Доброго времени суток, дорогие друзья, знакомые, читатели, почитатели и прочие личности. Как Вы поняли из заголовка, сегодня поговорим про брандмауэр Windows.
Мы многое писали о безопасности, как антивирусной или парольной, так и, что называется, сетевой, т.е про фаерволлы и всё, что с ними связано (даже упоминали старенькую ловушку APS, которая, в общем-то еще более-менее жива для определенных раскладов).
Тем не менее, многие забывают о том, что в самой Windows существует собственный брандмауэр (он же фаерволл), которым можно вполне успешно пользоваться, если настроить его должным образом, а не оставлять работать по принципу "как есть". Т.е вполне можно обойтись и им, без установки стороннего софта, что, в общем-то разумно (особенно, если у Вас лицензия).
Нас частенько просят рассказать хотя бы основы этой настройки.
Что ж, давайте кратенько пройдемся по этой теме.
Поехали.
Брандмауэр Windows - вводная
Прежде чем приступить, собственно, обязательно стоит понять следующее:
- Описанная ниже методология требует вдумчивой настройки (и отталкивается от идеи о том, что разумный пользователь хочет самостоятельно контролировать все входящие+исходящие соединения с интернетом и сетью) и некоторого количества времени, т.е,
если Вы ленивы, у Вас установлено очень много программ (да и вообще Вы их ставите без разбору), каждой из которых нужен доступ в интернет, то, вероятно, эта статья Вам не подходит (как и тема защиты с помощью брандмауэра вообще); - Тем не менее, статья рекомендуется для прочтения каждому, чтобы понимать как работает этот самый брандмауэр Windows (а он включен по умолчанию и работает практически у каждого) и как его, в случае чего, настроить, приструнить, им управлять и просто диагностировать возможные проблемы с доступом в интернет какой-либо программой.
Давайте, что называется, приступимс.
к содержанию ↑Первичный запуск и настройка
Здесь и далее я буду исходить из мысли, что мы находимся в Windows 10, но в общем и целом статья актуальна для Windows 7/8/8.1 и при некоторой сноровке её можно притулить в XP.
Для начала зайдите в панель управления и откройте управления этим самым брандмауэром, т.е нажмите правой кнопкой мышки на меню "Пуск".
Затем выберите пункт "Панель управления", в которой переключитесь на маленькие значки (справа вверху) и выберите из списка "Мелкие значки", после чего тыркнитесь в "Брандмауэр Windows":
На выходе мы получим, собственно, окно этого самого брандмауэра, в котором необходимо сразу перейти к дополнительным настройкам, радостно тыркнув мышкой в соответствующий пункт (Дополнительные параметры):
Брандмауэр Windows и настройка профилей
Внутри Вы увидите 3 набора профилей (Общий профиль, Профиль домена и Частный профиль), а так же параметры IPSec.
Здесь для каждого (т.е три раза) из профилей нам нужно включить брандмауэр Windows (первый выпадающий список), включить блокировку всех входящих подключений (второй выпадающий список) и блокировать исходящие подключения (третий список).
На выходе, на каждой из вкладок профиля Вы должны видеть то, что видите на скриншоте выше.
Внимание! После применения, скорее всего, Вы сразу потеряете соединения с интернетом для всех программ (в том числе браузера), которые не были в исключениях. Не закрывайте статью или разблокируйте исходящие подключения на время настройки разрешений (ниже по тексту).
Результатом должно являться нечто следующее (см.описание профилей в колонке "Обзор"), скриншот кликабелен:
В данный момент у нас запрещены все входящие подключения и все исходящие, кроме тех правил, что заданы изначально приложениями или самой системой.
к содержанию ↑Правила для исходящих соединений
В большинстве случаев для входящих соединений ничего настраивать не нужно и их стоит держать заблокированными (за исключением всяких таких торрентов и установленных локально FTP-Web и прочих серверов, в том числе игровых), но требуют настройки правила для исходящих соединений, чем мы и займемся.
Для того, чтобы это сделать, собственно, Перейдите на вкладку "Правила для исходящего подключения", где Вы увидите существующие (все) и активные (зеленая галочка), правила, которые есть в системе.
Чаще всего здесь стоит оставить всё как есть изначально, либо (если Вы параноидальны) удалить все правила, кроме отмеченных зелёной галочкой, т.е включенных самой системой (и приложениями) в данный момент.
В правой колонке вы найдите кнопку "Создать правило", которая так же доступна при клике правой кнопкой мышки на пункте "Правила для исходящего подключения".
С помощью этой самой кнопки необходимо создать правила для всех приложений, которые, по Вашему мнению, должны иметь доступ в интернет.
к содержанию ↑Создание правил работы брандмауэра
Например, давайте сделаем правило для браузера, чтобы он таки заработал:
Для этого создаем правило, тип которого выбираем как: "Для программы", после чего, используя кнопку "Обзор", указываем путь до exe-файла программы, которой мы хотим дать доступ для исходящего трафика (при учете, что Вы создаете правило в разделе исходящих).
На следующей вкладке выбираем пункт "Действие" как "Разрешить подключение" (здесь разумнее было бы настроить безопасные подключения, но это не совсем тема данной статьи).
Профилирование
На вкладке "Профиль" выбираем разрешения для всех профилей, т.е ставим все галочки:
И на вкладке "Имя" мы задаём имя для своего профиля (по аналогии с сортировкой папок, я бы рекомендовал начинать имя с одной и той же буквы, а лучше с одного и того же символа, что позволит быстро находить свои правила в списке):
как настроить брандмауэр Windows - скриншот 13 - правила соединений
Теперь, когда Вы сделали правило (и если Вы его сделали правильно) браузер должен успешно соединятся с интернетом.
По тому же принципу Вы добавляете правила, как я уже говорил, для всех приложений, которым, по Вашему мнению, нужен доступ в интернет.
Небольшая хитрость, - для понимания того, где лежит exe-файл программы на самом деле, нажмите правой кнопкой мышки по ярлыку и выберите пункт "Свойства", где в строке "Объект" будет указан полный путь до рабочего файла, а на строке "Рабочая папка", собственно, указана рабочая папка с программой.
Далее, следует помнить, что для разных разрядностей есть разные версии программы, т.е порой необходимо разрешать доступ и x86 (x32) и x64-версии программы, в зависимости от того, какую Вы используете в системе (или если используете их обе).
Для "сложносоставных" программ требуется много разрешений, например для Steam'а нужно где-то 6-8 правил для полностью рабочего функционала (т.к у них одно приложение отвечает за браузерную часть, второе за запуск клиента, третье за трансляции, четвертое за магазин, пятое за что-либо еще):
- Steam\Steam.exe;
- Steam\bin\steamservice.exe;
- Steam\bin\x86launcher.exe;
- Steam\bin\x64launcher.exe;
- Steam\bin\steam_monitor.exe;
- Steam\bin\GameOverlayUI.exe;
- И тд.
Такое встречается у достаточно большого количества программ, т.е, если Вы вроде бы дали доступ одному, основному exe-файлу, но оно (приложение) всё еще ругается на отсутствие интернета, то стоит поискать другие файлы exe в папке с программой и задать разрешения для них до тех пор, пока весь нужный функционал не заработает должным образом.
к содержанию ↑Исключения, работа с проблемами, изоляция
Опять же, если после всех настроек работа нормализовалась, но не полностью (например, торренты скачивают, но не раздают), то возможно есть смысл настроить разрешение для входящих соединений брандмауэра для конкретно этой программы (настраивается аналогично, просто на соседней вкладке, а именно на вкладке "Правила для входящих подключений").
Потратив некое количество времени Вы будете сидеть в изолированной среде и ничего лишнего не будет стучаться к Вам извне или наоборот выгружать Ваши данные на сторону.
к содержанию ↑Экспорт и импорт готовых настроек
Однако, наверняка, имея несколько компьютеров схожей конфигурации, Вам будет крайне лениво настраивать все правила по новой, поэтому здесь предусмотрена, во-первых, выгрузка глобальной политики (правая кнопка мышки по пункту "Брандмауэр Windows в режиме повышенной безопасности - Экспорт политики").
А, во-вторых, предусмотрена выгрузка списков правил (входящих и исходящих отдельно) в виде txt, что делается в меню справа, где Вы создавали, собственно, правила:
Это позволит быстрее восстанавливать уже настроенные правила, переносить пути, настройки и другие нюансы, локально или между машинами:
как настроить брандмауэр Windows - скриншот 23 - правила соединений
В общем и целом, это тот необходимый минимальный базис, который стоит знать и понимать.
К слову, Вы всегда можете включить-или выключить брандмауэр Windows, используя соответствующий пункт "Включение и отключение брандмауэра Windows", если что-то пойдет (или настроили) не так, или сбросить все настройки, тыркнувшись в пункт "Восстановить значения по умолчанию":
Так что, в общем-то, поводов для беспокойства при кривых руках нет и сломать что-то крайне сложно. Конечно, в этом всём есть как свои плюсы, так и свои минусы.
Основным из минусов можно считать невозможность быстро создавать новые правила, т.е, в большинстве случаев, при установке нового приложения, требуется открывать брандмауэр, лезть в настройки, потом создавать новое правило и так по кругу.
Это же является и плюсом, - без Вас ничего лишнего (в общем-то даже вирус), толком не сможет чихнуть в системе (при учете, что Вы настраиваете правила именно для приложений, а не портов-адресов и тп).
В двух словах как-то так. Больше бывает в обучалке, но в рамках статьи сейчас, думаю, и этого многим должно хватить с лихвой.
к содержанию ↑Послесловие
Если конечно Вам лень с этим возится руками, то ничто не мешает поставить сторонний фаерволл, который позволяет ставить правила, что называется "на лету". Есть даже легкие решения-интеграторы, вроде Windows 10 Firewall Control о котором мы уже писали ранее.
В общем, каждому своё, наше дело рассказать про брандмауэр Windows, а уж использовать его или нет, - дело Ваше.
Как и всегда, если есть какие-то вопросы, мысли, дополнения и всё такое прочее, то добро пожаловать в комментарии к этой статье (может подскажу какие-то нюансы с особо заковыристыми правилами и всем таким).
Оставайтесь с нами ;)
Такие дела
Всё сделал ка ВЫ написали (у меня Win 8 1) но гугл категорически отказался работать без входящих соединений. И вообще стало всё работать с большими паузами
Хм, интересно. Перепроверим, спасибо
Уважаемый Соникелф, возможно у меня и кривые ручки, но при активном браузере (Хром), т.е. я понимаю правило по хрому активно, поставил исходящие на "блокировать" и тут же браузер перестал работать. Включил в исходящих "разрешить" и тут же всё заработало.
Если браузер активный на момент настройки, означает ли это автоматическое создание правила? Если я хромом пользуюсь ежедневно, почему его тогда нет в списке правил во всей полноте?
Если всё создавать вручную по каждому сайту, не будет ли это параноей?
Браузер активно использует оба типа трафика :(
Получилось! По всем 6-ти позициям поставил "запрещено" (то что выбирают "по умолчанию"), потом научился создавать правило. Заработало! Значит, причина была "кривые ручки" )))) Спасибо Вам!
Уважаемый Соникелф, вот мой главный вопрос. Если в исходящих включено "разрешить и вне правил", КАКИЕ ВОЗМОЖНЫ ОТРИЦАТЕЛЬНЫЕ ПОСЛЕДСТВИЯ? В чём угрозы? Ведь это же исходящие, а не входящие.
Исходящее соединение может нести за собой Вашу информацию - пароли, логины, данные кредиток. Они же могут быть источником информации о компьютере, адресе и тп. А так же, трафик может быть исходящий но не Ваш, - допустим Вы стали жертвой прокси и все через Вас шифруются. Сюрприз - идет куча трафика с порно, вроде исходящий, вроде ничего страшного, а вот те на.
Уважаемый Соникелф, ещё один вопросик. Я решил отказаться от коммерческих антивирусов. Полностью перешёл на десктопе и своих ноутбуках на Microsoft Windows Defender (или MS Security Essentials) совместно с MS Windows Firewall. Правильно ли я поступил? Достаточно ли это на современном уровне угроз?
Отвечу так, - при разумном подходе, - достаточно. MS вылизали свою Essentials до современных стандартов и выше. То, что я вижу в Insiders Preview вообще здорово. Так что не переживайте, - Ваши действия разумны.
Уважаемый Соникелф, обращаюсь снова за помощью. Брандмауэр в целом успешно настроен - браузеры и т.п. Кроме одного - не получилось создать правило для ОБНОВЛЕНИЯ WIN ни в win 7, ни в win 10. Вроде бы нашёл все эти программы в system32 (wuapp, wusa, wuaudt), ан нет, фаервол блокирует и поиск обновлений, и установку обновлений. Приходится для обновления временно включать "разрешить" для исходящих. Помогите пжлс!
В смысле встроенный брандмауэр блокирует получение обновлений?
Именно так. Встроенный брандмауэр блокирует получение обновлений (поиск - нет, а получение - блокирует). Помогите пжлс.
И ещё блокирует автоматическую настройку времени
Подскажите, как настроить для яндекс диска, не пускает, все варианты опробованы
Удивительно, что Вы только сейчас написали эту статью
Не поверите, но я много о чем еще не написал :)
Во всяком случае публично.
привет) спасибо за статью по сетевому экрану windows давно на нем сижу,а сейчас настроил кое-какие пункты по статье и сижу дальше :))
Пожалуйста :)
Оперативно. Большое спасибо.
Выдалась свободная минутка :) Пожалуйста ;)
а как дать доступ в сеть скайпу,опере и тимвьюверу? вроде все разрешил,а они ни в какую не коннектятся (
У тебя они портабл или обычные?
портабл,я уже нашел решение,сам как-то дошел,там в папке app каждой программы валялся еще exe файл (по мимо того,который валяется в корне папки например skype), так вот,пока я не создал правило для экзешника из папки app оно не пускало в сеть...т.е там получается у портативок для двух экзешников создавать разрешения надо,надеюсь,кому-то решение пригодиться комуто
Угумс, у них есть такое
Денис, по моему опыту, надо поставить в исходящих "разрешить и вне правил". Иначе будете создавать правила вручную в течение нескольких дней. И результат при этом не будет гарантирован.
А можно ли как-то оптимизировать брандмауэр, чтобы он потреблял меньше ресурсов? Например, у меня нет частной сети. Может, эту опцию вообще выключить?
В принципе можно, но выключение сетей толком (с точки зрения производительности) ничего давать не должно (хотя не проверял). Зато проблема может быть в том, что определяя сеть (Вы, установщик, кто-то еще), поставили, что Вы находитесь в частной/общественной/другой сети, и тогда никакие настройки смысла иметь не будут (если Вы отключите сеть). Тоже самое актуально для ноутов (меняется сеть, меняются правила) и тд и тп. Именно поэтому описан случай всех галочек.
Андрей, а каким Firewall пользуетесь вы?
По обстоятельствам. Дома брандмауером + тем, что на роутере
прям как я)
Или ты как я :-D
а я всегда говорил,у нас мысли сходятся ))
Бывает, да :)
Большое спасибо за статью! Никогда не лез в эти дебри с брандмауэром, потому что не знал что делать там, а теперь начал настраивать)) И сразу вопрос по программе Ace Stream, смотрю с помощью этой программы NBA не качая с трекера, а сразу начинаю смотреть (что то типа торрента). Так вот, дал ей разрешения все возможные, запустилась только в случае если выбрать "Для порта" http://prntscr.com/e3p6ji и далее вот такие настройки http://prntscr.com/e3p6tm
по другому никак не работает. Но я так понимаю что безопасность из-за этого сильно страдает т.к. передача ко всем удаленным портам теперь разрешена. Или я не правильно понял?
Да, такой подход не желателен. С другой стороны, исходящие к удаленным еще не так плохо как входящие от всех :)
Ну входящие не разрешал, исходящих хватило чтобы программа заработала))
Может быть посоветуете как ее по другому завести?
И еще не могу торрент настроить и входящие и исх. разрешил, никак не запускается блин.
"здесь разумнее было бы настроить безопасные подключения, но это не совсем тема данной статьи"
ждем такую статью! безопасность очень хочется изучить))
Честно говоря в голову ничего не приходит, т.к программы у меня под рукой нет :) По идее должна работать, как и торренты. Судя по описанию (раз торренты не работают) что-то не так делаете.
Спасибо, напишу на форум =)
Подскажите пожалуйста, а как включить в правила обновление системы на windows 10?
а что делать, если ну никак не получактся изменить настройки брандмауэра? то есть сам брандмауэр вроде как есть, а монитора брандмауэра в помине не было?
Без монитора настройки так или иначе должны быть в панели управления - мелкие значки
у меня не работают исходящие подключения - не загружаются файлы на сервер(соцсети, почта и т.д.). Яндекс интернетометр не определяет скорость исходящего соединения. отключение брандмауера не помогает. С загрузкой справляется лишь Tor. Что делать?
Для начала отключите брандмауер и блокировки.
А вообще - https://sonikelf.ru/leave-and-bugs/
На сайты заходит. Проблема лишь в отправке больших (более 1 Мб) файлов на сервер (на любом сайте)
Брандмауэр отключен