Misc
2 Minutes
This post covers how to configure the Windows firewall to block Internet access for a given program, but still allow it LAN access.
I ran into this problem when experimenting with WireGuard for playing LAN-only games together over the Internet: I found that some games showed weird network behavior when trying to find their Internet-based match-making services (which either don’t exist anymore, or which might report back that the service has been shut down, or something like this – I did not investigate what the exact cause was, as I was only interested in getting LAN gaming to work). As I couldn’t just deactivate the computer having Internet access altogether, or route all traffic through the tunnel in general, which didn’t have a default gateway attached, my quick solution for this was to block those games from having Internet access in general, but to still allow them LAN access.
Some firewall background info
Windows firewall defaults
The Windows firewall distinguishes protocol (TCP, UDP), port, and incoming or outgoing traffic. The default for outgoing traffic is “allow”. A rule for outgoing traffic usually is meant as an exception to this default, hence to block that traffic. In contrast to this, the default for incoming traffic is “block”. A rule for incoming traffic is usually meant as an exception to this default, hence to allow that traffic.
Firewall rule prioritization (not supported by Windows firewall)
Unlike other firewalls, the Windows firewall does not have rule prioritization. With rule prioritization, firewall rules be cascaded with overlapping address ranges, and the highest priority rule that matches the traffic is applied. This allows for defining narrow high priority rules, like allow traffic from/to 192.168.0.0/16, and broader low priority rules, like block traffic from/to 0.0.0.0/0. This way, the 1st rule in the example would apply to traffic in the 192.168.0.0/16 subnet, which would hence be allowed. As the 1st rule does not apply to any other traffic, the 2nd rule would subsequently match that other traffic, which results in it being blocked. Unfortunately, the Windows firewall does not support firewall rule prioritization, which is why rules cannot overlap each others address ranges (if they do, the outcome is undefined).
Due to Windows firewall not featuring rule prioritization, another solution is needed. The solution I chose was to specify a single Windows firewall rule that uses multiple non-overlapping address ranges, which together cover the whole IP range. In practical terms, to block outgoing Internet access for program X, but to also allow its LAN traffic:
- Go to Windows firewall, advanced settings, outgoing rules.
- Add an outgoing rule for program X, covering both TCP and UDP.
- In the rule’s properties, in the scope tab, add all IP segments in which traffic should not be allowed. For example, if you want to allow traffic in
192.168.0.0/16you need to block both the lower0.0.0.0-192.167.255.255as well as the higher192.169.0.0-255.255.255.255segment. Together, three segments then cover the whole IP range:0.0.0.0-192.167.255.255: explicitly blocked by the rule.192.168.0.0-192.168.255.255: implicitly allowed, as the rule does not cover it, and as the default of the Windows firewall for outgoing traffic is “allow”.192.169.0.0-255.255.255.255: explicitly blocked by the rule.
Note: if you don’t want broadcasts to be blocked, which you usually don’t, then the higher segment should end at x.y.z.254 (instead of 255).
Here’s an example of what this should look like:
While this solution is more cumbersome than prioritized firewall rule cascading, it still achieves the same outcome 🙂
Published by geekoverdose
Rainhard Findling: geek, curious, and full of energy! Details: https://geekoverdose.wordpress.com/about/
View all posts by geekoverdose
Published
The Microsoft Defender Firewall is built into all modern versions of Windows and Windows Server and allows you to configure rules for filtering incoming and/or outgoing network traffic on your computer. Windows Firewall rules can be configured locally on the user’s computer (using the wf.msc console, the netsh command, or the built-in NetSecurity PowerShell module). On Windows computers joined to an Active Directory domain, you can centrally manage Microsoft Defender Firewall rules and settings using Group Policies.
In enterprise networks, the port filtering rules are usually set at the level of routers, L3 switches, or dedicated firewall devices. However, nothing prevents you from deploying your Windows Firewall network access rules to workstations or Windows servers.
Contents:
- Enable Microsoft Defender Firewall via GPO
- How to Create Windows Firewall Rule with GPO?
- Applying Microsoft Defender Firewall Rules to Windows Computers
- How to Export and Import Firewall Rules on Windows?
- Merging Domain and Local Microsoft Defender Firewall Rules
Enable Microsoft Defender Firewall via GPO
Open the domain Group Policy Management console (gpmc.msc), create a new GPO object (policy) with the name gpoFirewallDefault, and switch to Edit mode.
In order to prevent users (even having local admin permissions) to stop the firewall service, it is recommended to configure the automatic startup of the Windows Firewall using GPO. To do it, go to Computer Configuration- > Windows Settings -> Security Settings -> System Services. Find Windows Firewall in the list of services and change the startup type to automatic (Define this policy setting -> Service startup mode Automatic). Make sure that your users don’t have the permission to stop the service.
Then go to Computer Configuration -> Policies -> Administrative Templates -> Network -> Network Connections -> Windows Defender -> Firewall -> Domain Profile and enable the policy Windows Defender Firewall: Protect all network connections.
Go to the Computer Configuration -> Windows Settings -> Security Settings section in the GPO console. Right-click Windows Firewall with Advanced Security and open the properties.
Change the Firewall state to On (recommended) in all three tabs: Domain Profile, Private Profile, and Public Profile (What are network profiles (locations) in Windows?). Depending on the security policies in your company, you can specify that all inbound connections are blocked by default (Inbound connections -> Block), and outbound connections are allowed (Outbound connections -> Allow). Save the changes.
You can debug your Windows Defender Firewall rules on clients’ computers by enabling logging in %systemroot%\system32\logfiles\firewall\pfirewall.log. By default, network connection logging is disabled in Windows. You can log only rejected packets (Log dropped packets) or packets that were allowed by firewall rules (Log successful connections).
How to Create Windows Firewall Rule with GPO?
Now let’s look at how to create Microsoft Defender firewall rules via Group Policy. To configure your rules, go to Computer Configuration -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security.
The following sections are available in Firewall GPO:
- Inbound rules
- Outbound rules
- Connection security rules
Let’s try to create an allowing inbound firewall rule. For example, we want to allow the incoming RDP connection on Windows (the default RDP port is TCP 3389). Right-click the Inbound Rules section and select New Rule. The New Firewall Rule Wizard starts.
The firewall rule wizard has an interface similar to that of the local Windows Firewall on the user’s desktop computer.
Select the rule type. You can allow access to:
- Program – you can select a program executable (.exe);
- Port – you can select a TCP/UDP port or a port range;
- Predefined – select one of the standard Windows rules, which already contain access rules (both executable files and ports are described) to typical services (e. g., AD, HTTP(s), DFS, BranchCache, Remote restart, SNMP, KMS, WinRM, etc.);
- Custom – here you can specify a program, a protocol (protocols other than TCP or UDP, like ICMP, GRE, L2TP, IGMP, etc.), client IP addresses, or an entire IP network (subnet).
In our case, we’ll select the Port rule. Let’s specify TCP as the protocol, and 3389 as the local port number.
Then you must select what to do with such a network connection: Allow the connection, Allow the connection if it is secure, or Block the connection.
Then select the network profiles to apply the firewall rule. You can leave all profiles enabled (Domain, Private and Public).
In the last step, specify the name and description of the rule. Click Finish, and it will appear in the list of firewall rules.
Modern versions of Windows also use UDP port 3389 for Remote Desktop (RDP) traffic. Therefore, create a second Microsoft Defender rule for that port as well.
In the same way, you can configure other inbound firewall rules to apply to your Windows clients. You can create rules for both inbound and outbound traffic.
Above, we looked at how to use the graphical wizard to create Windows Defender Firewall rules. You can also create a list of rules in plain text form and quickly add a large number of exceptions to Defender Firewall GPO.
Go to Computer Configuration -> Policies -> Administrative Templates -> Network -> Network Connections -> Windows Defender Profile -> Domain Profile and open the Windows Defender Firewall: Define inbound port exceptions policy. Here you can create a list of firewall rules with simple text strings.
Below is the list of inbound firewall rules that I want to add to the Group Policy:
3389:UDP:localsubnet:enabled:In_RDP_UDP_3389 445:TCP:localsubnet:enabled:In_SMB_TCP_443 443:TCP:192.168.110.11:enabled:In_HTTP_TCP_445
Click the Show button and copy your rules line by line into the Define Port Exceptions form.
This method allows you to quickly create a large number of inbound rules for the Windows firewall.
Applying Microsoft Defender Firewall Rules to Windows Computers
Now it remains to assign the Firewall-Policy policy to the OU (Organizational Unit) with the user’s computers. Locate the desired OU in the Group Policy Management console, right-click on it, and select Link an Existing GPO. Select your firewall policy from the list.
Important. Before applying a firewall policy to OU with production computers, it is strongly recommended to try it out on some test computers. Otherwise, due to wrong firewall settings, you can completely block network access on computers. To diagnose how your Group Policy is applied, use the gpresult tool.
Update the Group Policy settings on your clients (gpupdate /force). Verify that the ports you specified are open on users’ computers (you can use Test-NetConnection cmdlet or Portqry tool to check for open ports).
On a user’s computer, open the Control Panel -> System and Security -> Windows Defender Firewall and make sure that there is the message For your security, some settings are controlled by Group Policy and your firewall settings are used.
Now a user cannot change the firewall settings, and all rules that you have created must appear in the Inbound Rules list. Note that by default, new rules from the GPO are added to existing local firewall rules.
You can also display the current Windows Defender settings with the command:
netsh firewall show state
Or you can get the list of inbound rules in a table form using a PowerShell script:
Get-NetFirewallRule -Action Allow -Enabled True -Direction Inbound |
Format-Table -Property Name,
@{Name='Protocol';Expression={($PSItem | Get-NetFirewallPortFilter).Protocol}},
@{Name='LocalPort';Expression={($PSItem | Get-NetFirewallPortFilter).LocalPort}},
@{Name='RemotePort';Expression={($PSItem | Get-NetFirewallPortFilter).RemotePort}},
@{Name='RemoteAddress';Expression={($PSItem | Get-NetFirewallAddressFilter).RemoteAddress}},
Enabled,Profile,Direction,Action
How to Export and Import Firewall Rules on Windows?
The Windows Defender Firewall Console allows you to export and import the current firewall settings to a text file. You can configure firewall rules on the reference computer and export them to the Group Policy console.
Configure the rules you need, then go to the root of the firewall snap-in (Windows Defender Firewall Monitor with Advanced Security) and select Action -> Export Policy
Your firewall rules will be exported into a WFW file, which can be imported to the Group Policy Management Editor by selecting the Import Policy option and specifying the path to the .wfw file (the current policy settings will be overwritten).
Merging Domain and Local Microsoft Defender Firewall Rules
In the GPO, you can specify whether you want to allow local administrators to create their own firewall rules on their computers, and how these rules should be merged with the rules assigned through the GPO.
Open the Windows Firewall policy properties in the GPO, select the tab with the profile (Domain) and click the Customize button. Check the settings in the Rule merging section. By default, rule merging is enabled. You can force a local administrator can create their own firewall rules: select Yes (default) in the Apply local firewall rules option.
Tip. Blocking firewall rules have a higher priority than allowing ones. It means that a user cannot create an allowing access rule if it contradicts the deny rule configured by an administrator using GPO. However, a user will be able to create a local blocking rule, even if the access is allowed in the policy by the administrator.
Some tips on managing the Windows Firewall using a GPO:
- Create separate GPOs with firewall rules for servers and workstations (you may need to create your own policies for each group of similar servers depending on their role. This means that the firewall rules for a domain controller, an Exchange server, a server with the Remote Desktop Services Host (RDSH) role, or Microsoft SQL Server will differ;
- You can use WMI GPO filters to target policies more precisely to clients (for example, you can apply the policy to hosts on a specific IP subnet);
- You can find out which ports must be opened for each service in the documentation on the vendor’s website. The process is quite painstaking and complicated at the first glance. However, you can finally get a working Windows Firewall configuration that allows only approved network connections and blocks the rest. From my experience, I’d like to note that you can quickly find the list of used TCP/UDP ports for most Microsoft services.
Windows Firewall is an integral part of the Windows operating system, designed to protect your computer from various forms of cyber threats. It acts as a barrier between your device and the internet, controlling which incoming and outgoing traffic is allowed. One of the more powerful features of Windows Firewall is its ability to define inbound and outbound rules, enabling users to customize their security settings according to their specific needs.
In this article, we will explore how to create and manage inbound and outbound rules with Windows Firewall. By the end, you’ll have a solid understanding of how to effectively configure your firewall to enhance your computer’s security.
Understanding Windows Firewall
Before diving into how to set rules, it’s important to understand what Windows Firewall does. The firewall monitors and controls incoming and outgoing network traffic based on predetermined security rules. This protective shield helps to block unauthorized access to your device while allowing legitimate communication.
What Are Inbound and Outbound Rules?
-
Inbound Rules: These rules manage traffic that is coming into your computer from external sources. For example, if you are hosting a web server on your machine, you would need to create inbound rules to allow incoming traffic on specific ports.
-
Outbound Rules: These rules govern the traffic that is leaving your computer. For instance, if you want to manage which applications can access the internet, you can set outbound rules to restrict that access.
Understanding the difference between these two types of rules is crucial for effective firewall management.
Why Set Inbound and Outbound Rules?
Customizing your firewall settings through inbound and outbound rules serves several purposes:
-
Enhanced Security: By controlling which applications can send or receive data, you significantly reduce the risk of malware and unauthorized access.
-
Improved Network Performance: By limiting unnecessary traffic, you can enhance the performance of your network and internet connection.
-
Fine-tuned Control Over Applications: You can manage which applications have access to the internet, allowing you to restrict non-essential software.
How to Access Windows Firewall
Before setting any rules, you first need to access the Windows Firewall settings:
-
Open Control Panel: Click on the Start Menu and type «Control Panel», then hit Enter.
-
Navigate to Windows Defender Firewall: In the Control Panel, look for «Windows Defender Firewall» and click on it.
-
Advanced Settings: In the left sidebar, click on «Advanced settings». This will open the Windows Defender Firewall with Advanced Security interface.
The advanced settings window is where you will create and manage your inbound and outbound rules.
Setting Inbound Rules
Creating an inbound rule allows specific incoming traffic while blocking all other unauthorized access. Here’s a step-by-step guide on how to set inbound rules in Windows Firewall:
Step 1: Open Windows Defender Firewall with Advanced Security
Follow the steps previously mentioned to access the Advanced Security interface.
Step 2: Select Inbound Rules
In the left pane, click on “Inbound Rules.” This section displays all the current inbound rules.
Step 3: Create a New Rule
-
Right-click on Inbound Rules: You will see an option to create a new rule.
-
Choose Rule Type: Select «New Rule…» from the context menu. This will launch the New Inbound Rule Wizard.
Step 4: Rule Type Selection
You can create a rule based on different types, such as:
- Program: Use this option to specify a particular application.
- Port: Select this option if you want to allow or deny traffic based on network ports.
- Predefined: Windows offers some predefined rules for common applications.
- Custom: This option allows for advanced configurations.
For this example, we will create a rule based on a port.
Step 5: Specify Port
-
Select “Port” and Click Next: If you selected «Port», choose whether the rule applies to TCP or UDP.
-
Enter the Port Number: Specify the port number you want to create the rule for. For instance, if you are allowing HTTP traffic, you would enter
80for port 80.
Step 6: Allow or Block Connections
You will have options for how the firewall should respond to traffic on the specified port:
- Allow the connection: This option permits traffic through the specified port.
- Block the connection: This option denies traffic through the specified port.
Choose one based on your requirements and click Next.
Step 7: Profile Selection
Select when this rule applies. You can choose from Domain, Private, or Public. Pick the appropriate options based on your network environment and click Next.
Step 8: Name Your Rule
-
Provide a Name and Description: Enter a name for your rule and an optional description to clarify its purpose.
-
Finish the Wizard: Click Finish to create the rule. Your new inbound rule will now appear in the Inbound Rules list.
Setting Outbound Rules
Creating outbound rules is a similar process. Here’s how to set outbound rules in Windows Firewall:
Step 1: Open Windows Defender Firewall with Advanced Security
As before, access the Advanced Security interface.
Step 2: Select Outbound Rules
In the left pane, click on “Outbound Rules” to view the list of existing outbound rules.
Step 3: Create a New Rule
- Right-click on Outbound Rules: Choose «New Rule…» from the context menu to launch the New Outbound Rule Wizard.
Step 4: Rule Type Selection
Similar to inbound rules, choose the type of rule:
- Program for specific applications.
- Port for network ports.
- Predefined for common protocols.
- Custom for advanced settings.
Step 5: Specify Port or Program
Choose your desired rule type. For example, if creating a port rule:
- Select “Port” and Click Next.
- Select TCP/UDP and Input the Ports.
Step 6: Allow or Block Connections
Just like with inbound rules, choose to allow the connection or block it based on your policy.
Step 7: Profile Selection
Select the appropriate profile(s) for this outbound rule, just as discussed previously.
Step 8: Name the Rule
Provide a name and an optional description before clicking Finish to create your outbound rule.
Managing Existing Rules
In addition to creating new rules, you may need to modify or delete existing rules. Here’s how to manage your firewall rules effectively:
How to Disable or Enable a Rule
-
Find the Rule: In the list of inbound or outbound rules, locate the rule you want to enable or disable.
-
Right-click and Choose the Appropriate Option: You can select «Enable Rule» or «Disable Rule».
How to Edit a Rule
-
Select the Rule: Find the rule you wish to edit.
-
Right-click and choose “Properties”: This will bring up the properties window where you can modify any settings.
-
Make Changes: You can adjust the rule type, ports, or other settings, then click OK to apply changes.
How to Delete a Rule
-
Locate the Rule: In the list of inbound or outbound rules, find the rule you wish to remove.
-
Right-click and choose “Delete”: Confirm the deletion to remove the rule from the firewall.
Monitoring Firewall Activity
Monitoring the activity of your Windows Firewall is essential in understanding how your rules are working. Windows Firewall offers logs that can provide insight into allowed and blocked connections:
-
Access the Logging Settings: In the Windows Defender Firewall with Advanced Security interface, click on “Properties” in the Actions pane.
-
Enable Logging: Under each profile (Domain, Private, Public), you can enable logging by specifying a log file location and setting the size limit.
-
Review the Log Files: You can find the log files at the location you specified, typically located at
C:WindowsSystem32LogFilesFirewallpfirewall.log. Open this log file with a text editor to review inbound and outbound traffic.
Troubleshooting Common Issues
Sometimes, custom rules can lead to unintended behavior, such as application connectivity issues. Here are some troubleshooting tips:
-
Review Rule Order: Windows Firewall processes rules from top to bottom. If a higher-priority rule blocks traffic that a lower-priority rule allows, the block will take precedence.
-
Check Rule Profiles: Ensure that the rule applies to the current network profile (Domain, Private, Public).
-
Testing Rules: If you create a new rule, test it by trying to connect to the application or service you configured rules for, both from external and internal sources.
-
Logging: As mentioned earlier, enabling logging can help identify what traffic is being allowed or blocked, helping in diagnosing issues further.
Best Practices for Firewall Management
To ensure optimal security and performance, consider these best practices when setting inbound and outbound rules:
-
Aim for Least Privilege: Only allow traffic that is necessary for your operations and block everything else.
-
Keep Firewall Software Updated: Ensure that your Windows updates are current, including security updates for the firewall.
-
Review Rules Regularly: Periodically review your firewall rules to adjust settings according to changes in your network environment or security needs.
-
Educate Users: If you’re managing a network of multiple users, educate them about safe practices, such as not running suspicious applications that could lead to vulnerabilities.
-
Back Up Configuration: Before making significant changes, it’s wise to back up your firewall configuration settings. This allows you to revert back if needed.
Conclusion
Setting inbound and outbound rules with Windows Firewall is an essential task for anyone looking to enhance the security of their systems. Understanding how to customize these rules will enable you to control network traffic effectively, thereby protecting your device from potential threats.
By following the steps outlined in this article, you can ensure that your Windows Firewall is a powerful ally in your cybersecurity arsenal. Take the time to manage your rules properly, monitor your firewall’s activity, and educate users about safe practices, and you will significantly fortify your network against external threats.
About
Network — Firewall in Windows
Articles Related
Profile
netsh advfirewall show currentprofile
Domain Profile Settings:
----------------------------------------------------------------------
State ON
Firewall Policy BlockInbound,AllowOutbound
LocalFirewallRules N/A (GPO-store only)
LocalConSecRules N/A (GPO-store only)
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
Logging:
LogAllowedConnections Disable
LogDroppedConnections Disable
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
Ok.
Local Rule Applied
One liner to get the config for all profiles with Windows — netsh (Netshell)
netsh advfirewall monitor show firewall
Public Profile Settings:
----------------------------------------------------------------------
State ON
Firewall Policy BlockInbound,AllowOutbound
LocalFirewallRules Enable
LocalConSecRules Enable
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
Logging:
LogAllowedConnections Disable
LogDroppedConnections Disable
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
Outbound vs Inbound
-
outbound: network traffic originating from the computer
-
inbound: network traffic originating from the outside: If you want to run a Web server, then you must create an inbound rule that allows unsolicited inbound network traffic on TCP port 80.
Profile
netsh advfirewall monitor show currentprofile
Domain Profile:
----------------------------------------------------------------------
HotITem.local
Ok.
Order of precedence (Priority)
As soon as a network packet matches a rule, that rule is applied, and processing stops.
-
1 — Authenticated bypass. These are rules in which the Override block rules option is selected. These rules allow matching network traffic that would otherwise be blocked. The network traffic must be authenticated by using a separate connection security rule. You can use these rules to permit access to the computer to authorized network administrators and authorized network troubleshooting devices.
-
2 — Block connection. These rules block all matching inbound network traffic.
-
3 — Allow connection. These rules allow matching inbound network traffic. Because the default behavior is to block unsolicited inbound network traffic, you must create an allow rule to support any network program or service that must be able to accept inbound connections.
-
4 — Default profile behavior. The default behavior is to block unsolicited inbound network traffic, but to allow all outbound network traffic. You can change the default behavior on the Domain Profile, Private Profile, and Public Profile tabs of the Windows Firewall with Advanced Security Properties dialog box.
Utility
netsh advfirewall ... # where advfirewall is the context
-
Windows Firewall with Advanced Security (wf.msc)
Rules Procedure for a Web Server
-
Create your rule ( for instance inbound TCP port 80 ) then
-
Restart the computer !
Documentation / Reference
Что можно сказать о встроенном фаерволе Windows? Если коротко — он есть, и, в принципе, задачи свои выполняет. Но есть нюансы 🙂
Встроенный межсетевой экран (он же фаервол, он же брандмауэр) появился еще в Windows XP под названием Internet Connection Firewall (ICF). Функционал у него был довольно бедный, настройки производились вручную под каждый сетевой интерфейс, кроме того он не умел фильтровать исходящий трафик. Из за проблем с совместимостью он по умолчанию был выключен, а из за того, что его настройки находились в конфигурации сети, многие пользователи не находили их и не могли его включить.
С выходом Windows XP SP2 ситуация изменилась. Была значительно улучшена функциональность фаервола, полностью переработан интерфейс управления, а сам фаервол был переименован в Windows Firewall. По умолчанию он был включен и через него фильтровались все сетевые подключения. Появилась возможность логирования подключений, управление правилами через групповые политики, сетевые профили и многое другое. Но фильтрация исходящего трафика в нем по прежнему отсутствовала.
В Windows Vista\Server 2008 фаервол наконец то обрел возможность фильтровать исходящий трафик. Количество профилей увеличилось до трех – доменая, частная и публичная сеть. Появилась возможность использовать расширенный фильтр пакетов и применять правила к определённым диапазонам IP-адресов и портов.
В таком примерно виде он и дошел до наших дней, и сейчас входит в состав операционных систем Windows под именем Windows Defender Firewall (фаервол защитника Windows).
На этом заканчиваем с историей и переходим к более практичным вещам.
Профили
Каждому сетевому подключению в Windows назначается один из трех сетевых профилей:
• Private — частная сеть. Это доверенная сеть, например домашняя или рабочая сеть в офисе. В частной сети компьютер будет доступен для обнаружения другими устройствами, на нем можно использовать службы общего доступа к сетевым файлам и принтерам;
• Public — общедоступная (общественная) сеть. Это недоверенная (небезопасная) сеть, например Wi-Fi в кафе, в метро, аэропорту и т.п.. В такой сети не работает сетевое обнаружение, а также службы общего доступа к сетевым файлам и принтерам;
• Domain — доменная сеть. Сетевой профиль для компьютеров, которые находятся в корпоративной сети и присоединены к домену Active Directory.
Профиль определяется при подключении к сети. Если компьютер доменный и находится в доменной сети, то автоматически выбирается доменный профиль. В остальных случаях выбор делает пользователь, при подключении к сети. Впрочем, выбор этот в дальнейшем можно поменять.
В зависимости от профиля к сетевому интерфейсу могут применяться разные правила фаервола. Узнать, какой именно профиль активен в данный момент, можно из оснастки управления фаерволом. Открыть ее быстрее всего, нажав Win+R и выполнив команду wf.msc.
Режимы работы
Для ограничения доступа обычно используются 2 различных подхода:
• Черный список — разрешено все что не запрещено;
• Белый список — запрещено все, что не разрешено.
В Windows Firewall по умолчанию используются оба подхода, причем одновременно. Чтобы убедиться в этом, откроем контекстное меню и перейдем к свойствам.
В открывшемся окне глобальные настройки фаервола, разбитые по профилям. Для каждого профиля мы можем включить\выключить фаервол, а также указать действие, которое будет применено к подключению, не подходящему под какое либо правило. Действия разделены, отдельно для входящего трафика, отдельно для исходящего. И для входящего трафика по умолчанию все, что не описано правилами, будет блокироваться (черный список), а для исходящего наоборот, все что не описано правилами будет пропускаться (черный список). Ну а поскольку каких либо запрещающих правил для исходящего трафика нет, то по умолчанию весь исходящий трафик никак не контролируется.
Типы правил
В документации Microsoft описаны следующие типы правил, которые поддерживает Windows Firewall:
• Windows Service Hardening — усиление защиты служб Windows. Тип встроенного правила, запрещающий системным службам устанавливать соединения способами, отличными от предусмотренных. Ограничения служб настраиваются таким образом, чтобы они могли взаимодействовать только указанными способами. Например, разрешенный трафик может быть ограничен указанным портом;
• Connection security rules — правила безопасности подключения. Этот тип правил определяет, правила аутентификации между двумя одноранговыми компьютерами, которые необходимо соблюсти, прежде чем они смогут установить соединение и обмениваться данными. Фаервол Windows использует протокол IPsec для обеспечения безопасности подключения за счет обмена ключами, проверки подлинности, обеспечения целостности данных и, при необходимости, шифрования данных;
• Authenticated bypass rules — аутентифицированные правила обхода. Этот тип правил разрешает подключение определенных компьютеров или пользователей, даже если входящие правила брандмауэра блокируют трафик. Это правило требует, чтобы сетевой трафик от авторизованных компьютеров аутентифицировался IPsec, чтобы можно было подтвердить личность. Например, вы можете разрешить удаленное администрирование брандмауэра только с определенных компьютеров, создав для этих компьютеров правила обхода с проверкой подлинности, или включить поддержку удаленной помощи со стороны службы поддержки. Правила такого типа иногда используются в корпоративных средах, чтобы разрешить «доверенным» анализаторам сетевого трафика доступ к компьютерам для помощи в устранении проблем с подключением. В правилах обхода перечислены компьютеры, которым разрешено обходить правила, которые в противном случае блокировали бы сетевой трафик. Поскольку компьютер, на котором выполняется сетевой анализ, проходит аутентификацию и внесен в список «разрешенных» в правиле обхода, аутентифицированный трафик с этого компьютера разрешается через брандмауэр;
• Block rules — запрещающие правила. Этот тип правила явно блокирует определенный тип входящего или исходящего трафика;
• Allow rules — разрешающее правило. Этот тип правила явно разрешает определенный тип входящего или исходящего трафика;
• Default rules — правила по умолчанию. Эти правила определяют действие, которое происходит, когда соединение не соответствует никакому другому правилу.
Приоритет и порядок обработки правил
Вот порядок, в котором фаервол Windows обрабатывает различные типы правил. Такой порядок правил всегда соблюдается, независимо от происхождения правила (локальное или из групповой политики). Все правила, в том числе из групповой политики, сначала сортируются и уже затем применяются.
Исходя из порядка обработки, запрещающее правило имеет приоритет перед разрешающим, поскольку они обрабатываются раньше. Сетевой трафик, соответствующий как активному правилу блокировки, так и активному разрешению, блокируется.
Что касается обработки правил одного типа, например разрешающих, то там какого либо порядка обработки и приоритета нет. Ищется любое подходящее правило, если его нет, то применяется правило по умолчанию.
Предопределенные правила
Если зайти в раздел с входящими или исходящими правилами, то мы увидим большое количество уже готовых, предопределенных (predefined) правил. Эти правила предназначены для обеспечения корректной работы операционной системы и ее компонентов. Некоторые правила включены по умолчанию, другие активируются по мере необходимости, например при установке серверной роли.
Для примера возьмем контроллер домена и посмотрим его входящие правила. Как видите, на нем активен набор правил, необходимых для работы Active Directory. Эти правила были активированы автоматически, при установке роли Active Directory Domain Services.
Особенностью встроенных правил является то, что их нельзя отредактировать. Можно включить или отключить правило, изменить действие (например с разрешения на запрет)
но изменить сами настройки фильтра (протокол, порт и т.п.) невозможно.
Автоматически сгенерированные правила
Еще один тип правил — это правила, автоматически генерируемые системой. Они создаются для каждого пользователя при входе в систему. Их отличительной особенностью является наличие владельца в поле Local User Owner.
Также как и предопределенные правила, эти правила нельзя отредактировать.
Эти правила назначаются на пакет приложения (Application Packages) для пользователя
и разрешают для него любой трафик, без ограничений.
Откуда берутся эти правила? Они генерируются приложениями магазина Windows, о чем есть информация в поле Application Package. Сами приложения можно найти в директории C:\Windows\SystemApps.
Для чего нужны эти правила и что будет, если их отключить или удалить? Какого то более менее внятного описания этих правил я не нашел, но если кратко, то они нужны для взаимодействия приложений с внешними сервисами. Например:
• Work or School account (Учетная запись для работы или учебы) — oбеспечивает связь с учетной записью Azure AD. Если отключить, учетные записи Azure AD могут не работать;
• Your account (Ваша учетная запись) — oбеспечивает связь с облачной службой вашей учетной записи Microsoft. Необходимо для настройки синхронизации учетной записи Microsoft между разными компьютерами;
• Email and accounts (Электронная почта и учетные записи) — oтвечает за синхронизацию учетных записей в приложениях «Почта», «Календарь», «Контакты» и пр.;
• Cortana — требуется для работы Cortana, виртуального ассистента для поиска. Cortana использует внешние сервисы, такие как Bing, и при отключении правила поиск может работать некорректно.
Список приложений, и, соответственно, правил может отличаться на разных компьютерах. На вопрос что делать с этими правилами однозначного ответа нет. Оставлять подобные правила, особенно в корпоративной среде, не очень безопасно. Однако эффективных средств борьбы с ними нет, поскольку правила генерируются автоматически для каждого нового пользователя. Такая вот подлянка от Microsoft.
Правила добавляемые при установке приложений
Откуда еще могут появиться правила на фаерволе? Ну например при установке приложений. Для примера установим Firefox и затем обновим список правил. Как видите, добавилось два новых правила для приложения, одно для TCP, второе для UDP. С портами морочиться не стали, разрешили все.
Что интересно, в исходящих правил нет. Т.е. авторы Firefox уверены в том, что весь исходящий трафик не фильтруется. И если ради интереса изменить дефолтное поведение брандмауэра для исходящего трафика и запретить все что не разрешено, то ни один сайт открыть не удастся. Справедливости ради скажу, что это касается не только Firefox, и Chrome и даже встроенный Edge сломаются точно так же.
И если вы захотите контролировать исходящий трафик, то для каждого приложения правила придется создавать вручную. Чем мы и займемся далее.
Правила создаваемые вручную
Для создания правил есть разные способы. Сейчас, для наглядности, воспользуемся графическим интерфейсом. В качестве примера создадим разрешающее правило для исходящего трафика Firefox.
Для создания правила выбираем раздел, кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт New Rule.
Запускается мастер создания правил, и в первом окне нам надо выбрать тип создаваемого правила. Выбор следующий:
• Program (Для программы) — правило, разрешающего или блокирующее весь трафик для конкретного исполняемого файла, независимо от используемых им протоколов и портов;
• Port (Для порта) — правило для трафика по определенному TCP или UDP порту, независимо от источника. В одном правиле можно указать одновременно несколько портов;
• Predefined (Предопределённые) — здесь мы не создаем новое правило, а выбираем из списка уже имеющихся, предопределенных правил;
• Custom (Настраиваемые) — универсальный тип правила, в котором можно совместить параметры, например указать и программу, и порт.
Для нашего примера выберем настраиваемое правило.
Выбираем программу, для которой это правило будет действовать. Мы делаем правило для Firefox, поэтому указываем путь к его исполняемому файлу firefox.exe.
Не все приложения имеют исполняемый файл, некоторые запускаются в виде сервисов. В этом случае можно по кнопке Customize открыть список имеющихся в смстеме сервисов и выбрать нужный.
В следующем окне указываем протокол и порты, для которых будет работать это правило. Не будем разрешать все, оставим только необходимые для работы браузера порты TCP 80 и 443 (HTTP и HTTPS).
Дополнительно можно ограничить область действия правила, указав диапазон IP-адресов, как локальных так и удаленных. Например можно разрешить доступ по HTTP только до корпоративных ресурсов.
Затем выбираем действие для правила. Всего есть три варианта выбора:
• Allow the connection — разрешить подключение.
• Block the connection — заблокировать подключение.
• Allow the connection if it is secure — разрешить подключение если оно безопасно. В этом случае подключение должно соответствовать правилам безопасности подключения (аутентификация, шифрование и т.п.).
Мы делаем простое разрешающее правило, поэтому выбираем первый пункт.
Выбираем сетевые профили, на которые будет распространяться правило.
Обзываем правило и сохраняем его. Для того, чтобы правило не потерялось и стояло первым в списке, я обычно ставлю в начале имени точку.
Правила безопасности подключения
Правила безопасности подключений (Connection security rules) используются для настройки IPSec. При настройке этих правил можно проверять подлинность связи между компьютерами, а затем использовать эту информацию для создания правил брандмауэра на основе определенных учетных записей пользователей и компьютеров.
Правила безопасности подключения не являются самостоятельными правилами, они работают совместно с правилами брандмауэра, дополняя их. Правила брандмауэра разрешают трафик через брандмауэр, но не защищают его. Чтобы защитить трафик с помощью IPsec, необходимо создать правила безопасности подключения. Однако правила безопасности подключения не разрешают трафик через брандмауэр. Для этого требуется создать правило брандмауэра.
Важный момент — правила безопасности подключения не применяются к программам и сервисам. Вместо этого они применяются между компьютерами, составляющими две конечные точки.
А теперь давайте посмотрим, как это выглядит на практике. Для примера возьмем специально созданное правило, разрешающее входящий ICMP-трафик, или, проще говоря, пинг. На данный момент никаких дополнительных ограничений нет и кто угодно может пинговать наш компьютер.
Давайте это изменим и ограничим доступ только определенной группой пользователей и только с определенных компьютеров. Первое, что для этого надо сделать — это изменить действие правила на Allow the connection if it secure (Разрешить только безопасное соединение).
Затем жмем на кнопку Customize и выбираем критерии защищенности подключения:
• Allow the connection if it is authenticated and integrity-protected (Разрешать подключения, для которых выполняется проверка подлинности и целостности) — разрешить подключение только в том случае, если оно прошло проверку подлинности (аутентификацию) и целостности с использованием IPsec;
• Require the connection to be encrypted (Требовать шифрования подключений) — дополнительно к аутентификации и проверке целостности требуется шифрование;
• Allow the connection to use null encapsulation (Разрешить подключению использовать нулевую инкапсуляцию) — нулевая инкапсуляция позволяет требовать для подключения аутентификацию, но не предоставлять проверку целостности и конфиденциальности. Т.е. можно создавать правила безопасности подключения с указанием аутентификации, кроме защиты от пакетов данных Encapsulating Security Payload (ESP) или Authenticated Header (AH). Эта функция позволяет создать защиту аутентификации в средах с сетевым оборудованием, которое несовместимо с ESP и AH.
Также обратите внимание на чекбокс Override block rules. Выше я говорил о том, что запрещающие правила всегда в приоритете над разрешающими. Так вот, этот чекбокс позволяет обойти запрет.
Теперь перейдем на вкладку Remote Users и укажем пользователей, для которых это правило должно работать. Пусть это будут члены доменной группы Pingers и Domain Admins.
Затем перейдем на вкладку Remote Computers и дополнительно укажем компьютер, с которого можно производить подключение. В итоге получается, что сервер смогут пинговать только члены групп Pingers и Domain Admins и только с одного единственного компьютера SRV01.
Но это только полдела. Мы создали правило, разрешающее подключение, теперь надо создать правило для его безопасности.
Создаются они так же, как и и обычные правила — выбираем раздел, кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт New Rule. И так же надо выбрать тип создаваемого правила:
• Isolation (Изоляция) — изолирует компьютеры, ограничивая подключения на основе учетных данных, таких как членство в домене или состояние работоспособности. Правила изоляции позволяют реализовать стратегию изоляции для отдельных серверов или доменов;
• Authentication exemption (Освобождение от аутентификации) — можно использовать, чтобы обозначить соединения, не требующие аутентификации. Можно указывать как назначать компьютеры по определенному IP-адресу, диапазону IP-адресов, подсети или предопределенной группе, например шлюзу;
• Server to server (Сервер-сервер) — правило для защиты соединения между конкретными компьютерами. Этот тип правил обычно используют для защиты соединения между серверами. При создании правила указываются конечные точки сети, между которыми защищается связь, а затем требования и аутентификацию, которую необходимо использовать;
• Tunnel (Туннель) — позволяет защитить соединения между шлюзами, обычно используется при подключении через Интернет;
• Custom (Настраиваемое) — похоже на правило сервер-сервер, но более гибко настраиваемое.
Мы хотим закрыть наш сервер от несанкционированного доступа, поэтому выберем правило изоляции.
На следующем шаге указываем, когда мы хотим производить аутентификацию:
• Request authentication for inbound and outbound connections option — запрашивать аутентификацию для входящих и исходящих соединений. При выборе этого варианта мы указываем, что весь входящий и исходящий трафик должен проходить проверку подлинности, но соединение будет разрешено в любом случае. Однако если аутентификация прошла успешно, трафик будет защищен;
• Require authentication for inbound connections and Request authentication for outbound connections option — требовать аутентификацию для входящих подключений и запрашивать аутентификацию для исходящих подключений. Это гарантирует, что весь входящий трафик пройдет аутентификацию либо будет заблокирован. При этом исходящий трафик, для которого не удалось выполнить аутентификацию, будет разрешен;
• Require authentication for inbound and outbound connections option — требовать аутентификацию для входящих и исходящих соединений. Самый жесткий вариант, при котором весь входящий и исходящий трафик либо аутентифицируется, либо блокируется.
Для нашего примера выберем первый вариант.
Затем выбираем метод аутентификации:
• Default — использовать метод аутентификации, настроенный на вкладке «Параметры IPsec» свойств фаервола;
• Computer and user (Kerberos V5) — метод «Компьютер и пользователь» (Kerberos V5) использует аутентификацию как компьютера, так и пользователя. Это означает, что можно запросить или потребовать аутентификацию как пользователя, так и компьютера, прежде чем продолжить обмен данными. Напомню, что использовать протокол аутентификации Kerberos V5 можно только в том случае, только если оба компьютера являются членами домена;
• Computer (Kerberos V5) — метод «Компьютер» (Kerberos V5) запрашивает или требует от компьютера пройти проверку подлинности с использованием протокола проверки подлинности Kerberos V5;
• User (Kerberos V5) — метод User (Kerberos V5) запрашивает или требует от пользователя пройти проверку подлинности с использованием протокола проверки подлинности Kerberos V5;
• Advanced — расширенный. Здесь вы можете настроить любой доступный метод. Можно выбрать не только Kerberos V5, но и NTLM V2, сертификаты и даже общий ключ (для компьютера). Также можно указывать первый и второй метод аутентификации, отдельно для компьютера и для пользователя.
Мы планируем аутентифицировать и компьютер и пользователя, поэтому выбираем второй пункт.
Ну и дальше все как обычно — отмечаем профили
даем правилу имя и сохраняем его.
Теперь дело сделано. Мы создали правило безопасности, в котором описали, какое именно подключение считается защищенным. И правило фаервола сработает только для такого трафика.
Логирование
Начиная с Windows 7 и Windows Server 2008 R2 события брандмауэра Windоws, такие как изменение настроек, создание правил и т.п., пишутся в отдельный журнал Event Viewer\Application and Services Logs\Microsoft\Windows\Windows Firewall with Advanced Security.
Также у фаервола есть собственный журнал, куда пишутся все попытки подключения. По умолчанию он отключен, и включают его при настройке и отладке правил, либо при наличии проблем с подключением. Включить его можно в свойствах фаервола, в разделе Logging нажав кнопку Customize.
Можно указать путь, по которому будут находиться файлы журнала, задать максимальный размер файла и выбрать, что должно логироваться — неудачные попытки (dropped packets), успешные подключения (successful connection) или и то и другое. Как правило, для диагностики достаточно логировать только ошибки.
Сам журнал представляет из себя обычный текстовый файл с набором полей — время, действие, протокол, порт, адрес клиента и направление трафика. Информации не особо много, но вполне достаточно для диагностики.
Экспорт, импорт и сброс настроек
Все настройки и созданные правила можно импортировать в файл. Этот файл затем можно использовать для импорта настроек на этот же или любой другой компьютер. Также можно сбросить все настройки к первоначальному состоянию, которое было сразу после установки операционной системы.
Управление фаерволом с помощью утилиты netsh
Кроме стандартной оснастки управлять настройками фаервола можно и другими средствами. Самое старое и проверенное — это утилита командной строки netsh. Не смотря на свой почтенный возраст очень мощный инструмент для управления сетью, который в числе прочего умеет работать и с фаерволом.
Посмотреть, что нам предлагает netsh для фаервола можно командой:
netsh advfirewall /?
Для начала произведем экспорт настроек командой:
netsh advfirewall export "C:\Scripts\wf_export.wfw"
Затем изменим действия по умолчанию для активного профиля, разрешим исходящий трафик:
netsh advfirewall set currentprofile firewallpolicy blockinbound,allowoutbound
И выведем текущие настройки:
netsh advfirewall show domainprofile
Теперь создадим новое правило для входящих подключений, запрещающее TCP-трафик по 80 порту, назовем его nohttp:
netsh advfirewall firewall add rule name="nohttp" protocol=TCP localport=80 action=block dir=IN
И проверим что получилось:
netsh advfirewall firewall show rule name="nohttp"
Управление фаерволом с помощью PowerShell
Переходим к более современным средствам управления, таким как PowerShell. Для управления фаерволом в нем есть отдельный модуль NetSecurity. Посмотреть список командлетов в модуле можно командой:
Get-Command -Module NetSecurity
Продолжим начатое дело 🙂 и выведем и выведем информацию о созданном ранее правиле:
Get-NetFirewallRule -DisplayName "nohttp"
PowerShell в отличии от netsh не выводит одним командлетом всю информацию о правиле. Так если мы хотим посмотреть настройки фильтра для порта, то надо будет использовать командлет Get-NetFirewallPortFilter, например так:
Get-NetFirewallRule -DisplayName "nohttp" | Get-NetFirewallPortFilter
А если мы захотим изменить настройки фильтра для правила, например запретить 443 порт, то получится вот такая конструкция:
Get-NetFirewallRule -DisplayName "nohttp" | Get-NetFirewallPortFilter | Set-NetFirewallPortFilter -LocalPort 80,443
Ну и завершим издевательства над правилом, переименовав его в nohttphttps:
Get-NetFirewallRule -DisplayName "nohttp" | Set-NetFirewallRule -NewDisplayName "nohttphttps"
Проверим результат:
Get-NetFirewallRule -DisplayName "nohttphttps"
и удалим злосчастное правило:
Remove-NetFirewallRule -DisplayName "nohttphttps"
Управление фаерволом с помощью групповых политик
Ну и самый мощный инструмент, с помощью которого можно централизованно распространять настройки фаервола на все компьютеры организации. Раздел с настройками находится в Computer Configuration > Policies > Windows Settings > Security Settings > Windows Defender Firewall with Advanced Security.
Окно настроек выглядит так же, как и у локальной сонсоли. Здесь можно так же установить состояние фаервола и указать действия по умолчанию.
Дополнительно можно настроить взаимодействие локальных правил с правилами, назначенными групповой политикой. Для этого надо нажать кнопку Customize в поле Settings, и воткрывшемся окне в поле Rule merging выбрать варианты слияния. По умолчанию локальные правила разрешены и обрабатываются вместе с правилами из групповой политики.
В отличии от локальной оснастки в GPO список правил изначально пуст, но сам процесс создания правил абсолютно такой же. Для создания нового правила надо кликнуть правой клавишей на нужном разделе и выбрать New Rule, после чего запустится уже знакомый мастер.
И созданные правила так же можно открывать и изменять.
А вот в локальной оснастке изменить или отключить правила, назначенные групповыми политиками, не получится.
Как и глобальные настройки фаервола. Те параметры, которые назначены с помощью GPO, в локальной оснастке становятся недоступными для изменения.
Windows Firewall Control
Windows Firewall Control — это оснастка для управления фаерволом Windows от стороннего разработчика Malwarebytes. Распространяется бесплатно, регулярно обновляется и поддерживается. Для скачивания не требуется даже регистрации.
Установка простейшая — запускаем инсталлятор и жмем Install.
После установки можно сразу нажать Run, программа запустится и свернется в трей.
В главном окне программы мы видим состояние фаервола, действия по умолчанию и активный профиль сети. Что интересно, разрешенный по умолчанию исходящий трафик подсвечивается красным.
В Windows Firewall Control используется несколько другой подход к фильтрации трафика, отличный от стандартного. Мы можем выбрать один из 4 профилей, которые определяют политику доступа:
• High Filtering — запрещены все подключения, как входящие так и исходящие. Этот режим может потребоваться в том случае, если надо полностью изолировать сервер;
• Medium Filtering — входящие и исходящие подключения проверяются на соответствие правилам, не подпадающие под правила подключения блокируются;
• Low Filtering — на соответствие правилам проверяется только входящий трафик, исходящие подключения, не подходящие под действие правил, разрешаются;
• No Filtering — брандмауэр выключен. Этот режим может использоваться в том случае, если на компьютере установлен другой фаервол.
Как видите, по умолчанию предлагается использовать режим Medium, т.е. фильтровать исходящий трафик.
Но что произойдет в том случае, когда обнаружится попытка исходящего подключения, не предусмотренная ни в одном из имеющихся правил? Это решается настройкой уведомлений в разделе Notifications. Есть три варианта получения уведомлений:
• Display notifications — показывать уведомления. Выбрав этот вариант можно получать уведомления всякий раз, когда новая программа пытается получить доступ наружу;
• Learning mode — режим обучения. В этом режиме автоматически создаются разрешающие правила для приложений, имеющих цифровую подпись, а для тех у кого ее нет выводится уведомление, как в первом случае;
• Disabled — уведомления отключены. В этом случае, если нет явно разрешающего правила, все подключения будут блокироваться без каких либо уведомлений.
Если выбрать показ уведомлений, то при каждой попытке подключения будет выводиться окно с информацией — имя программы и ее исполняемый файл, наличие цифровой подписи, удаленный IP-адрес, к которому осуществляется подключение, используемый протокол и порт. Можно разрешить или запретить подключение для приложения на постоянной основе, либо заблокировать только текущее подключение. А щелкнув по значку приложения в правом верхнем углу, можно отправить исполняемый файл на антивирусную проверку в VirusTotal.
Если нажать Allow the program, то будет создано стандартное правило для приложения, где разрешены все исходящие подключения, на всех протоколах и портах. Если необходимо ограничить подключение, то можно выбрать Customize this rule befor creating и настроить параметры правила вручную.
Панель со списком правил можно открыть, кликнув на значок в нижнем левом углу. Внешний вид панели отличается от привычной оснастки управления, но разобраться можно. Сами настройки правил сгруппированы более компактно, все в одном окне. Довольно удобно, хотя и непривычно.
Базовые параметры для создаваемых по умолчанию правил можно настроить на вкладке Rules. Здесь же можно экспортировать текущую конфигурацию или импортировать правила из файла.
А параметры самого Windows Firewall Control настраиваются на вкладке Options. Здесь можно включить автоматический запуск приложения, встроить его в контекстное меню проводника, назначить сочетание клавиш для запуска панелей и изменить язык интерфейса. Кстати, русский язык в списке присутствует.
Еще из интересного — есть возможность заблокировать доступ к правилам, поставив пароль на вход.
При этом перестает открываться и стандартная панель управления.
Принудительное отключение фаервола
Можно ли полностью выключить фаервол, погасив его службу? Если вы попробуете это сделать, то увидите, что все кнопки неактивны, выключить его или изменить режим запуска стандартными средствами невозможно. Но…
Настройки системных служб хранятся в реестре. В частности настройки фаервола можно найти в разделе HKLM\SYSTEM\CurrentControlSet\Services\mpssvc. За режим запуска отвечает параметр Start, и если изменить его значение на 4 и рестартовать компьютер
то фаервол не стартует, а останется о отключенном состоянии.
В этом случае станет недоступна и оснастка управления, включить его обратно можно только таким же способом, через реестр.
Заключение
В заключение скажу, что на данный момент встроенный фаервол Windows представляет из себя довольно мощное и эффективное средство защиты, хотя и специфическое. Из плюсов можно отметить то, что он есть в любой операционной системе Windows и включен по умолчанию. Он довольно гибко настраивается, при желании к нему можно прикрутить аутентификацию, шифрование и еще много всего.
Но основной его проблемой как была, так и осталась фильтрация исходящего трафика. По умолчанию исходящий трафик не фильтруется, и любой зловред, проникнувший в систему, сможет беспрепятственно выходить в сеть. Если же включить фильтрацию исходящего трафика, то для большинства клиентских приложений потребуется явно разрешать подключения, в противном случае они не смогут нормально функционировать. А с учетом всех нюансов настройки это довольно большой объем работ.
Стоит ли заморачиваться с тонкой настройкой или оставить все по умолчанию — решайте сами. Но, в любом случае, наличие включенного фаервола лучше, чем его отсутствие.