Руководство по настройке брандмауэра в Windows 10

Настройка брандмауэра

Многие пользователи пренебрежительно относятся к встроенному файерволу, считая его неэффективным. Вместе с тем, данный инструмент позволяет значительно повысить уровень безопасности ПК с помощью простых инструментов. В отличие от сторонних (особенно бесплатных) программ, брандмауэр довольно легок в управлении, имеет дружественный интерфейс и понятные настройки.
Добраться до раздела опций можно из классической «Панели управления» Windows.

Вызываем меню «Выполнить» комбинацией клавиш Windows+R и вводим команду

Переключаемся на режим просмотра «Мелкие значки» и находим апплет «Брандмауэр защитника Windows».

Типы сетей

Различают два типа сетей: частные и общественные. Первыми считаются доверенные подключения к устройствам, например, дома или в офисе, когда все узлы известны и безопасны. Вторыми – соединения с внешними источниками через проводные или беспроводные адаптеры. По умолчанию общественные сети считаются небезопасными, и к ним применяются более строгие правила.

Включение и отключение, блокировка, уведомления

Активировать брандмауэр или отключить его можно, перейдя по соответствующей ссылке в разделе настроек:

Здесь достаточно поставить переключатель в нужное положение и нажать ОК.

Блокировка подразумевает запрет всех входящих подключений, то есть любые приложения, в том числе и браузер, не смогут загружать данные из сети.

Уведомления представляют собой особые окна, возникающие при попытках подозрительных программ выйти в интернет или локальную сеть.

Функция отключается снятием флажков в указанных чекбоксах.

Сброс настроек

Данная процедура удаляет все пользовательские правила и приводит параметры к значениям по умолчанию.

Сброс обычно производится при сбоях в работе брандмауэра в силу различных причин, а также после неудачных экспериментов с настройками безопасности. Следует понимать, что и «правильные» опции также будут сброшены, что может привести к неработоспособности приложений, требующих подключения к сети.

Взаимодействие с программами

Данная функция позволяет разрешить определенным программам подключение к сети для обмена данными.

Этот список еще называют «исключениями». Как с ним работать, поговорим в практической части статьи.

Правила

Правила – это основной инструмент брандмауэра для обеспечения безопасности. С их помощью можно запрещать или разрешать сетевые подключения. Эти опции располагаются в разделе дополнительных параметров.

Входящие правила содержат условия для получения данных извне, то есть загрузки информации из сети (download). Позиции можно создавать для любых программ, компонентов системы и портов. Настройка исходящих правил подразумевает запрет или разрешение отправки запросов на сервера и контроль процесса «отдачи» (upload).

Правила безопасности позволяют производить подключения с использованием IPSec – набора специальных протоколов, согласно которым проводится аутентификация, получение и проверка целостности полученных данных и их шифрование, а также защищенная передача ключей через глобальную сеть.

В ветке «Наблюдение», в разделе сопоставления, можно просматривать информацию о тех подключениях, для которых настроены правила безопасности.

Профили

Профили представляют собой набор параметров для разных типов подключений. Существуют три их типа: «Общий», «Частный» и «Профиль домена». Мы их расположили в порядке убывания «строгости», то есть уровня защиты.

При обычной работе эти наборы активируются автоматически при соединении с определенным типом сети (выбирается при создании нового подключения или подсоединении адаптера – сетевой карты).

Практика

Мы разобрали основные функции брандмауэра, теперь перейдем к практической части, в которой научимся создавать правила, открывать порты и работать с исключениями.

Создание правил для программ

Как мы уже знаем, правила бывают входящие и исходящие. С помощью первых настраиваются условия получения трафика от программ, а вторые определяют, смогут ли они передавать данные в сеть.

В окне «Монитора» («Дополнительные параметры») кликаем по пункту «Правила для входящих подключений» и в правом блоке выбираем «Создать правило».

Оставляем переключатель в положении «Для программы» и жмем «Далее».

Переключаемся на «Путь программы» и жмем кнопку «Обзор».

С помощью «Проводника» ищем исполняемый файл целевого приложения, кликаем по нему и нажимаем «Открыть».

В следующем окне видим варианты действия. Здесь можно разрешить или запретить подключение, а также предоставить доступ через IPSec. Выберем третий пункт.

Определяем, для каких профилей будет работать наше новое правило. Сделаем так, чтобы программа не могла подключаться только к общественным сетям (напрямую к интернету), а в домашнем окружении работала бы в штатном режиме.

Даем имя правилу, под которым оно будет отображаться в списке, и, по желанию, создаем описание. После нажатия кнопки «Готово» правило будет создано и немедленно применено.

Исходящие правила создаются аналогично на соответствующей вкладке.

Работа с исключениями

Добавление программы в исключения брандмауэра позволяет быстро создать разрешающее правило. Также в этом списке можно настроить некоторые параметры – включить или отключить позицию и выбрать тип сети, в которой она действует.

Правила для портов

Такие правила создаются точно так же, как входящие и исходящие позиции для программ с той лишь разницей, что на этапе определения типа выбирается пункт «Для порта».

Наиболее распространенный вариант применения – взаимодействие с игровыми серверами, почтовыми клиентами и мессенджерами.

Заключение

Сегодня мы познакомились с брандмауэром Windows и научились использовать его основные функции. При настройке следует помнить о том, что изменения в существующих (установленных по умолчанию) правилах могут привести к снижению уровня безопасности системы, а излишние ограничения – к сбоям в работе некоторых приложений и компонентов, не функционирующих без доступа к сети.

Создание правил брандмауэра Windows в Intune Create Windows Firewall rules in Intune

Относится к: Applies to

Эта информация относится к предварительному продукту, который может быть существенно изменен до его коммерческого выпуска. This information relates to prereleased product which may be substantially modified before it’s commercially released. Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении предоставленной здесь информации. Microsoft makes no warranties, express or implied, with respect to the information provided here.

Чтобы начать работу, откройте конфигурацию устройств в Intune, а затем создайте новый профиль. To get started, open Device Configuration in Intune, then create a new profile. В качестве платформы выберите Windows 10, а в качестве типа профиля — endpoint Protection. Choose Windows 10 as the platform, and Endpoint Protection as the profile type. Выберите Защитник Windows брандмауэра. Select Windows Defender Firewall.

Один профиль защиты конечной точки может содержать не более 150 правил брандмауэра. A single Endpoint Protection profile may contain up to a maximum of 150 firewall rules. Если для клиентского устройства требуется более 150 правил, ему должно быть назначено несколько профилей. If a client device requires more than 150 rules, then multiple profiles must be assigned to it.

Компоненты правила брандмауэра Firewall rule components

Конфигурации правил брандмауэра в Intune используют CSP Windows 10 для брандмауэра. The firewall rule configurations in Intune use the Windows 10 CSP for Firewall. Дополнительные сведения см. в cSP Брандмауэра. For more information, see Firewall CSP.

Приложение Application

Управление подключениями для приложения или программы. Control connections for an app or program. Приложения и программы могут быть указаны как путь файла, имя семейства пакетов, так и короткое имя службы Windows. Apps and programs can be specified either file path, package family name, or Windows service short name.

Путь файла приложения — это его расположение на клиентских устройствах. The file path of an app is its location on the client device. Например, C:\Windows\System\Notepad.exe. For example, C:\Windows\System\Notepad.exe. Подробнее Learn more

Имена семей пакетов можно получить, запуская команду Get-AppxPackage powerShell. Package family names can be retrieved by running the Get-AppxPackage command from PowerShell. Подробнее Learn more

Короткие имена служб Windows используются в тех случаях, когда служба, а не приложение отправляет или получает трафик. Windows service short names are used in cases when a service, not an application, is sending or receiving traffic. По умолчанию ia All. Default ia All.

Протокол Protocol

Выберите протокол для этого правила порта. Select the protocol for this port rule. Протоколы транспортного слоя TCP и UDP позволяют указать порты или диапазоны портов. Transport layer protocols—TCP and UDP—allow you to specify ports or port ranges. Для пользовательских протоколов введите число от 0 до 255, представляющее протокол IP. For custom protocols, enter a number between 0 and 255 representing the IP protocol.

По умолчанию — any. Default is Any.

Локальные порты Local ports

Запятая разделила список диапазонов. Comma separated list of ranges. Например, 100-120 200 300-320. For example, 100-120,200,300-320. По умолчанию это все. Default is All.

Удаленные порты Remote ports

Запятая разделила список диапазонов. Comma separated list of ranges. Например, 100-120 200 300-320. For example, 100-120,200,300-320. По умолчанию это все. Default is All.

Локальные адреса Local addresses

Запятая разделила список локальных адресов, охваченных правилом. Comma separated list of local addresses covered by the rule. Допустимые маркеры: Valid tokens include:

• * указывает любой локальный адрес. * indicates any local address. Если она присутствует, это должен быть единственный включенный маркер. If present, this must be the only token included.
• Подсеть можно указать с помощью маски подсети или сетевой префикс. A subnet can be specified using either the subnet mask or network prefix notation. Если не указана ни маска подсети, ни сетевой префикс, значение по умолчанию подсети равно 255.255.255.255. If neither a subnet mask nor a network prefix is specified, the subnet mask default is 255.255.255.255.
• Допустимый адрес IPv6. A valid IPv6 address.
• Диапазон адресов IPv4 в формате «начните адрес-адрес» без пробелов. An IPv4 address range in the format of «start address-end address» with no spaces included.
• Диапазон адресов IPv6 в формате «начните адрес-адрес» без пробелов. An IPv6 address range in the format of «start address-end address» with no spaces included. По умолчанию — любой адрес. Default is Any address.

Удаленные адреса Remote addresses

Список разделенных маркеров запятой с указанием удаленных адресов, охваченных правилом. List of comma separated tokens specifying the remote addresses covered by the rule. Маркеры являются нечувствительными. Tokens are case insensitive. Допустимые маркеры: Valid tokens include:

• * указывает любой удаленный адрес. * indicates any remote address. Если она присутствует, это должен быть единственный включенный маркер. If present, this must be the only token included.
• Defaultgateway Defaultgateway
• DHCP DHCP
• DNS DNS
• WINS WINS
• Интрасеть (поддерживается в Windows версии 1809+) Intranet (supported on Windows versions 1809+)
• RmtIntranet (поддерживается в Windows версии 1809+) RmtIntranet (supported on Windows versions 1809+)
• Интернет (поддерживается в Windows версии 1809+) Internet (supported on Windows versions 1809+)
• Ply2Renders (поддерживается в Windows версии 1809+) Ply2Renders (supported on Windows versions 1809+)
• LocalSubnet указывает любой локальный адрес в локальной подсети. LocalSubnet indicates any local address on the local subnet.
• Подсеть можно указать с помощью маски подсети или сетевой префикс. A subnet can be specified using either the subnet mask or network prefix notation. Если не задана ни подсетевая маска, ни сетевой префикс, подсетевая маска по умолчанию имеет значение 255.255.255.255.255. If neither a subnet mask not a network prefix is specified, the subnet mask defaults to 255.255.255.255.
• Допустимый адрес IPv6. A valid IPv6 address.
• Диапазон адресов IPv4 в формате «начните адрес-адрес» без пробелов. An IPv4 address range in the format of «start address-end address» with no spaces included.
• Диапазон адресов IPv6 в формате «начните адрес-адрес» без пробелов. An IPv6 address range in the format of «start address-end address» with no spaces included.

По умолчанию — любой адрес. Default is Any address.

Edge traversal (UI coming soon) Edge traversal (UI coming soon)

Указывает, включен ли обход края для этого правила или отключен. Indicates whether edge traversal is enabled or disabled for this rule. Параметр EdgeTraversal указывает на то, что определенному входящего трафика разрешено туннель через NATs и другие устройства края с помощью технологии туннеля Teredo. The EdgeTraversal setting indicates that specific inbound traffic is allowed to tunnel through NATs and other edge devices using the Teredo tunneling technology. Чтобы этот параметр работал правильно, приложение или служба с правилом входящего брандмауэра должны поддерживать IPv6. In order for this setting to work correctly, the application or service with the inbound firewall rule needs to support IPv6. Основное применение этого параметра позволяет слушателям на хосте быть глобально адресируемыми с помощью адреса Teredo IPv6. The primary application of this setting allows listeners on the host to be globally addressable through a Teredo IPv6 address. В новых правилах свойство EdgeTraversal отключено по умолчанию. New rules have the EdgeTraversal property disabled by default. Этот параметр можно настроить только с помощью Intune Graph в это время. This setting can only be configured via Intune Graph at this time.

Авторизованные пользователи Authorized users

Указывает список авторизованного локального пользователя для этого правила. Specifies the list of authorized local users for this rule. Список авторизованного пользователя не может быть указан, если авторизованные правила ориентированы на службу Windows. A list of authorized users cannot be specified if the rule being authored is targeting a Windows service. По умолчанию это все пользователи. Default is all users.