Настройка правил с помощью групповой политики

В этой статье содержатся примеры настройки правил брандмауэра Windows с помощью консоли Брандмауэр Windows в режиме повышенной безопасности .

Доступ к консоли брандмауэра Windows в режиме повышенной безопасности

Если вы настраиваете устройства, присоединенные к домену Active Directory, для выполнения этих процедур необходимо быть членом группы администраторов домена или иным образом делегировать разрешения на изменение объектов групповой политики в домене. Чтобы получить доступ к консоли Брандмауэр Windows в режиме повышенной безопасности, создайте или измените объект групповой политики (GPO) и разверните узлыПолитики>конфигурации> компьютераWindows Параметры>безопасности Параметры>брандмауэра Windows в режиме повышенной безопасности.

При настройке одного устройства необходимо иметь права администратора на устройстве. В этом случае для доступа к консоли Брандмауэр Windows в режиме повышенной безопасности выберите пуск, введите wf.mscи нажмите клавишу ВВОД.

Создание правила ICMP для входящего трафика

Этот тип правила позволяет получать запросы и ответы ICMP устройствами в сети. Чтобы создать правило ICMP для входящего трафика, выполните приведенные далее действия.

  1. Открытие консоли брандмауэра Windows в режиме повышенной безопасности
  2. В области навигации выберите Правила для входящих подключений.
  3. Выберите Действие, а затем — Новое правило.
  4. На странице Тип правила мастера создания правила для входящего трафика выберите Пользовательский, а затем нажмите кнопку Далее.
  5. На странице Программа выберите Все программы, а затем нажмите кнопку Далее.
  6. На странице Протокол и порты выберите ICMPv4 или ICMPv6 в списке Тип протокола . Если в сети используются протоколы IPv4 и IPv6, необходимо создать отдельное правило ICMP для каждого из них.
  7. Выберите Настроить.
  8. В диалоговом окне Настройка параметров ICMP выполните одно из следующих действий.
    • Чтобы разрешить весь сетевой трафик ICMP, выберите Все типы ICMP и нажмите кнопку ОК.
    • Чтобы выбрать один из предопределенных типов ICMP, выберите Конкретные типы ICMP, а затем выберите каждый тип в списке, который вы хотите разрешить. Нажмите кнопку ОК.
    • Чтобы выбрать тип ICMP, который не отображается в списке, выберите Конкретные типы ICMP, выберите в списке номер типа , выберите номер кода в списке, нажмите кнопку Добавить, а затем выберите только что созданную запись в списке. Нажмите кнопку ОК.
  9. Нажмите кнопку Далее
  10. На странице Область можно указать, что правило применяется только к сетевому трафику к IP-адресам, указанным на этой странице, или от нее. Настройте соответствующую конфигурацию, а затем нажмите кнопку Далее.
  11. На странице Действие выберите Разрешить подключение, а затем нажмите кнопку Далее.
  12. На странице Профиль выберите типы сетевых расположений, к которым применяется это правило, и нажмите кнопку Далее.
  13. На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.

Создание правила порта для входящего трафика

Этот тип правила позволяет любой программе, прослушивающей указанный порт TCP или UDP, получать сетевой трафик, отправляемый на этот порт. Чтобы создать правило входящего порта, выполните приведенные далее действия.

  1. Открытие консоли брандмауэра Windows в режиме повышенной безопасности
  2. В области навигации выберите Правила для входящих подключений.
  3. Выберите Действие, а затем — Новое правило.
  4. На странице Тип правила мастера создания правила для входящего трафика выберите Пользовательский, а затем нажмите кнопку Далее.

    Примечание.

    Хотя вы можете создать правила, выбрав Программа или Порт, эти параметры ограничивают количество страниц, представленных мастером. Если выбрать Пользовательский, вы увидите все страницы и будете максимально гибкими при создании правил.

  5. На странице Программа выберите Все программы, а затем нажмите кнопку Далее.

    Примечание.

    Этот тип правила часто сочетается с правилом программы или службы. При объединении типов правил вы получите правило брандмауэра, которое ограничивает трафик указанным портом и разрешает трафик только при запуске указанной программы. Указанная программа не может получать сетевой трафик на других портах, а другие программы не могут получать сетевой трафик на указанном порту. Если вы решили сделать это, выполните действия, описанные в процедуре Создание входящей программы или правила службы , а также действия, описанные в этой процедуре, чтобы создать единое правило, которое фильтрует сетевой трафик с помощью условий программы и порта.

  6. На странице Протокол и порты выберите тип протокола, который нужно разрешить. Чтобы ограничить правило указанным номером порта, необходимо выбрать TCP или UDP. Так как это входящее правило, обычно настраивается только номер локального порта. При выборе другого протокола через брандмауэр разрешены только те пакеты, поле протокола которых в заголовке IP-адреса соответствует этому правилу.
    Чтобы выбрать протокол по его номеру, в списке выберите Пользовательский , а затем введите номер в поле Номер протокола .
    Настроив протоколы и порты, нажмите кнопку Далее.
  7. На странице Область можно указать, что правило применяется только к сетевому трафику к IP-адресам, указанным на этой странице, или от нее. Настройте соответствующую конфигурацию, а затем нажмите кнопку Далее.
  8. На странице Действие выберите Разрешить подключение, а затем нажмите кнопку Далее.
  9. На странице Профиль выберите типы сетевых расположений, к которым применяется это правило, и нажмите кнопку Далее.

    Примечание.

    Если этот объект групповой политики предназначен для серверных компьютеров под управлением Windows Server 2008, которые никогда не перемещаются, попробуйте изменить правила, чтобы они применялись ко всем профилям типов сетевых расположений. Это предотвращает непредвиденное изменение применяемых правил, если тип сетевого расположения изменяется из-за установки нового сетевого карта или отключения существующего сетевого карта кабеля. Отключенный сетевой карта автоматически назначается типу расположения общедоступной сети.

  10. На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.

Создать правила порта для исходящего трафика

По умолчанию брандмауэр Windows разрешает весь исходящий сетевой трафик, если он не соответствует правилу, запрещающего трафик. Этот тип правила блокирует исходящий сетевой трафик, соответствующий указанным номерам портов TCP или UDP. Чтобы создать правило исходящего порта, выполните приведенные далее действия.

  1. Открытие консоли брандмауэра Windows в режиме повышенной безопасности
  2. В области навигации выберите Правила для исходящего трафика.
  3. Выберите Действие, а затем — Новое правило.
  4. На странице Тип правила мастера создания правила для исходящего трафика выберите Пользовательский, а затем нажмите кнопку Далее.

    Примечание.

    Хотя вы можете создать правила, выбрав Программа или Порт, эти параметры ограничивают количество страниц, представленных мастером. Если выбрать Пользовательский, вы увидите все страницы и будете максимально гибкими при создании правил.

  5. На странице Программа выберите Все программы, а затем нажмите кнопку Далее.
  6. На странице Протокол и порты выберите тип протокола, который нужно заблокировать. Чтобы ограничить правило указанным номером порта, необходимо выбрать TCP или UDP. Так как это правило является исходящим правилом, обычно настраивается только номер удаленного порта. При выборе другого протокола только те пакеты, для которых поле протокола в заголовке IP-адреса соответствует этому правилу, блокируются брандмауэром Защитник Windows. Сетевой трафик для протоколов разрешен до тех пор, пока другие правила, соответствующие, не блокируют его. Чтобы выбрать протокол по его номеру, в списке выберите Пользовательский , а затем введите номер в поле Номер протокола . Настроив протоколы и порты, нажмите кнопку Далее.
  7. На странице Область можно указать, что правило применяется только к сетевому трафику к IP-адресам, указанным на этой странице, или от нее. Настройте соответствующую конфигурацию, а затем нажмите кнопку Далее.
  8. На странице Действие выберите Блокировать подключение, а затем нажмите кнопку Далее.
  9. На странице Профиль выберите типы сетевых расположений, к которым применяется это правило, и нажмите кнопку Далее.
  10. На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.

Создайте правила программы или службы для входящего трафика

Этот тип правила позволяет программе прослушивать и получать входящий сетевой трафик на любом порту.

Примечание.

Этот тип правила часто сочетается с правилом программы или службы. При объединении типов правил вы получите правило брандмауэра, которое ограничивает трафик указанным портом и разрешает трафик только при запуске указанной программы. Программа не может получать сетевой трафик на других портах, а другие программы не могут получать сетевой трафик на указанном порту. Чтобы объединить типы правил программы и портов в одно правило, выполните действия, описанные в процедуре Создание правила для входящих портов , а также действия, описанные в этой процедуре.

Чтобы создать правило брандмауэра для входящего трафика для программы или службы, выполните приведенные далее действия.

  1. Открытие консоли брандмауэра Windows в режиме повышенной безопасности

  2. В области навигации выберите Правила для входящих подключений.

  3. Выберите Действие, а затем — Новое правило.

  4. На странице Тип правила мастера создания правила для входящего трафика выберите Пользовательский, а затем нажмите кнопку Далее.

    Примечание.

    Информация, которую пользователь должен заметить, даже если вы можете создать правила, выбрав Программа или Порт, эти параметры ограничивают количество страниц, представленных мастером. Если выбрать Пользовательский, вы увидите все страницы и будете максимально гибкими при создании правил.

  5. На странице Программа выберите Этот путь к программе.

  6. Введите путь к программе в текстовом поле. Используйте переменные среды, если применимо, чтобы обеспечить правильную работу программ, установленных в разных расположениях на разных компьютерах.

  7. Выполните одно из следующих действий.

    • Если исполняемый файл содержит одну программу, нажмите кнопку Далее.
    • Если исполняемый файл является контейнером для нескольких служб, которым должно быть разрешено получать входящий сетевой трафик, нажмите кнопку Настроить, выберите Применить только к службам, нажмите кнопку ОК, а затем нажмите кнопку Далее.
    • Если исполняемый файл является контейнером для одной службы или содержит несколько служб, но правило применяется только к одной из них, выберите Настроить, выберите Применить к этой службе, а затем выберите службу из списка. Если служба не отображается в списке, выберите Применить к службе с этим коротким именем службы, а затем введите короткое имя службы в текстовое поле. Нажмите кнопку ОК, а затем нажмите кнопку Далее.

    Важно.

    Чтобы использовать параметры Apply to this service (Применить к этой службе ) или Apply to service with this service short name (Применить к этой службе ), необходимо настроить службу с идентификатором безопасности (SID) с типом RESTRICTED или UNRESTRICTED. Чтобы проверка тип идентификатора безопасности службы, выполните следующую команду:sc qsidtype <ServiceName>

    Если результат равен NONE, то правило брандмауэра не может быть применено к этой службе.

    Чтобы задать тип идентификатора безопасности для службы, выполните следующую команду: sc sidtype <ServiceName> <Type>

    В предыдущей команде значение <Type> может иметь значение UNRESTRICTED или RESTRICTED. Хотя команда также разрешает значение NONE, этот параметр означает, что службу нельзя использовать в правиле брандмауэра, как описано здесь. По умолчанию большинство служб в Windows настроены как UNRESTRICTED. Если изменить тип идентификатора безопасности на RESTRICTED, служба может не запуститься. Мы рекомендуем изменить тип идентификатора безопасности только для служб, которые вы хотите использовать в правилах брандмауэра, и изменить тип идентификатора безопасности на UNRESTRICTED.

  8. Рекомендуется ограничить правило брандмауэра для программы только портами, которые она должна работать. На странице Протоколы и порты можно указать номера портов для разрешенного трафика. Если программа пытается прослушивать порт, отличный от указанного здесь, она блокируется. Дополнительные сведения о параметрах протокола и порта см. в разделе Создание правила для входящих портов. Настроив параметры протокола и порта, нажмите кнопку Далее.

  9. На странице Область можно указать, что правило применяется только к сетевому трафику к IP-адресам, указанным на этой странице, или от нее. Настройте соответствующую конфигурацию, а затем нажмите кнопку Далее.

  10. На странице Действие выберите Разрешить подключение, а затем нажмите кнопку Далее.

  11. На странице Профиль выберите типы сетевых расположений, к которым применяется это правило, и нажмите кнопку Далее.

  12. На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.

Создайте правила программы или службы для исходящего трафика

По умолчанию брандмауэр Защитник Windows разрешает весь исходящий сетевой трафик, если он не соответствует правилу, запрещающего трафик. Этот тип правила запрещает программе отправлять исходящий сетевой трафик на любой порт. Чтобы создать правило брандмауэра для исходящего трафика для программы или службы, выполните приведенные далее действия.

  1. Открытие консоли брандмауэра Windows в режиме повышенной безопасности
  2. В области навигации выберите Правила для исходящего трафика.
  3. Выберите Действие, а затем — Новое правило.
  4. На странице Тип правила мастера создания правила для исходящего трафика выберите Пользовательский, а затем нажмите кнопку Далее.

    Примечание.

    Хотя можно создать множество правил, выбрав Программа или Порт, эти параметры ограничивают количество страниц, представленных мастером. Если выбрать Пользовательский, вы увидите все страницы и будете максимально гибкими при создании правил.

  5. На странице Программа выберите Этот путь к программе.
  6. Введите путь к программе в текстовом поле. Используйте переменные среды соответствующим образом, чтобы обеспечить правильную работу программ, установленных в разных расположениях на разных компьютерах.
  7. Выполните одно из следующих действий.
    • Если исполняемый файл содержит одну программу, нажмите кнопку Далее.
    • Если исполняемый файл является контейнером для нескольких служб, которые должны быть заблокированы для отправки исходящего сетевого трафика, нажмите кнопку Настроить, выберите Применить только к службам, нажмите кнопку ОК, а затем нажмите кнопку Далее.
    • Если исполняемый файл является контейнером для одной службы или содержит несколько служб, но правило применяется только к одной из них, выберите Настроить, выберите Применить к этой службе, а затем выберите службу из списка. Если служба не отображается в списке, выберите Применить к службе с этим коротким именем службы и введите короткое имя службы в текстовое поле. Нажмите кнопку ОК, а затем нажмите кнопку Далее.
  8. Если вы хотите, чтобы программа могла отправлять на одни порты, но запретить отправку на других, можно ограничить правило брандмауэра, чтобы блокировать только указанные порты или протоколы. На странице Протоколы и порты можно указать номера портов или номера протоколов для заблокированного трафика. Если программа пытается отправить номер порта, отличный от указанного здесь, или с помощью номера протокола, отличного от указанного здесь, то поведение брандмауэра для исходящего трафика по умолчанию разрешает трафик. Дополнительные сведения о параметрах протокола и порта см. в статье Создание правила исходящего порта. Настроив параметры протокола и порта, нажмите кнопку Далее.
  9. На странице Область можно указать, что правило применяется только к сетевому трафику к IP-адресам, указанным на этой странице, или от нее. Настройте соответствующую конфигурацию, а затем нажмите кнопку Далее.
  10. На странице Действие выберите Блокировать подключение, а затем нажмите кнопку Далее.
  11. На странице Профиль выберите типы сетевых расположений, к которым применяется это правило, и нажмите кнопку Далее.
  12. На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.

Создание правил для входящего трафика для поддержки удаленного вызова процедур

Чтобы разрешить входящий трафик удаленного вызова процедур (RPC), необходимо создать два правила брандмауэра:

  • первое правило разрешает входящие сетевые пакеты через TCP-порт 135 для службы сопоставления конечных точек RPC. Входящий трафик состоит из запросов для связи с указанной сетевой службой. Сопоставитель конечных точек RPC отвечает динамически назначенным номером порта, который клиент должен использовать для связи со службой.
  • второе правило разрешает сетевой трафик, отправляемый на динамически назначенный номер порта.

Использование двух правил, настроенных как описано в этом разделе, помогает защитить устройство, разрешая сетевой трафик только с устройств, которые получили динамическое перенаправление портов RPC, и только к номерам TCP-портов, назначенным сопоставителя конечных точек RPC.

Служба сопоставления конечных точек RPC

  1. Открытие консоли брандмауэра Windows в режиме повышенной безопасности
  2. В области навигации выберите Правила для входящих подключений.
  3. Выберите Действие, а затем — Новое правило.
  4. На странице Тип правила мастера создания правила для входящего трафика выберите Пользовательский, а затем нажмите кнопку Далее.
  5. На странице Программа выберите Этот путь к программе и введите %systemroot%\system32\svchost.exe
  6. Выберите Настроить.
  7. В диалоговом окне Настройка параметров службы выберите Применить к этой службе, выберите Удаленный вызов процедур (RPC) с коротким именем RpcSs, нажмите кнопку ОК, а затем нажмите кнопку Далее.
  8. В предупреждении о правилах защиты служб Windows выберите Да.
  9. В диалоговом окне Протокол и порты в поле Тип протокола выберите TCP.
  10. В поле Локальный порт выберите Сопоставитель конечных точек RPC, а затем нажмите кнопку Далее.
  11. На странице Область можно указать, что правило применяется только к сетевому трафику к IP-адресам, указанным на этой странице, или от нее. Настройте соответствующую конфигурацию, а затем нажмите кнопку Далее.
  12. На странице Действие выберите Разрешить подключение, а затем нажмите кнопку Далее.
  13. На странице Профиль выберите типы сетевых расположений, к которым применяется это правило, и нажмите кнопку Далее.
  14. На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.

Сетевые службы с поддержкой RPC

  1. В том же объекте групповой политики, который вы редактировали в предыдущей процедуре, выберите Действие, а затем — Создать правило.
  2. На странице Тип правила мастера создания правила для входящего трафика выберите Пользовательский, а затем нажмите кнопку Далее.
  3. На странице Программа выберите Этот путь к программе, а затем введите путь к исполняемому файлу, в котором размещена сетевая служба. Выберите Настроить.
  4. В диалоговом окне Настройка параметров службы выберите Применить к этой службе, а затем выберите службу, которую вы хотите разрешить. Если служба не отображается в списке, выберите Применить к службе с этим коротким именем службы, а затем введите короткое имя службы в текстовое поле.
  5. Нажмите кнопку ОК, а затем нажмите кнопку Далее.
  6. В диалоговом окне Протокол и порты в поле Тип протокола выберите TCP.
  7. В поле Локальный порт выберите Динамические порты RPC, а затем нажмите кнопку Далее.
  8. На странице Область можно указать, что правило применяется только к сетевому трафику к IP-адресам, указанным на этой странице, или от нее. Настройте соответствующую конфигурацию, а затем нажмите кнопку Далее.
  9. На странице Действие выберите Разрешить подключение, а затем нажмите кнопку Далее.
  10. На странице Профиль выберите типы сетевых расположений, к которым применяется это правило, и нажмите кнопку Далее.
  11. На странице Имя введите имя и описание правила, а затем нажмите кнопку Готово.