме повышенной безопасности позволяет разрешать подключения только в том случае, если они соответствуют критериям, которые были указаны вами ранее, а также защищены по протоколу IPSec. Не будем останавливаться на данном значении, так как оно будет подробно рассмотрено в моих следующих статьях;
    • Блокировать подключение. В этом случае брандмауэр Windows в режиме повышенной безопасности будет сбрасывать любые попытки подключения, которые соответствуют критериям, указанным вами ранее. Несмотря на то, что изначально все подключения блокируются брандмауэром, данное значение целесообразно выбирать в том случае, если вам нужно запретить подключения для конкретного приложения.
  13. Так как нам нужно разрешить доступ для программы Windows Live Messenger, устанавливаем переключатель на опции "Разрешить подключение" и нажимаем на кнопку "Далее";

    *

    Увеличить рисунок

    Рис. 11. Страница "Действие" мастера создания правила для нового входящего подключения

  14. На странице "Профиль" мастера создания правила для нового входящего подключения вы можете выбрать профиль, к которому будет применимо данное правило. Вы можете выбрать или один из трех доступных профилей или сразу несколько. Чаще всего для организации выбирается или профиль "Доменный" или все три профиля. Если же в вашей организации не используются доменные службы Active Directory или вы настраиваете правила брандмауэра для домашнего компьютера, вам будет достаточно указать только профиль "Частный". Правила для профиля "Публичный" создаются для общедоступных подключений, что, в принципе, делать небезопасно. В нашем случае, установим флажки на всех трех профилях и нажмем на кнопку "Далее";

  15. *

    Увеличить рисунок

    Рис. 12. Страница "Профиль" мастера создания правила для нового входящего подключения

  16. На странице "Имя" укажите имя для созданного вами нового правила брандмауэра Windows в режиме повышенной безопасности для входящего подключения, при необходимости введите описание для текущего правила и нажмите на кнопку "Готово".

  17. *

    Увеличить рисунок

    Рис. 13. Страница "Имя" мастера создания правила для нового входящего подключения

По умолчанию брандмауэр Windows в режиме повышенной безопасности разрешает весь исходящий трафик, что, по сути, подвергает компьютер меньшей угрозе взлома, нежели разрешение входящего трафика. Но, в некоторых случаях, вам необходимо контролировать не только входящий, но еще и исходящих трафик на компьютерах ваших пользователей. Например, такие вредоносные программные продукты как черви и некоторые типы вирусов могут выполнять репликацию самих себя. То есть, если вирус успешно смог идентифицировать компьютер, то он будет пытаться всеми доступными (для себя) способами отправлять исходящий трафик для идентификации других компьютеров данной сети. Таких примеров можно приводить довольно много. Блокирование исходящего трафика обязательно нарушит работу большинства встроенных компонентов операционной системы и установленного программного обеспечения. Поэтому, при включении фильтрации исходящих подключений вам нужно тщательно протестировать каждое установленное на пользовательских компьютерах приложение.

Создание исходящих правил незначительно отличается от указанной выше процедуры. Например, если вы заблокировали на пользовательских компьютерах все исходящие подключение, а вам нужно открыть пользователям доступ на использование браузера Internet Explorer, выполните следующие действия:

  1. Если вам нужно, чтобы правило брандмауэра Windows для исходящего подключения было назначено в новом объекте групповой политике, выполните действия, которые были указаны в разделе "Создание объекта групповой политики для управления брандмауэрами Windows в режиме повышенной безопасности";
  2. В оснастке "Редактор управления групповыми политиками" в дереве консоли разверните узел Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасности\Брандмауэр Windows в режиме повышенной безопасности\Правила для исходящих подключений. Щелкните правой кнопкой мыши элемент "Правила для исходящих подключений" и из контекстного меню выберите команду "Создать правило";
  3. На странице мастера "Тип правила" выберите опцию "Для программы" и нажмите на кнопку "Далее";
  4. На странице "Программа", установите переключатель на опцию "Путь программы" и введите в соответствующее текстовое поле %ProgramFiles%\Internet Explorer\iexplore.exe или выберите данный исполняемый файл, нажав на кнопку "Обзор";
  5. На странице "Действие" данного мастера выберите опцию "Разрешить подключение" и нажмите на кнопку "Далее";
  6. На странице "Профиль" согласитесь со значениями по умолчанию и нажмите на кнопку "Далее";
  7. На заключительной странице, странице "Имя", введите имя для данного правила, например, "Правило для браузера Internet Explorer" и нажмите на кнопку "Готово".

В области сведений оснастки "Редактор управления групповыми политиками" у вас должно отображаться созданное правило, как показано на следующей иллюстрации:

*

Увеличить рисунок

Рис. 14. Созданное правило для исходящего подключения

Назначение фильтрации для созданного правила

Теперь, после того как вы создали объект групповой политики с входящим и исходящим правилом для подключений, вам нужно обратить внимание на следующий момент. При создании правила для входящего подключения мы указали путь к Windows Live Messenger для 64-разрядной операционной системы. Все ли компьютеры в вашей организации оснащены 64-разрядными операционными системами. Если все, то вам сильно повезло и больше ничего не нужно делать. Но если у вас есть клиентские компьютеры с 32-разрядными ОС, то вы столкнетесь с некой проблемой. Правило просто не будет работать. Конечно, вы можете создать разные подразделения для компьютеров с 32-разрядными и для компьютеров с 64-разрядными операционными системами, но это не совсем рационально. Другими словами, вам нужно указать в оснастке "Управление групповой политикой", что объект GPO должен применяться только на компьютерах с 64-разрядной операционной системой. Такое ограничение вы можете создать при помощи WMI-фильтра. Более подробно о фильтрации WMI вы узнаете в одной из следующих статей, а сейчас стоит лишь остановиться на создании такого фильтра. Для того чтобы указать WMI-фильтр для определения 64-разрядных операционных систем, выполните следующие действия:

  1. В оснастке "Управление групповой политикой" разверните узел "Фильтры WMI", выберите его, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду "Создать";
  2. В диалоговом окне "Новый фильтр WMI", в текстовом поле "Имя" укажите имя фильтра, например "64-bitArch", в поле "Описание" укажите подробное описания для данного фильтра, например, "Определение 64-разрядных операционных систем". Для добавления запроса нажмите на кнопку "Добавить";
  3. Инструментарий WMI извлекает пространства имен, где есть классы, которые можно запрашивать. В данном примере, необходимые классы расположены в корневом классе root\CIMv2. Для определения 64-разрядных операционных систем нужно воспользоваться следующим запросом: Select * FROM Win32_OperatingSystem WHERE OSArchitecture="64-bit" , как показано на следующей иллюстрации:

  4. *

    Рис. 15. Создание WMI-запроса

  5. В диалоговом окне "Запрос WMI" нажмите на кнопку "ОК", а затем в диалоговом окне "Новый фильтр WMI" нажмите на кнопку "Сохранить";
  6. Опять перейдите в "Объекты групповой политики" и выберите созданный вами объект GPO. На вкладке "Область", в разделе "Фильтр WMI" из соответствующего раскрывающегося списка выберите созданный вами фильтр;
  7. В отобразившемся диалоговом окне примите изменения и закройте оснастку "Управление групповой политикой".

  8. *

    Рис. 16. Применение фильтра WMI

Заключение

В данной статье вы узнали о том, как можно создать правила брандмауэра Windows в режиме повышенной безопасности для входящих и исходящих подключений средствами оснастки "Брандмауэр Windows в режиме повышенной безопасности", а также при помощи групповых политик для компьютеров организации, которые являются членами домена Active Directory. Описаны предварительные работы, а именно создание подразделения с компьютерами, а также объекта групповой политики. Были рассмотрены примеры создания настраиваемого правила для входящего подключения, а также правило типа "Для программы" для исходящего подключения.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=25443