Брандмауэр Windows Vista - настройки

После того как Microsoft выпустила общественную версию Windows Vista Beta 2, небольшое сообщество Beta-тестеров расширилось за счет большого количества людей, желающих оценить и “сесть за руль” новой ОС, чтобы самим убедиться в улучшениях организации работы, сделанных компанией Microsoft.

Пока рано говорить о каких-либо результатах, но c уверенностью можно сказать, что с Windows Vista связываются очень большие ожидания. Без сомнения, в Windows Vista Beta 2 появились новые особенности, которые созданы для того, чтобы поразить пользователя. Одна из наиболее ожидаемых возможностей, включенных в общественную Beta 2 - новый брандмауэр Windows, который является всесторонним средством межсетевой защиты, обеспечивающим контроль, как за входящим, так и за исходящим трафиком. По сравнению с брандмауэром Windows XP, который обеспечивал лишь контроль над входящим трафиком, брандмауэр Windows Vista является большим шагом вперед в области безопасности.

Для большинства пользователей Windows Vista Beta 2, единственное значимое различие между этими двумя брандмауэрами (Vista и XP) будет ......... хм, правда, большинство пользователей не увидят различия, потому что брандмауэр в Windows Vista Beta 2 работает так же, как и в Windows XP, блокируя лишь входящий трафик по умолчанию. Панель управления брандмауэра в Windows Vista Beta 2 почти идентична панели Windows XP, с единственным различием, заключающимся в формулировке – опция "Блокировать все программы" ("Block all Programs") заменена на "Не разрешать исключения" ("Don't allow Exceptions"), эффект остался тот же самый.


Windows Vista Firewall

Панели управления брандмауэров очень похожи, потому что в Windows Vista Beta 2 контроль над исходящим трафиком выключен по умолчанию, и его нельзя включить (или получить доступ) через стандартную панель брандмауэра. В Windows Vista Beta 2 реализована новая система защиты брандмауэра с расширенными параметрами настройки, доступ к которой можно получить в административном инструментарии, набрав wf.msc (Start>Run) и нажав Enter.


Windows Vista Firewall

Изображение, приведенное выше, показывает часть консоли управления MMC (Microsoft Management Console) для брандмауэра с расширенными параметрами настройки (Windows Firewall with Advanced Settings). Слева расположена основная область панели, где могут быть изменены параметры настройки; полное дерево было расширено, чтобы показать пользователю его доступные области. В правой стороне панели, представлен краткий обзор, который сообщает пользователю, какой "Профиль" является активным для брандмауэра (только ОДИН профиль может быть активен за один раз) и состояние параметров настройки для каждого из этих профилей. ПРИМЕЧАНИЕ: на изображении показана информация, при которой контроль над исходящим трафиком отключен по умолчанию, т.е. режим "блокировать", но это не совсем точно, поскольку дальнейшие настройки брандмауэра покажут, что фактические параметры по умолчанию полностью противоположны тому, что показано. Администраторы могут также импортировать и экспортировать параметры настройки брандмауэра с главной страницы (не показана здесь), которые расположены в правом углу главной страницы.

Клик на ссылке свойства брандмауэра Windows отобразит диалоговое окно, разрешающее пользователям корректировать индивидуальные параметры настройки каждого профиля, а так же параметры IPsec:


Windows Vista Firewall

Обратите внимание, что заданные по умолчанию параметры настройки для входящих и исходящих подключений перечислены для каждого профиля как вкладка (чтобы не тратить время, обсудим только показанный профиль). Четко видно, что настройки по умолчанию для входящих и исходящих подключений отличаются от показанных на главной странице параметров. В графе "State" можно подобрать/проверить состояние настроек, включить или выключить брандмауэр; выбираемые значения для входящих/исходящих подключений представлены следующими: Блокировать, Разрешить и Блокировать все (Block, Allow, Block All). Кнопка “Настроить” (Customize), в области параметров настройки этого диалогового окна, позволяет пользователю настроить уведомления в случае блокировки соединения брандмауэром, а так же разрешить или нет, отвечать при одностороннем режиме передачи на групповые или иные запросы. Кнопка “Настроить” (Customize) в разделе регистрации пользователей позволяет присваивать имена пользователям, сохранять лог-файл в определенном месте на жестком диске, там же можно установить предельный размер лог-файла и настроить этот файл так, чтобы в нем фиксировалась информация о документах, отправленных в корзину и/или информацию об успешных подключениях.

Вкладка IPsec позволяет администраторам настраивать определенные IPsec параметры подключений для сетевого окружения (так же не обсуждается в этой статье).

Контроль над входящим и исходящим трафиками имеет похожие параметры настройки, поэтому в этой статье будут обсуждаться только новейшие возможности контроля исходящего трафика брандмауэром.


Windows Vista Firewall

Центр нового брандмауэра сосредоточен в консоли Windows Firewall with Advanced Settings, с помощью этой консоли можно проверить производительность брандмауэра, так же можно задать, изменить или удалить правила, а администраторы могут установить объем информации, которая может быть записана и где именно она может быть записана. Определенные области (касающиеся входящего или исходящего трафика или того и другого) детально показывают все установленные правила, позволяя изменить любое правило или создать новое. Кроме того, каждое правило имеет свои свойства, где почти любое значение может быть изменено.

Примечание: Некоторые системные службы Windows Vista обладают правилами в которых некоторые настройки предопределены и не могут быть изменены, в таком случае брандмауэр покажет уведомление пользователю, как показано ниже:


Windows Vista Firewall

Данные правила представлены свойствами службы BITS - Фоновая Интеллектуальная Служба Передачи (Background Intelligent Transfer Service). Обратите внимание на 6 закладок, с помощью которых можно детально изучить настройки правил и изменить их. Управление новыми правилами отсюда не возможно, этого можно добиться на главной странице консоли брандмауэра в правой стороне панели:

Обратите внимание: Если никакое правило не установлено (входящее или исходящее), то это меню закончится пунктом Помощь, а опции для правил будут недоступны.


Windows Vista Firewall

Подведем итоги:

За:

Новый брандмауэр Windows Vista Beta 2 это огромный прыжок вперед по сравнению с брандмауэром Windows XP, особенно в сфере возможностей настройки безопасности; начиная с IP адресов, услуг, программ, и доступа пользователей, все это может быть "разрешено или блокировано".

Дизайн нового брандмауэра Windows Vista похож на брандмауэр Windows XP, и большинство пользователей не заметят большого различия между ними.

Новая панель управления брандмауэра Windows Vista окажется знакомой пользователям Windows XP, поскольку оба брандмауэра почти идентичны в плане пользовательского интерфейса и назначениях.

Пользователи не смогут произвольно "выключить" важную защиту системы через настройки брандмауэра, поскольку они просто не будут доступны для пользователей, что обеспечит лучшую защиту ОС и работу пользователей.

Если когда-либо в службе брандмауэра Windows Vista произойдет сбой, это приведет к блокировке всех подключений ("Block All Connections"), это должно обеспечить лучшую общую безопасность ОС.


Против:

Advanced Firewall и настройки безопасности сложны в освоении для обычного пользователя, так как предназначены для ИТ-администраторов, которые знают что они хотят сделать, и знают потребности в безопасности, брандмауэр Windows Vista дает им богатые возможности.

Нет никакого мастера установки или подсказчика, который подсказывал бы пользователям как блокировать ту или иную программу/службу, и при этом нет ярлыка для консоли Windows Vista Firewall with Advanced Settings.

Консоль Windows Vista Firewall with Advanced Settings лишена интуитивного интерфейса, который был бы полезен для новых пользователей, которые еще не знакомы с технологией брандмауэра. Пользователи и администраторы должны точно знать, что они делают и владеть знаниями технических терминов, чтобы получить желаемые результаты.

По умолчанию исходящие соединения не фильтруются, но могут быть блокированы при помощи настроек консоли Windows Vista Firewall with Advanced Settings, это может быть слишком сложной задачей для понимания и достижения новыми пользователями.


Заключение

Новый брандмауэр Windows Vista – долгожданное обновление системы безопасности  со времени Windows XP. Есть некоторое ощущение того, что Microsoft переоценила важность контроля над исходящим трафиком в Windows Vista, поскольку сама ОС достаточно безопасна и предотвратит установку вредоносной программы или службы, к тому же состояние ОС полностью контролируется во время работы в Интернете. Со временем станет ясно, правильно ли поступает компания. Тот факт, что Microsoft включила в Windows Vista брандмауэр со всеми задействованными настройками, весьма убедительно говорит о том, что безопасность ОС и безопасность пользователя в сети является главными беспокойствами для разработчиков из Redmond.