Брандмауэр Windows

Брандмауэр Windows
	компонент Windows
Брандмауэр Windows
Тип компонента	межсетевой экран
Включён в	Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows RT Windows 10 Windows 11
Название сервиса	svchost.exe -k netsvcs
Описание сервиса	Security Center
Сайт	learn.microsoft.com/… (англ.)

Брандма́уэр Windows (нем. Brandmauer, от Brand — «пожар», и Mauer — «стена») — встроенный в Microsoft Windows межсетевой экран. Появился в Windows XP SP2. Одним из отличий от предшественника (Internet Connection Firewall) является контроль доступа программ в сеть. Брандмауэр Windows является частью Центра обеспечения безопасности Windows.

Обзор

Первоначально Windows XP включала Internet Connection Firewall, который (по умолчанию) был выключен из-за проблем совместимости. Настройки Internet Connection Firewall находились в конфигурации сети, поэтому многие пользователи не находили их. В результате в середине 2003 года компьютерный червь Blaster атаковал большое число компьютеров под управлением Windows, используя уязвимость в службе Удалённый вызов процедур^[1]. Через несколько месяцев червь Sasser провёл аналогичную атаку. В 2004 году продолжалось распространение этих червей, в результате чего непропатченные машины заражались в течение нескольких минут^[1]. Microsoft подверглась критике, и поэтому решила значительно улучшить интерфейс и функциональность Internet Connection Firewall и переименовать его в «Брандмауэр Windows».

В брандмауэр Windows встроен журнал безопасности, который позволяет фиксировать IP-адреса и другие данные, относящиеся к соединениям в домашних и офисной сетях или в Интернете. Можно записывать как успешные подключения, так и пропущенные пакеты. Это позволяет отслеживать, когда компьютер в сети подключается, например, к web-сайту. Данная возможность по умолчанию отключена (её может включить системный администратор)^[2].

Версии

Windows XP

Брандмауэр Windows был выпущен в составе Windows XP Service Pack 2. Все типы сетевых подключений, такие, как проводное, беспроводное, VPN и даже FireWire, по умолчанию фильтруются через брандмауэр (с некоторыми встроенными исключениями, разрешающими соединения для машин из локальной сети). Это устраняет проблему, когда правило фильтрации применяется лишь через несколько секунд после открытия соединения, создавая тем самым уязвимость^[3]. Системные администраторы могут настраивать файрвол, используя групповую политику. Брандмауэр Windows XP не работает с исходящими соединениями (фильтрует только входящие подключения).

Включение Брандмауэра Windows в SP2 — одна из причин (другой причиной стал DCOM activation security)^[4], по которой многие корпорации своевременно не приступили к развёртыванию Service Pack 2. Во время выхода SP2 некоторые web-сайты сообщили о проблемах совместимости со многими приложениями (большинство из которых решаются добавлением исключений в брандмауэр).

Windows Server 2003

В марте 2005 года Microsoft выпустила Windows Server 2003 Service Pack 1, включающий несколько улучшений в брандмауэр данной серверной операционной системы.

Windows Vista

Windows Vista добавляет в брандмауэр новые возможности, улучшающие его развёртывание в корпоративной среде^[5]:

Новая оснастка консоли Брандмауэр Windows в режиме повышенной безопасности, позволяющая получить доступ к дополнительным возможностям, а также поддерживающая удалённое администрирование. Получить к ней доступ можно через Пуск → Панель управления → Администрирование → Брандмауэр Windows в режиме повышенной безопасности или набрав команду wf.msc.
Фильтр соединений IPv6.
Фильтрация исходящего трафика, позволяющая бороться с вирусами и шпионским ПО. Настроить фильтрацию можно, используя консоль управления MMC.
Используя расширенный фильтр пакетов, правила можно применять к определённым диапазонам IP-адресов и портов.
Правила для служб можно задавать, используя имена служб из списка, без необходимости указывать полное имя службы.
Полностью интегрирован IPsec, позволяя фильтрировать соединения, основанные на сертификатах безопасности, аутентификации Kerberos и т. п. Шифрование можно требовать для любого типа соединения.
Улучшено управление сетевыми профилями (возможность создавать разные правила для домашних, рабочих и публичных сетей). Поддержка создания правил, обеспечивающих соблюдение политики изоляции домена и сервера.

Windows Server 2008

Windows Server 2008 содержит брандмауэр, аналогичный версии под Windows Vista.

См. также

Заметки

↑ Эти уязвимости были устранены Microsoft в течение нескольких месяцев; подробнее см. бюллетени Microsoft по безопасности MS03-026, MS03-039, и MS04-012.

Примечания

↑ Study: Unpatched PCs compromised in 20 minutes | CNET News.com
↑ Журнал безопасности брандмауэра подключения к Интернету (неопр.). Дата обращения: 3 июля 2009. Архивировано 14 мая 2013 года.
↑ The Cable Guy — February 2004 (неопр.). Дата обращения: 25 июня 2009. Архивировано 21 октября 2007 года.
↑ Security-Related Policy Settings (неопр.). Дата обращения: 25 июня 2009. Архивировано 10 марта 2007 года.
↑ The Cable Guy — January 2006 (неопр.). Дата обращения: 25 июня 2009. Архивировано 12 октября 2007 года.

Ссылки

Understanding Windows Firewall (англ.)
Customizing Windows Firewall (англ.)
Adding Windows Firewall Exceptions (англ.)
Working with Windows Firewall API using VC++ (Examples) (англ.)

[1] Study: Unpatched PCs compromised in 20 minutes | CNET News.com

[2] Журнал безопасности брандмауэра подключения к Интернету (неопр.). Дата обращения: 3 июля 2009. Архивировано 14 мая 2013 года.

[3] The Cable Guy — February 2004 (неопр.). Дата обращения: 25 июня 2009. Архивировано 21 октября 2007 года.

[4] Security-Related Policy Settings (неопр.). Дата обращения: 25 июня 2009. Архивировано 10 марта 2007 года.

[5] The Cable Guy — January 2006 (неопр.). Дата обращения: 25 июня 2009. Архивировано 12 октября 2007 года.

[1]

[1]

[2]

[3]

[4]

[5]