Настройка брандмауэра Windows

Брандмауэр Windows в пакете обновления 2 для Windows XP — это последнее воплощение брандмауэра подключения к Интернету (ICF) от Microsoft, который был включен (но не включен по умолчанию) в предыдущие версии Windows XP. Брандмауэр Windows — это брандмауэр с отслеживанием состояния на основе хоста, который включен по умолчанию и настроен на отклонение нежелательного входящего IP-трафика, если только исключения не настроены для разрешения такого трафика для определенных приложений или на определенных портах. Хотя брандмауэр Windows представляет собой значительный шаг вперед в обеспечении безопасности компьютеров с Windows XP, он также создает проблему для администраторов предприятий. В частности, если администраторы развертывают брандмауэр Windows в конфигурации по умолчанию в своих корпоративных сетях, это может привести к сбою критически важных для бизнеса приложений, требующих открытия определенных портов TCP или UDP для правильной работы.

Поэтому перед развертыванием брандмауэра Windows администраторам необходимо протестировать свои бизнес-приложения в изолированной тестовой сети, чтобы определить, какие изменения необходимо внести в конфигурацию брандмауэра Windows по умолчанию, чтобы их приложения продолжали работать должным образом. Кроме того, если компания уже развернула решение брандмауэра на базе хоста от стороннего поставщика на своих настольных компьютерах, может быть даже целесообразно полностью отключить брандмауэр Windows как часть процесса развертывания пакета обновления 2. С этой целью в этой статье описываются различные способы настройки брандмауэра Windows как во время развертывания, так и после него с использованием двух примеров сценариев:

• Сценарий 1. Отключение брандмауэра Windows на всех рабочих столах XP с пакетом обновления 2 (SP2) в сетевой среде, где в соответствии с предпочтениями развернут другой брандмауэр на основе хоста.
  
• Сценарий 2. Настройка исключения для TCP-порта 80, чтобы настольные компьютеры могли получить доступ к веб-сайту интрасети, работающему на компьютере с XP SP2 в одноранговой сети.

Каждый из этих сценариев обсуждается в контексте различных методов, которые можно использовать для настройки брандмауэра Windows.

Ручная настройка

Если ваша сеть небольшая, вы можете вручную настроить брандмауэр Windows на компьютерах с Windows XP после развертывания пакета обновления 2 (SP2). Ниже приведены шаги по настройке брандмауэра Windows для удовлетворения двух сценариев, описанных выше.

Сценарий 1

Чтобы вручную отключить брандмауэр Windows на компьютерах с XP SP2, откройте брандмауэр Windows в панели управления и выберите параметр «Выкл.» на вкладке «Общие»:

Сценарий 2

Чтобы вручную разрешить входящий трафик через TCP-порт 80 для компьютера с XP SP2, работающего в качестве веб-сервера интрасети в среде рабочей группы, откройте брандмауэр Windows на панели управления, перейдите на вкладку «Исключения» и нажмите кнопку «Добавить порт». Затем введите описательное имя для нового исключения и укажите, что TCP-порт 80 должен быть статически открыт для нежелательного входящего трафика:

Теперь нажмите OK, и ваше новое исключение отобразится в списке исключений брандмауэра:

Совет. Чтобы временно отключить входящий трафик, снимите флажок для нового исключения.

Использование Unattend.txt

В пакете обновления 2 (SP2) для Windows XP новые разделы для брандмауэра Windows были добавлены в файл ответов Unattend.txt, что позволяет администраторам настраивать брандмауэр Windows во время автоматической установки. Эти новые разделы подробно описаны в скомпилированном файле справки Ref.chm, который входит в состав средств развертывания Windows XP с пакетом обновления 2 (SP2), доступных в Центре загрузки Microsoft. Настроив соответствующим образом [WindowsFirewall] и связанные с ним разделы файла Unattend.txt, администраторы могут выполнять автоматическую установку или обновление до Windows XP с пакетом обновления 2 из сетевой точки распространения (используя Unattended.txt) или с компакт-диска (переименовав файл Unattend.txt в Winnt)..сиф).

Совет: Если вы хотите выполнить чистую установку с компакт-диска Windows XP с пакетом обновления 2, интегрированным в операционную систему, см. статью Slipstream SP2 на сайте Neowin.net.

Сценарий 1

Чтобы отключить брандмауэр Windows на новых компьютерах с XP SP2, добавьте в файл Unattend.txt следующее:

[Брандмауэр Windows]
Профили = WindowsFirewall.TurnOffFirewall

[WindowsFirewall.TurnOffFirewall]
Режим = 0

Это работает следующим образом: запись Profiles = WindowsFirewall.TurnOffFirewall определяет пользовательский профиль для брандмауэра Windows, а запись Mode = 0 указывает, что этот профиль брандмауэра отключен (значение 0). Коротко о профилях брандмауэра Windows. Пакет обновления 2 включает два профиля по умолчанию для брандмауэра Windows:

• Стандартный профиль: используется по умолчанию в среде рабочей группы (компьютер не подключен к домену) и отклоняет весь нежелательный входящий трафик.
  
• Профиль домена: используется по умолчанию в доменных средах и допускает исключения на основе установленных служб и приложений Windows XP.

Таким образом, используя разделы, указанные выше для файла Unattend.txt, вы определяете настраиваемый профиль с именем TurnOffFirewall, который по умолчанию отключает брандмауэр Windows независимо от того, принадлежит ли компьютер к рабочей группе или домену.

Сценарий 2

Чтобы разрешить входящий трафик через TCP-порт 80 для компьютера с XP SP2, работающего в качестве веб-сервера интрасети в среде рабочей группы, добавьте в файл Unattend.txt следующее:

[Брандмауэр Windows]
Профили=WindowsFirewall.Стандарт

[Брандмауэр Windows.Стандарт]
Тип = 1
Режим = 1
Исключения = 1
PortOpenings = WindowsFirewall.WebServer

[Брандмауэр Windows.Веб-сервер]
Протокол = 6
Порт = 80
Имя = веб-сервер (TCP 80)
Режим = 1
Область = 1

Здесь запись Type = 1 определяет стандартный (не доменный) профиль, Mode = 1 означает, что брандмауэр включен, а Exceptions = 1 разрешает исключения брандмауэра. В разделе [WindowsFirewall.WebServer] запись Protocol = 6 указывает TCP-порт, запись Port = 80 указывает TCP-порт 80 для входящего HTTP-трафика, запись Name указывает понятное имя, которое отображается в списке исключений, Mode Запись = 1 добавляет исключение в список, а запись Scope = 1 ограничивает входящий трафик через TCP-порт 80 пакетами, поступающими с других компьютеров в локальной подсети.

Примечание. Обычно вы включаете дополнительные разделы и записи в файл Unattend.txt для настройки таких вещей, как ведение журнала брандмауэра, профили домена и т. д. Дополнительную информацию см. в вышеупомянутом файле Ref.chm.

Использование Netfw.inf

Другой подход к развертыванию XP SP2 с настроенными конфигурациями брандмауэра Windows заключается в настройке файла Netfw.inf, который определяет конфигурацию брандмауэра Windows по умолчанию, включая стандартный профиль и профиль домена. Это можно сделать как после установки XP SP2, так и раньше. Если вы уже установили XP SP2 на свои рабочие столы, вы можете настроить файл Netfw.inf, который находится в папке %windir%Inf на компьютерах с XP SP2, например, следующим образом:

1. Создайте свой собственный файл Netfw.inf.
   
2. Скопируйте новый файл поверх файла Netfw.inf по умолчанию на каждой рабочей станции.
   
3. Откройте командную строку и введите сброс брандмауэра netsh.

Этот последний шаг восстанавливает конфигурацию брандмауэра по умолчанию для компьютера с XP SP2, что означает конфигурацию, указанную в файле Netfw.inf компьютера.

Чтобы настроить файл Netfw.inf перед установкой XP SP2, выполните следующие действия.

1. Извлеките файл Netfw.in_ из образа встроенного компакт-диска XP SP2 или точки распространения.
   
2. Настройте файл Netfw.in_ по своему усмотрению и подпишите его (см. здесь информацию о подписывании кода).
   
3. Замените Netfw.in_ на интегрированном компакт-диске XP с пакетом обновления 2 (SP2) или в точке распространения своей настроенной версией.
   
4. Разверните XP SP2 желаемым способом (например, автоматически, Sysprep и т. д.)

Вот что Netfw.inf (и Netfw.in_) содержит по умолчанию:

[версия]
Подпись = «$ Windows NT $»
Версия драйвера = 01.07.2001, 5.1.2600.2132

[Установить по умолчанию]
AddReg=ICF.AddReg.DomainProfile
AddReg=ICF.AddReg.StandardProfile

[ICF.AddReg.DomainProfile]
HKLM, "SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyDomainProfileAuthorizedApplicationsList", "%windir%system32sessmgr.exe", 0x00000000, "%windir%system32sessmgr.exe:*: включено:@xpsp2res.dll,-22019″

[ICF.AddReg.StandardProfile]
HKLM, "SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList", "%windir%system32sessmgr.exe", 0x00000000, "%windir%system32sessmgr.exe:*: включено:@xpsp2res.dll,-22019″

В третьем и четвертом разделах описываются профили домена и стандартного брандмауэра, как описано выше в разделе Использование файла Unattend.txt. Давайте теперь посмотрим, как настроить Netfw.inf для наших двух сценариев.

Сценарий 1

Чтобы отключить брандмауэр Windows на компьютерах с XP SP2 в доменной среде, добавьте следующие записи в [ICF.AddReg.DomainProfile]

раздел Netfw.inf:

HKLM, "SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyDomainProfile", "DoNotAllowExceptions", 0x00010001,0

HKLM, "SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyDomainProfile", "EnableFirewall", 0x00010001,0

Эти записи добавляют необходимые ключи реестра к вашим машинам XP SP2, чтобы отключить брандмауэр Windows, когда машины принадлежат домену.

Совет. Рекомендуется оставить [ICF.AddReg.StandardProfile] без изменений, чтобы в конфигурации брандмауэра по умолчанию для ваших компьютеров, не присоединенных к домену, был включен брандмауэр Windows. Это особенно верно для таких машин, как ноутбуки, которые можно отключить от сети.

Сценарий 2

Чтобы разрешить входящий трафик через TCP-порт 80 для компьютера с XP SP2, работающего в качестве веб-сервера интрасети в среде рабочей группы, добавьте следующие записи в раздел [ICF.AddReg.StandardProfile] файла Netfw.inf:

HKLM, "SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList", "80: TCP", 0x00000000, "80: TCP: LocalSubnet: включено: веб-сервер (TCP 80)"

Это разрешает нежелательный входящий трафик на TCP-порт 80 от машин в локальной подсети.

Использование сети

Новый контекст брандмауэра netsh также можно использовать для настройки брандмауэра Windows. Это можно сделать либо открыв командную строку на компьютере с XP SP2 и выполнив соответствующие команды netsh, либо создав пакетный файл команд netsh и запустив его из одноразового сценария. Вот как это сделать для каждого сценария:

Сценарий 1

Чтобы отключить брандмауэр Windows на компьютерах с XP SP2 в доменной среде, используйте следующую команду:

брандмауэр netsh установить режим работы = ОТКЛЮЧИТЬ профиль = ДОМЕН

Сценарий 2

Чтобы разрешить входящий трафик через TCP-порт 80 для компьютера с XP SP2, работающего в качестве веб-сервера интрасети в среде рабочей группы, используйте следующую команду:

Брандмауэр netsh добавить протокол открытия порта = порт TCP = 80 имя = «Веб-сервер (TCP 80)» режим = ВКЛЮЧИТЬ область действия = профиль ПОДСЕТИ = ДОМЕН

Опять же, это разрешает нежелательный входящий трафик через TCP-порт 80 от машин в локальной подсети.

Использование групповой политики

Наконец, в среде Active Directory вы можете использовать групповую политику для настройки брандмауэра Windows на своих рабочих столах XP SP2. Это включает в себя два шага: во-первых, обновите существующие объекты групповой политики (GPO) с помощью новых параметров политики брандмауэра Windows, которые можно найти в обновленном шаблоне System.adm, включенном в XP SP2. Это добавляет новую папку брандмауэра Windows в разделе «Сетевые подключения» в разделе «Административные шаблоны» конфигурации компьютера:

После обновления объектов групповой политики можно настроить брандмауэр Windows, внеся изменения в параметры политики в разделе «Профиль домена» (для компьютеров с XP SP2, присоединенных к домену) и «Стандартный профиль» (для компьютеров в рабочей группе).

Сценарий 1

Чтобы отключить брандмауэр Windows на компьютерах с XP SP2 в доменной среде, установите для следующей политики значение Disabled:

Конфигурация компьютера
Административные шаблоны
Сеть
Сетевые соединения
Брандмауэр Windows
Профиль домена
Брандмауэр Windows: Защитите все сетевые подключения

Сценарий 2

Чтобы разрешить входящий трафик через TCP-порт 80 для компьютера с XP SP2, работающего в качестве веб-сервера интрасети в среде рабочей группы, настройте следующую политику:

Конфигурация компьютера
Административные шаблоны
Сеть
Сетевые соединения
Брандмауэр Windows
Стандартный профиль
Брандмауэр Windows: определение исключений портов

Чтобы настроить эту политику, добавьте следующую строку в диалоговое окно «Показать содержимое» для политики:

80:TCP:localsubnet:enabled:веб-сервер (TCP 80)

Резюме

В этой статье мы увидели, как настроить брандмауэр Windows, используя два сценария и пять различных методов. В зависимости от потребностей вашего бизнеса вы можете выбрать подходящий метод предварительной или последующей настройки брандмауэра Windows, чтобы ваши бизнес-приложения продолжали нормально работать после развертывания XP SP2 в вашей сети. Дополнительные сведения о настройке брандмауэра Windows см. в следующих документах на веб-сайте Microsoft:

• Развертывание параметров брандмауэра Windows для Microsoft Windows XP с пакетом обновления 2
  
• Использование INF-файла брандмауэра Windows в Microsoft Windows XP с пакетом обновления 2

Дополнительную информацию о проблемах развертывания XP SP2 см. в следующих статьях, написанных мной:

• Как решить проблемы совместимости приложений SP2
  
• Развертывание SP2 — или нет