Упражнение 2. Изучение возможностей файервола Windows 7
Первая версия Windows Firewall позволяла очень много сделать в плане защиты от взлома, например настраиваться как с помощью Group Policy Object (GPO) так и из командной строки. Однако возможностей защиты явно не хватало в таких областях, как настройка правил доступа и фильтрация исходящего трафика. Версия Windows Firewall, которая поставляется в составе Windows Vista, имеет 2 существенных нововведения:
Microsoft включила расширенный интерфейс управления для того, чтобы дать администраторам очень подробные правила настройки рабочих станций. Более того, Брандмауэр может быть настроен из оснастки Групповая политика, что означает для корпоративных IT-специалистов более легкий путь навязывания политик организации, например, запрещение специфической активности – обмен мгновенными сообщениями или сети peer-to-peer.
Управление МЭ сосредоточено в MMC-консоли, получившей название Windows Firewall with Advanced Security. Некоторые параметры брандмауэра можно по-прежнему настроить централизованно через Group Policy или же настроить брандмауэр локально при помощи командной утилиты Netsh. Как и другие оснастки, Windows Firewall with Advanced Security поддерживает удаленный доступ, который позволяет управлять настройкой брандмауэра на удаленной станции.
Брандмауэр Windows блокирует входящий трафик по умолчанию, так что необходимо сразу же настроить список Exceptions, если планируется работать с сетевым приложением. Exceptions — это то, что Microsoft называет правилами (rules), а более точно, списки ACL.
Во многих случаях хост-брандмауэры, написанные независимыми разработчиками, выдают предупреждения при попытке установить исходящее соединение и запрашивают разрешение у пользователя. На основе полученного ответа брандмауэр может даже создать правило реагирования на такие события в будущем. Брандмауэр Windows поступает иначе — весь исходящий трафик по умолчанию разрешен. Создание исключений для исходящего трафика — процедура несложная, но она требует использования новой оснастки. Большинство пользователей об этом даже и не вспомнит, но администраторы систем должны как следует разобраться во всех обязательных настройках Windows Firewall with Advanced Security.
Оснастка позволяет настроить все функции брандмауэра. В левой панели можно выбрать Inbound Exceptions, Outbound Exceptions, Computer Connection Security или Firewall Monitoring, дважды щелкнуть по выбранному элементу — узлу структуры — и увидеть дополнительные настройки в центральной панели. На правой панели располагается список всех доступных действий для выбранного узла. Такое построение консоли делает процесс настройки брандмауэра интуитивно понятной процедурой; например, если нужно включить или отключить правило, достаточно щелкнуть правой кнопкой мыши, вызвав контекстное меню, или же на правой панели выбрать требуемое действие. Большинство действий вступает в силу немедленно, что упрощает отладку при настройке брандмауэра. Чтобы просмотреть и задать свойства брандмауэра, необходимо открыть контекстное меню Windows Firewall with Advanced Security в левой панели и выбрать Properties.
1. Упражнение выполняется на ранее установленной виртуальной машине с операционной системой Windows 7.
2. Откройте компонент Брандмауэр Windows. Для этого нажмите кнопку Пуск и выберите пункт Панель управления. В поле поиска введите брандмауэр и затем щелкните пункт Брандмауэр Windows.
3. В левой области выберите Включение и отключение брандмауэра Windows. Если отображается запрос на ввод пароля администратора или его подтверждения, укажите пароль или предоставьте подтверждение.
4. Блокирование всех входящих подключений, включая подключения, указанные в списке разрешенных программ. Этот параметр блокирует все неожидаемые попытки подключения к компьютеру. Этот параметр служит для максимальной защиты компьютера, например, при подключении к общедоступной сети в отеле или в аэропорте или в периоды распространения через Интернет особо опасных вирусов-червей. При использовании этого параметра вы не будете уведомлены о блокировке программ брандмауэром Windows, и все программы из списка разрешенных программ будут проигнорированы.
5. Включение брандмауэра Windows. Этот вариант выбран по умолчанию. Если брандмауэр Windows включен, то установка связи большинства программ брандмауэром блокируется. Если следует разрешить программе устанавливать связь через брандмауэр, можно добавить ее в список разрешенных программ.
6. Убедитесь, что брандмауэр Windows включен, и перейдите во вкладку Дополнительные параметры.
7. Создайте дополнительное правило для Брандмауэра Windows. Выберите перечень правил Правила для входящих\исходящих подключений и нажмите кнопку Создать правило. Создайте дополнительное правило для входящих подключений для порта 80/TCP. Обясните назначение порта.
8. Проведите сканирование АРМ, защищённого настроенным вами межсетевым экраном. Сделайте выводы о защищённости.