Общие Исключения Дополнительно
На вкладке Общие расположены
следующие элементы управления.
Включить (рекомендуется) Не разрешать исключения Выключить (не рекомендуется)
Запишите в отчет, какие вкладки иэлементы управления находятся внастройках брандмауэра.
Если установлен флажок Не разрешать исключения, брандмауэр Windows блокирует все запросы на подключение к компьютеру, включая запросы от программ и служб, перечисленных на вкладке Исключения. Кроме того, брандмауэр блокирует совместный доступ к файлам и принтерам, а также обнаружение сетевых устройств.
Использовать брандмауэр Windows в этом режиме целесообразно при подключении к сетям общего пользования, например сетям в гостиницах и аэропортах. Защита компьютера обеспечивается путем блокирования всех попыток установить к нему подключение.
Брандмауэр Windows в режиме «Не разрешать исключения» позволяет просматривать веб-страницы, обмениваться сообщениями электронной почты или немедленными сообщениями.
На вкладке Исключения можно создать исключение для порта или программы, чтобы разрешить получение определенных видов входящего трафика. Каждому исключению можно назначить область.
Для домашних и небольших офисных
сетей рекомендуется ограничивать такую область пределами локальной сети. В этом случае установленные на компьютере программы доступны другим компьютерам в составе той же подсети, а трафик из удаленных сетей блокируется.
Вкладка Дополнительно служит для выполнения следующих действий:
настройка правил для подключений, которые применяются к каждому сетевому
интерфейсу; настройка параметров ведения журнала безопасности;
настройка глобальных правил для трафика по протоколу ICMP (Internet Control
Message Protocol), который служит для передачи сведений об ошибках и состоянии; восстановление параметров по умолчанию.
Настройка исключений
Брандмауэр Windows содержит несколько предопределенных исключений, которые разрешают сетевой доступ для некоторых общих системных задач, таких как удаленноеуправление и совместное использование файлов и принтеров. В таблице перечислены включенные по умолчанию исключения брандмауэра Windows, а также открытые порты и использующие их программы.
Исключение | Открываемые порты | Разрешающая программа | Ограничить источник по |
Разрешить удаленное управление | TCP 135, TCP 445, | Подсети | |
Разрешить совместное использование файлов и принтеров | UDP 137, UDP 138, TCP 139, TCP 445, | Подсети | |
Удаленный рабочий стол | TCP 3389 | Любой адрес | |
Allow UPnP Framework | UDP 1900, TCP 2869 | Подсети | |
Удаленный помощник | Sessmgr.exe | Любой адрес | |
Параметры ICMP | Разрешить входящий запрос эхо |
Запишите в отчет, что такое исключение и какие исключения заданы в работебрандмауэра по умолчанию. Проверьте настройки на соответствующей вкладке. Запишитетаблицу в отчет.
Администратор может также задать собственный набор исключений локально через приложение "Брандмауэр Windows" в панели управления или удаленно с использованием механизма групповых политик. Для этого достаточно просто указать имя программы, которая генерирует трафик или сетевые параметры (номер порта TCP или UDP) и адрес источника, а затем разрешить сформированное исключение в брандмауэре Windows.
Предопределенные исключения предоставляют более гибкие возможности настройки,
чем пользовательские, поскольку в них допускается задание нескольких портов в одном правиле. Например, исключение для совместного доступа к файлам и принтерам разрешает использование портов TCP 139, TCP 445, UDP 137 и UDP
138.
При создании пользовательского исключения система позволяет указать только один порт, так что для открытия диапазона портов необходимо создать набор исключений для каждого порта. При этом допускается создание пользовательских областей, т.е. адресов IP или диапазонов адресов IP, для которых разрешен обмен. Это позволяет задавать наборы портов для предопределенных и для пользовательских исключений.
Администраторы корпоративных сетей для настройки брандмауэра Windows могут
использовать групповые политики. При этом необходимо указать порт (например, 80), транспорт (TCP или UDP), область, статус (разрешен или запрещен), и имя соединения. Конструкция имеет вид Порт:Транспорт:Область:Статус:Имя (Port:Transport:Scope:Status:Name).
Ведение журнала
Можно настроить брандмауэр Windows для ведения журнала в виде текстового файла на локальном компьютере или сетевом диске. Брандмауэр Windows может записывать события блокирования пакетов и успешных подключений. Журнал содержит необходимые сведения для устранения неисправностей и ошибок при невозможности подключиться к необходимым ресурсам или просмотре разрешенных соединений.
По умолчанию брандмауэр Windows выдает пользователю предупреждение о том, что некоторая программа пытается использовать указанный порт. При централизованной настройке брандмауэра Windows через групповые политики администратор может по своему желанию отключить выдачу предупреждений пользователям.
Запишите в отчет, как создать файл журнала и указать путь для его хранения.После его создания, просмотрите его содержимое, предварительно осуществив какое-либосетевое подключение.